2006年07月16日

信息安全是信息技术市场里面最有活力的部分,过去反病毒软件曾经是市场投资者的首选。很多人习惯性觉得互联网充斥着众多病毒,需要一道强有力的屏障以保安全。与此同时,俄罗斯反病毒界的传奇人物,Dr.web反病毒软件的开发者Igor Danilov,把反病毒软件市场看成一个仅仅因个人电脑用户的恐惧而存在着的巨大泡沫。在本次访谈中,Danilov会与我们分享他对怎样才是真正有效的反病毒软件的看法,为什么Dr.Web失去了原有的市场垄断地位,公司如何在指望销售额增长外继续发展与生存。
 
问:你是俄罗斯反病毒软件市场的创始人之一,至今为止情况是否有所改变?

那时并没有任何市场,并且现在也不应该有。曾经有人试图创造类似的市场,但是今天的反病毒软件市场是一个大肥皂泡,这并不止是俄罗斯,还包括世界的其他市场。上世纪80年代末,90年代初当病毒刚刚出现时,每个程序员都在写病毒。这做起来既简单又迅速。如果有一个病毒——输入一个定义或校验值,扫描文件,检测到一个病毒体,对用户报告,仅此而已。后来仅仅报告已经不够:反病毒软件开始有了清除的功能。从此有了质的改变,当一大帮业余的反病毒软件不足以满足用户的需求时,它们就此销声匿迹。

这个改变把一群可以做全套病毒检测和清除的IT人带到了前沿。在1993年年中,出现了第一个可以对付多态变型病毒的反病毒软件,在差不多同时,Dr.Web变得家喻户晓。1993-1997年间,只有为数不多的反病毒软件被开发出来。在1997年末,五家厂商完全的控制了整个市场。这让我们后来的工作变的索然无味:互联网的扩张,导致病毒技术变得越来越原始。将一个病毒从A点送到B点变得十分容易:你无须使用复杂的技术来隐藏病毒体。见钱眼开的反病毒厂商似乎某种意义上被劫持了:他们提供的“很好”的反病毒工作事实上并不好,因为他们仅仅对原始病毒有效。他们对于破解复杂病毒的无能似乎并没有人看到,这直接导致病毒如潮水般在互联网上泛滥。

现今市场上的情况是着实可悲的。今天市面上的大部分软件并不能真正的称为反病毒软件;看起来,里面最好的也只能说它们是由一些很聪明并自称“业界领袖”的高中生开发的而已。进入反病毒俱乐部的门槛降低了许多,一些对付原始脚本病毒的人跑到前面在扮演着领航员的角色。

问:为什么具有高技术含量的Dr.web软件——十年前占据俄罗斯95%市场销售份额,现在却失去了垄断的地位?
 
我现在告诉你更多的:十年前我很难找到一部安装其他反病毒软件的电脑。我们的产品流行到许多今天自称“业界领袖”使用的技术仅仅是Dr.Web的翻版。东欧和东南亚的许多软件产品实际上使用的是我们的引擎。来自那些地方当时并在俄罗斯读大学的学生都对我们的技术有着深入的了解。西方则有他们自己的技术领袖,我们不会考虑到那里去推广我们的产品。我们有两人,两个反病毒软件开发人员,执著于我们的工作。我们只有一个要完成的目标一个需要接受的挑战——就是发明世界上最优秀的反病毒产品来对付世界上最复杂的病毒。但是1998年金融危机的爆发让我们资金短缺,并导致我们产品市场的崩溃。同时,这又给一些没有任何技术但十分想从信息技术里赚钱的人提供了极大的机遇,这牵涉到前期投入大量的资金以及西方集团的一些利益。此时我们发现面对的问题是如何生存而不是如何发展。

问:为什么你不说说对于复杂变型病毒的防范?是不是说现今使用的反病毒软件里仅仅只有几家有能力可以对付现实中很严重的病毒?

