驳《【揭秘金山背后的真相】之二 金山网盾的秘密--打破一个神话》

mzstjcgw

原帖地址http://bbs.kafan.cn/thread-1066314-1-1.html

我是金山卫士论坛的nmthys，看到大金鱼的这个文章忍不住过来凑个热闹。声明一下，这个号是我和别人借的，本帖所发表言论和此帐号的原主人无关。

1.金山网盾是否有存在的必要

金山网盾，前身是集成在金山清理专家中的网页防挂马模块，这个模块效果确实很差，于是2008年底开始研发金山网盾，09年1月内测版发布。这款软件一开始就独立存在，但是个人认为，这种软件并无存在必要。

一款功能单一的软件，短短时间内赢得了数千万用户，被竞争对手模仿并极力打压，如果这款软件无必要，我很奇怪为什么有那么多人围着它转。

【主页锁定】如果有优秀的防护，病毒无法运行，当然无法修改。如果有强大的主防，修改动作直接阻止，也不存在被修改的危险。而光靠一个功能就想达成目的，效果是不尽人意的。我这几个月经常在金山论坛看见反馈集成版网盾主页锁定后仍然被改。其实这不是一个功能能完成的事情，而金山的整体防御的不给力导致了主页锁定的失效

请问修改主页的都是病毒吗？有一些介于正常软件和病毒之间的流氓软件，也会修改主页；一些有用的软件，也会默认或者偷偷地修改用户主页，达到盈利的目的。这些软件，不可能全部当作病毒查杀，也不是所有杀毒软件的主动防御，都会提示主页的修改。更有一些用户根本不会手动修改自己的主页。所以主页锁定功能明显是有用的。

而且主页锁定也不是让用户来单奔的，要配合其它安全软件和杀毒软件一起使用。至于有人反馈主页锁定之后仍然被改，任何措施都不可能100%有效，但据我的观察，此类反馈并不多。

【防挂马、反钓鱼】这些是作为一款杀软的基本功能，难道为了这个基本功能我还得另外安装一款程序？如果没说错的话，从金山毒霸2010专业版到金山毒霸2011SP5前近一年的时间金山毒霸是没有网页防护的，想要获得网页防护必须安装金山网盾。

早期有不少杀毒软件是没有反钓鱼功能或者功能不够强大。毒霸和网盾两个软件相配合，功能互补性也不错，而且很多人的网盾也不是和毒霸而是与其它杀毒软件配合。目前金山毒霸早就集成了网盾。

【广告过滤】这个是浏览器的事情，浏览器插件可以比金山网盾更加完美的解决广告问题，ADB\ABP等等广告过滤插件，拦截效果好，支持浏览器多，几乎不卡网页，规则更新快，而且可以自己右键屏蔽广告，比金山的广告过滤远远胜出

请问广大ie用户和ie外壳用户，而且不喜欢折腾的怎么办？金山网盾安装之后就能支持很多的浏览器，而插件每个浏览器都要安装对应的版本，很多用户甚至不知道浏览器插件是什么。abp做了广告过滤，别人再做广告过滤就没用了？按照这个逻辑，当今很多产品都不用做了。

【下载保护】这个纯粹是噱头的功能。只要你安装的杀软，下载保护就是废柴了。因为下载时下载工具（用浏览器下载则浏览器）的进程在不断访问下载的文件，这就会引起杀软监控对该文件的检查

下载保护的作用有两个，一是守住外界文件的入口，只要检查很少的文件，就可以大大提高安全性，而且和其它杀毒软件的监控不冲突，可以互补地提高检出率；二是给云鉴定争取时间，因为刚下载的文件很多时候不会立即运行，如果是未知文件，在这段时间就可以进行云鉴定了。

如果说有磁盘监控，下载保护就是废柴，也不知道为什么很多知名厂商要做网页扫描，http数据扫描，嵌入下载工具扫描等功能（最典型的比如avast）。

【浏览器、系统修复】同主页锁定，如果防护全部拦截病毒动作，系统就不存在被破坏，也不存在需要修复。

你这逻辑也太强大了吧，请问全世界的杀毒软件，有几个没有扫描病毒和修复系统的功能？
有修复功能就说明防御不行，那你可以去建议卡巴、瑞星、诺顿等等厂商去掉系统修复功能啊，看他们干不干。

而且很多人是浏览器出了问题才安装金山网盾进行修复。很多传统杀毒软件，对于流氓软件广告软件并不给力，对于浏览器的修复做得也并不完善，所以才需要用金山网盾修复。

2.金山网盾的技术水平.

