重温AVP，McAfee发展史（转自北邮）

钢铁侠

煮酒論英雄  

對一些曾夢想做反病毒產品資深ASM程序員的人來說，他們覺得生不逢時的原因是
，整個反病毒產業格局已定，各大反病毒企業的整個引擎結構也都已經基本成型，
天才的時代已經結束，剩下的多數只是留給普通工程師的一些經驗性工件。這甚至
使大型AV（Anti-Virus,防病毒）公司的多數程序員見香需要付出很多精力，事實
上得到的很多樣本在表態分析中都已經基本解決，成型的虛擬機和樣本評估機制，
加上強大的知識庫使他們可以很悠閑地應付工作，譬如當他們遇到Magistr時根本
不用從頭分析里面的兩個加密引擎。或許你會發現，AV企業的一般工程師，玩起
SoftICE的手法，遠沒有Cracker熟練。  

但我依然熱愛這個領域，這個領域有我以及我的朋友們的偶像，比如Eugene  
Kaspersky和Alan Solomon.  

Alan Solomon博士是反病毒領域為數不多的大師這一，這位劍橋的畢業生1988年投
身反病毒研究。他是最早把偏移量的方法與特征匹配相結合的，現在看起來這個思
想很簡單，但在當時確實讓AV軟體從極度笨拙的全對象特征匹配中角脫。他所造就
的Dr Solomon's一度是歐洲最受歡迎的反病毒軟體，但如今這位技術的巨人卻隱匿
在托拉斯的陰影里。1998年，NAI（美國網絡安全聯盟，由反病毒企業McAfee  
Associates與網絡安全公司Network General合並而成，是世界十大軟體公司之一
，編者注）憑借資本的力量，在全球收購了10家軟體公司。Solomon的S&S(Dr  
Solomon's)就是其中之一。

但AVER們對NAI的創始人之一的John MacAfee的敬仰之情遠遠不及Alan Solomon,盡
管前者同樣曾經是很優秀的程序員。在他們眼中，這種吞並是一種強取豪奪，而不
是技術上的優勝劣汰的結果。當然程序員們並不都會從醬和市場的角度去理解問題
，融他們也可能不能工巧匠潛必作程序員了。其實，與其說這次兼並是為了謀求市
場的成功，不如說是尋求技術的優化，MacAfee的相擎經過一番打造，基本被換成
了Dr Solomon's 的。在戌小組中，一派原Solomon的人馬帶領MacAfee的工程師們
高歌猛進的景象，看著MacAfee的弟子對Solomon的門徒崇拜備至的感覺，大可使不
明真相的人以為，被吃掉的不是Dr Solomon's 而是MacAfee.  

作為AVP (AntiViral Toolkit Pro)的締造者，Eugene Kaspersky 也是傳奇般的人
物。自從他們989年進入這一領域，這個軟體就一起以shareware的姿態傳播，但卻
始終是業界技術口碑最好的反病毒產品之一。與NAI、Symantec這樣的動作性企業
不同，Eugene Kaspersky帶領著他的實驗室一直默默無聞地在技術的道路上前進。
  
AVP 得到高手們眾口一詞的贊揚首先是因為其在虛擬機和啟發式掃瞄方面所做出的
巨大貢獻，有人指出AVP對未知病毒的監測上已經達到了一個極限水準。在對這個
軟體進行分析時，我曾深深地被其異常精彩的內部結構震撼，整個引擎和庫的構造
可以說不公是一種科學，更是一種藝術。  

一些資深的使用者也能感受到AVP整個規划完全無愧於大師水準，與其它的反病毒
產品需要在頁面上指點著使用者哪個版本需要用哪個資料庫昇級不同，AVP只用一
套資料文件，就能輕松完成從以前DOS版本在For NT Sever版本的引擎和資料庫的
昇級。AVP 的反病毒庫公認是最出色的，不公是VXER們，甚至一些反病毒公司，都
有使用AVP的LOG（病毒列表）來交換樣本，堪稱為奇觀。  

Kaspersky的路也不是一帆風順，與Dr Solomon's 被兼並不同，AVP在職1999年底
遭遇了散伙風波。散伙的起因來自一個當初比較草率的組合，人微言輕后起這秀的
Gabriel Pislaru一度率領反病毒產品AVX加盟AVP旗下。這位羅馬尼亞小伙子確實
也是一名天才程序員，他一個人完成了AVX for Proxy Server, AVX for ICQ  
Plugin 等幾個軟體的開發。對於一直專注於卓面領域的Kaspersky來說，期待AVX
能從server平台入手，形成完整的產品線的戰略考慮不言而喻。  

但出乎意料的是，高手之間的沖突，卻往往得吏加殘忍。1999年底羅馬尼亞人不公
拋棄了他的俄羅斯大哥，跑到美國去了，更對使用者宣稱，AVX就是AVP的昇級版本
。頓時，此舉遭到了圈內的一致譴責。一些資深的VXER都站出來對AVX進行了批判
。好在Kaspersky迅速進行了調整，在全球統一了Kadpersky Labs的旗幟，而且終
於在於2001年底拿來出了比較完整的服務器產品線。  

與兩位當今業界的老大MacAfee和Symantec相比，Kadpersky Labs這種學院派企業
並不起眼，而即使是Dr Solomon's 在最鼎盛的時候，也不是那種能打出“《財富
》500家中的有XX%使用我們產品”廣告的東西。上面這兩位大師所耕耘的歐洲土壤
，畢竟不如美國的IT土壤肥沃，歐式技術紳士眼中發現的只是病毒，而美國牛仔們
看到的則是市場。所以很少有大眾媒體把光環套在他們腦袋上，給予他們贊揚的都
是業內的程序員們，那是一種對英雄的尊敬和崇拜。在地下病毒網站上，只會討論
如何逃避AVP的檢測，而對NAV不悄一顧。當然也有資深工程師說這並不公平：“在
結構和庫方面，AVP當然是最好的，但在一些程序細節上，不是NAV更勝一籌”，但
很少有人知道Symantec的NAV的作者是誰，反正不應該是Norton自己。在技術人員
的視野中，產業霸主總是被忽略在技術巨人的陰影里的。  

然而我們並不清楚兩位大師如今是否愜意，在AVX出走后，Kasperksy連avp.com的
域名都失去了，而AVP更名KAV仿佛是一種無奈的個人崇拜，而Solomon早早失去了
自己的公司，還好MacAfee技術人員仍然對他崇拜得五體投地

phy558

很好的杀软发展史，学习了

seoul6

学习了

朱宏亮

学习了

其实我想说，技术不只是计算机数学技巧，还有一些经验和其他方面的，像mcafee 和syamtec这种稳定也是种技术，白名单也是技术，不是吗？技术只是技术，不是神话，别人洗衣服比你干净，同样也是中技术。知道是转贴，不针对转贴人，就事论事

sanshui-1

好文，学习了。