我会给你一个例子来回答这个问题。大概一个多月之前,一个新病毒出现了。并非不寻常,但是考虑到现在的病毒水平,这却是一个编写的很好的病毒。以前的病毒是更加的复杂。现在,我们大家在仔细研究过病毒后所有人都同意:不错,真是一个好病毒。所以我们编写了一个检测程序,然后将其付诸脑后。但是整整一个月过去了,全世界却没有一个反病毒程序可以检测到这个病毒,真是让人觉得很离谱:我们公司曾经被指责自己故意编写病毒,比如Dr.Web靠这样来推广产品。最终我发布了公开声明:“呵呵,我们的确因为无事可做所以编写了新病毒。”一些人可能把玩笑当真了,因为一些用户要求我们提供病毒清除程序。想想看:没有任何的“业界领袖”可以检测到该病毒,而我们却应该提供清除程序!清除可不是开玩笑,因为他们使用了XTA算法——基本与DES一样很难破解。事实上,我们不仅仅接到自己软件用户的要求,同时还有其他反病毒软件厂商的客户也对我们提出类似要求。我会告诉他们:“你用的产品有自己的厂商,不是吗?至少让他们给你们提供检测工具吧!”

问:为什么市场的主要厂商都无声无息?难得他们没有发现真正的技术并且希望购买优秀的引擎,甚至并购整家公司?
 
他们愿意买,同时我们也听过很多报价。或者应该说直到最近为止我们收过很多报价。那些在业界有一段日子的都很清楚Dr.Web是不卖的。我不需要卖掉它。为什么?我自己有一个很好的生意并且回报能让我很好的享受生活。我的目标是继续改进我们的技术同时尽力让我们公司的同仁生活的更愉快。

问:你不想在一个跨国公司的旗下这么做吗?

不想,为什么?你知道,住在这里真的很好。同时,我知道自己处于全球反病毒阶梯的哪个位置。反病毒软件业的人都知道全球只有五家公司有自己的技术,其他的都是窃取的。

问:你会怎样描述现时一个真正有用的反病毒软件?

评估指标有很多,其中之一是无遗漏检测复杂变型病毒的能力。测试我们产品的时候,比如说我们会生成一万个同样复杂病毒的变种。如果有一个无法被检测到,我们将视之为紧急情况,会将反病毒产品回收并重新开发。同时,还有一项很重要的指标就是:反病毒软件必须在很好的执行基本功能的同时不干扰用户。它不能明显的降低电脑的效能,或者导致系统错误(比如蓝屏)等等。而且还要考虑很多其他各种谣言等因素。如果有人说:“这个反病毒软件查不到任何东西。” 这马上就会传开——你知道我说的是什么。就像买门锁一样——一般来说最重的,最复杂的门锁都是最贵最好的——但是在电视上听到用一个发夹可以在几分钟内打开后,这意味着锁并不比一般三美金的锁强多少。唯一可靠的指标是质量。很遗憾,你只能自己来测试。

现在有着很多“反病毒软件质量”的排名,比如“这个产品能检测99.95%的已知病毒”。你对这些有什么看法?

这纯粹是市场营销手段。第一,99.95%这个数字就值得推敲。所有的那种测试都是这么进行的。比如你收集有大量的病毒样本,而每个样本都必须被检测到。如果有一个病毒未被检测,这个产品就不能被称为“反病毒软件”。对未知病毒的检测上,现在还不清楚如何能计算出所谓的检测病毒百分比。而且,检测的方法也有所不同。最终结果很难高于90-92%。但是这样的病毒检测包是怎样的呢?它包含着大量损坏文件,二进制病毒等。这些是没有危害的病毒,为什么我们要浪费时间来检测所有的这些东西?我在这方面的态度是很固执的:我从来不管这些LJ,或者将其添加到我的病毒库。同时,许多反病毒厂商由于对此类检测包的表现获得了一定的知名度。我并不是说这是不好的;这只是做生意的一种方法罢了。但是问题是这些百分比究竟有多重要?因为不重要所以我刻意的排除了这些LJ的检测;但是结果却是Dr.Web没有检测出任何病毒。你可能会问这是好还是不好。这需要你们自己来判断。

