杀毒软件背后的黑幕



小时侯听说过一个成语:“窃钩者诛，窃国者侯”今日我才真正明白它的含义，于是写了这篇“万言书”。我不希望有人直截了当地把我当作“枪手”或者作“广告”的甚至是什么“攻击国家机关”，毕竟这是一个严重的社会问题。我不怕任何人质疑我的观点与证据的真实性，尽管我可能会犯一点小毛病：以下材料均来自本人亲手实验，或本人及朋友的亲身经历。只要你按我的说法一个个实验过，你就会知道到底谁是对的。
本文中可能有一些术语许多人听不懂，恕我不作注释，有劳各位自己去查。
杀毒软件背后的黑幕
翻开2004年第18期《大众软件》，那个杀毒软件市场占有率排名让我百感交集：毒霸38%，瑞星29%，Norton14%，KV11%……，不要以为这只是几个简单的数字，这后面有太多的故事，一时竟不知从何讲起。这样，我们先看看各个杀毒软件的真实能力。（本文中若未经说明，那么KV就指KV2004，毒霸指增强版，瑞星指2004版,AVP就是卡巴斯基Kaspersky。另外由于本人向来不用邮件收发工具，所以这里不测邮件杀毒）
一、病毒库
这些年头看过许多评测，有民间的也有媒体的，几乎都是以病毒库是否全面为依据。这是非常不科学的！暂且不说别的因素，我认为用杀毒软件对一堆病毒木马一通乱杀最后仅仅以检出率论英雄，是一种对读者不负责的数字游戏。
举两个最简单的例子，你有用过Norton去杀黑洞2004吗？不说别的，就说最有影响力的0815版，Norton也是怎么杀也杀不出。这完全不是什么巧合，Norton如果杀n年前的经典木马冰河84，也还是杀得出来的，只是会在隔离区里加上两个字作注释——罕见……
Norton是一个非常典型的例子，因为在杀国产木马方面的问题Norton是最明显的。(有网友怒斥为“木马白痴”)不过其它的外国杀毒软件也好不了多少，除了那个公认的升级狂AVP，大家拿手上那帮大马小马自个儿试试吧，保证叫它们死得惨不忍睹。 (据说当年因为Pc-cillin杀不了CIH的某些国内变种，所以有人就……)当今有多少媒体在吹Norton这些玩意儿,真是啥都不懂!
就是不算木马，各种国产蠕虫变种也够这帮老外受的，其中最典型的就是Lovgate系列了。有些用Norton的单位就算是天天更新，也总是不如它的变种来得快，甚至面对有些n年前的国产病毒，那帮老外也一声不吭。AVP虽然检出率很高,但它的病毒库却有个致命缺点：经常不能辨认出一个病毒产生的所有文件，或者说得明白一点儿，AVP对于一台已中了以上病毒的电脑毫无办法，只能干瞪眼！！！于是乎，Lovgate.w（KV认作Supkp.v）及Lovgate.z等“死而复生”，让许多AVP跟风者无可奈何，也难怪人家一天有N次更新了，“处理”速度果然快。要知道，我手头上才只有6个Lovgate变种而已！（号称带毒杀毒？？？法国佬瑞士佬还敢推荐？？？笑话！）“配合”AVP极其恶劣的实时监控，AVP实际上具有极大的安全隐患！！！看看现在有多少网友一口一声AVP，真是崇洋媚外过了头。（瑞星好象也有这种问题，但绝对没有这么严重）
AVP的更新速度早就“威名远播”，但本人到处打听，并没有听说太多此方面AVP真正可以显露出的优势。AVP杀国外病毒木马自然有优势，但面对国内网络环境下的流行病毒木马并不见得比任何一个非民间的国内杀毒软件强。究其原因，我们可以从AVP的离线升级包中的说明文件看出个大概：（说明文件中包含更新病毒的名称等）
(a)AVP虽然升级频率快，但一周升级的病毒总数相对于其它杀毒软件并没有特别多的优势。（除了那个垃圾Norton）
(b)AVP的相对较全的病毒库使得它杀国产木马时比其它任何一个国外杀毒软件都好，但病毒库中中国的流行木马比重很低。一次更新并不见得会有一个国内能见到的木马。有些网友吹的所谓AVP“强大的杀木马能力由此而来”是没有根据的。
综上所述AVP实质上的更新效率与效果都最多与国产杀毒软件打个平手。由此我们不难理解，不论是3小时更新还是号称“全球最全”的病毒库，都不能使AVP在国内的网络环境下给大家带来比国产杀毒软件更多的保护。它们这些东西顶多就给我们一些心理上的安慰，别无它物。同时，我本人对“3小时更新”的处理效率深表怀疑，我不认为这样能彻底处理什么病毒。本人还保留一个看法：每3小时更新的病毒并不一定是这3个小时接收到的，它们可以是6个小时，9个小时，甚至一天之前接收到的。也就是说，更新数据与处理接收是交错进行的，AVP对一个病毒真正的反应速度并不见得快。
综上所述，我们只能得到两个结论：1、面对众多国产病毒木马，外国杀毒软件只是一帮废物；2、以检出率论英雄是一个彻底的错误，因为一个1%可以包含很少的东西，也可以包含太多的东西，同样的检出率，一个可以杀灰鸽子，一个可以杀Beast或××国外二线木马；一个杀不干净，一个杀得干净，你会选哪个？
虽然如此，但如果检出率相差太大，那就是另一回事儿了。Norton的病毒库是非常不全的，尽管在杀木马时与其它国外杀毒软件差不多，但在杀病毒时检出率相差实在太大。在许多病毒库比较齐全的评测中，（不包括公安部）Norton总是在最后几名徘徊，远远落在其它老外后面，甚至在有次国外媒体评测时仅给了Norton6.8分，（满分10分，，AVP9分）简直是……
至于瑞星的病毒库也不是非常好，当年经常在民间评测中与Norton一起垫底，惟有木马库齐全了许多，所以其杀毒能力可想而知……当然，瑞星现在已经基本解决此问题，不过还是有一些后遗症。于是有一次，我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句，当年瑞星2003时人家可是一周一次升级！
在这个方面，一切国外杀毒软件都不合格，它们实在差太远了。
二、杀壳能力（若有谁不知加壳为何物，请买一本最初级的黑客入门书自己看看）
在我看过的评测中，基本上没有哪个把杀壳能力放在眼里的。事实上，没有杀壳能力，一个杀毒软件在面对木马以及病毒变种时，基本上就成了废物，有谁用马不加壳？有谁改病毒不换壳？（比如Nimda就有超多仅仅换壳的变种）只要人家有意，你的杀毒软件一瞬间就可以挂掉。经本人实验，各大杀毒软件杀壳能力如下：
McAfee及大多数国外二流杀毒软件：UPX等少数壳
瑞星：NeoLite，WWWPack
毒霸：无
Norton：无
AVP：大多数流行壳（除了一些应用程序保护壳）
KV：大多数流行壳（除了一些应用程序保护壳）
没有一定杀壳能力的这些杀毒软件会轻易地让你死翘翘的，所以大家今后必须重视杀壳能力。这也是我对网上众多民间杀毒软件不屑一顾的主要原因。
三、一般清除能力
不得不说，任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不理想，不过由于在杀毒过后这些文件都成了死链接，所以随便找一个清垃圾文件的软件就可以了。(KV已解决,但对注册表项关注依然不够)
其实关于一般清除能力，大多数的杀毒软件都差不多，不过倒还是有几个特例：
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下，杀Lovgate（非ae等进程守护的变种）用了2天以上，杀folder.htt病毒用了超过一周时间也杀不干净，最后只用搜索并删除同名文件却杀干净了！由于folder.htt病毒是单质病毒，所以跟AVP不同，明显是跳杀现象。
