爱与哀愁 剖析国产杀毒软件的致命缺陷[转载]
杀毒软件市场是当前国内通用软件界发展的最好的一部分,销售情况很好。就像治病不用假药的消费习惯一样,虽然盗版软件也相当泛滥,但杀毒软件购买正版的用户却大有人在。自从KILL几乎独步天下的地位被江民的KV100打破以后,杀毒软件就进入了战国时代。其后江民由于“炸弹事件”的打击,市场分额被瑞星赶超,在世纪之交,金山公司发起“先尝后买”的地毯式推广,也取得了非常好的效果。目前,国内杀毒软件市场三强——瑞星、江民、金山已基本定型。与诺顿、卡巴斯基、趋势等国外一线安全厂商相比,中国军团究竟还有多少差距?
国内市场风云变幻
杀毒软件的战国风云变幻,在经过数年的厮杀。在国产三强中,瑞星在市场中的表现最为强势,其铺天盖地的广告和强势的市场营销能力使他不但在OEM市场有所斩获,在普通电脑用户中的知名度也很高,很多第一次买电脑的用户都对瑞星情有独钟。江民开始在Windows时代有些落伍,但是随着网罗了原来“行天”的一批高手以后,很快改进了自己的杀毒引擎,功能也不断完善,继续占据了国内三强之一的位置。金山也是在市场上动作频频,产品也不断改进,继续稳定了自己的市场地位。现在的战国乱世除了三强以外,不但一些老牌的选手Kill和东方卫士等还在不断的进步发展中,国内的杀毒软件新秀也不断涌现,尤其以光华和微点(微点目前还在公开测试阶段)的实力令人侧目,在各个安全论坛评价也不错,竞争空前激烈。
由于杀毒软件市场的利润空间很大且很稳定,同时随着电脑的不断普及,市场也在不断的扩大。很多国际厂商也对这块市场也虎视眈眈,其中市场表现最好的就是著名的安全厂商赛门铁克(Symantec),他挟自家在DOS时代就声名远扬的诺顿品牌在大陆攻城略地,他的杀毒软件以其稳定高效的优秀品质很快在很多IT技术人员中流行起来,赛门铁克的安全套装在很多白领人员中也有很高的知名度,特别是在网络杀毒市场早期更是他一手遮天。
这两年由于互联网的发展和很多国际厂商对中国市场的关注加强,开始都推出中文版并开始发展中国市场,使得很多原先在各大安全论坛上评价极高的软件也纷纷落户内地,其中势头最猛的就是卡巴斯基(Kaspersky)了,借着中俄文化年的东风,凭借在很多安全技术人员中的良好的口碑。迅速在大陆市场攻城略地,除了借流反氓软件之势与360安全卫士捆绑,最近推行的全国校园免费试用活动更是声势浩大。目前,其销售量在国内已经占据了第四的位置,把常年的老第四赛门铁克赶到了第五的位置上,对国产三强形成了直接的威胁。
此外,来自韩国的安博士、驱逐舰等产品也不断在国内加大宣传力度,其关键客户也遍布各行各业,虽短期内无龙虎之势,却也各有一方天地。