金山公司的人一向宣传金山网盾的技术行业领先，能智能抵御挂马、钓鱼网站的袭击，今天，我们用事实揭穿这个谎言。

其实呢，金山网盾的网页拦截，无论是防挂马还是反钓鱼，都是依靠云端黑名单的，

笑话，当年挂马盛行的时候，安装金山网盾的人应该很多都见过金山网盾弹出很多层窗口，报告拦截了N个木马吧，这叫黑名单？

【测试1 防挂马】

测试方法，卡饭样本区找一挂马网页（样本区帖子忘记地址了，挂马地址是hxxp：//www.sofutee.com，切勿实机）

拜托你仔细看看好吧，网盾提示的是钓鱼欺诈类网站，这就是你的“挂马网页”？你不会连挂马跟钓鱼都分不清吧。
钓鱼确实是依赖黑名单，保存在本地自然不报。

【测试2 误报】

由于基于黑名单，需要手动加白。我们看看金山论坛的2天内误报反馈
。。。。。
数不胜数啊，都在版区第一页明显这样的反馈，天天一大摞，就是基于黑名单本地没有进行分析而直接报，注意最后一个网址可是空的，无内容，金山卫士还是报钓鱼。

我们再去瑞星论坛看看
。。。。。。。。
翻了3页找到三个7月份的，8月份误报上报几乎没有（别说人家有自动化上报，金山也有pc120）

怎么样，这就是黑名单防钓鱼和启发式的差别

看看瑞星卡卡论坛，到目前为止，今日帖子147个，其中100多个都在娱乐区。而金山卫士论坛到目前新帖483个，建议区和反馈区就有200多，别忘了瑞星卡卡论坛是瑞星唯一的官方论坛，瑞星的所有产品都在这里讨论。理论上应该和爱毒霸社比较，但是根本没有可比性，爱毒霸社区目前新帖1127。

两个人气相差如此悬殊的论坛，有多少可比性？你说瑞星误报反馈少是因为技术好，我倒觉得是因为用户少，拦截能力也差。前几天pcsl测试瑞星的反钓鱼成绩有目共睹，pcsl可不是金山的马甲公司吧。

还有别以为金山报钓鱼都是靠人工举报和收集，另一个重要途径是靠类似搜索引擎爬虫的方式抓取网页，然后由服务器自动分析。

综上所述，被金山誉为“神奇”的金山网盾其实就是一个黑名单匹配工具，没有启发、脚本分析等等技术，性能已经在不断脱节，不推荐作为专业防挂马软件，其实如第一部分所说，大部分网盾功能杀软都有，没有必要安装或开启网盾

综上所述，我神马也不想说了。

PS：曾经，在金山网盾beta阶段，是有一定脚本分析技术的，但是从3.0到3.5到3.6，这个技术不断被削弱（or没有加强，无法对付新状况？）到集成版几乎不存在了

是吗？证据何在？就凭你那个把钓鱼网页当作挂马网页的测试？

mzstjcgw

我爬了一下楼，看见楼主在回复中又发表了不少荒谬言论：

黑猫警长··被永封了 ，就因为金山卫士论坛版主说诺顿360不是杀软跟他争论·····

我承认，这里所说的“金山卫士论坛版主”就是我。

关于这个我早就写过声明，我从未说过“诺顿360不是杀软”，我说的是“那是诺顿360，不是诺顿杀毒软件。”
可以看36楼给出的截图

诺顿360就是N360，诺顿杀毒软件就是NAV。具体可以看这个http://bbs.ijinshan.com/thread-118598-1-1.html

事实上，黑猫警长被封的原因根本就不是和我的争论，这个争论不过是个无关紧要的名词解释问题。黑猫警长看到这句话之后，不但跟贴反驳，还到水区专门发帖讽刺，然后在另一个帖子里面发表了人身攻击言论（这个不是针对我），帖子被水区版主屏蔽，具体看下面链接：
http://bbs.ijinshan.com/redirect ... 33&fromuid=2819

然后黑猫警长开始在事务区发表很多针对屏蔽他发言的帖子，骂得很难听，这才是他被禁言的原因。
请看管理员的公告http://bbs.ijinshan.com/thread-118554-1-1.html

关于黑猫被禁言的原因，事务区公告有图有真相，说得清清楚楚，楼主却硬要说是因为他跟我争论诺顿360是不是杀软。

为了黑别人，就势必要歪曲或者隐瞒一部分真相，要睁着眼睛说瞎话，这个我可以理解，但是麻烦你下次把这瞎话说得逼真一些好吗？

另外你还是误导了不少人,很有成就感是吧,继续陶醉去吧.