Norton及许多国外杀毒软件则是一见染毒文件就删，实在令人怀疑Symantec的人是否学过汇编。另外Norton在撞上一个病毒在内存中的进程时，竟经常不会自动关闭，需要你手动关闭，而其它任何杀毒软件大都有此规则。
四、内存杀毒及DOS杀毒
当今国外杀毒软件基本没有再提供DOS杀毒的了，所以面对dll进程守护式的病毒木马一般就只能到安全模式下碰运气了，不然你就永世不得翻身了。（AVP例外，它支持基本的内存扫毒且有写清除病毒的开机脚本的能力,但对lovgate.w及其它某些先于开机脚本启动的病毒无效）相比之下，毒霸、瑞星、KV都有DOS杀毒能力，只是毒霸杀不了NTFS，KV可以杀壳。
国产杀毒软件都号称可以内存杀毒，但大都只是实时监控加普通进程关闭的换汤不换药，杀不了dll进程守护，甚至有毒霸不去检查调用的dll文件，等于一个功能没加，只有KV一个一个dll地检查，并有查到毒后反复内存清毒及必要时自动开机检查的功能，dll进程守护的病毒木马基本上都可以挂掉，比如在正常windows下，只要KV本身不被破坏,不被“及时”干掉进程,那么无须重起便可干掉全系列lovgate。（有时会提示“删除失败”，但事实上扫完后这个文件一般都已被赶出内存）而且以上两种情况本人都有在windows下的克制办法。退一步讲，KV的DOS杀毒也是天下第一。我认为，在全世界的所有杀毒软件中只有KV的可以算有内存杀毒功能，其它的都是吹牛，不信你就捉个经典的Lovgate的ae及z,w变种试试：AVP可用开机脚本清掉ae变种,此外就算是到安全模式下KV以外的一切杀毒软件也全是吃鸭蛋,若无DOS杀毒盘,那么你只能到DOS下“自己动手，丰衣足食”，呵呵：）
五、实时监控
当今的杀毒软件几乎都要吹一吹自己的实时监控，但实话说，没什么稀奇的：一是对进入内存的程序进行扫描，二是预读。（解压时查毒属于第一项）第一项没啥子稀奇，至于第二项，国产杀毒软件的速度大幅超过了老外，的确可喜可贺。另外AVP的在很多情况下实时监控效率都比较低,尤其是面对压缩包时:打开一个带毒的小压缩包后经常可以一顿饭的时间都不报警，甚至对我故意触发的压缩包中的病毒文件都不报警！！！呕吐呕吐，在我试过的众多杀毒软件中，AVP的实时监控是倒数第一，第一项的成绩甚至根本比不上一些早期杀毒软件的实时监控！！！由此我们可以看出,通过压缩包与自解包传播的爱情后门可以说是专克AVP,尤其是w,z变种,AVP根本就没有招架之功。
如果你认为这无关紧要，那你就大错特错了。下面让我来教你一招自虐大法：到hackbase.com去down一个包含3558个病毒的zip包，然后在打开实时监控的情况下一个个打开这些文件（为了模拟真实情况，请不要用扫描，网上很多人都有此习惯）
事实证明，若不是因为Norton不全的病毒库导致一些病毒扫不出外，AVP以外的杀毒软件全部都有效地挡住了病毒进入内存，但AVP在同样的情况下却就是不报警。于是乎，我在试了两个病毒之后马上抱出KV救急……唯一值得庆幸的是，这些病毒大都是DOS病毒，在windows下就算进了内存也无法破坏。但我们已经可以想象，如果它们都是windows病毒，AVP是什么下场……
如果有哪位大爷不服，那就请他一个一个试下去，一个一个试下去，试到服了为止。如果试完后还不服，那我就服了，你的电脑也糊了……
这个实验可以充分增加你对杀毒软件的感性认识，以及爱国热情，因为你必须靠KV的内存杀毒或其它国产杀毒软件的DOS杀毒来救急。顺便交给那些无畏的AVP献身者一个光荣的任务：测一测AVP到底有多少个病毒会象本文开头所说的那样杀不干净。
相信经此一折腾，你的电脑安全技术会大有长进。《葵花宝典》说得好：武林称雄，挥刀自宫……
与之相对的是KV的实时监控技术（即“动态比特滤毒”技术）的强大。为什么我一直在用Net Transport呢？因为在打开KV文件监控的时候，KV会自动对进入电脑的文件进行扫描，而不仅仅是内存。如果是带毒的压缩包，KV会在下载结束的一瞬间报警，如果是EXE或DLL等，那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控，KV会顺带地扫出很多东西，（前提是你硬盘上有）上次我就是忘了这一点，结果把自己的黑软库一大半倒进了隔离区。
六、杀未知病毒能力
当今的杀毒软件对这一点都“非常重视”；所谓“重视”就是大肆做相关的广告；行为判断、虚拟机法、智能跟踪……如果这些都是实话，那么面对一个歪壳压的病毒，杀毒软件们理应报警，但事实上没有一个杀毒软件做到这一点，这些谎言也就不攻自破了。当今的杀毒软件的防未知病毒机制其实只有启发式扫描，即仅仅是扫描文件中的可疑代码。也就是说，如果解不了壳，再强的启发式扫描引擎也什么用也没有，由此，KV、AVP的表现大幅超过了其它的任何一款杀毒软件。在加壳病毒横行的今天，其它的杀毒软件几乎全是吃鸭蛋。
不论如何，毒霸、瑞星和AVP的误报率都还算比较高，尤其是前两者，几乎只有误报纪录，毒霸的实时未知病毒检测甚至会干扰到已知病毒检测，而且早期的毒霸6会把OfficeXP的几乎所有初始模版当作MicroWord.Generic及MicroExcel.Generic“病毒”，令人叹为观止！Norton与KV到目前为止我也没发现误报，不过Norton的未知病毒检测也不乍地，只是比毒霸、瑞星强了许多。
不看误报率，只有AVP与KV的能力令人满意，AVP自然不用说，人家可是启发式扫描的鼻祖，具体能力大家也清楚。事实上KV也是很强的，最经典的例子就是当年的KV3000不升级就可以挂掉冲击波！不过据说KV未知病毒检出率低于AVP，这也是为达到误报率为0所必须牺牲的。
此外有一点说明：AVP的所谓iChecker技术不是实时监控技术（晕，AVP的实时监控还能吹？？），而是未知宏病毒检测技术。这是国内一些弱智媒体的又一个弱智错误。这种技术在国外恐怕是首创，但国内的VRV与KV早就有了这种技术，而且我认为它们比AVP的iChecker强得多。（要是我没记错的话这个技术其实是VRV首创。其实国内的杀毒软件业是很强的，论技术很多都可以在国际上排名次，但是就是毒霸瑞星太废，搅得国内怨声载道，让某些人片面地对所有国产杀毒软件没信心。）
大家注意，哪怕是KV、AVP，它们杀未知木马的能力也为0，也许它们一向都只是在研究病毒。
七、速度
首先对毒霸的“闪电扫描”提出质疑：
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢？安全至上呀。
②病毒经常是相互附身一齐出现的，这可是常识呀。
③鬼知道它扫的是哪100个病毒？
“闪电扫描”顶多是一个花哨的噱头，基本上没有人用，大家不必理会它。大多数杀毒软件速度都差不多，可以接受就行了，不必排先后。不过AVP由于支持杀壳，所以在开了杀壳后有些情况下速度慢了很多，不过没什么大碍。但瑞星令人实在受不了，慢得甚至出现了瑞星专杀工具速度跑不过其它许多完整杀毒软件的奇特现象……。KV还是表现不错，又支持杀壳，速度仍然很快，不能杀壳的毒霸扫再快也无法动摇这一点。
八、集成度
老外们在这儿不得不出局：不支持QQ？Game over！
KV的集成度肯定是最高的：有了动态滤毒，KV等于是支持了一切聊天软件与下载软件，同时效率最高。
毒霸及网镖在一次死机后图标全会消失不见，极不方便使用。瑞星用DLL进程守护解决了这个问题，不过同时也带来了无尽的资源占用与冲突问题……
九、压缩格式查杀支持（出于实用，我们只看ZIP与RAR）