这里我举例说明一下。一次某愤怒的法国代理打电话给我们:“为什么你们卖一个世界排名第17的产品?”原来一家有名的英国电脑杂志出版了一个反病毒软件的排名,Dr.Web排17位。我后来打电话给该杂志的编辑询问他们使用的评估指标。“那些数据不是我们测试的,而是来自第三方。”后来我们找到了这个第三方——一个住在希腊并收集病毒的十几岁小孩。这个家伙在听到一个杀软厂商亲自打电话给他时变得欣喜若狂。当问到他评估使用的指标时,他说他用了许多反病毒软件来扫描自己的病毒收藏,给一些功能评分。“根据你的排名谁是第一?”我问道。他说是一家众所周知使用其他厂家引擎的厂商。而开发该引擎的厂商,却排名比较靠后。这公平吗?这个状况还可以延伸到更广义的解释。比如一家厂商提出了一个原创的概念并且成功的将自己变成此种概念的形象代表,其他的厂商都会被期望必须遵守此种概念——或者冒着被标为80%检测率的厂商的风险特立独行。

问:很遗憾,无论如何这些评测都会影响一个公司的形象。更糟的是它会在用户里导致一种负面的态度。你们对此采取了什么措施?

什么也没做。这是为何我称反病毒软件市场是一个泡沫。用户自己来判断软件是否适合自己是最重要的。再者,我们公司需要关注公司信誉。它协助我们渡过难关并让我们能继续走下去;我们有很多有影响的合作厂商,并且用户的数量在稳步增长。这是唯一可靠的指标。我们深知在一个评测里排名靠前是没用的,因为其他销量更大的厂商可能在三个类似排名中排头。还有,用户会因此被误导。所以,我们需要捍卫自己的信誉。这可以通过比如坚持我们的不出售政策来达成。巨额资金可以被更庞大的资金击败,但是好的软件却是无法被打败的。

问用户如何找到一个“很好”的反病毒软件?

就现在情况来说,很难。用户被吓怕了。他们时刻受到病毒和其他程序的威胁,同时无数的木马,蠕虫努力地尝试着偷去他们的资料。这个气氛是一些反病毒软件公司营造的。这就像禽流感的状况般:有人说瘟疫是无可避免的,而且我们都会死。很可怕,不是吗?有些人十分惊慌,而其他则保持冷静,希望情况并不会那么糟糕。让用户不停的害怕并且说服他们只有你的产品能够保护他免受任何威胁的确是一个十分精明的理念。用户会买你的反病毒软件,虽然他可能永远碰不上反病毒软件发威的那天,永远也不知道究竟你的产品是如何有效。情况是我们经常需要在其他品牌杀软杀毒后清理剩下成百上千的病毒。

问:我也有安装其他的一些除Dr.Web外的反病毒软件。如果你对电脑查毒并检测到成百上千的病毒,但是他们并没有影响你的工作,那些病毒是否真的像某些厂家描述的那么可怕?

问的很好。答案是不,他们并不可怕。我总是说如果你电脑上没有机密资料,你基本上不需要安装反病毒软件。如果没有东西可以被偷窃或破坏,那会对你电脑造成什么危害呢?呵呵,也许电脑运行速度会慢一点。但是如果这个不影响你工作的话,你基本可以不予理会。如果你只用电脑来玩游戏,你是否真的需要浪费钱来买反病毒软件?但是如果你考虑到电脑上的那些各种密码,那反病毒软件还是有必要的。而且你的电脑可能会被别人操纵来发送LJ邮件,等等。这就像一个人的健康般:如果身体健康强壮,你肯定不想开始吃药。但是很可能你会补充维生素来保持健康。对于最终用户来说,反病毒软件就像一种“维生素”。

