水浒传第一回人物:杀毒与防火墙

杀软背后的黑幕
[ 2006-4-2 13:19:00 | By: xinyun007 ]

访问主页

(如果一直有人认为我是枪手,那么这一次我想得到澄清)

半年了，一直在等这一天。
而这一天，又整整迟来了十年。
我半年前的《杀软黑幕》我当然知道它改变不了这个腐臭的业界，但它的历史使命已经完成，在无数的回贴与媒体习以为常的小动作面前，一切都已明了。
我想，是时候打出我的王牌了！
我要让每一个网民都知道，十年以来，整个安全界都走上了一条危险的死路，构筑了无数可笑的理论，而这正成了许多人骂我枪手的依据。这还不要紧，恶性病毒与加壳木马的猖獗也正是因为如此。
如果你们所谓的“理论”的用途是阻止我对各种黑幕的揭露，如果所谓的IT媒体的作用是传播谣言，颠倒是非，那么好，我今天不惜以一己之力摇塌你们所谓的理论宝塔，给众人揭露更多的黑幕。你们永远有能力掩盖一篇《杀软黑幕》，但你们永远也无法击败一个紧握真理的活生生的网络英雄，因为他注定见证这个时代的无耻与黑暗。你们也无法否认他的存在，因为他就在这儿。
不谈大话，大家不妨把本文看成一个讲述恶性病毒木马与杀软对抗造成一个时代的悲剧的文章，还有对这悲剧制造者的论述。虽然我已被你们当中的无数人骂为枪手，我对此也只能默许，尽管我肯定要否认这个指控。你们可以看看，在这个时代无数的紧急求助面前，只有我木马斗士这个“枪手”才能提出解决这些问题的方法和这些问题的来龙去脉，而你们根本不能。你们只能一遍又一遍地骂我是枪手，却找不到我理论上的问题，这在我眼中只能显示出我的正确，虽然我还有枪手的嫌疑，我承认。
恶性病毒木马的无数受害者都应该看完本文，这样你们就会发现，木马斗士“这个KV枪手”会终结你们的痛苦与无奈，在这个时代也只有他能。那些破坏你们自由的安全界人士没有权力再次在这里蒙骗你们这些真正的受害者，只有受害者--你们才有说话的权力。
（分三篇：杀软黑幕，作者后记，错乱时代）

开山之作：
杀毒软件背后的黑幕(1月29日全新增补版)
木马斗士(trojanfighter)
翻开2004年第18期《大众软件》，那个杀毒软件读者调查排名让我百感交集：毒霸38%，瑞星29%，Norton14%，KV11%……，不要以为这只是几个简单的数字，这后面有太多的故事，一时竟不知从何讲起。这样，我们先看看各个杀毒软件的真实能力。（本文中评测部分若未经说明，那么KV就指KV2004，毒霸指增强版，瑞星指2004版,AVP就是卡巴斯基Kaspersky。另外由于本人向来不用邮件收发工具，所以这里不测邮件杀毒。除了修正错误，这个版本还将NAV个人版(简称NAV)与Symantec AntiVirus9(NAV企业版，简称SAV)分开评测，以求公正并解除大家对SAV认识上的误区，还加入了对Mcafee Virusscan Enterprise 8.0i(简称Mcafee)的评测。）

一、病毒库
这些年头看过许多评测，有民间的也有媒体的，几乎都是以病毒库是否全面为依据。这是非常不科学的！暂且不说别的因素，我认为用杀毒软件对一堆病毒木马一通乱杀最后仅仅以检出率论英雄，是一种对读者不负责的数字游戏。
举两个最简单的例子，你有用过Norton去杀黑洞2004吗？不说别的，就说最有影响力的0815版，Norton也是怎么杀也杀不出。这完全不是什么巧合，Norton如果杀n年前的经典木马冰河84，也还是杀得出来的，只是会在隔离区里加上两个字作注释——罕见……
Norton是一个非常典型的例子，因为在杀国产木马方面的问题Norton是最明显的。(有网友怒斥为“木马白痴”)不过其它的外国杀毒软件也好不了多少，除了那个公认的升级狂AVP，大家拿手上那帮大马小马自个儿试试吧，保证叫它们死得惨不忍睹。 (据说当年因为Pc-cillin杀不了CIH的某些国内变种，所以有人就……)当今有多少媒体在吹Norton这些玩意儿,真是啥都不懂!