KV：普通ZIP、超真空ZIP、RAR
AVP：普通ZIP、超真空ZIP、RAR
毒霸瑞星:普通ZIP、RAR
其它大多数国外二流杀毒软件：普通ZIP
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR。
十、资源占用与冲突：
KV资源占用最小，最多4兆内存，获得广泛好评，AVP则存在争议，我个人认为它还是比较耗的，在一台奔二上测试时尤其明显，我认为仅次于瑞星。（KAV.EXE进程虽然只占1兆多内存,但还有一个占十多兆内存的KAVSVC.EXE进程,许多白痴评测机构都把它看漏了!!这还不算一些庞大的SVCHOST.EXE!!!）Norton毒霸一般般，但开了QQ后Norton资源占用暴升……瑞星这方面问题极严重，不仅是当之无愧的冲突王，也是万“死”不辞的资源占用王，有些配置稍逊的电脑在开了瑞星后，(只装瑞星)弹出右键菜单竟需3—5秒……另外好象有一个说法，就是装了瑞星后装其它杀毒软件,基本上都会起冲突：装毒霸后不开实时监控系统也爆慢，网上有人把Norton这样装则是根本进不了系统。当然也有例外，就看你的造化了。
此外纠正一些人单纯用资源占用率来衡量资源占用的做法：你把它们装在586上也是这个占用率吗？
总评：Norton实在太废，除了公安部和某些菜鸟，几乎是人神共诛，连外国同行都不以为然。（6.8分，妈呀！）虽然Norton是实时监控的鼻祖，但却不思进取，活该。大家若一定要崇洋媚外，那就请用AVP，而且你必须用！我一开头就跟大家讲得很清楚，其他非本土化的杀毒软件的下场嘛……小心自己死在冰河手里……不过话说回来，Norton的实时监控肯定比AVP强得多了。
毒霸的表现勉强算二流，面对加壳木马还是太嫩了，未知病毒检测更是千万不能开。瑞星则是我见过的最废的杀毒软件：毒库不比KV毒霸全面，耗资源，易冲突，几乎不杀壳，速度慢，跳杀！这年头民间防病毒软件非常多，大的有十几兆，小的只有几十KB，没有一个有跳杀的问题，扫上7天对它们都算神话来的！毫不客气地说，这一点可以让我们确定，瑞星是全世界最废的杀毒软件——谁不知道跳杀意味着什么？
至于我对KV的评价，也绝不是一家之言。有许多国外媒体都在吹AVP，但这绝不代表AVP比KV强，因为他们都没见过KV，评测方法也不尽科学（鄙视他们）。惟一的例外是日本人评了一次，结果大家也知道，KV获胜。当然，AVP也有一点是无可比拟的，就是全球毒库的齐全度，但对于国内用户来说，在现实生活中AVP这一点基本上用不上，除非你经常上国外网站。另外由于AVP清一些病毒的极不彻底性，以及天下最废的实时监控，所以它根本就不能独当一面。在帮朋友修理了几次Lovgate之后，本人已对AVP深痛恶绝。凭着更强劲的引擎（内存杀毒，动态滤毒，更低的资源占用率，更好的集成度）及更高的性价比（盗版AVP无法正常升级，正版的要460大洋一个12个月的授权），还有病毒的彻底清除（！！！），KV理应为中国用户首选，只是还不能作为一个国际性的杀毒软件。若只论在国内市场，那么AVP完全不能与KV相提并论，它们根本就不在一个档次上。
AVP在众多网友与白痴评测机构的吹捧下已经成为了一个神话，但这并不能改变其内质。AVP只是一些不科学的评测的产物：大家看看，我提到的AVP各种严重问题，他们看到了吗？？？AVP在许多方面都有非常耀眼的闪光点，有许多东西甚至是无可争议的天下第一，但总体表现非常……就好比是世界短跑冠军断了两只手吧。以目前我能接触到的国外杀毒软件而言，总体表现最好的是McAfee，至少人家杀国内木马的表现在国外杀毒软件中差不多是仅次于AVP，其它方面也不差。
本人今天来打破AVP的神话，就是让大家来看看什么叫谣言可畏！同时，国人之心态，由AVP可见一斑。
我个人认为，本篇评测，是当今世界上最科学的评测之一，不是因为我吹牛，只是因为他们的都太不科学！
1．一个评测如果只看重病毒库，那么只说明这帮白痴压根儿就不知道木马加壳术，不认可加壳后的无敌木马的危险性，看不到AVP脆弱的实时监控,甚至连瑞星的跳杀问题都看不到！
2．一个杀毒软件的能力是并非一个数字可以代表得了，正如水浒英雄的能力并非那些“水浒人物卡”上的有限的几个数字可以代表的，另外国外杀毒软件杀国产木马的狼狈相和评测时得到的检出率及分数完成不成比例，也能很好地说明这一点。一个真正合格的评测应该是把各个杀毒软件的优点缺点都列出来，让读者自己去按自己的需要来判断，最多分不同情况给它们简单排排名。
3．一个评测如果只是泛泛而谈，而不分出杀毒软件的优劣高下，这只能说明这是一个广告大串联，而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科学，反倒说明其它的评测根本算不上评测。
4．如果一个检出率测试测的不是已触发的病毒，那么谁能看出AVP是否有病毒文件查不尽清不完的问题呢？？？
5．最重要的一点，本评测一切论据与细节都是公开的。（比如病毒名称，评价原因）就算去除一些口说无凭的个人经验，只剩下大家可以自己操作自己实践的部分，大家仍会得到同样的结论。本评测的真实性无可怀疑正基于此，大家尽可乱试。
(公安部的评测标准: http://www.antivirus-china.org.cn/head/jianyanbzh.htm,先不说别的,看看道貌岸然的它有多么不科学!大家不要上当!!!)
论杀毒软件，本人坚决推荐KV，这是有事实根据的。不过如此评测结果，难免被骂为“枪手”。（而且往往是被一帮事实上并没用过KV的人骂）如果真是这样，这事就暂时搁到这儿，因为除了打破AVP的神话以及痛骂国外杀毒软件，本人真正想讲的其它东西都在下面。
我认为，如果压在KV头上的是AVP，我们还好商量，但我们可以看到，排在KV之前的尽是些垃圾：毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事不细究这些毛病都有关，这自然不用说，但我认为最重要的原因就是公安部的评测。我就因此深受其害，当年买了个毒霸回家。
(现在它自己的网站上已经没有这个东西了,但以前有许多电脑报刊登过)公安部的评分是这样的：毒霸95，瑞星95，KV90，Norton85，其它的杀毒软件依次列在后面。所谓检出率则是（把所谓“一般病毒库”和“特殊格式病毒库”一起算）：毒霸100%，瑞星100%，KV100%，Norton9x%，依此类推。
实话实说，公安部的评测是我见过的最假的评测，也是最害人的，因为它影响力最大，随便就可以扯出一大堆疑点：
1．KV那么强的引擎，凭什么排在毒霸、瑞星后面？如果说毒霸、瑞星恰好撞上比较“适合”自己的病毒库，那还好说。但既然检出率都是100%，其它性能KV则是全面超越毒霸、瑞星，凭什么KV要比人家低5分？难道KV的清除能力有问题？就算他们通过某种“方法”得到这个结论，那么这种“方法”如何会看不到瑞星的漏杀？？？
2．作为史上最废的杀毒软件，独一无二的冲突王、资源王、跳杀王，瑞星凭什么遥遥领先，并列第一？
3．作为国内市场中病毒库最不全的杀毒软件，作为一个在民间评测与国外媒体评测中屡次垫底的杀毒软件，Norton凭什么比McAfee、PC—cillin、Panda甚至国产的安全之星与行天这些家伙的分数与检出率高？大家记住Norton当年的分数：6.8分！（这几年Norton除了界面还有变化么？没有！）退一万步讲，McAfee在国际上也是公认的比Norton强嘛。
