2007趋势：“我们都是不会清毒的反病毒软件”

coolk

转贴，谢谢原创者！

2007趋势：“我们都是不会清毒的反病毒软件”（非常好的文章，大家看看）

相比几年前，现在的反病毒软件的门槛越来越低，任何公司甚至都可以进来做了”

如Dr.web公司的某位一年前说过的这样的话一样，我也越来越觉得目前反病毒软件行业水平整体未升反降。

题目中用“清毒”而不用“杀毒”，是希望大家注意的。
从现在世界上知名的测试机构的测试中可以得出，不重视“清毒能力”的趋势越来越明显。这几年真正有杀伤力的病毒总体上并没有减少，数量上增加的幅度也不大，这是相对于“突飞猛进”的Trojan[特洛伊木马]来讲的。特洛伊的数量呈几何倍数的增长，每年都有数十万的特洛伊面世，多亏了那些全自动工具“木马生成器”之类的功劳。

病毒和特洛伊的区别是明显的，他们或许总是同时出现你的系统的，但并不能说他们就是一样的，那是他们的本质区别，而非表现在影响系统工作的外在特征。用户们不在乎这些，因为他们觉得特洛伊和病毒是“一样”的，对所有的普通用户都是“威胁”，统统都交给反病毒软件处理掉吧。

如果让我说现在的反病毒软件和5年前的反病毒软件的最大的区别，我想，除了不断的随着Windows的更新而每年推出更多花样的“新版本”、“套装产品”之外，本质没有区别，没有进步。

“5年前的技术水平是什么样的，现在或许还不如5年前。”
-proll

恕我直言，目前的反病毒软件本身的质量，除了版本号的改变，基本上根本看不到内核本质的进步。

有人说：现在不是有了更加完善的“实时监控”，“防火墙”，“启发式”，“HIPS、Proactive主动防御”、“Sandbox虚拟机”等等技术。的的确确，这些新技术给我们了更多的保护，对于所有PC来说这样的保护相对于5年前来说进步了很多。但是它们都是建立在反病毒软件的核心的基础上的，这些技术可以说是随着时代的变化而增加的附加功能，他不是反病毒软件的最本质的技术，这些技术不可以替代最最传统的反病毒技术－“检测与修复”

可以说，过去几年大家还在打反病毒技术的“门槛”牌，因为电脑用户平日遇到的都是病毒，在那个时代网路赚钱还是一个很陌生的词汇，病毒不是为了钱，而是为了破坏、表现病毒作者高超的编写技术，在那个时代，一个CIH可以让数千万的电脑在4月26日瘫痪，变种又在每月26日爆发，这样的景象恐怕现在很难见到了，这要感谢比尔盖茨，也要感谢很多努力奉献在反病毒事业的普通网友们，他们普及了知识，唯一不值得感谢的，是现在的反病毒软件，“没有什么好感谢的”。

99年4月和2000年的4月，CIH在大陆的PC中广泛感染、爆发之时，也是对所有反病毒软件的一次真正的考验。各家反病毒公司的一次“考试”，及格的不多，记得Pc-cillin 98 以28人民币的价格在国内热销之后没多久，就遭受到了CIH的“蹂躏”，那次考验让Pc-cillin的用户经受了无法清毒的打击，彻底的露出真面目－直到Pc-cillin 2000早期的版本都无法为感染了CIH病毒的文件清毒。

2006年年底的“威金”(Worm/Viking)和“熊猫烧香”(Worm.nimaya、Worm.whboy、Worm.Fujacks）本来可以为反病毒业界进行一次洗礼，但是事实上并没有，原因不是用几句话能概括的了的。就这样，良莠不齐的反病毒市场仍然在迷雾中的过完了2006年的最后一天，当一觉醒来，2007年到来了。

病毒不是木马，病毒对文件的破坏，如果不是用恶劣手段进行破坏，一般都是可以修复的，这“简单的能力”并非所有反病毒软件都能做到，现在越来越多的反病毒软件厂商也不再愿意为感染了病毒的文件解毒了，让我认为这是他们对解毒的不屑吧，或许他们的技术员认为他们的用户的电脑根本不会受到病毒的感染，鬼知道。

之前和Frisk的Mike谈过，他也在他的文章里面说到了，以往反病毒技术工程师这个人人敬佩的职业，现在只不过是行尸走肉一样每日重复相同的动作：分析样本，加入病毒代码。

