2007趋势：“我们都是不会清毒的反病毒软件”（非常好的文章，大家看看）

钢笔男孩

相比几年前，现在的反病毒软件的门槛越来越低，任何公司甚至都可以进来做了”

如Dr.web公司的某位一年前说过的这样的话一样，我也越来越觉得目前反病毒软件行业水平整体未升反降。

题目中用“清毒”而不用“杀毒”，是希望大家注意的。
从现在世界上知名的测试机构的测试中可以得出，不重视“清毒能力”的趋势越来越明显。这几年真正有杀伤力的病毒总体上并没有减少，数量上增加的幅度也不大，这是相对于“突飞猛进”的Trojan[特洛伊木马]来讲的。特洛伊的数量呈几何倍数的增长，每年都有数十万的特洛伊面世，多亏了那些全自动工具“木马生成器”之类的功劳。

病毒和特洛伊的区别是明显的，他们或许总是同时出现你的系统的，但并不能说他们就是一样的，那是他们的本质区别，而非表现在影响系统工作的外在特征。用户们不在乎这些，因为他们觉得特洛伊和病毒是“一样”的，对所有的普通用户都是“威胁”，统统都交给反病毒软件处理掉吧。

如果让我说现在的反病毒软件和5年前的反病毒软件的最大的区别，我想，除了不断的随着Windows的更新而每年推出更多花样的“新版本”、“套装产品”之外，本质没有区别，没有进步。

“5年前的技术水平是什么样的，现在或许还不如5年前。”
-proll

恕我直言，目前的反病毒软件本身的质量，除了版本号的改变，基本上根本看不到内核本质的进步。

有人说：现在不是有了更加完善的“实时监控”，“防火墙”，“启发式”，“HIPS、Proactive主动防御”、“Sandbox虚拟机”等等技术。的的确确，这些新技术给我们了更多的保护，对于所有PC来说这样的保护相对于5年前来说进步了很多。但是它们都是建立在反病毒软件的核心的基础上的，这些技术可以说是随着时代的变化而增加的附加功能，他不是反病毒软件的最本质的技术，这些技术不可以替代最最传统的反病毒技术－“检测与修复”

可以说，过去几年大家还在打反病毒技术的“门槛”牌，因为电脑用户平日遇到的都是病毒，在那个时代网路赚钱还是一个很陌生的词汇，病毒不是为了钱，而是为了破坏、表现病毒作者高超的编写技术，在那个时代，一个CIH可以让数千万的电脑在4月26日瘫痪，变种又在每月26日爆发，这样的景象恐怕现在很难见到了，这要感谢比尔盖茨，也要感谢很多努力奉献在反病毒事业的普通网友们，他们普及了知识，唯一不值得感谢的，是现在的反病毒软件，“没有什么好感谢的”。

99年4月和2000年的4月，CIH在大陆的PC中广泛感染、爆发之时，也是对所有反病毒软件的一次真正的考验。各家反病毒公司的一次“考试”，及格的不多，记得Pc-cillin 98 以28人民币的价格在国内热销之后没多久，就遭受到了CIH的“蹂躏”，那次考验让Pc-cillin的用户经受了无法清毒的打击，彻底的露出真面目－直到Pc-cillin 2000早期的版本都无法为感染了CIH病毒的文件清毒。

2006年年底的“威金”(Worm/Viking)和“熊猫烧香”(Worm.nimaya、Worm.whboy、Worm.Fujacks）本来可以为反病毒业界进行一次洗礼，但是事实上并没有，原因不是用几句话能概括的了的。就这样，良莠不齐的反病毒市场仍然在迷雾中的过完了2006年的最后一天，当一觉醒来，2007年到来了。

病毒不是木马，病毒对文件的破坏，如果不是用恶劣手段进行破坏，一般都是可以修复的，这“简单的能力”并非所有反病毒软件都能做到，现在越来越多的反病毒软件厂商也不再愿意为感染了病毒的文件解毒了，让我认为这是他们对解毒的不屑吧，或许他们的技术员认为他们的用户的电脑根本不会受到病毒的感染，鬼知道。

