F-Secure 广为流传的谬误

astorm

作者：AStorm，Nov 5th，2008

鉴于 F－Secure 在国内知名度不高，网上流传了很多关于它的不实传言和一些错误理解，有褒有贬，特整理如下，希望能让大家能对 FS 有个正确清醒的认识。

不到之处，请指正。

一、“排名第一”的“四引擎”杀软 —— 错漏百出的介绍

很多 Fans 总喜欢把自己喜欢的杀软/防火墙捧为“世界第一”，FS 的 Fans 也不能免俗，且看网络上广为流传的关于FS的“简介”：

“来自芬兰的杀毒软件, 集合 AVP,LIBRA,ORION,DRACO 四套杀毒引擎,其中一个就是Kaspersky的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比Kaspersky要好，对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一。该软件采用分布式防火墙技术。f-secure 曾经超过Kaspersky，排名第一，但后来Kaspersky增加了扩展病毒库，反超f-secure 。鉴于普通用户用不到扩展病毒库，因此f-secure还是普通用户很不错的一个选择...”（摘自百度百科http://baike.baidu.com/view/693902.htm）

这段介绍有很多种版本，其中词句略有差别，但大体差不多。

也不知何人何年何月写的介绍，被反复转载，辗转至今，已经过时甚至可以说是错误连篇——不幸的是，现在仍可以在很多网站和论坛上看到这段“介绍”（其中略有增删）。

1、某年某地某项测试的检测率第一。

首先来解读“排名第一”；这个所谓“第一”的真相是， 2003 年年底 PC Utilites 杂志根据某项病毒样本的测试（其实这种“测试”我们也可以做，而且很多人热衷于此），该项测试的结果是 FS 查出的病毒数量最多，于是该杂志把 FS 评为了当年第一个推荐的产品。但是经过外边一传，宣传者特意隐去了年份，有的干脆省掉杂志名称，直接加上了个“世界排名第一”的称号。

说到这想起了“2008年世界排名第一”、获“金奖”的杀软 BitDefender ，其称号来源更是离谱，真正的原因是：某个网站（toptenreviews）根据“易用性”、“价格”等方面得出的综合排名第一，认为 BitDefender 好用、便宜、分量足，首度推荐，与检测率甚至没有多大关系。但是外面一传，就成了又一个“世界第一的杀软了”了。（这世界第一还真多）

平心而论，FS 和 BD 都不错；不过造谣者可耻。

实际上 FS 官方从未说过什么世界第一，甚至自我介绍中连“比同类产品更优越”类似的话都难找到。FS 一向是自己低调过了头，不过最近从它的 DeepGuard 2.0 介绍中这种低调的作风有了一点点“改进”，此处略过不提。

2、“集合 AVP,LIBRA,ORION,DRACO 四套杀毒引擎”

“四引擎杀毒软件 F－Secure”的说法流传相当广泛，不仅包括网上很多地方，甚至论坛FS区以前的置顶帖，和现在国外区不少提及FS的帖子，都异口同声的说，FS是“四引擎杀软”。那么FS究竟是不是四引擎？或者说“曾经”是四引擎？让我们来看看：

根据已经神秘失踪的V，写的旧帖，FS各版本的引擎如下：
V1～V3 ，DF'F-Prot Pro
    V4 ，FS'F-Prot + AVP
    V5 ，Libra + AVP + Orion
    V6 ，Libra + AVP + Orion + Draco + Blacklight
    V7 ，Libra + AVP + Orion + Draco + Blacklight +Gemini + Pegasus
    V8 ，Hydra + AVP + Blacklight + Gemini + Pegasus

可见历史上 FS 的主流产品从未有过四引擎的产品存在！（FS产品众多，这里只说主流产品）唯一和那个所谓的“介绍”接近的，就是 FS6 了，但信口开河的“介绍”还是漏掉了一个 Blacklight 引擎。

可见，“FS采用XX四引擎”这种说法并不准确。何况现在FS也不用这几个了。所以以后再转帖 FS 的介绍，拜托不要再写什么“四引擎杀软 FS”之类的话了。

3、“f-secure 曾经超过Kaspersky，排名第一，但后来Kaspersky增加了扩展病毒库，反超f-secure”