在挑选反病毒软件时,不要去参考那些排名因为他们是基于“实验室”测试。他们用一些已经“无效”的病毒来测试各种反病毒软件。每个软件检查到病毒,报告“发现病毒”然后继续扫描进程。在现实生活中,情况是不同的。你在电脑上工作,登录一个网站——这时你的电脑已经感染了,一些进程突然开始占用70%的系统资源。如果你装了反病毒软件,你会觉得没事。否则就会急忙的买一套。无论哪种反病毒软件——很可能就是那些“业界领袖”的产品。但是世界上仅有少数反病毒软件可以在带毒情况下安装。其他的会因为电脑已经感染而拒绝安装,此时你只能重装系统一切从头开始。所有东西都立刻变得很清楚了。但是没有任何“业界领袖”做过这种测试,虽然有人曾经指出过这个问题,但是他们并不想正视——问题太让他们头疼了。

问:反病毒软件只能检查它“认识”的病毒。现在很多安全厂商都在说着主动防御。

如果你指的是各种行为分析技术或发现潜在威胁进程,Dr.Web从1993年开始就在这方面提出了一系列的解决方案,获了一些奖并且受邀参加CeBIT

问:一些开发商甚至提到会将反病毒功能整合到他们的入侵检测系统/入侵防御系统或软件解决方案中,这样就可以不用单独的反病毒软件了。这可能吗?

不能把他们的话当真。任何复杂的解决方案中,至少其中一个功能会是弱点。今天我们有坦克,有战舰和战斗机,但是我们还有卡拉什尼克夫(AK47)。如果有一个弱点,那病毒就会利用它。而且一个复杂的软件总会有这种漏洞的。开发一个完美的产品是不可能的,特别是基于一些应用面窄,很专业的软件。很少人会问那些专业软件是否足够好。在每一步都尽力保护我们用户的时候,我们也知道事实上我们并无法保证一直保持高质量。我们知道我们只能做到这些和那些。比如我们在保护Unix和Novell上做的比任何人都好。

问:但是如果有些大公司买了那些最好的专业软件并且希望作出一个“完美”的产品呢?

你不可能把每个软件都买下来,但是你可以购买引擎的使用权。如果这对我们和客户都是双赢的话,为什么不呢?我们的引擎是好几个反病毒软件的核心,我们从中获得回报。比如,韩国航空和其他大客户都使用我们的反病毒软件——有着不同外壳包装而已。

问:你对原则的执著似乎是商业上的一道重要障碍。科学利益和商业利益的区分在哪里?

这很难说,实话告诉你,我们经常犯错误拒绝一些认为是无关的东西,然后才意识到我们失去了一次重要机遇。总是这样,有得也有失——这就是生活。

问:那么最大化你的销售呢?

为什么要?设定这样的目标一点也没劲。我们能用那些钱买到什么?有人相信我们可以买到自由。有人会问怎样的自由?如果我们能飞到任何地方,吃喝所想的食物,或者住在我们选择的地方会自由吗?有时候,一个自己播种并收获土豆的人会觉得比上面说的更自由。亚历山大大帝希望在自己下葬时双手向外伸开。在征服了半个世界后,他希望告诉所有人:“看看,我死时没有带走任何东西。”钱钱钱……现在很多人觉得当赚钱时可以抛弃所有东西。难道连一点点的道德规范和价值都不留下?我们对开发自己的技术,和做新的东西有兴趣。我们希望做一些创新的事情。这就是我们的主要价值。

这只蜘蛛就是它的标志了

一种新型的基因式扫描杀毒软件。可以预防并清除22000(现在已经超过130000) 种以上的病毒及特洛伊木马,其中包括各种高复杂多变异型的病毒。曾在1994年做为第一个可以根除"OneHalf "病毒的杀毒软件而享誉洲。Dr.Web可以对各类Word病毒做出快速反应,并进行隔离和清楚。

官方网址:http://www.drweb.com/

2006年07月08日

喊咗几次….