之前和Frisk的Mike谈过，他也在他的文章里面说到了，以往反病毒技术工程师这个人人敬佩的职业，现在只不过是行尸走肉一样每日重复相同的动作：分析样本，加入病毒代码。

不能仅仅指责这些公司，因为，当他们付出的努力与换来的回报不相符的时候，他们会反思，是活在技术中，还是活在市场中。
时下最流行的测试AV-Comparatives的测试，每年都会对反病毒软件进行的测试项目就可以看到一个趋势，只要检测，不要清毒，病毒、木马、间谍混合测试。虽然从检测的结果可以看到各个种类的威胁的分别检测率，但是对于病毒，和其他几类混合测试，我不认同。

对病毒准确检测和修复，是对反病毒软件引擎能力的真正的衡量标志，一个好的引擎，可以通过病毒定义对感染的文件进行检测并修复，要完成这样的功能，不是每个程序员都可以做到的，事实上，目前能做到修复各种类型感染性病毒的好引擎实在是太少了，有些反病毒软件公司想做做不到，有的则能做到但却不做，因为即便他们努力工作编写的引擎可以修复多种类型的感染性病毒，AVC等测试中也无法反应出来，因为人们最喜欢看到的就是哗众取宠的99%的检测率、50%的启发能力。一个第三方的“权威机构”的排名在某种成都上可以引导一个行业，因为大家都信任第三方。

2004年，赛门铁克的广告中首次出现了“防的住，何必要杀”，这样的话先不考虑是不是赛门铁克真的有底气说，但这的确是对反病毒技术的污辱，因为实时监控再好，也无法取代另外一个技术，何况检测与修复才是反病毒技术的真正的核心技术。

或许当初很多家反病毒软件厂商不愿意增加对木马的查杀也是有一定道理，他们认为木马不是病毒，是黑客工具，所以他们不原因加入病毒代码里面。这样的做法在当时我是无法接受了，因为在我眼里他们都是“病毒”，实际上我错了，反病毒软件的广泛涉猎才导致现在的反病毒软件各个变成反木马软件。

趋势越来越明显，一些反病毒软件，开始走“简单的路线”－反木马软件。

动辄几十万的病毒代码里面大多数都是特洛伊，可以说，现在的反病毒软件，实际上是|反病毒软件|＋|反木马间谍软件|，随着软件和引擎的不断更新，反木马、反间谍的功能不断的增强，但是反病毒的技术的进步在哪里？对已经出来半年的病毒仍然无法解毒的软件比比皆是。为了检测率，技术员没日没夜的分析各种样本丰富代码库，病毒代码越来越多，软件越来越庞大，而软件本身却越来越不像是反病毒软件，而越来越像是一款反木马、反间谍工具。

就目前的反木马软件的水平，门槛实在是太低了，发现木马，只要删除就可以了，实在删不掉，客服也会告诉用户用killbox unlock或者其他工具自己删除，能够恢复系统被木马修改、破坏的反木马软件几乎没有，号称只处理别家产品处理不了的SuperAnti-spyware的软件虽然难能可贵，但是代码库又小的可怜，是啊，别家的软件分析一个木马只要把木马文件加入代码库就可以，而这些负责任的软件还要分析木马对系统的修改，要还原这些修改，需要付出太大的时间和精力，花费这么大的代价在如何修复被感染的Windows系统，有限的时间内样本的分析数量肯定不如竞争者多，代码数量少的话，最后在检测率的测试中又名落孙山，谁还会干出力不讨好的事情？堕落吧。