“第一”已经在上面驳斥了，说说后面那段。

首先，FS 7 开始，已经有卡巴扩展库了；其次，卡巴有时检测率超过（说的是“有时”）FS，并不是因为它的扩展库，而是因为它的启发、解壳等技术。

4、“鉴于普通用户用不到扩展病毒库”

卡巴当年（说的是“当年”）为人所诟病的地方之一就是对间谍、恶意、广告软件不敏感，所以后来它才去开发它的扩展库；FS也因为当时这个原因，去寻求与 Lavasoft 的合作，增加了一个 OEM Lavasoft Anti－Spyware 的 Draco 引擎。
由于间谍广告、黑客工具、盗号程序等的广泛传播和危害，在某些时候，恐怕“普通用户”更需要扩展病毒库，呵呵。

二、“F－Secure 采用卡巴 4.5/6.0 引擎”

除了那段错漏百出的介绍，FS 采用卡巴 XX 版引擎是我听到最多的传言之一了。

当问及如何得知是什么版本时，有的说是某某评测网站说的，有的说是某某论坛某位“权威人士”说过的；有位“专家”甚至信誓旦旦的“举证”（在繁体论坛和简体论坛都见过，名字就不提了），自己曾亲自验证过引擎文件的MD5还是SHA之类的，FS和卡巴某版本完全一模一样云云，哈哈。

那么事实是什么呢？我们来看看现实的几个情况：
1、FS 的 AVP 引擎版本号怀疑是自编的，与卡巴自己的引擎版本号并不一一对应。
2、FS 的 AVP 引擎是修改过、部分（非完全）的引擎，有可能是卡巴改好给FS的，也可能是卡巴授权FS让它自己改的。这点和早前的 AVK、eScan 并不相同。
3、自 FSAV  4.0 之后，FS 再无官方方面的声明，称它采用的卡巴具体的哪一版的引擎。

由此可见，某杂志和某些专家说的并不准确；官方既然三缄其口，又没有人真正有能力从技术的角度去分析它，FS到底采用什么引擎，也只有鬼才知道了。说不定甚至连 FS 发言人都不知道自己引擎究竟算是卡巴哪一版本。总之，这也属于 FS 十大谜题之一了。

至于比较校验码什么的可谓是睁眼说胡话的典范之一 —— 既然是修改过的版本，文件都不一样了，还怎么 MD5 “一模一样”啊？早知道官方的“专家”不可信，没想到民间的“专家”也那么不靠谱，呵呵。

顺便说一句题外话，我不久前还听过有人介绍说“AVK 2009 采用了卡巴和XX的引擎，非常的强悍”，总觉得这个世界太疯狂了。

三、F-Secure Internet Security 的“算号器”和“注册版”

有个奇怪的现象，这里的FS用户，好像都是支持 FSCS 多些；而其它论坛和随便网络一搜，没听过 FSCS 只知道 FSIS 的情况很普遍。到处有人问 FSIS 如何破解、破解能用多长啊、能不能正常升级之类的，听得耳朵都起茧。

网上也经常有人贴出一些 FSIS200X “注册版”、“破解版”之类的。接着有人到处转帖，贴里总有人重复上面一段的话题，耳朵再度起茧。

事实上，目前没有任何算号器可以算出 FSIS 真正可用的号。这些“算号器”算出的号只能用于安装，无法在线升级。而用破解文件覆盖的破解版，大部分还是无法在线更新。

“大部分”的意思是不是说还有小部分可以在线更新？是。那 FSIS 的真正破解是不是还有希望？我的回答是：希望渺茫。

来看看“小部分”能在线更新的原理，原理就是：前段时间德国有家网站可以申请3个月的试用Key（之前有6个月，后来改为3个月，现在一天也不能用了），有人就把输入试用 Key 并验证通过的 FSIS 的相关文件做成破解补丁，来宣称自己的“完美破解”；实际上Key到期后一样不能升级；而且这么麻烦倒不如直接把已不是什么秘密的通用试用号让别人输入验证升级，还搞什么“完美破解”来欺骗大众嘛？

为什么 FSIS 这么难破解？原因就是 FSIS 要通过网络来验证 Key 的有效性。所以算号器和破解都不好使，能用而不能在线升级的杀毒软件，又有什么用呢？拿到真正可用的 Key 才是关键。