4．凭什么大名鼎鼎的AVP不参加评测？依我看，以他们的“方法”，AVP有什么问题他们也看不出，说不定还给个95分呢，所以为了“国产软件大业”嘛……
5．凭什么公安部几乎只看病毒库？虽然民间评测有这样的，但官方评测从来都不是这样的。
7．凭什么公安部全盘都在暗箱操作而不说明各个杀毒软件的具体检测结果？
8．凭什么会出现三个杀毒软件同时得到100%检出率的情况？全世界的杀毒软件评测，根本就没出现过这种情况。要么就是公安部病毒太不全，要么就是人家想搞“民族产业振兴”。
9．就算按公安部自己的标准来，早期的毒霸6极高的误报率在我这儿也是完全不合格的，怎么会有一级品之称？！？！？！
……
疑点多到了让人几乎可以窒息的程度。研究一下中国杀毒软件的历史，发现公安部评测实在害人。
众所周知，KV是早期中国最著名的杀毒软件，一度市场占有率遥遥领先，今天却落到了这个地步，难道是技术问题？KV的病毒库一直是全国最全的几个之一，未知病毒查杀在国内更是无可匹敌，而且早在KVW3000（2000年产品，一代经典）时代就可以杀UPX、Aspack及WWWPack、PKLITE、LZEXE这些壳，恐怕当时只有AVP称得上对手。虽然对Win2000支持不好，但当时又有多少人用Win2000呢？那时KV的UI的确很差，但有些人认为KV那时用的是KV300的引擎，则纯粹是以貌取人，上面说得非常清楚。然而公安部从那时起便不给KV好脸色看，KV于是便一落千丈，落得今天这个地步。（硬盘炸弹固然也是一个原因，但公安部做的可是评测，而不是历史清算！）可是直到现在，毒霸、瑞星除了支持NT内核操作系统上的实时监控，几乎什么都比不上当年的KVW3000，足以证明公安部评测的胡闹与破坏性。前面说了，KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能，今天却在KV2005中特意“加上”相关功能，不得不说是一种无奈。
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行天虽没有KV的强大引擎，但病毒之全实在是出类拔萃，几乎一直是全国第一，而其它的任何方面也不逊于毒霸，跳杀的瑞星更是不用说。安全之星XP（VRV）也一样，至少人家当年比瑞星毒库全，速度快，又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹，公安部显然脱不了干系。
在这样一个节骨眼儿上，我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮，我们中国还有什么可以拿得出手的杀毒软件？我们如何面对微软的进军？我们如何面对今后出现的彻底本土化的国外杀毒软件？网民们轻易相信广告固然是个原因，但如果没有公安部的评测，网民们会这样吗？
一切疑点表明，公安部评测甚至连乱测乱评都不是，它有非常非常强的倾向性，是明显经过人工操纵的非常明显的作弊行为！毫无疑问，这后面还有太多的故事、太多的后台、太多的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵，我也不知道，也没办法知道。我只知道，它让三个垃圾占领了中国80%以上的杀毒软件市场。如果说这是一场骗局，那就是一场几十亿几百亿的骗局！
公安部固然要负主要责任，但虚假广告照样脱不了干系。
瑞星的瞎吹倒不多，但也不是没有：“第五代国际领先可扩展引擎”——作呕！不过瑞星还算是比较“谦虚”的，比如防未知病毒能力就只敢加个“瑞星专利”作形容词，“清除病毒”之前就不敢加个“彻底”，算有自知之明。
Norton倒没做广告，到底是怎么流行的，除了OEM大家也清楚：谣言可畏啊！
最最最最无耻的就是金山了，实在是令人发指！不信请看：
1、把你的金山毒霸包装翻到背面，一条一条地看：（以下各条结合了毒霸V、6及增强版“安全组合装”的包装背面）
①“病毒处理速度＞＞病毒传播速度”这显然是瞎吹，AVP也做不到。
②“网页防毒，有效拦截……”这年头窗口炸弹写法也就几种，随便一找就找到一个毒霸杀不出的，（KV与Norton都杀得出）至于广告拦截更是效果几乎为0。你敢用这玩意儿拦网页木马吗？想想当年金山在IE上大做文章，什么“蓝色杀毒革命”呀，什么“应用程序for IE”呀，TNND全是造谣，不就加了几个按钮几个图标嘛！！
③“闪电杀毒”前面也说了，花哨的垃圾。
④“双引擎杀毒”金山的说法是：国际引擎是AVP的。懂一点杀毒软件的人都知道，双重过滤分析是100%不可能实现的，否则毒霸耗的资源肯定不止那么多，速度也不可能那么快，再说AVP已经可以算是“极耗”的范畴了。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时，不能杀壳，不能杀RAR（指所谓增强版之前），脚本拦截与杀未知病毒极烂，这根本不是AVP的作风，去掉了它们，AVP根本不能称之为AVP。再说AVP风头正盛，哪会干出这种卖引擎的傻事？（不管怎么说，AVP还是有许多值得肯定的地方，这点比毒霸瑞星强多了。）
依我看，有三种可能：
（a）金山只买了一小部分引擎，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒，等于没买。
（b）金山只买了一个老版本的AVP引擎，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒，等于没买。这还是有可能的，因为毒霸老早就在吹它，时至今日，甚至懒得用一个“全新”作修饰。如果真是这样，我倒想给金山提个建议：买一个KV300的引擎，然后就可以号称集成了KV的引擎了……
（c）金山仅仅买了个名号，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒（废话），这就是真的没买了。
这三条说到底就是没买嘛。
⑤压缩格式查杀：别的我没追究，反正金山号称可以杀RAR很久了，但直到推出增强版时才兑现，实在无耻。这个不用多说，大家一试便知。
⑥内存杀毒：前面的评测里讲得很清楚，不用多说，反正很多人都有毒霸报警却发现狂点也清不了毒的经历。不能内存杀毒也罢，金山竟敢再加一句“带毒杀毒技术，无需启动到DOS状态，直接在Windows环境下清除病毒”，真是厚颜无耻。每当我向金山售后服务问起这个问题，人家都抛下一句话：“你到DOS下面去吧”。可你要知道，毒霸DOS版杀不了NTFS呀！
⑦硬盘修复：修复CIH与Opasoft造成的破坏我倒没话说，虽然我没试过，但号称修复Hdbreaker造成的破坏就肯定是胡扯了，实在是不自量力，我甚至怀疑这帮蠢货有没有见过Hdbreaker的威力。如果大家嫌自己的电脑里全是垃圾，也可以试试，反正我是很想在金山的每台电脑里都放上一个Aspack加壳的Hdbreaker，效果决不亚于当年的硬盘炸弹！！！
顺便骂骂网镖：
①作为一个规则过滤式防火墙，规则设定选项是它的灵魂。网镖的规则设定选项直到今天也是最少最不全的，连设置繁琐的瑞星防火墙都比不上，还敢叫“个人专业防火墙”？我宁可用Windows自带的防火墙。
③很多人都知道，新网镖有一个“功能”，可以自动拦截木马并报警。这功能看来似乎有用，但实际上是屁用没有。试想一下，网镖可以准确地报出木马名称，这肯定是人家动用了毒霸的引擎杀出的已知木马。要杀便杀，金山却多此一举，实在无聊至极，是明显的作秀行为。（大家注意，当年网镖是可以单独买的，但你现在则只能买“安全组合装”，明白我的意思了吗？）