最后，我建议大家如果要选择反病毒软件，就一定要最重视他的反病毒技术到底如何，效果如何，而不是病毒库有多大，检测率有多高。

谢谢大家耐心看完此文，有宝贵意见的希望您留下，再次感谢。   

njdzhan

反病毒
不是很简单啊

cbz107

真的不错！

stevenji2000

不错的文章

龙井茶

很好,一剂镇定剂,让人头脑清醒了一点,可惜这文章读者还不多,对杀软厂商们也许没有一点作用,他们内心最虚的也许就是这样的文章了.
更有胜者,他们会对这样的文章展开攻势,好在这是卡饭论坛,允许大家发表不同意见,兼听则明,偏听则暗.我想转载.

zzh161

个人觉得赛门铁克说的没错：防的住何必要杀，感觉杀毒软件就是要以防为主

fido_lee

部分同意作者的观点。

不过，现在的发展形势就是木马、间谍、流氓软件等大行其道，传统型病毒在制作难度等方面要高于制作一个木马、间谍的难度，而且木马等病毒软件业正在建立、运行一条庞大的灰色产业链，它们更有制作的“价值”，所以，才导致了现在大部分威胁都来自于木马、间谍。如果将杀毒软件只定义在传统病毒上，难免过于狭义了。而且我们现在面临的也是一个更加多样化和复杂化的安全环境，根据环境的变化推出一些俱进的功能，这无论从实际要求上还是技术发展上都是需要的。

现在大多数人们的观点都是追求检测率，觉得只要能检测出来，就算作可以解决的。如果检测不出来，更不用提清除了。的确，检测率一定程度上是一个衡量一款杀软好坏的标准，但绝对不是全部。相信在安全论坛上呆过一定时日的人都会清楚一款优秀的杀软还应该具备哪些必要的功能的。但是这些必要的功能，就不是任意一款杀软可以都做到的，即使可以做到也会因为技术水平的差距导致效果的良莠不齐。相信楼主也有这个意思。

大多木马病毒文件本身就是病毒体，所以删除是最直接和彻底的方法。现在的木马由于大多可配置性比较强，所以对一些清理残余的“善后”工作，似乎很难找到一个统一的清除方案。但是如果针对每一个样本都去进行分析的话，又不大现实。所以，借助一些必要工具来进行辅助的清除还是很有必要的。如果木马的发作表现都一致的话，才有可能推出这种“全自动”的解决方式。但是这点又不能成为一个托辞：一些木马对一些常见位置的破坏或者修改都是应该随着清除木马的本身而随之恢复的，可是现在的杀软们又做的怎样？或者维金等蠕虫留下的ini文件又有几个杀软会随之清理？这些细节上面的地方，恐怕现在重视的人真的不多。没有办法，现在上上下下只认检测率，现在的木马大多又不难清但却不好清。

不叫做杀毒软件了，不意味着你们可以只认不杀了。叫做反病毒软件了，意味着你们应该从更多的手段应对更广的安全威胁！

剑指七星

我觉得一个好的杀毒
应该具备这样的要素：
对于未知的木马病毒要防的住（应该是基本上）
病毒库更新快
脱壳杀毒强
文件恢复功能好


当然      这些要求可能有点高
但是可以作为努力的方向

yzt1004

这篇文章在绅博看到过，记得当时mofunzone朋友说，杀毒软件能防得住病毒就不必硬性要求有很好的清除能力，病毒关键在于防住，，，
其实这是一个见仁见智的问题，我倾向于清除能力同样要有，因为对一些烈性木马来说，防御并不见得完全，像NOD32出现一些漏杀衍生物的现象就不合适

milkpowdern

原帖由 yzt1004 于 2007-3-17 11:09 发表
这篇文章在绅博看到过，记得当时mofunzone朋友说，杀毒软件能防得住病毒就不必硬性要求有很好的清除能力，病毒关键在于防住，，，
其实这是一个见仁见智的问题，我倾向于清除能力同样要有，因为对一些烈性木马 ...

非常赞同您的意见,虽然防守是第一位的,但是清除能力同样重要,毕竟即使防御监控强如咖啡也不敢拍着胸脯说
自己就是万无一失的,总应该想办法解决万一有漏网之鱼进入后的善后工作