不能仅仅指责这些公司，因为，当他们付出的努力与换来的回报不相符的时候，他们会反思，是活在技术中，还是活在市场中。
时下最流行的测试AV-Comparatives的测试，每年都会对反病毒软件进行的测试项目就可以看到一个趋势，只要检测，不要清毒，病毒、木马、间谍混合测试。虽然从检测的结果可以看到各个种类的威胁的分别检测率，但是对于病毒，和其他几类混合测试，我不认同。

对病毒准确检测和修复，是对反病毒软件引擎能力的真正的衡量标志，一个好的引擎，可以通过病毒定义对感染的文件进行检测并修复，要完成这样的功能，不是每个程序员都可以做到的，事实上，目前能做到修复各种类型感染性病毒的好引擎实在是太少了，有些反病毒软件公司想做做不到，有的则能做到但却不做，因为即便他们努力工作编写的引擎可以修复多种类型的感染性病毒，AVC等测试中也无法反应出来，因为人们最喜欢看到的就是哗众取宠的99%的检测率、50%的启发能力。一个第三方的“权威机构”的排名在某种成都上可以引导一个行业，因为大家都信任第三方。

2004年，赛门铁克的广告中首次出现了“防的住，何必要杀”，这样的话先不考虑是不是赛门铁克真的有底气说，但这的确是对反病毒技术的污辱，因为实时监控再好，也无法取代另外一个技术，何况检测与修复才是反病毒技术的真正的核心技术。

或许当初很多家反病毒软件厂商不愿意增加对木马的查杀也是有一定道理，他们认为木马不是病毒，是黑客工具，所以他们不原因加入病毒代码里面。这样的做法在当时我是无法接受了，因为在我眼里他们都是“病毒”，实际上我错了，反病毒软件的广泛涉猎才导致现在的反病毒软件各个变成反木马软件。

趋势越来越明显，一些反病毒软件，开始走“简单的路线”－反木马软件。

动辄几十万的病毒代码里面大多数都是特洛伊，可以说，现在的反病毒软件，实际上是|反病毒软件|＋|反木马间谍软件|，随着软件和引擎的不断更新，反木马、反间谍的功能不断的增强，但是反病毒的技术的进步在哪里？对已经出来半年的病毒仍然无法解毒的软件比比皆是。为了检测率，技术员没日没夜的分析各种样本丰富代码库，病毒代码越来越多，软件越来越庞大，而软件本身却越来越不像是反病毒软件，而越来越像是一款反木马、反间谍工具。

就目前的反木马软件的水平，门槛实在是太低了，发现木马，只要删除就可以了，实在删不掉，客服也会告诉用户用killbox unlock或者其他工具自己删除，能够恢复系统被木马修改、破坏的反木马软件几乎没有，号称只处理别家产品处理不了的SuperAnti-spyware的软件虽然难能可贵，但是代码库又小的可怜，是啊，别家的软件分析一个木马只要把木马文件加入代码库就可以，而这些负责任的软件还要分析木马对系统的修改，要还原这些修改，需要付出太大的时间和精力，花费这么大的代价在如何修复被感染的Windows系统，有限的时间内样本的分析数量肯定不如竞争者多，代码数量少的话，最后在检测率的测试中又名落孙山，谁还会干出力不讨好的事情？堕落吧。

最后，我建议大家如果要选择反病毒软件，就一定要最重视他的反病毒技术到底如何，效果如何，而不是病毒库有多大，检测率有多高。

谢谢大家耐心看完此文，有宝贵意见的希望您留下，再次感谢。

coolk

今日也看了本周电脑报，介绍最近流行的5大病毒，其中名为“小猪”的病毒给我留下深刻印象。因其能够删除硬盘上文件并覆盖上病毒文件，导致文件几乎无法恢复，破坏性太大了。这样看来，杀软除了自身原始核心技术外，还是要有强大的监控及防御功能啊。
个人看法，不对请指正，谢谢！

jhq0530

确实如此 现在的杀毒软件只知道杀毒，对于受感染文件上的恢复，基本上都不考虑

gzr272914

谁能推荐一个好的具有修复功能的软件呢?
期待......

zzm3145

所以Norton是市场老大

自寻烦恼

原帖由 zzm3145 于 2007-9-20 23:18 发表
所以Norton是市场老大

确实

坐在墙头

感觉老牌厂商的清毒能力的确要强不少

jhq0530

现在的杀软都一味在占有市场，“一心”在加强杀毒能力，却不重视清毒能力