④金山网镖几乎是一周升级一次，但相信没有人发现过其中有什么变化，肯定是假升级。惟一的例外就是某次升级后，网镖会对冲击波报警，可我等早就打了补丁，要它作甚？可是这个“内建规则”哪里都没法把它关掉，只好让它产生一堆垃圾日志。
大家如果要用规则过滤式防火墙，那就用天网，试用版也行。如果你不嫌麻烦，那就用BlackICE。不论如何，就是不要用网镖，又花钱又受罪。
3．有了以上几条，金山也仍然不能在众多骗子公司中“出类拔萃”，不过这一条可以改变这一点。
众所周知，毒霸6增强版加强了杀木马能力，号称可以增加查杀15000种木马。可是大家是否想过，这多出来的15000种木马是从哪儿来的？是从地里冒出来的还是从天上掉下来的？显然都不是，金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的上报木马，以便进行这样一次市场炒作。本人这个说法绝非口说无凭，因为我与我的许多朋友都有相关的体会：（其实根本就不用说这么多，金山自己的广告就够了，自己仔细看吧）
①半年多以前，自己在电脑里抓了好几个木马，毒霸杀不出，便去上报。结果金山回E—mail说已有人上报，要我等。我留了个心眼，过了几周便把它们拿出来杀杀，可是毒霸一直不报警。这几个文件我已经弄丢了，但我希望那些给金山上报过木马的人把上报的木马用未升到增强版的毒霸杀杀看，相信结果很多都是一样的。
②我有几个用毒霸的同学，在升到增强版后的那几分钟，电脑竟不约而同地报警说发现木马。由于各种条件的限制，我只能搞到一个样本，不过相信这种情况一定为数不少。大家千万不能上金山的当，像我那几个同学一样，还以为增强版的能力很强呢。
不管怎么说，毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与win.ini,winstart.bat以及system.ini，比民间的“木马分析专家”差了几千倍，不能杀壳更是让木马专杀成为了废物，加上扣押的15000种木马后，病毒库齐全度才达到KV瑞星的水平。
“木马专杀”肯定是一个蓄谋已久的阴谋：全球每天才诞生200种病毒木马，就算它们全是木马，就算它们全部被金山收集到，那金山收集15000种木马也需要2个半月……而现在金山更是把15000改为了20000，所以……当然，金山不会傻到把冰河灰鸽子这些木马扣押的，否则就露馅儿了。
如此毒霸，名为“毒霸”，实为毒王！！！
不得不承认，金山公司在国人心中的地位的确很高，但那仅仅是因为人家最早出现，而这并不能说明人家的产品好、信誉好，那只是国人的想当然。在雷军上台的这几年，金山广告的确做得很火，但软件的技术几乎没有长进。这就不止网镖毒霸了：金山词霸2005仅仅是2003与2002版换了个界面与发音库，词条中的错误却几乎一个也没改；金山快译虽号称智能引擎，但翻译效果却一直未超过Office2003，而且是差很远，几乎只相当于把一堆词拼揍起来，据网友说，金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀，人家就是翻译成“柜台罢工”，我都不会介意的，可是“Counter”怎么跟计算机扯上关联了？至于WPS，我认为也没什么好说的：WPS花哨的功能越来越多，可是时至今日，WPS仍未实现电子表格中数据同步变换的功能，（即改一个数据，相关数据自动完成更改，这个功能是必备的）仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现，这很是说明问题。(最近科技部作办公软件评测,WPS更是远远落在永中Office的后面)
上面的这几个说法并非本人首创，它们全都是网上已有的说法。（杀毒软件以外的我都没那么懂）综合起来，大家便可轻易看出金山的底细。依我看，金山唯一拿得出手的恐怕只有金山游侠了。
当今骗子公司虽多，但也没有任何一个有金山这样明目张胆地坑人的，尤其是“木马专杀”一事，炒作疯狂，全国媒体一齐尽献媚词，其设局构思更是伟大到了史无前例的地步，那个大名鼎鼎的网E拍又算哪根葱？知道有人会想说当年江民的硬盘炸弹事件，那的确也是一个非常恶劣的行为，欠扁！但那毕竟只是针对盗版用户的行为，（我没说这是合理的）而金山则是拿众多信赖金山的正版用户开刀，论动机金山显然更加无耻。硬盘炸弹事件早已被公布于世，金山的“木马专杀”事件更应被公开在光天化日之下！！！
但是，大家不要忘了，以上一切的一切，如果没有IT媒体的撑腰，都是不会发生的。大家不要把当今的媒体看得多神圣，多有光彩。人家不是搞舆论监督的，搞舆论监督的也不懂电脑。当今的IT媒体在面对谎言时，从来都没有打过头阵，从来都只是论坛的跟风者：3721、网E拍，它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话，很多媒体更是直等到3721推出新版上网助手才出场，趁此机会做“评测”说3721根本没卸载方面的问题。（鬼知道这年头他们收了多少金山瑞星的广告费？）甚至听一些老网民说，当年有媒体对江民硬盘炸弹一类的重大事件提都不提……“多说好话，少说坏话”，这无形中已成为了国内IT媒体的做事准则。
当金山瑞星“论战”之时，他们几乎是一言不发。不要以为这是什么“清高”或是“公正”，在金山瑞星无数漏洞百出，毫无水平的“论词”面前，真正丢脸的应该是他们，这种无作为对于一个真正的媒体来说就是同流合污。这些年头，他们又不分青红皂白地给了毒霸瑞星AVP及Norton等多少虚名妄词，多少沾着读者血汗钱的“编辑选择奖”。试问天下谁是真枪手？他们才是！
上文中有许多发现其实并不是我的原创，像瑞星漏杀问题在有些论坛上早已有人提出，可是时至今日，仍没有媒体敢提上半个字，足以证明他们的懦弱与“敬业”。本文中可能有许多东西你闻所未闻，也正是出于他们的“消息封锁”。比如说吧，当那些黑客杂志与论坛整天在兴高采烈地介绍与讨论各种加壳技术之时，他们也兴高采烈地作着几乎只看病毒库的“评测”……真不害臊！
看看他们干了些什么吧，整天仅仅是唱唱瑞星给它们的那首老歌：“半个月以来，病毒A和病毒B这两个病毒值得注意。病毒A试图/会/除了会××××。病毒B（则）试图/会/除了会××××。可以上网的用户推荐采用在线杀毒方式，快速查杀这些病毒，也可以使用单机杀毒软件2004版，局域网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级，遇紧急病毒第一时间提供解决方案，每周升级的新病毒总数不少于400个！截止到×月底瑞星杀毒软件将升级至××.××版本，望广大用户及时升级。如遇病毒，请拨打反病毒急救电话：010—82678800或使用瑞星在线杀毒：http：//online.rising.com.cn”这堆破玩意儿对我们有何用?
毒霸瑞星的地位并不是真刀真枪地干出来的，它们靠的是无尽的谎言：媒体的谎言，公安部（本人只指搞“评测”的某些吃里扒外的卖国贼）的谎言，它们自己的谎言……这早已超出了正常的市场运作的范畴，颇有中国传统的“官官相护”之形。依靠这些谎言，昔日的小混混今天却成了龙头老大，可技术并不见得有何长进。在真正科学的评测中，它们自会原形毕露。这正是看似简单的杀毒软件背后不可告人的黑幕。杀毒软件谁强谁弱本是件小事儿，但这些却是中国永世的耻辱！！！！！！！