就是不算木马，各种国产蠕虫变种也够这帮老外受的，其中最典型的就是Lovgate系列了。有些用Norton的单位就算是天天更新，也总是不如它的变种来得快，甚至面对有些n年前的国产病毒，那帮老外也一声不吭。AVP虽然检出率很高,但它的病毒库却有个致命缺点：经常不能辨认出一个病毒产生的所有文件，或者说得明白一点儿，AVP对于一台已中了以上病毒的电脑毫无办法，只能干瞪眼！！！于是乎，Lovgate.w（KV认作Supkp.v）及Lovgate.z等“死而复生”，让许多AVP跟风者无可奈何，也难怪人家一天有N次更新了，“处理”速度果然快。要知道，我手头上才只有6个Lovgate变种而已！（号称带毒杀毒？？？法国佬瑞士佬还敢推荐？？？笑话！）所以说AVP实际上具有极大的安全隐患！如果是在逊一些的电脑上，那你就等着中病毒吧。看看现在有多少网友一口一声AVP，真是崇洋媚外过了头。（瑞星好象也有这种问题，但绝对没有这么严重）
上次我去修理一个学校的电脑,只带了刚刚火起来的AVP,结果干了白干.后来带上本人常用的KV,直接解决.那台电脑共有6种LOVGATE变种,AVP杀了一个中午只杀干净四个,杀AE变种还要重起.后来又在另一个中六个变种的电脑上用KV,呵呵,六个变种一次直接解决,连重起都不用.后来经比较,发现AVP没杀干净的两个变种有将近10个文件没辨认出来!!
上网一查,此两个变种当时至少有半年以上历史,汗汗汗!(KV认作supkp.v,supkp.z,现在好象还有一个supkp.w.dll)
AVP的更新速度早就“威名远播”，但本人到处打听，并没有听说太多此方面AVP真正可以显露出的优势。AVP杀国外病毒木马自然有优势，但面对国内网络环境下的流行病毒木马并不见得比任何一个非民间的国内杀毒软件强。究其原因，我们可以从AVP的离线升级包中的说明文件看出个大概：（说明文件中包含更新病毒的名称等）
(a)AVP虽然升级频率快，但一周升级的病毒总数相对于其它杀毒软件并没有特别多的优势。（除了那个垃圾NAV）
(b)AVP的相对较全的病毒库使得它杀国产木马时比其它任何一个国外杀毒软件都好，但病毒库中中国的流行木马比重很低。一次更新并不见得会有一个国内能见到的木马。有些网友吹的所谓AVP“强大的杀木马能力由此而来”是没有根据的。
综上所述AVP实质上的更新效率与效果都最多与国产杀毒软件打个平手。由此我们不难理解，不论是3小时更新还是号称“全球最全”的病毒库，都不能使AVP在国内的网络环境下给大家带来比国产杀毒软件更多的保护。它们这些东西顶多就给我们一些心理上的安慰，别无它物。同时，我本人对“3小时更新”的处理效率深表怀疑，我不认为这样能彻底处理什么病毒，Lovgate就是一个活生生的例子。本人还保留一个看法：每3小时更新的病毒并不一定是这3个小时接收到的，它们可以是6个小时，9个小时，甚至一天之前接收到的。也就是说，更新数据与处理接收是交错进行的，AVP对一个病毒真正的反应速度并不见得快。至于马虎，那是肯定的！
McAfee么，至今也杀不出黑洞2004815，就是全世界的人都来吹它，我也不信。用了这么多年，你们难道这都没发现吗？（注：直至2005年3月3日升级时亦为如此，半年了呀，堪与NAV比废！）
综上所述，我们只能得到两个结论：1、面对众多国产病毒木马，外国杀毒软件只是一帮废物；2、以检出率论英雄是一个彻底的错误，因为一个1%可以包含很少的东西，也可以包含太多的东西，同样的检出率，一个可以杀灰鸽子，一个可以杀Beast或××国外二线木马；一个杀不干净，一个杀得干净，你会选哪个？