除了在国内市场的稳固,广阔的海外市场同样也引起了国产杀毒软件厂商的重视。瑞星2002年就开始进军日本市场,今年更是在德国、加拿大、澳大利亚等欧洲、北美市场延伸,最新发布的2007版杀毒软件成为瑞星迈上国际舞台的重要标志。金山的海外试水也拿日本开刀,2005年推出了大规划的免费试用活动,为期一年,很快在日本市场取得了一定的影响力。让以保守著称的日本人也逐渐接受毒霸这个外来产品。这次金山参加VB100%的测试也是为了适应在日本市场的需要,为进一步打开大客户市场做准备。同样,江民软件也在海外市场有过试探,不过在声势上不如前两者。不过江民软件与微软密切合作,重推Vista平台杀毒的概念虽然有些超前,但也可以成为一个不错的卖点。
国产杀毒软件致命缺陷
打开绅博、中天、安防、卡饭等一些著名的国内安全论坛,其中对国产杀毒软件的评价基本都令人失望,最要命的是在几个安全论坛的样本区,国产三强对于新病毒和一些变种病毒的识别和杀除能力相当之差。三强的系统资源占用也时常被人诟病,特别是瑞星被网友封为“系统占用王”,系统占用居然超过了以“卡”著名的卡巴斯基不少。由于杀毒和监测引擎不够成熟稳定,系统实时监测的速度也是非常“卡”。特别是瑞星,在他的监控下只要进行了大量的文件移动和删除,系统就会立即处于假死状态。
由于国内厂商都不象一些国际厂商那样有微软操作系统的底层代码,造成软件安装上后和系统有一定的兼容问题,很多网友反应安装后会经常造成系统不稳定的问题。
由于国产杀毒软件特别是三强目前对付病毒的方式主要是采用特征码方式,因此对于新病毒和变种病毒识别能力很一般(瑞星2007的引擎进行了更新,有了启发杀毒能力,对付未知病毒的能力应该有了不小的进步,具体能力还在观察中,江民2007内置了部分HIPS(主机入侵防御系统)功能也可以对付部分新的威胁,但是需要用户进行判断,对用户要求相对高)。很多装了国产杀毒软件的电脑成了木马和病毒的乐园,由于自我保护能力不足(也是没有底层代码原因,造成系统级别不够高)甚至连杀毒软件本身也被干掉……。
下面分析一下当前国产主流杀毒软件的主要缺陷
一、 积累之浅
杀毒软件是一个需要高技术积累的行业,国产三强只有江民的历史比较悠久(目前在网络也是他评价较高,但是稳定一直是个问题),所以无论是病毒样本的收集还是和病毒分析的历史和国际一些老牌厂商是无法对比的。金山当年的崛起除了网络免费推广的作用外,还有集成俄罗斯的著名杀毒软件Dr.web引擎的双引擎战略的重要作用,虽然当时金山公司自己的引擎开发不是很成熟,但是有强悍的Dr.web引擎支持,当时的金山毒霸的杀毒效果还是很不错的。这两个战略的推广也一举奠定了金山国产杀毒软件三强的地位!可惜后来由于种种原因,和Dr.web的集成没有继续下去。直到今年,韩国的驱逐舰杀毒也靠着Dr.web的引擎再次进攻大陆市场……
关于病毒样本的问题,由于国内厂商的市场开发区域比较狭窄,收集样本的能力没有办法和国外一些老牌的厂商比较。加上引擎还是以特征码为主的杀毒形式,这也是金山和光华这次VB100%测试失利的重要原因。对于病毒库,目前国际上的一些新兴杀毒厂商有交换病毒库的方式可以借鉴,今天TopTenREVIEWS排名第一的BitDefender病毒库据说就是这样积累到了50多万之巨!