那有没有什么办法能拿到可用的 Key ？前面说过了，有时候 FS 会和某些商家举办一些活动，放出全球统一的短时间的试用号；不过现在这活动没有了。而且 FS 不象某些安全厂商那样，故意泄露一些 Key 出来，然后封掉，又泄露一些出来..如此反复折腾来提高用户关注度和知名度。（商业行为，可以理解。不排除FS将来也会这么无耻的可能性）

还有一种方法就是某人告诉我的，大家都知道FS有一种测试版叫ISTP，可以用邮箱申请6个月的试用号；用修改注册表的办法把 FSIS 的升级服务器指向 ISTP，然后输入申请到的测试号可以通过FS的网络验证并能在线升级。并说 FS 想封这种办法很简单，如果泄露出去将来很难不被封掉。不幸被他言中，果然不久就有人发现并公布了这种方法，这就是大家的熟知的“偷鸡法”，FS也如预言般终止了申请 ISTP 的试用号（不过我相信将来还是要开放的）。

目前来说，要想拿到真正可用的升级号，只有期待买了正版的好心人“不小心”泄露出来了。但我认为希望渺茫，别人花钱的东西，为什么要给你用呢？而且用多了他也用不了了。毕竟 FSIS 不象企业的 Key ，可以千千万万人用同一个 Key。

剩下一个可能，就是入侵 FS 的网站，把算号器算的号统统加入 FS 在线验证的数据库去，HoHo。

四、“FS 的企业版就是 F-Secure Client Security”

既然 FSIS 破解如此费劲，为什么不使用不需要破解的企业版本？

很多人的回答令人啼笑皆非，“个人就应该用个人版，企业版是企业用的”，哈哈。不过这种想当然的有趣回答不止存在于FS，还存在于其它杀软、其它软件，以及操作系统。懒得去回应了，爱用什么用什么吧。

来说说 FS 的企业版。

常有新手问，“FS企业版是什么？”于是高手们就回答他，“FS的企业版就是FSCS”

但是告诉大家，这个回答是错的！来看看 FS 的版本：

FS的产品众多，除了与ISP合作捆绑之外，FS的产品主要分三大类：家庭用户、小型商业用户、大型企业用户。FS的企业版是个套装，包括了以下产品：
Products included in F-Secure Anti-Virus Enterprise Suite:
F-Secure Client Security
F-Secure Anti-Virus for Windows Workstations
F-Secure Anti-Virus for Citrix Servers
F-Secure Internet Gatekeeper
F-Secure Anti-Virus for Microsoft Exchange
F-Secure Anti-Virus for MIMEsweeper
F-Secure Linux Server Security
F-Secure Linux Client Security
F-Secure Anti-Virus for Windows Servers
F-Secure Internet Gatekeeper for Linux
F-Secure Spam Control for MS Exchange
F-Secure Spam Control for Internet Gatekeeper
F-Secure Policy Manager

简而言之，Client Security（客户端） 、Workstations（工作站）、Servers（服务器）这三个常见的版本都属于企业版套装之一；与其它杀软不同的是，FS目前并没有一款单独的杀软称为“企业版”。说“FS 企业版就是 FSCS”和“欧洲就是芬兰”一样不靠谱。同样，“FS 家庭版就是 FSIS”也是不准确的说法。

与 FS 企业版相关的谣传还有几个，节选如下：

1、“企业版的查杀率不如个人版”

遗憾的是，这种论断只适用于某些杀软，对于FS并不适用。同一代产品的企业套装中的 FSCS 和 FSIS 查杀率并无区别。FSIS 只不过比 FSCS 多了一个无关查杀率、只用来控制家长的“家长控制”模块。^_^

2、“工作站/服务器版是 FS 最好的版本”

恰恰相反，工作站/服务器版是FS功能最少的版本，只有简单的防病毒间谍模块，少了FS的重头戏“系统控制”，至于“网络流量扫描”、“邮件扫描”、“防火墙”一律没有。

说到防火墙，想起另一个传言：

五、“FS 的防火墙根本不行”

很多人见惯了其它杀软所做的简易防火墙效果一般，由此推论出 FS 的防火墙差劲，不如另装个“专业”点的单独防火墙等等。

其实装什么防火墙、如何设置是个见仁见智的问题；我想说的是，很多 FS 用户并不会设置自己的防火墙，只会在“家庭模式”和“办公模式”之间选来选去，规则也不设，这样的防火墙能强到哪去？