2006年07月04日

        这是以《关于反病毒与病毒—我的一点心里话》为蓝本为《计算机应用文摘》写的,丰
富了一些内容,看过那篇得就不用看这篇了。;-)
  
  文/江海客(seak@163.net)

一、话题的起因
  做安全焦点的病毒版版主,是前几天到北京时对Xfocus的哥几个应承下的,当时心中
七上八下的,因为感觉几年来,离技术越来越远了。不知道还能否对得起兄弟们的信任。
  2000年5月,和大家刚出来搞Antiy Labs(当时叫百联,后来发现CSDN那个公司也
叫百联,就改了)。当时的自己曾经象一个朋友发誓,我要完成从一个懂一点点管理和市场
的技术人员向一个懂技术的管理人员的转变。1年多的摸爬滚打过去了,检讨一下这阶段的
邯郸学步,发现自己依然在管理和市场的门外徘徊,而技术则已经基本不懂了。
  不过还敢硬着头皮应承这个版主的重要一点,是因为和几个同事正在开发一个木马查杀
的工具Antiy Ghostbusters,除了木马外,还要处理那些开后门的worm程序,这个过程中为
此还是分析了一些样本,没有放弃对方向的跟踪和思考。惭愧的是,产品中自己没有写一行
程序,一直在扮演Project Manager的角色,不是说,自己已经成长为有资格提供方案或者
思想的人了,而是真正感觉自己写起程序来不行了。
  不过说起对病毒还不能说自己完全丧失发言权,毕竟还是跟着反病毒技术和病毒的对抗
与发展学习了几年。而且试图成为一个民间的AVER的努力也一直在延续。但事实上,民
间AVER永远难以摆脱业余的境界,难以摆脱基础和条件的限制,随着商用反病毒产品技
术的不断规范化和成熟化,这种趋势就越来越明显。不是说你写一个killcih你就是很有水
准了,1对1的分析的方法、技巧、编码查杀很多都只对自我提高有些价值,不足以构造商
用反病毒产品。反病毒历史上灵机一动的小聪明都不足以成为主流技术的,什么引导区覆盖
法,什么向量互锁,什么免疫加壳,无一不被抛弃了。
  而同时商用反病毒产品的底层技术越来越楼台高锁,大家的交流只限于样本交换,而没
有技术交流,对于技术内核外人更难以涉足。民间爱好者逆向工程的角度,剖析现有的大型
反病毒产品,已经有些勉强,仅仅从引擎和库结构的角度,分析起来应该还可以一做,但类
似虚拟机的工作已经不是个人所能为之,而针对企业级解决方案这一层次的软件,对全平台
的支持等等,实际原理都并不复杂,关键在于巨大的编码量并不是单兵作战所能承担的。而
令一些曾梦想做反病毒产品的资深ASM程序员来说,他们觉得生不逢时的原因是,整个反
病毒产业格局已定,各大反病毒企业的整个引擎结构也都已经基本成型,天才的时代已经结
束,剩下的多数只是留给普通工程师的一些经验性的工作。这甚至使大型AV公司的多数程
序员事实上未见得需要付出很多精力,事实上得到的很多样本都在静态分析中基本解决,成
型的虚拟机和样本评估机制,加上强大的知识库,使他们面对病毒居高临下。譬如他们遇到
I-worm.Magistr时根本不用从头分析里面的两个加密引擎。或许你会发现,AV企业的一般
工程师,玩起softice的手法,远没有cracker熟练。