虽然如此，但如果检出率相差太大，那就是另一回事儿了。NAV与SAV的病毒库是非常不全的，尽管在杀木马时与其它国外杀毒软件差不多，但在杀病毒时检出率相差实在太大。在许多病毒库比较齐全的评测中，（不包括公安部）NAV与SAV总是在最后几名徘徊，远远落在其它老外后面，甚至在有次国外媒体评测时仅给了NAV6.8分，（满分10分，，AVP9分）简直是……NAV与SAV当然是它们当中最最最最废的。
至于瑞星的病毒库也不是非常好，当年经常在民间评测中与Norton一起垫底，惟有木马库齐全了许多，所以其杀毒能力可想而知……当然，瑞星现在已经基本解决此问题，不过还是有一些后遗症。于是有一次，我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句，当年瑞星2003时人家可是一周一次升级！
在这个方面，一切国外杀毒软件都不合格，它们实在差太远了。
现在网上有很多枪手,到处以KV3000/KV2003等说事儿,说它们啥也杀不出。这是一派胡言。KV3000早在2004年2月就停止了升级，KV2003则是5月15日！现在的KV是KV2004与KV2005！如果有人一定要比，那就拿毒霸V与2003及瑞星2003来比，那还差不多。
二、杀壳能力（若有谁不知加壳为何物，请买一本最初级的黑客入门书自己看看）
在我看过的评测中，基本上没有哪个把杀壳能力放在眼里的。事实上，没有杀壳能力，一个杀毒软件在面对木马以及病毒变种时，基本上就成了废物，有谁用马不加壳？有谁改病毒不换壳？（比如Nimda就有超多仅仅换壳的变种）只要人家有意，你的杀毒软件一瞬间就可以挂掉。经本人实验，各大杀毒软件杀壳能力如下：
McAfee：几乎所有壳（恐怖！它大概是用的虚拟机技术脱壳的吧！）
瑞星：NeoLite，WWWPack
毒霸：无
Norton：无
AVP：大多数流行壳（除了一些应用程序保护壳）
KV：大多数流行壳（除了一些应用程序保护壳）
没有一定杀壳能力的这些杀毒软件会轻易地让你死翘翘的，就好似特征代码法杀变形病毒，屁用没有。所以大家今后必须重视杀壳能力。这也是我对网上众多民间杀毒软件不屑一顾的主要原因。
三、一般清除能力
不得不说，任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不理想，不过由于在杀毒过后这些文件都成了死链接，所以随便找一个清垃圾文件的软件就可以了。(KV已解决,但对注册表项关注依然不够)
其实关于一般清除能力，大多数的杀毒软件都差不多，不过倒还是有几个特例：
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下，杀folder.htt（新欢乐时光）病毒用了超过一周时间也杀不干净，最后只用搜索并删除同名文件却杀干净了！由于folder.htt病毒是单质病毒，所以跟AVP不同，明显是漏杀现象。Norton及许多国外杀毒软件则是一见染毒文件就删，实在令人怀疑Symantec的人是否学过汇编。就算有时候不得不清除，象foxmail的box文件也是一清就坏！
四 、活病毒清除能力
当今杀毒软件的活病毒清除能力问题极为恐怖，个人认为当今大多数杀毒软件已经到了靠实时监控吃饭的地步。因为一旦中毒，你的杀软往往就清不掉了。大家先烧柱香，祝愿自己的防火墙及实时监控与Windows共生共死，然后看本人评级。