我还看到某些专家建议别人把“信任的网络适配器”设为自己的网卡或Modom。我提醒大家，这样设置的结果其实等同于禁用防火墙，一旦你这么设了，那么你之前的设置、规则什么的，一律无效，统统都Pass了。

FS的防火墙还有个大家忽略的问题，就是：FS的“应用程序控制”级别高于“防火墙”设置，如果你在“应用程序控制”里设某个程序为允许，那么你在“防火墙“里的一切设置都对该程序无效。

顺便说一句，FS的防火墙虽然没人某些人说的那么不堪，但是“FS的墙曾是欧洲第一的防火墙”也是个谣传。

[ 本帖最后由 astorm 于 2008-11-5 09:51 编辑 ]

astorm

六、“FS 没有启发”

本来大家都是来打酱油的，FS到底有没有启发，与俺们老百姓无关；只要能查毒的杀软就是好杀软。但偏偏有人一口咬定“FS已经放弃了启发”、“FS没有启发”等不实传言，我们一定要揭穿他。^_^

来看看FS的现实情况：

FS 最初一个引擎 F－Prot 就是以启发闻名的；后来 FS 与 F－Prot 不再续约，将此引擎改名 Libra，这还是个启发引擎。再后来 FS 自主开发的 Orion 引擎，根据FS官方论坛的回复，是个“纯粹”的启发式引擎。到了现在，融合（Libra + AVP + Orion + Draco）三引擎的新引擎 Hydra 也是个包含启发式的引擎。

再看看FS新白皮书对于 Gemini 引擎的描述：
Gemini – a heuristic engine that does static checks on the file. It looks for things that are common amongst malware, such as if the file is packed, if it is unsigned, et cetera.

a heuristic engine 已经明确说明这是个启发式引擎。

FS自带的 AVP 引擎到底有没有、有多少启发姑且不论，单就 FSCS8 的五引擎中，已经确定 Hydra 、Gemini 带有启发了；又怎么说 FS “没有启发”呢？

说了半天，启发到底是什么？我的理解是：
“此人尖嘴猴腮、獐头鼠目，八成不是什么好人”—— 以貌取人，这是传统的“病毒特征码”技术；
“这人走路东张西望、鬼鬼祟祟，我看是个小偷” —— 行为特征判断，这是“启发式”；
“他把手伸进那位大妈的口袋里了，快抓住他！” —— 具体行为分析，这属于“主动防御”；
“将嫌犯和一名化了妆的便衣女警关在小黑屋里，看他是否有什么不轨企图” —— 这叫“沙盘”技术。

很显然，FSCS/FSIS 是款融合了以上技术的综合杀软；目前并没有热讷河迹象表明 FS 已经放弃或即将放弃上面技术中的一种。

只不过有人推测，“FS认为高启发是误报之源，所以并不打算特别加强它的启发式”。我认为这个猜想有一定的道理。

七、“卡巴是FS的首发引擎”

很多人总认为 FS 没有自己的技术，同时认为 FS 多引擎中最先用到的还是卡巴引擎，

实际上并非如此。FSCS8 五引擎中，有三个引擎是自主开发的，系统控制、防火墙也属于FS自己的技术；而卡巴引擎也并非最先使用的监控引擎。

且看 FS 官方论坛的两段问答；

用户：

2, Is Hydra a AntiVirus / spware scanner? As you say it will replace Orion/Libra, but I can see Virus patterns are adding in Hydra engine: http://forum.f-secure.com/topic.asp?TOPIC_ID=7369
and will it replace AVP engine in the future?

3, Which engine will be use first? (Not sure if it is a confidential info)

官方：

2. Hydra detects both malware and spyware. And no, Hydra is used in addition to AVP, no plans to replace.
3. Hydra is always first.