二、我心中的英雄
但我依然热爱这个领域,这个领域有我自己的偶像,象Eugene Kaspersky 和Alan
Solomon都是我心中的英雄。
Alan Solomon博士是反病毒领域为数不多的大师之一,这位剑桥的毕业生1988年投身
反病毒研究,他是最早把偏移量的方法与特征匹配相结合的,现在看起来这个思想很简单,
但在当时确实让AV软件从极度笨拙的全对象特征串搜索中解脱。
他所造就的Dr Solomon’s一度是欧洲最大的反病毒厂商。但如今这位技术的巨人却隐
匿在托拉斯的阴影里。1998年,NAI(美国网络安全联盟,由反病毒企业McAfee Associates
与网络安全公司Network General合并而成,是世界十大软件公司之一,编者注)凭借资本的
力量,在全球收购了10家软件公司。Solomon的S&S就是其中之一。Panda能成为欧洲最
大的反病毒软件厂商,也是Dr Solomon’s消失后的结果。
但AVER们对NAI的创始人之一的John Mcafee的敬仰之情远远不及Alan Solomon,
尽管前者同样曾经是很优秀的程序员。在他们眼中,这种吞并是一种强取豪夺,而远不是技
术上的优胜劣汰的结果。当然程序员们并不都会从资本和市场的角度去理解问题,否则他们
可能无法潜心的作一名程序员。但确实,与其说这次兼并是为了谋求市场,不如说是寻求技
术,Mcafee的引擎经过一番打造,基本被换成了Dr Solomon’s的。在研发小组中,一派 原
Solomon人员带领Mcafee的工程师们高歌猛进的景象,看着Mcafee的弟子对Solomon的门
徒崇拜备至的感觉,大可以使不明真相的人以为,被吃掉的不是Dr Solomon’s而是Mcafee。
  作为AVP(AntiViral Toolkit Pro)的缔造者Eugene Kaspersky同样是传奇一般的人物,
他1989年进入这一领域,这个软件一直是以shareware的姿态,但却一直是业界技术口碑
最好的反病毒产品之一。与NAI、symentec这样的运作性企业不同,Eugene Kaspersky带领
着他的实验室一直默默无闻的在技术的道路上前进。
  AVP得到高手们众口一词的欣赏首先是因为其在虚拟机和启发式扫描方面所做出的巨
大贡献,有人指出AVP对未知病毒的监测上已经达到了一个极限水准。在对这个软件进行
分析时,我曾深深的被其异常精彩的内部结构震撼,整个引擎和库的构造,可以说不仅是科
学更是一种艺术。
  一些资深的用户也能感受到AVP整个规划完全无愧于大师水准,与其他的反病毒产品
需要在页面上,指点着用户哪个版本需要用哪个数据库升级不同。AVP只用一套数据文件,
就轻松的完成了从以前DOS版本到For NT Server版本的引擎和数据库的升级。
   AVP的反病毒库公认是最出色的,包括他那套严谨的病毒命名,不仅是VXER们,甚
至一些反病毒公司,都使用AVP的LOG来交换样本,成为一种奇异的景观。
  Kaspersky的路也不是一帆风顺,与Dr Solomon’s被兼并不同,AVP在99年底遭遇了
散伙风波,散伙的起因来自一个当初比较草率的组合,做作为后期之秀Gabriel Pislaru一度
率领的反病毒产品AVX加盟AVP旗下。这位罗马尼亚小伙子确实也是一名天才程序员,他
一个人完成了AVX for Proxy Server,AVX for ICQ Plugin等几个软件的开发。对于一直专注
于桌面领域的Kaspersky来说,期待AVX能从Server平台入手,形成完整的产品线的战略
考虑不言而喻。
  但出乎意料的是,高手之间的冲突,却往往显得更加残忍,99年底罗马尼亚人不仅抛
弃了他的俄罗斯大哥,跑到美国去了。更是对用户宣称,AVX就是AVP的升级版本。此举,
顿时遭到了圈内的一致谴责。一些资深的VXER都站出来对AVX进行了批判。好在,
  Kaspersky迅速进行了调整,全球统一了Kaspersky Labs的旗帜,而且终于在2001年底拿出
了比较完整的服务器产品线。
   与两位当今的业界的老大MCAFEE和Symantec相比,Kaspersky Labs这种学院派企业
并不起眼,而即使是Dr Solomon’s在最鼎盛的时候,也不是那种能打出“幸福500家中有
XX%使用我们产品”的广告的。两位大师所耕耘的欧洲的土壤,毕竟不如美国的IT土壤肥
沃,欧式的技术绅士眼中发现的只是病毒,而美国牛仔发现的是市场。很少有大众媒体把光
环套在他们脑袋上,给他们赞誉的都是业内的程序员们,那是一种尊敬和崇拜。地下病毒站
只会讨论如何逃避AVP的检测,而对NAV不屑一顾,当然也有资深工程师说这并不公平:
“在结构和库方面,AVP当然是最好的,但在一些程序细节上,还是NAV更胜一筹”但很
少有人知道Symantec的NAV作者是谁,反正不应该是Norton自己。在技术的视野中,产
业的霸主被忽略在技术巨人的阴影里。
   但不知道两位大师如今是否惬意,在AVX出走后,Kasperksy连avp.com的域名都失去
了,AVP更名KAV仿佛是一种无奈的个人崇拜,而Solomon早早失去了自己的公司,不过
好在Mcafee的技术人员,对他崇拜的五体投地。