思梦潮

金山卫士的版主？？？
想说明什么问题

说实在，近期发现论道区有点意思，本来也就去年开区的时候关注过一点，现在又热闹了

mzstjcgw

思梦潮 发表于 2011-8-27 11:48
金山卫士的版主？？？
想说明什么问题

bug啊，设置权限一编辑就没了。

想说明一些真相。

zby_1991

偶尔逛逛
来了解下具体的情况~

一楼确实一编辑就没权限了

大金鱼先生

占楼观看····

大金鱼先生

1.这个恰恰表明了金山原来网页防挂马的差劲和当时忽悠技术的高超。至于抄袭，难道金山隐私保护器、金山卫士、金山微博卫士、网购保镖、界面风格都不是抄的吗？
2.金山的主防效果差，当然不行，主动防御不报是因为你自己不会打造规则，这能怪谁？ 我单奔瑞星2011全功能从来没有被改过主页
集成后的金山网盾的主页锁定能力下降很多哦，我还记得曾经“强大的”主页锁定不还出了金锁木马？被人家利用危害安全？
3.早就？2011SP6前都是捆绑安装的吧？
4.ie就没有ADB？http://simple-adblock.com/自己搜了再来。会安装网盾、使用广告过滤、订阅规则的用户就不会搜个插件？何况金山网盾3.0最后的版本前都是不支持订阅规则，只能手动输入，3.6才支持多规则订阅。支持浏览器多？155支持不？360支持不？世界之窗支持不？笑话
5.人家的下载保护是下载前就干掉了，金山的是下载到本地再杀。这跟本地监控有区别吗？我辛辛苦苦下载几个G的东西下载完你才告诉我有毒？
6.人家没有像金山一样吹，没有像金山一样独立出一个搞笑的系统修复噱头引擎。传统杀毒软件？听上去金山好像多先进，多厉害似的
7.帖中早已注明

PS：曾经，在金山网盾beta阶段，是有一定脚本分析技术的，但是从3.0到3.5到3.6，这个技术不断被削弱（or没有加强，无法对付新状况？）到集成版几乎不存在了

现在的集成版你找给我看看？连个空白的网页都报
8.好好好，金山报钓鱼就是钓鱼，你找个挂马的，保存下来同样不报
9.金山卫士论坛的新贴一半是广告吧？被人家整版整版得屠还好意思说，作为版主也不去看看。瑞星发钓鱼测试不行？金山用了N多“先进”技术的也没好到哪里去吧？人家可没像金山那样吹牛不着边际

sfzjn

有意思，不过我还是怀念网盾。那位老兄说他单奔瑞星2011没被改过主页，那也只是他吧，全国还有很多其它杀软用户。
他说下载保护是个噱头，这点并不成立。多个网盾相当于多层保护，他能保证他的瑞星对下载的病毒都能查杀100%？？

fanorange

这种诋毁···法院应该受理吧···大金鱼，能透露一下个人信息吗？要是金山想告，也能方便一点······

strawman0719

jyc19970330 发表于 2011-8-27 13:05
1.这个恰恰表明了金山原来网页防挂马的差劲和当时忽悠技术的高超。至于抄袭，难道金山隐私保护器、金山卫士 ...

1、那请问360卫士的主页锁定是否也是鸡肋？用户自己到IE'主页里修改就好，你负责不被篡改就行，干吗也搞个锁定？

2、金山网盾作为辅助软件，在你本身的杀软之上再建立一层网页防挂马和反钓鱼，如果不是你不信自己的杀软，装金山网盾干什么？

主动防御不报是因为你自己不会打造规则，这能怪谁？

这么说，你中毒是因为你不会人工辨别病毒你能怪谁？按你这么说杀软存在来干吗？注意下广大普通用户好不好

3、这个我不知道，不说了

4、IE？你去浏览器区看看有几个知道IE有广告过滤的，有几个知道IE也有“沙盘”？广大网民不是你，不能被你“代表”！

5、都说了，这只是金山云的应用，如果所有网民都信任自己本身的杀毒软件，要网盾干吗呢？加一个金山云的下载保护干吗？

6、请问在金山之前和360急救箱之前，有什么杀毒软件标榜过中毒后的系统修复？这个理念难道不是近几年才有？

7、技术我不懂，但是如果金山的云收集能力足够强大，一定要所有用户机子上都来一次脚本分析？
再说一句，你说的这些技术名词，可有依据？拿一个钓鱼网站做例子，您真高！

8、挂马的原理你自己先搞清楚

9、不了解，不谈

以上仅代表个人观点