垃圾级：
①毒霸：号称“内存杀毒”，却连进程关闭都做不到，冰河都常常杀不了。(上次看到《黑防》上有位弟兄看毒霸杀不了冰河，只是偶尔成功，连忙说冰河先进，狂笑)同时其检查内存时只看exe进程。(所以才不用1秒的时间)可以说毒霸所谓内存杀毒是纯粹的花架子，放屁。
②瑞星：查内存时只会看系统进程与dll，且速度慢还关不了。加上上面所说的漏杀，滚！
③NAV：关得了exe进程，但查不了内存。
④SAV：只能查杀exe进程，且速度极慢，其它的同NAV
⑤AVP5 Personal：不可内存查杀毒，加上垃圾特征库，导致清毒不净，滚！(现在最常见的AVP版本)。
⑥Mcafee：同SAV。
准垃圾级：
AVP5Personal Pro：可内存查毒，但不可以杀。可生成可杀部分病毒的开机脚本(需重起)，但垃圾特征库依旧清毒不净，滚！(本人现保留的惟一AVP版本)
一般级：
空缺
大师级：
KV：这可不是吹的。这年头俺修理病毒全靠它了。真正的内存杀毒，一招下去n多病毒也不怕。本文开头介绍AVP垃圾特征库时看到了吧？一招下去，6个Lovgate就挂掉了，其它绝大数杀毒软连单挑都做不到。
KV虽说还准备了开机扫描等法宝备用，但我还真没见过KV扫一次内存清不了的毒，特殊情况如进程关闭除外，虽说有时显示“清除失败”，但事实上其已被清出内存。个人认为在这个时代，KV几乎是杀毒必备的。离了KV，你就不得不准备一手过硬的手工清毒本领。如果中了Lovgate，送你金玉良言两个字：重装！不是我危言耸听，现在很多号称高手行家的人，做法莫不如此，还抱着这些垃圾不放，实在可笑。
顺便教大家一招独门绝技，专克进程关闭，是目前最简单也是最有效的：
以前版本此文中本人为验证AVP之废，就举出了一招清Lovgate六变种之事。有人不信，说人家可以进程关闭等等。
首先声明，本人清该毒时并遇上这种情况。这是因为Lovgate系列各变种有许多许多的重名文件，这样一来一些无进程关闭功能的变种可能就替换了有该功能的Lovgate病毒模块，导到其失效。这也说明了另一个问题，在这么好的局势下AVP竟然都有两个杀不掉，而且它们还能再造病毒文件！恐怕AVP杀病毒不彻底方面的问题比任何人(包括我)想像中的都要严重得多。这就远不止2个变种十个文件的事了！
话说回来，许多学校都有类似于俺们学校的情况。在一些人的再三要求下，我还是把俺的独门绝技登出来，以为我国反病毒事业与教育事业做出贡献云云。（史上最强的WINDOWS下的杀活毒法！！）
个人认为“我的电脑”中的“江民杀毒工具栏”是KV2003的一个伟大发明。这玩意儿的功能可远不止你们想的那么简单。用它乱选一个文件扫描，不用启动KV进程，就把内存扫了个遍，全无敌！
只要KV引擎不被破坏，该方法成功率为100%，这招别的杀软是学不来的，因为即便它们也有了杀毒栏，没有强大内存杀毒，也是白搭，所以此法只能基于KV使用。
最后有两点需大家注意：
1、该法只能用于扫描，若有人用KV2005，建议对实时监控加上密码，这样就更保险了。
2、最重要的一点：本法由木马斗士独创，版权所有，转载引用时请加上“木马斗士反进程关闭内存杀毒法”，万万不得以此法骗稿费！
另外对于在安全模式下的杀毒，本人认为并不可靠。
①即使到安全模式下没有触发病毒，但鉴于某些杀软极其恶劣的表现，病毒依然无法杀绝，如瑞星、NAV、SAV等。其表现见章节三。