二、 引擎之短
国内杀毒软件每年推出新版本的时候都提出自己的新版本的引擎是第N代先进引擎,杀毒能力有了多大的进步。但是一到具体运用,就发现杀毒能力还是老样子。
瑞星的监控一直是用DLL注入的方式(呵呵,和很多病毒木马相同),造成了监控的时候占用系统资源巨大,脱壳能力也非常糟糕,只能脱掉UPX壳,病毒和木马只要一加其他的壳就没办法对付了,不是查不出就是不停的跳杀。
金山估计是当年受Dr.web的影响,他的杀毒软件占用也很小,杀毒速度很快,但是他根本没有杀带壳的病毒能力,结果造成了在杀毒的时候跳杀非常厉害。
江民由于当初开发的杀毒引擎有独到之处,在监控和杀毒方面都有不错的表现,在杀壳方面除了杀掉UPX和ASPack壳之外,还可以杀一些比较流行的壳。据说他的杀毒引擎一定程度借鉴了卡巴斯基的引擎,但是杀壳的能力比卡巴斯基就差多了,但是扫描和监控的速度比卡巴斯基强不少。
国产三强的引擎发展技术现在已经落后于当前时代的发展,当前国际上杀毒软件的发展非常迅速,虽然有卡巴斯基和BitDefender这样把特征码杀毒几乎做到极致的软件,但是这种杀毒技术已经逐渐日落西山。以NOD32、Dr.web、Avira等为代表的启发杀毒已经逐渐成熟,只要启发设置的合理,几乎可以发现所有的未知病毒和变种病毒(这也是NOD32在病毒库并没有一些国际巨头全的情况下,可以创造43次参加VB 100%测试仅仅3次失手的神话的秘密武器之一!)。
目前在杀毒软件界,行为杀毒是新兴起的技术。顾名思义,行为杀毒就是在杀毒软件的监控系统发现威胁行为时就报警并提示杀毒的技术。目前卡巴斯基6.0一定程度上集成了行为杀毒的能力,这样就大大提高他对未知威胁的处理能力。关于行为杀毒,中国的微点,美国的Cyberhawk(目前都在测试中)也有不错的表现,作为单独的主动防御模块,他们是一些优秀杀毒软件良好的补充。
可惜在国产主流杀毒的当前版本中,目前这两大新技术都根本没有。所以造成了他们在对付现在互联网时代病毒时候处于疲于奔命的状态。哪怕是已经被发现的病毒或木马只要加一个偏门的壳,或者稍稍变种一下,国产的主流杀毒软件就全部放行……。这也是已经肆虐了半年多的维金病毒还是在国内到处危害的原因(变种不断出现……)
对国产杀毒软件的展望
说了那么多的沉重,再谈谈希望。今年杀毒软件市场还有不少新的亮点,金山和光华勇敢的参与了VB100%的测试,虽然失败而归,但是拿到测试结果后我们可以明白和国际一流杀毒软件对比,自己的差距在什么地方。就会开阔眼界,更有针对性的改进自己的产品。相信他们的产品在下个版本会有重要的进步。
瑞星杀毒软件2007版中,加入了启发杀毒和虚拟机脱壳的技术,这是非常令人欣喜的,杀毒能力肯定会有大幅度提升!瑞星最近也参加了欧洲的几个测试,排名还不错,也超过了一些老牌选手。江民2007上集成了HIPS功能(一定程度接近行为杀毒技术),加强了系统的主动防御能力。从去年开始测试的微点,依靠其先进行为杀毒技术,逐渐在网络上有了很多FANS,虽然由于种种原因,一直没有正式上市,相信他上市以后对中国当前的杀毒软件市场也会有一定的冲击。
我们国产杀毒软件这两年也很努力,功能虽然和国际一流产品还有些不足。但是按照目前一些发展的趋势,各种先进的杀毒技术在国内被逐渐引进,引擎和病毒库的完善也在和不断的对外交流中可以逐渐得到提高,国内的一些主流杀毒软件正在逐渐形成自己的技术特色并拥有自己的一些关键技术(国际一些著名的杀毒软件都是靠自己的一些特色技术和其他功能的完善来闯荡江湖的)。有可能逐渐赶上当前那些领先者。
其实如果要是真的追求快速发展,目前国产杀毒软件的两大软肋也是可以比较快的解决的。引擎的问题在自己的引擎不断完善的基础上,可以和当年的金山一样和国外一些著名的杀毒软件谈判,集成他们先进的引擎。(个人认为,用国内病毒库来和国外著名厂商交换也是一种双赢的选择)。病毒库的完善也可以用类似的办法,正如上面所说的,一些新兴地域性厂商就是这样完善自己的病毒库的。
说了这么多,其实也是想国产杀毒软件在竞争中做的越来越好。好软件,中国造!世界舞台广阔,我们不仅仅是作梦……