说起反病毒引擎，在全球计算器病毒史上，曾经出现过两个比较著名的人物。
　　一是俄罗斯的Eugene Kaspersky。1989年，Eugene Kaspersky开始研究计算器病毒现象。从1991年到1997年，他在俄罗斯大型计算器公司「KAMI」的信息技术中心，带领一批助手研发出了 AVP反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是创始人之一。2000年11月，AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算器反病毒研究员协会(CARO)的成员，该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库，一直以其严谨的结构、彻底的查杀能力为业界称道。

　　另一位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企业，后来被McAfee兼并，成为最为庞大的安全托拉斯NAI的一部分。初期，McAfee与欧洲的一些杀毒软件公司经常兴起口舌之争，但是自身杀毒引擎并不出色，于是McAfee停用自己的杀毒引擎，转而使用收购来Doctor Soloman产品的引擎。

　　AVP虽然是技术的巅峰之作，但由于长时间懒于开发市场，很长时间里用户并不多，导致部分的开发人员流失。俄罗斯的另一家反病毒产品Dr.Web，与 AVP有很深的渊源，而Symantec NAV的主力开发人员里面，也可见Eugene旧部的身影，还有人跳槽去了McAfee，但这始终也改变不了AVP是全球顶级反病毒引擎的事实。

　　但由于历史的渊源，Eugene Kaspersky最终还是决定淡化AVP(AntiVirus Tookit Pro)这个名字，而代之以KAV(Kaspersky Anti-Virus)。

　　而在中国，从90年代开始至今的杀毒软件市场，KILL一统天下的结局被终结后，瑞星、江民、金山、交大铭泰等国内杀毒软件厂商逐渐把持了大部分市场。疯狂降价、媒体造势、诉讼官司这类已经被国外市场认为过时的交锋，在中国一幕又一幕的上演。现在，更是有外国厂商想进来，中国厂商想出去，两者之间也开始纠缠着牵扯不清的「关系」。

　　枪打出头鸟　金山引爆杀毒引擎涉外话题

　　从2002年开始，外界就盛传「金山公司在2000年9月购买了俄罗斯Dr.Web引擎的授权，当时只签了一年使用权，于2001年9月到期」，后来《21世纪经济报道》的一则报道《金山毒霸涉嫌盗版杀毒引擎》，使这一问题公开化。

　　金山软件股份有限公司(以下简称「金山」)的两大竞争对手北京瑞星科技股份有限公司(以下简称「瑞星」)和江民新科技术有限公司(以下简称「江民科技」)两家公司率先站出来说话，声明与此报道事件无关。但报道中多次出现「瑞星」字样使金山公司再难平静，金山对瑞星积累许久的新仇旧恨也随之爆发。

　　瑞星公司的证据来自俄罗斯Dr.Web方面的一份传真件，「金山杀毒引擎的使用权确实是2001年9月份到期」，而金山公司一直以商业秘密为由拒绝向外界澄清，两家官司进展出现活结，一切取决于俄罗斯Dr.Web的态度。

　　关于此事，出现了不同后续版本，其中一个是：因为杀毒引擎事件的曝光，金山公司高层大为恼火，派出2002年6月刚上任的主管技术副总裁王涛，与营销副总裁王峰一起同俄罗斯方面进行交涉，准备续签第二年的合约。

　　金山公司一直怀疑瑞星公司与俄罗斯方面联手施加压力，所以表现得很谨慎，而俄罗斯方面也咬定价码不松口，从2003年初开始，互相谈了很长一段时间。近期，来自金山内部的消息称，离最后续签的日期已经不远。

　　直到现在，金山公司毒霸技术总监陈飞舟依旧使用当初签约时允许的「中俄全球病毒监测网中方负责人」头衔，经历过「蓝色安全革命」，并将杀毒软件价格拉到谷底的金山毒霸仍然在市场销售。

　　「我们从来没有非法使用，」金山公司营销副总裁王峰一口否定外界说法，「2000年底开始采用双引擎，是出于优化杀毒技术考虑，被人说抄袭是因为太受关注，金山是惟一承认合法使用国外引擎的公司。」

　　其实，金山毒霸曾研发过自己的引擎，始于1997年，当时有十几个人，为了稳妥起见，一直到1999年4月的时候才拿出测试版本。从1999年4月到2000年底，金山一直以free的方式发布毒霸测试版，2000年11月底市场上开始销售毒霸正式版。

　　2000年至2001年间，WPS的研发成本在2000多万，卖出去的产品回款也不利。那时候，金山公司WPS研发组里面都是精英，而且想把毒霸研发负责人陈飞舟调去WPS组。可是陈飞舟离开一段时间之后，毒霸开始一蹶不振……毒霸的杀毒引擎由陈飞舟主写，重写了几次。

　　金山明白，逾越十几年的技术积累不是很容易的事情，包括样本的积累，都是一个过程，更不要说是虚拟机、大量病毒特征的提取和清除模块等等。完全自主研发的杀毒引擎难免和国外产品有一定的差距，金山为此请到了对国外反病毒产品剖析得非常透彻的刘杰担任技术顾问。这本来一直是金山讳莫如深的，但由于传闻来自金山财务部的一个文件泄漏事件，相关合同文件被网上公开。根据这些资料看，金山得到了刘杰积累的病毒样本，和一些其它方面的支持。

　　而在1999年到2000年之间，金山公司在市场调查时发现，很多用户都使用两套杀毒软件，其中包括国际流行的杀毒软件诺顿、PC-cillin。最后，由金山公司总裁雷军拍板，「使用两个杀毒引擎」。

　　在选择国外杀毒引擎期间，金山公司曾经与很多国外厂商进行过谈判，最早与趋势科技签下协议，在初期版本里确实曾加入趋势产品PC-cillin的杀毒引擎。

　　当时，金山公司一直宣传自主研发，强调知识产权，权衡考虑，雪藏了这段历史。而趋势也对此非常低调，包括自己在中国境内的代理乐亿阳都没有告知。

　　但当时一个著名的中国cracker SAC的出现，打乱了金山的部署。SAC经过对比分析，得出了金山抄袭趋势的结论，这让金山百口难辨，并导致此事被趋势在中国的独家代理商乐亿阳知晓。「凭什么中国出现两个趋势引擎？」乐亿阳频频向趋势施压，加速了金山与趋势初步联姻的失败。最后，金山公司改用Dr.Web的杀毒引擎，当然Dr.Web 的部分技术也来源于AVP。

　　金山公司对外宣称的杀毒双引擎属于非叠加式引擎。叠加式引擎的杀毒过程较慢，例如说杀450个文件病毒，可能报有900个，因为两个引擎都查一遍。金山是非叠加式引擎，金山引擎与Dr.Web两者互补，毒霸的整体杀毒过程比其它双引擎软件要快。这也使金山在病毒库的自由定义使用上下了功夫，这就是金山毒霸2003版本「闪电杀毒」的秘密所在。