②现在的病毒有很多已可做到在安全模式下触发，如Lovgate系列。更有甚者在此环境下依然可做到关键系统进程插入(Lovgate.w等)让这些杀软做梦去吧！

五、实时监控
刚刚俺说：“当今大多数杀毒软件已经到了靠实时监控吃饭的地步”，此话只说对了一半：因为，现在的某些杀软的实时监控不足以让它们吃饭。
在本人的P4 2.8E上，当然一般来说监控也不会出问题。但是我们这里主要看大量中低端机上的表现。
瑞星无疑是公认最差的，在中端机上都不免出现不报警病毒就直接进入内存的情况，大家有目共睹，有目共睹啊！
AVP在低端机上近乎失效，尤其是对于压缩包。Xfocus上有人说不会这样的，但这位网友毕竟用的是AVP3.5，在现在的电脑上，AVP3.5是很省的，但AVP4.5与AVP5不是。AVP与瑞星为什么表现如此之差，这恐怕与耗资源离不开。毕竟“瑞星第一耗，AVP第二”这句话对于俺是毫无疑问的。
但是再苦再累再耗再慢，你好歹也报个警呀！可是你不。这就不只是资源问题了，它们的引擎在高配置却高负荷时也出现此问题，证实了本人的想法：它们如果实时监控完善的话，最多也就报警却也及时拦截其进入内存，但它们不是这样。瑞星啊，AVP啊，恐怕是不够深入系统底层吧。
毒霸虽不会像瑞星那样老失效的，但死一次机人家的托盘就挂一次，就算能正常运作也让人心惊胆战。这个就肯定是没深入底层了。同时毒霸在开垃圾的未知病毒检测时，实时监控反应受到极大干扰，已经不足以挡住任何ZIP包中的病毒。
以上三者，都犯了一个共同的杀软大忌，就是不重视后台的监控，只顾着前台作秀给人看。我都见过用它们的人从后台被已知病毒突破，如我们学校管大屏幕的电脑就是装瑞星后被一堆局域网中的Lovgate轰炸没的：实时监控不停地报警，内存中竟也冒出一堆病毒进程！
KV深不深入就不用说了。江民小气些，不过也不会像金山那样无耻地撒谎。深入底层是肯定的，毕竟“内存杀毒”“杀毒栏”都是独门武功。（应该说，自KV2003开始就有了，江民最近的宣传有些过分）
KV在实时监控上自然是天下第一了。只要你电脑不算差，“动态滤毒”绝对让人叹为观止。即便是用Net transport这些不支持任何杀软的软件，***带毒压缩包时一传完就报警，***exedll往往***才开始就报警了。这种能力等同于防毒墙，非常恐怖。在服务器上防ASP木马为有效。这是把后台监控做到了极至。
NAV、McAfee实时监控中规中矩，不过稳定。
SAV在网上争议就比较大。为什么呢，有必要向大家解释一下：SAV几乎是彻底靠实时监控吃饭的。SAV在普通的扫描能力上同于NAV，也就是一样的废。但SAV在实时监控开启时很多本来查不出的木马就不能执行了。这种功能使很多人认为SAV强悍。是吗？
①SAV这种功能同于调高警戒度调高误报率的歪门邪道式启发式扫描。比如说吧，一个正常exe文件你加个壳试试，有时也是这样。
这样一来，许多正常文件就打不开了，大家看着办。
②一旦病毒木马进入了内存，看你乍办。
③这样并不能保证万无一失，在Symantec没有够格特征库的现状下看你乍办。④SAV这招在你自己用木马实验时的确表现不错，但若是别人呢？
当木马通过网页木马，捆绑等真正的“正规”途径进来时，大家可以看看其表现。上次俺看到《计算机应用文摘》05年02期P47上有一张图片，那可真是吓人，用SAV的人在不能杀壳的金山瑞星的在线杀毒上竟都查出9个木马……….