很显然， Hydra 是最先检测和监控的一个引擎，当 Hydra 检测通过之后，才到 AVP，然后是系统控制。

由此可见，FS 也不象一些人所说的，是“多引擎并发同时监控”，而是有组织、有纪律、按顺序依次排查的监控。

八、“FS是七引擎（或5引擎）监控”

FS引擎：
V7 ，Libra + AVP + Orion + Draco + Blacklight +Gemini + Pegasus
V8 ，Hydra + AVP + Blacklight + Gemini + Pegasus

虽然“四引擎”说法盛行，但还是有不少人明白FS的真正引擎数。

在FS7时代，就有人告诉我说，FS7 是七引擎监控；到了 FS8，改成五引擎了。

起初我信以为真。不过后来我才从官方论坛上获知，Blacklight 引擎并不参与监控，同时也不参与普通的文件/文件夹扫描。

那么 Blacklight 到底什么时候才用到？—— 当你使用“快速 Rootkit扫描”、“执行全面计算机检查”时才会用到。

顺便说的是，Gemini + Pegasus 引擎也之用于监控，不参与扫描。所以，通常手工扫描只有 Hydra、AVP 两个引擎。

九、“FS 由于进程多，所以卡系统”

正如许多人并不了解“启发式”“主动防御”却喜欢挂在嘴边，逢人便念叨一遍一样，很多人其实并不真正了解自己所看到的任务管理器；所以得出这个风牛马不相及的“结论”。

真实的情况是FS占内存而不占CPU，通常也很流畅，没有想象和传言中的卡。

其实占内存和占CPU完全是两码事。FS“卡”的多半原因，是系统设置、或跟其它安全软件（没卸载干净）冲突引起的 —— FS和很多软件都有隐形的冲突，值得批评。比如有人同时安装FS和小红伞，就上不了网。

同时，很多人建议FS减少进程以减少系统资源占用。但我认为，多进程也是FS没办法中的办法；正如一千只蚂蚁和一头大象的原理一样，如果FS不从内核上进行大的革新，而仅仅是简单的融合、减少进程，结果只会更卡。

十、“FS 难卸载”

写到最后，可能很多人发现，原来传言和印象中的FS，和现实中的真实情况居然大相庭径；有些人甚至想，既然那么麻烦，倒不如直接卸载算了。

但就算要卸载，可怜的FS也还是逃脱不了被误传的命运；可能也有历史上的原因吧。

不过“FS 难卸载”这句谣传最近已经很少听到了。因为无论是在控制面板还是使用官方工具，FS 的卸载都是件轻松的事情。只不过一些残留的注册表、一些记录的log文件，总是难以避免的。

但愿随着大家对FS的进一步了解，FS的不实传言会象最后那句谣传一样，随着时间的推移烟消云散。

同时也建议大家，凡事多思考、多求证，不要人与亦云、以讹传讹；有问题多向官方反应，总比私下猜测、埋怨的好。

[ 本帖最后由 astorm 于 2008-11-5 09:53 编辑 ]

本拉稀

楼主好文，建议高亮置顶。

同时，回答楼主提到的“二、F－Secure 采用卡巴 4.5/6.0 引擎”这个问题。经过核对MD5等技术手段，基本可以确定F-Secure用的是卡巴6的引擎，FS自己有编辑过AVP引擎版本号，一般的规律是：卡巴AVP引擎版本号+1=F-Secure的AVP引擎版本号。

个人觉得F-Secure有自己的优势，也有其缺点，但这个版面的气氛却是卡饭最好的。这个版面的粉丝总是会耐心分析F-Secure的优点，对于缺点也不回避，而且还会有专门的文章来分析F-Secure的缺点，更会有楼主这样的新手扫盲帖来帮助大家进一步了解F-Secure。反观其它版面，比如红伞版，谁要敢说一句红伞的缺点，哪怕是技术分析或者是如实反映问题，立马会有一大堆"砖家"出来破口大骂，骂完了再给安个“恶意挑衅”的罪名。


其实很多时候，除了少量新人的机器同F-Secure存在冲突或者不兼容，大量的对F-Secure的误解都来源于网络枪文和可怕的人云亦云。

jb.y

LZ辛苦了，这个一定要顶一顶，观点很中肯
驳斥尤如长江之水，绵绵不绝；又如黄河泛滥一发不可收拾
行文一气呵成，强[:27:] [:27:]

想念天堂

呵呵，不错的好贴啊，支持下，FS是很好的杀软，很多很好的杀软都被不断的误解。这次可以让大家多了解了解

[ 本帖最后由 想念天堂 于 2008-11-5 11:57 编辑 ]

wu8229432

抢了支持楼主啊！

angel13th

很有意义的好贴！学习了！

asdsdl

支持楼主的观点，我没用过FS不过看的出楼主是仔细研究过的

lzbbb

楼主强悍，有耐心有钻劲，说出了我们很多心里话。支持！

ledled

很好的辟谣贴，LZ辛苦了