　　郑州帮进驻　江民科技涉嫌使用AVP引擎

　　前段时间风传业界称为「王老师」的王江民控股北京中关村所有的肯德基快餐店，记者调查，其实王老师更大的精力已投入房地产行业，他也并不卖肯德基食品，只是肯德基一直使用王江民出租的房产。

　　虽然王江民已经「淡出江湖」，但是据知情人讲，其实王并没有放权，江民公司大小事情都要通过王江民同意，连申请加班费用也需经他签字。王江民每天9点钟上班，晚上5点半公司下班后，他还在，通常晚一小时下班，整个江民公司的运营还在他掌控之中，江民公司还是属于「一个人的公司」。

　　据了解，王老师其实已经很久不解病毒，最近的一次是几年前曾解杀过CIH病毒。

　　「江民的那张软盘是纯粹的国货，」一位熟识江民的人士说，「但江民公司在Windows下开发的一些杀毒软件，包括网络版、单机都有AVP的影子。」

　　属于江民自己的产品，也就是硕大的KV产品包装盒中那张标记有「A：」字样的KV杀毒软盘，那是KV老版本，是由王江民亲自研制的。但是，现在很少有人用KV软盘杀毒，除非是做一些数据修复方面的事情。

　　江民现在的杀毒引擎，由原行天98的开发人刘杰、王磊、何公道编写。而很久以前，业内就盛传，行天98是利用AVP公司杀毒引擎产品的漏洞，将AVP杀毒引擎拿出来，把病毒库提炼升级，再运用到江民杀毒引擎中。

　　刘杰、王磊、何公道都是来自河南郑州，是当年中国通用软件历史上赫赫有名的郑州帮成员，刘杰在未进江民公司之前，曾经在金山公司当过一年的技术顾问。另两人王磊、何公道很早以前就为江民公司研发了KV3000；后来由现任江民总经理的常进喜，说服王江民亲自出面，邀请刘杰加盟，刘杰现在是江民公司总工程师。

　　很久以前，AVP杀毒引擎「解决办法」在法国被解密，此后一直被许多国家的杀毒软件「借用」，使得Kaspersky实验室忙不迭地到处打击盗版。同时，随着AVP产品被盗用得越来越频繁，AVP近亲产品的「市场占有率」空前高涨。

　　2002年，Kaspersky Labs的总经理，Eugene Kaspersky的妻子拜访了江民公司，具体内容不得而知，但也许只是一次礼节性的访问，当时她正在天津病毒检测中心参加一次会议。

　　不过传闻，AVP刚进入中国的时候，江民公司开始有点「慌」，至少修改了病毒的命名方法。

　　刚刚经历过人事调整的江民公司，从事病毒研发的只剩下十几人的研发队伍，据称，分任研发部正副经理的王磊和何公道事必躬亲。刘、王、何的组合，技术上确实够灿烂，但对走出个人英雄主义时代，已经产业化作业的反病毒领域来说，江民的明星引进战略还有待品评。

　　记者还了解到关于江民使用杀毒引擎的另一个版本，「刘杰曾经与AVP一起进行过研发合作，AVP部分病毒记录由刘杰添加，AVP也曾私下里给过刘杰一定时期的授权」。

　　单单就江民KV现有产品来看，并不是简单的对AVP的2进制模块移植，库也有一定不同。只有两种可能，要么是在借鉴的基础上，重写了大量模块，要么可能像传闻所说获得了源码级授权，可能是默许下的借鉴，或者是私下的合作。

　　界面研发学金山　韩国安博士托起东方卫士

　　长久以来，在公司发展及战略规划方面，交大铭泰软件有限公司(以下简称「铭泰」)一直很难摆脱跟跑金山的模式。

　　有人开玩笑说，金山在软件市场的四面征讨，和铭泰的不断紧跟「骚扰」，是中国通用软件产业的特色景观。

　　有人说，「金山不需要市场调研，因为调研了也不知道该开发啥，啥火就做啥，争取把别人挤垮；铭泰也不需要市场调研，也不知道该做啥，干脆看着金山做啥就做啥」，「金山做词典，铭泰做词典；金山做快译，铭泰做快译；金山做病毒，铭泰做病毒」，铭泰杀毒产品所体现的多面性，也许是对铭泰产品发展现状的最好说明。

　　在很多业界人士眼里，铭泰一直没有给人留下大公司的印象，但其运作能力却毋庸置疑。2003年4月，铭泰总裁何恩培获得中国十大软件领军人物，与微软、甲骨文公司排在一起；初春，铭泰与微软两家公司的员工扛着铁锹奔赴北京郊区植树，与东方卫士险些胎死腹中的危情时刻相比，走在队伍前面的何恩培，此刻要意气风发得多。

　　此时，单机版杀毒引擎已换成来自韩国安博士公司的授权，交大铭泰杀毒软件产品东方卫士网络版也悄然进入市场，据说与单机版不同，网络版使用的是西班牙熊猫软件公司的引擎。

　　据传闻，2001年11月，刚刚进入杀毒市场的铭泰收购上海创源，东方卫士的很多技术是在创源安全之星基础上的升级研发。消息人士进一步透露，虽然上海创源曾收购因高层管理人员离婚而分家的南京信源公司，并购买了VRV2000防病毒软件的知识产权，但是创源安全之星仍然有很多技术采用了国外AVP杀毒引擎。

　　该人士举例说，东方卫士最早的版本中，继承了AVP产品某个早期版本中的瑕疵，连部分误报现象都一样。对此铭泰当然矢口否认。

　　「不可能，我们自己有很强的研发实力，不一定要国外的引擎才能生存，实际上东方卫士还是双引擎，」交大铭泰公司副总裁，信息安全事业部总经理朴圣根说，「跟其它公司不一样，铭泰与韩国安博士的合作是考虑到未来长远发展。」

　　当被问及近期安博士杀毒软件进入中国，并由上海朝华软件代理其产品这一敏感的问题时，朴圣根说，安博士进入中国与铭泰本质上没有冲突，铭泰主推自有品牌「东方卫士」，对于安博士杀毒引擎的使用，也并不是简单汉化与抄袭，而是技术深层次的合作，「对外不推广安博士品牌，对外界也很少宣传安博士。」

　　朴圣根表示，东方卫士刚推出市场的时候并没有用国外的杀毒引擎，后来考虑到进军东南亚市场，而国内病毒和国外病毒的机理不太一样，选择国外杀毒引擎更适合国外环境，所以在其新产品中采用双引擎技术。

　　他认为，朝华软件实际是帮助韩国安博士公司推广品牌，不同于铭泰和安博士之间的合作方式，朝华软件完全使用韩国的技术，相当于安博士产品的汉化版。

　　朴圣根的回答，令东方卫士的引擎迷雾更加扑朔迷离。

　　东方卫士2002年刚上市时，有网友将其定为「金山毒霸(东方卫士版)」，究其原因是软件界面与金山毒霸非常相似，连某些具体功能的名称都有所相同。

　　一位了解东方卫士研发经历的朋友向记者透露，东方卫士单机版和金山没有关系，说「东方卫士是金山毒霸翻版」是不正确的，金山的界面借鉴了国外很多出色的软件，而且金山本身有很强的美工力量，所以设计得很漂亮，大家向学习金山艺术化界面风格也无可厚非。