我想各位SAV fans就无需多言了吧！(现在的“光华”也有类似于这样的功能 “置前杀毒”，真是照错葫芦画错瓢了)。
六、杀未知病毒能力
当今的杀毒软件对这一点都“非常重视”；所谓“重视”就是大肆做相关的广告；行为判断、虚拟机法、智能跟踪……如果这些都是实话，那么面对一个歪壳压的病毒，杀毒软件们理应报警，但事实上没有一个杀毒软件做到这一点，这些谎言也就不攻自破了。当今的杀毒软件的防未知病毒机制其实只有启发式扫描，即仅仅是扫描文件中的可疑代码。也就是说，如果解不了壳，再强的启发式扫描引擎也什么用也没有，由此，KV、AVP的表现大幅超过了其它的任何一款杀毒软件。在加壳病毒横行的今天，其它的杀毒软件几乎全是吃鸭蛋。
不论如何，毒霸、瑞星和AVP的误报率都还算比较高，尤其是前两者，几乎只有误报纪录，毒霸的实时未知病毒检测甚至会干扰到已知病毒检测，而且早期的毒霸6会把OfficeXP的几乎所有初始模版当作MicroWord.Generic及MicroExcel.Generic“病毒”，令人叹为观止！NAV与SAV及KV到目前为止我也没发现误报，不过NAV的未知病毒检测也不乍地，只是比毒霸、瑞星强了许多。其实NAV与SAV杀未知病毒的引擎蛮好的，绝对不比KV与AVP差，但实在是杀壳太差了。
不看误报率，只有AVP与KV的能力令人满意，AVP自然不用说，人家可是启发式扫描的鼻祖，具体能力大家也清楚。KV也是很强的，最经典的例子就是当年的KV3000不升级就可以挂掉冲击波！不过据说KV未知病毒检出率低于AVP，这也是为达到误报率为0所必须牺牲的。
大家注意，哪怕是KV、AVP，它们杀未知木马的能力也几乎为0，虽然也有少许例外，如KV杀得出magiclink等。
七、速度
首先对毒霸的“闪电扫描”提出质疑：
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢？安全至上呀。
②病毒经常是相互附身一齐出现的，这可是常识呀。
③鬼知道它扫的是哪100个病毒？
“闪电扫描”顶多是一个花哨的噱头，基本上没有人用，大家不必理会它。大多数杀毒软件速度都差不多，可以接受就行了，不必排先后。不过AVP由于支持杀壳，所以在开了杀壳后有些情况下速度慢了很多，不过没什么大碍。但瑞星令人实在受不了，慢得甚至出现了瑞星专杀工具速度跑不过其它许多完整杀毒软件的奇特现象……。KV还是表现不错，又支持杀壳，速度几乎是最快。
AVP，NAV，SAV与McAfee都偏慢。
八、集成度
老外们在这儿不得不出局：不支持QQ？Game over！
KV的集成度肯定是最高的：有了动态滤毒，KV等于是支持了一切***软件与***软件，同时效率最高。
毒霸及网镖在一次死机后图标全会消失不见，极不方便使用。瑞星用DLL进程守护解决了这个问题，不过同时也带来了无尽的资源占用与冲突问题……
其实除了AVP，象NAVSAVMcAfee这些杀软都很深入底层，只是他们实在没有好好利用，等于白搭。
九、压缩格式查杀支持（出于实用，我们只看ZIP与RAR）
KV：普通ZIP、超真空ZIP、RAR
AVP：普通ZIP、超真空ZIP、RAR
McAfee：普通ZIP、超真空ZIP、RAR
毒霸瑞星:普通ZIP、RAR
其它大多数国外二流杀毒软件：普通ZIP
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR。NAVSAV竟用特征代码法杀Lovgate产生的RAR包，真是没话说。如果有人研究一下supkp.z的机理，就会发现它们这些靠生成RAR自解包传播的病毒简直就是NAVSAV的克星！
十、资源占用与冲突：
KV资源占用最小，最多4兆内存，获得广泛好评，AVP则存在争议，我个人认为它还是比较耗的，在一台奔二上测试时尤其明显，我认为仅次于瑞星。（KAV.EXE进程虽然只占1兆多内存,但还有一个占十多兆内存的KAVSVC.EXE进程,许多白痴评测机构都把它看漏了!!）Norton毒霸一般般，但开了QQ后Norton资源占用暴升……瑞星这方面问题极严重，不仅是当之无愧的冲突王，也是万“死”不辞的资源占用王，有些配置稍逊的电脑在开了瑞星后，(只装瑞星)弹出右键菜单竟需3—5秒……另外好象有一个说法，就是装了瑞星后装其它杀毒软件,基本上都会起冲突：装瑞星后装毒霸，不开实时监控系统也爆慢，网上有人把Norton这样装则是根本进不了系统。当然也有例外，就看你的造化了。