三、民间的衰落
  至于国内中国的反病毒圈子,我觉得没什么好说的了,而且说的已经很多了。沉默的重
要原因是去年年初的一件事情,给了我很大打击,由于比较敏感的关系,不再想提了,何况
看起来根本和我没什么关系。不过当时伤心的不是我一个人,一个哥们打电话给我说他要退
出圈子了,他说“从今后中国反病毒圈子的任何事情和我再没有关系”那种心情可能就是所
谓绝望吧。他的悲哀或者我们的悲哀在于我们坚信这个领域需要秩序,而事实上这种期待是
一种妄想,而且在于作为民间的AV FANS,我们的工作可能从来没有被认可过。但这些民
间AVER出路呢?自己从头做起,自立旗杆,显然是痴心妄想,如果投入商用反病毒公司
的怀抱,大概还有一种难以名状的悲哀。也许放弃这个领域,虽然无奈,却不失为最好的选
择。
   说到这里突然想起了陶辰,2000年初,他的sodu99还是国内硕果仅存的唯一民间反病
毒产品,而他自己的正式工作是某外资电信企业的工程师。也是年初的一天夜里,在一家小
店和他对饮之后,看着他消失在街头的背影,我突然感到,如果有一天他放弃sodu99的升
级,也许是一种明智。结果我不幸言中。
前水木清华BBS Virus 版斑竹bluesea,曾经是民间AVER的一面旗帜。告别了网易
副总的位置后,他担任着一家软件公司的CTO,尽管回归了技术,但领域和反病毒没有任
何关系。
   AV98是从企业到民间的,公安部通过检测名单上已经没有这个软件的名字了,在运作
的巨大挫折后,AV98仍然作为一个免费的产品在继续升级。虽然凭借着与国外厂商紧密的
联系和比较丰富的技术储备,维持升级并不是问题。但作者刘杰还是声明将在1个月内关闭
网站,他是不是也不想撑下去了?
   其实如果跟不上商用反病毒技术的发展,做一个民间的AVER可能远比做一个VXER
艰难,希冀获取商用反病毒技术的内幕除了自我分析,很难有更好的便利途径。在网上几乎
很难找到有价值的资料,至少公布逆向工程的结果是不受鼓励的,AV企业的程序员,也不
会自己来学习雷锋,从商业竞争的角度不说,这个结构的公开,对用户的结果本身就可能是
个灾难。就连AVP、FSAV这样杰出的反病毒产品,都遇到过类似MIRROR等一些专门钻
某个反病毒产品空子的病毒,让他们扫描时进入死循环。更不要说其他产品了。大家还记得
SAC写的那个KV300扫描到就利用软件bug激活格掉用户硬盘的小程序么?