　　这个知情者还透露，铭泰之所以选择韩国安博士，并不是因为安博士的技术好，而是因为其授权价格便宜，与其继续冒风险「抄袭」，不如选择花钱使用有国外厂家授权的杀毒引擎。


　　国产软件何处去　各方坦言知识产权危机

　　熊猫软件(中国)有限公司(以下简称「熊猫」)总经理何支涛接受记者采访时说，熊猫并没有将杀毒引擎正式授权给铭泰网络版使用，虽然先前签过一纸协议，但对方相关款项一直没有交付，「如果铭泰新版本里含有熊猫软件杀毒引擎，那是一定是盗用。」

　　何支涛解释说，熊猫公司并没有对交大铭泰进行任何引擎授权，而是仅仅将熊猫网络版产品中的一款　「PPS」的网关防毒产品类似OEM给交大铭泰，并且授权有日期限制，产品里还包含熊猫LOGO及公司标识。他表示，因该项技术并不属于熊猫软件的核心产品，所以有偿授权给其它厂家使用对熊猫软件市场销售没有太大影响。

　　他认为，国内软件企业普遍使用国外杀毒引擎这种现象，与国内企业自身研发水平不高有关系。杀毒软件技术研发难度大，一是需要技术积累，二是需要技术团队建设。如果纯粹使用国外技术，可持续发展性不够。

　　「并不是说国内企业没有完全成功的可能，」何支涛说，「但是，难度、风险及不可控因素会大大增加，绝对不建议未经授权使用杀毒引擎，应该要反对。」

　　瑞星科技股份有限公司研发副总裁谈文明认为，如果确实有某些国内厂商盗用国外杀毒引擎的话，这样做是非常可耻的行为。特别是在中国已经加入WTO、知识产权的问题已经引起全社会关注的情况下，发生这样的事情是让人震惊和痛心的。知识产权的危机在反病毒软件行业的确是比较严重的。「如果侵权盗版的事情被放任下去，厂商们都靠盗版来打价格战的话，有可能整个行业都被拖死。」

　　当问及是否瑞星有使用国外病毒引擎现象时，谈文明称，瑞星在研发上的投入使其拥有了足以抗衡国际同行的反病毒和信息安全核心技术，「外国人能做好的中国人也能够做好，用不着去盗取。」

　　他认为，从国外成功的软件企业发展来看，普遍规律是一样的，国内企业应该寻找恰当的产品和市场方向，脚踏实地，做好技术开发工作，要舍得投入资金和人员。

　　「国内其它公司使用AVP引擎的事情，如果在我们引入产品前就发生，那是相关国内公司与软件著作权人的事情，需要总部与其进行交涉，」北京乐亿阳科技有限公司副总经理蔡枢说，「如果在乐亿阳将AVP产品引入中国后再发生这样的事情，乐亿阳将一追到底，现在国内已有完备和强大的法律后盾。」

　　蔡枢介绍说，乐亿阳与趋势产品的销售业务已经「断开」很久了，但国内使用趋势产品的一些骨干性金融、电力系统和其它行业的用户，仍坚持请乐亿阳提供专业的反病毒服务。现在乐亿阳独家代理AVP产品，俄文名Kaspersky Anti-Virus，在全球注册的中文名称叫「卡巴斯基」，乐亿阳与俄罗斯卡巴斯基实验室之间确认的合作关系是紧密和牢固的。

　　俄罗斯杀毒软件之所以非常强大，是因为俄罗斯有国际顶尖的数理科技领域的特殊人才及优良的传统，这些专业人才的培养不是三年两载就能成功的。

　　他表示，乐亿阳公司与俄罗斯卡巴斯基实验室是合作伙伴，乐亿阳销售AVP的产品，向国内的AVP用户提供优质和专业的服务，还将全力维护AVP产品的所有利益，包括著作权、版权，这已受到中国政府和中国法律的保护，各地的版权局也都非常重视、权力在握。

　　他进一步称，中国的网络安全产品的市场有很大的发展空间，希望国内外企业携手共进。对中国出现国际领先的、拥有独立知识产权的杀毒软件产品还要有耐心，还期待更好的保护知识产权的环境、更强的基础数理科学研究和不断培养出越来越优秀的专门人才。

　　全球第一个包级别病毒过滤引擎AV Leach的主要设计者，Antiy Labs总工程师赵志刚认为，中国很多信息安全领域与国外相比，起步都比较晚，如果想要赶超国外水平，闭门造车是不行的，必需学习、分析和借鉴，其中必然包括一些逆向工程的手段。思路是不受法律保护的，通过逆向工程分析机理，之后自行编码实现，这与抄袭是不同的。而通过合作、引进的方式直接提高产品的能力，也是一条很好的路线，只要不是对2进制模块的直接盗用，都是正常的行为。

　　而Antiy Labs的资深系统程序员李柏松则指出，AVP很容易被「引用」的原因，并非AVP存在杀毒引擎漏洞，而是因为AVP整个引擎和库与主程序是完全分离的，而且是由数千个obj链接文件巧妙构成的，因此其它人在编译程序时也可以将AVP的obj文件编译进来，这不叫漏洞，只能说明AVP的结构化非常好，所以里面的静态模块可以被拆出来复用。

　　北京市中孚律师事务所郑英华律师接受ChinaByte记者采访时说，从法律方面讲，「国内企业未经授权而盗用国外杀毒引擎」涉及国际私法，应依据我国现行《著作权法》、《计算器软件保护条例》及我国政府参加的多边国际条约(尤其是WTO相关议定书) 和与他国政府订立的双边条约规定处理。

　　从总体上讲，知识产权危机不仅在中国软件业是一个严重问题，而且在中国的其它行为诸如高清晰度彩电、DVD译码技术等方面均存在相当程度的危机。

　　从技术的角度看，如果中国的杀毒软件在核心技术方面缺少自己的自主知识产权，这就使得中国杀毒技术的发展受制于人。

　　可从两方面看「国内企业未经授权而盗用国外杀毒引擎」这件事情：

　　第一、在国外杀毒引擎不享有著作权的情况下，中国国内企业未经授权而盗用国外杀毒引擎不属侵权行为，因国外对计算器软件的保护历史较国内长，所以这种情况为数很少。

　　第二、在国外杀毒引擎享有著作权(尤其是在中国国内享有著作权)的情况下，中国国内企业未经授权而盗用国外杀毒引擎属侵权行为，情节严重时，相关责任者将承担刑事责任。

　　郑律师认为，中国企业与国外企业在知识产权法律官司中还处于弱势，一方面在众多领域中国企业没有自己的知识产权，这就使得中国企业先天不足；另一方面法律意识不强，不注意保护自己的知识产权，诸如进行著作权登记以及采取司法救济等。

　　避免版权纠纷的最主要的途径就是获得版权，一方面要自主开发，拥有自己的知识产权；另一方面也可以购买版权。订立合理的版权许可合同获取使用权也是权宜之计。

　　而从法律意义上讲，知识产权这把达摩克利斯之剑始终高悬，严重制约着中国软件业的发展。为避免留下知识产权纠纷的隐患，无论谜团后面的隐情如何，国内企业都必须有因应之道。

看得我这卖Symantec的汗颜

不过平心而论,Symantec的杀毒能力,比它的防毒能力差好多

[ Last edited by buffoon on 2005-6-10 at 17:15 ]

加壳后是杀不出
但是一运行在内存中就是赤裸裸的
一样能杀
以前ＣＲＡＣＫ的时候就是这样脱壳，从内存里ＤＵＭＰ出原来的代码
我早不用加壳来躲避杀毒软件了
现在用的都是ＣＣＬ特征码定位
改掉杀毒软件认识的特征码，它就认不出了
我想这不关杀毒软件的事吧

[ Last edited by 肝肠具断 on 2005-6-10 at 19:25 ]

搞不清楚这些防病毒方面的是非恩怨，谁是谁非？呵呵