此外纠正一些人单纯用资源占用率来衡量资源占用的做法：你把它们装在586上也是这个占用率吗？

总评：现在中国杀软市场上三大热门，全是废物！让我来清算一下：
瑞星：耗资湖易冲突，几乎不杀壳，速度慢，实时监控易失效，清活病毒能力垃圾级，漏杀！
金山毒霸：不杀壳，清活病毒能力垃圾级，未知病毒启发式扫描天下第一烂，普通实时监控与启发式病毒，实时监控冲突严重。
NAV：杀国产木马能力几乎为0，清活病毒能力为垃圾级中最差。速度慢，不杀壳，乱删乱破坏文件。
三种杀软中又以瑞星为垃圾级之王，其漏杀之甚，天下有第一而没有第二：天下没有第二个漏杀的杀软。冲突耗资源，那也没话说。瑞星是我见过的最废的杀毒软件：毒库不比KV毒霸全面，耗资源，易冲突，几乎不杀壳，速度慢，最烂实时监控，跳杀！这年头民间防病毒软件非常多，大的有十几兆，小的只有几十KB，没有一个有跳杀的问题，扫上7天对它们都算神话来的！毫不客气地说，这一点可以让我们确定，瑞星是全世界最废的杀毒软件，废得天下无敌！——谁不知道跳杀意味着什么？
毒霸也不用俺多说了，有时连进程都关不掉，懂一点杀软的都不理它，臭啊！
NAV等国外杀毒软件都很废，但许多崇洋媚外的网民都——自命不凡，不吃俺的套套理论，俺只好再细细道来一遍：
Symantec的任何杀软不管是NAV还是SAV，在国内都是“木马白痴”，其引擎自2001版始恐怕也无甚改变。Symantec入杀软界虽不是很早但也算元老，首创软件实时监控，但却不思进取。在俺眼里，无论当今的NAV、SAV还是Norton Internet、Security中的一切组件与同行相比，净是一堆废品。
McAfee，被人称“杀木马后门厉害”。俺眼中，这是极肤浅的偏见。那些人仅仅看到一面McAfee是杀壳王，却也不想想要做到“杀木马后门厉害”还需二项能力：本土化毒库与活病毒清除能力。
结果呢？McAfee一认不得黑洞2004815，二像AVP一样毒库有问题查毒不彻底，三是活病毒清除能力属垃圾级，查内存连dll都不查还谈何后门木马？就算国内后门界乏人，随便一个dll插入都杀不动，hacker’s door都不用说了，要杀hxdef就更是放屁了。(个人认为，目前对付hxdef最好的法子是KVDOS杀毒盘)。
一代天骄AVP，民间俗称卡吧死机，虽混出个毒库第一，大家也不看看一撞上活病毒，AVP就现出一脸颓相。实时监控在低端机上失效，是中高端也让人够呛。不是因为病毒死机，卡吧也会让你死机。
为什么在本评测中出现了KV一边倒的情形？我是枪手乎？
非也，本人大费口舌的原因就是一个观点：
本评测以外的任何评测无论或所谓”权威”与否,全部不科学.
这些评测都是胡弄人,玩数字游戏,比如吧,下面请看本人在Xfocus上骂离子翼安全实验室2004杀软评测的话:
“hehehe,离子翼信息安全实验室的评测错误比我的文章中的肯定还要多:比如吧,测杀壳时他们错得一塌糊涂,真的是一塌糊涂。
还有清除率的问题:现在的杀毒软件有时会把清除报为删除,删除报为清除;norton乱隔离叫"发现的病毒基本上可以安全的进行处理";杀毒软件把文件式病毒弄得只剩几字节叫"清除".多层ZIP包查杀中一定要拿人家本来就杀不出的病毒来测;已触发的病毒根本不测：AVP的弊病你们看到了吗,lovgate大混战除了KV又有谁能解?金山毒霸不能杀RAR你们只看查（毕竟人家测的不是“增强版”）,Norton杀不得黑洞你们不看,瑞星漏杀你们不看,24:44的瑞星检测时间简直是天方夜谈(你们也不考虑系统资源)……
不说了,我才粗略的看了两遍而已.其它评测的弊病,莫过于此.要跟我牛,离子翼信息安全实验室还差点儿.典型的数字游戏。
本人文中这样写到:（最流行的旧版杀软黑幕，十月初的改版）
1．一个评测如果只看重病毒库，那么只说明这帮白痴压根儿就不知道木马加壳术，不认可加

没问题，我也是这样做的。效果挺好

可以啊？