四、VXER风景线

  反病毒技术在于在于积累,而VX往往只是局部的,I-worm.loverletter(就是所谓爱虫
病毒,编者注)的作者可能不懂汇编,甚至连一个C程序员都不是,但它却大面积流行了。
其实当今很多流行的病毒,都不是作者有多么高的编程水准,而是用了类似社交工程或者心
理学一类的方法,比如库娃病毒的作者连编程都不会,但却利用了网民的窥视心态,比如
Word97.Messlia作者用一个色情站点list的word文件作为病毒载体,比如I-worm.sircam那
种取本机文件名的手法。
   当然,那些资深的VXER对此是不耻的,他们从不以自己的病毒传播如何广泛为荣誉,
这些人的品性有些类似老牌黑客的绅士风范,这些人中确实也有我很欣赏的,比如对win32
的内核有很深了解的29a的benny,事实上,他写的东西,一般永远不会传播到你机器中,
但AVE(avp 病毒百科全书)仍然会给与他的“作品”以大量篇幅。Benny这样的人,针对
一个新的平台,新的思路,写一个新病毒,并不刻意的去传播,而首先把它Post给反病毒
企业,想象反病毒公司那些呆头呆脑的样本分析工程师,“**,原来病毒也可以这样编”
的惊呼,然后心情紧张的把样本交给公司中的前辈高人寻求指点他们已经心满意足。
   据说benny只有20岁,但他却秉承了很多前辈的气质,在法律的边缘地带生存的十分
理智,始终以研究为宗旨,不超越雷池一步。在13岁的时候,他拥有了自己的电脑,在同
龄人专注于游戏的时候,他就开始了Pascal的学习,1年后,他在感觉已经很了解结构化的
方法之后,开始了他的汇编程序员之路。有几种技术上颇有创意的病毒都出自他之手,比如
去年被AV企业广泛关注的第一种跨WIN32和LINUX平台的病毒。
  类似Benny这样的人并不是很多,但也构成了若干部落,他们更在意行家对他们的欣
赏,他们以自己的作品在AVE中有一席之地而荣幸,他们需要的不是全球用户对他们的咒
骂,而是象Eugene这种正派高手的惺惺相惜的目光。这些资深VXER的生态,和那些资深
HACKER一样同样是IT世界中最为扑朔迷离的地下风景。
   我是断然反对程序员编写病毒的,但反病毒企业是绝不能只站在自己的角度,而不去
揣摩VXER可能使用的手法,否则就会陷入极度被动的境地。反病毒本身也不该是孤立技
术,本来就应该是安全体系的一部分,但也许是因为这个市场最先成熟,需求旺盛,其最先
完成了资本原始积累的过程,所以使反病毒领域显得如同松鼠的尾巴足以包裹全身。不知是
否是这个原因,网络安全的各种会议,论坛上,你很难找到反病毒公司的身影。两个圈子仿
佛是隔离的。这在过去,不会有任何问题。因为过去HACKER与VXER是泾渭分明的,不
会“勾结”在一起。因为VXER本身就是更隐蔽的,至少,拉斯维加斯的黑客大会上,不
会有他们的身影。他们更很难有自己的聚会。与对黑客的毁誉参半相比,Benny那种邪中的
三分正气,是很难为人所见的。而大家始终认为HACKER在面对VXER的时候,有足够的
理由不屑的扬头而去。写黑客工具的人可以说,工具是我造的,使用工具的人应该自行负责,
但写病毒的人很难去说,毒药是我配的,但不是我卖的。原因很简单,一般情况下,攻击行
为是定向的,可控制的,而病毒的传播是一种“散射”,如同潘多拉盒子里的魔鬼,一旦放
出去,就难以预料传播多远,何时才能查杀干净。
   但从目前来看,反病毒技术和网络安全技术必须结合,VXER圈子本身就是良莠不齐,
而多数新派的VXER更是越来越缺少那种绅士的遗风。他们毫不犹豫而贪婪的使用Hacker
们的成果,而当今的HACKER们也很难保有前辈要与VXER划清界限的高洁,究竟是谁向
谁靠拢,很难说清,但至少RedCode 和Nimda的风格断然不象VXER所为,而更像从事网
络安全研究的人的手笔。许多Hacker手中都留一个自己写的小木马作为“秘密武器”,也早
是公开的秘密。
  而同时,若干年以来,AV WARE一直是面对病毒居高临下的,他们面临的最多只是病
毒删除他们自身文件之类的威胁。他们很少经历过黑客们象寻找OS漏洞那样的严格剖析。
而由于企业级反病毒方案的日趋流行。其自身的安全问题必须得到解决,消息通告、库的升
级分发等环节是否有足够的强度,已经变得非常重要。AV Ware的Control Center完全可能
成为攻击主机的突破口,这也绝非耸人听闻。

尾声
  VXER更为地下的生活,却使他们积累了比估计远为丰富的经验和远为强大的能量,这
种技术储备如果与黑客式的思维结合,可能会带来灾难性的后果。我过去说过我是不想表现
先知的,否则就是给VXER们提示思路。对此,我现在也不想,我们能做的和该做的,是
为这个脆弱的信息社会的肌体增加一点免疫力。