殺毒軟件市場怪現(xiàn)象之 誤殺、暗殺、被暗殺

申請免費試用、咨詢電話：400-8352-114

最近炒的很熱，并且引得兩位行業(yè)老大戟指嚼舌的事件就是360安全衛(wèi)士誤殺瑞星個人防火墻一事。按瑞星的官方說法：引擎版本為7.20245的360殺毒軟件存在誤殺行為，將瑞星個人防火墻的Hookurl.sys文件當作病毒攔截并刪除。已安裝了瑞星個人防火墻的用戶，Hookurl.sys文件被360殺毒誤殺后，惡意網(wǎng)址過濾功能無法正常使用。

在殺毒軟件靠特征碼識別的基本原則下，出現(xiàn)“誤殺”事故本不新鮮，過去一旦發(fā)生這樣的情況，通常是雙方立刻溝通協(xié)調，將事故消弭于無形——公諸于眾，彼此顏面上都不怎么好看。然而這一回的情況卻截然不同了，初出茅廬的安全衛(wèi)士居然敢在稱霸中國市場的老大頭上動土，這顯然不是“誤殺”，而是別有用心的“暗殺”！

比起無心之失，“暗殺”可演繹的空間就多了，完全可以上升到企業(yè)主RPWT的層面進行鞭撻。因此“暗殺”說一出，緊跟其后的就是瑞星義正言辭的指責和貼滿各個IT網(wǎng)站的如山鐵證。

其實當面叫板也好，背后捅刀子也罷，殺毒軟件相互沖突本是不爭的事實——瑞星用戶如果想裝江民，就必須把瑞星卸掉，否則你的機器就會出現(xiàn)死機、藍屏，甚至無法啟動的現(xiàn)象。反之亦然。這一沖突的緣由，一方面較為客觀的原因是殺毒軟件越來越深入系統(tǒng)底層實現(xiàn)監(jiān)控，如果多個殺毒軟件同時啟動，難免產(chǎn)生爭奪系統(tǒng)資源的嚴重沖突。另一方面，以占領終端為目的的殺毒軟件廠商，顯然更喜歡對他人取而代之，而不是求同存異。

不管怎么說，被“殺”的總容易博取公眾的同情心一些，況且兇手一方的大當家至今還頂著“流氓軟件教父”的帽子。未想到的是，眼球效應也引出了讓人瞠目結舌的新發(fā)現(xiàn)。有網(wǎng)友稱，瑞星7月29日發(fā)布的20.55.12版本中 “HookUrl.sys”文件與此前版本的文件是不同的，而這個文件從2007年10月份“瑞星2008”開始公測一直到2008年7月29日這10個月內沒有任何變化。但7月29日瑞星做修改后就發(fā)生了被誤殺的“驚人巧合”（實際上是7月22日修改完畢的，在7月29日20.55.12版本中進行的更新）。

通過對新舊HooKUrl.sys反匯編后的比較，這位網(wǎng)友還發(fā)現(xiàn)更新后的HooKUrl.sys文件內容與更新前的文件程序流程完全一致，只是變量定義的位置分布不同。盡管功能一模一樣，新版本的HooKUrl.sys編譯路徑也換了位置，此前版本的Hookurl.sys編譯路徑很規(guī)范，如： “C:DistributedAotuLinkTemphookurl.sys_N10847Release

firewalldrivers32hookurldriver” ，有服務器名、產(chǎn)品名稱、編譯類型、產(chǎn)品類型、可執(zhí)行文件類型、運行平臺、可執(zhí)行文件名等等。 最新版本的HooKUrl.sys編譯路徑成了 C:DistributedAotuLinkTempCompileOutputDiri386。此君不由發(fā)出喟嘆：“難道瑞星最近研究發(fā)現(xiàn)，后者更好更規(guī)范？”發(fā)現(xiàn)者還據(jù)此推論：從技術上來說，某些殺毒軟件廠商完全可以針對競爭對手的某款產(chǎn)品，故意在自己的產(chǎn)品里放一段特征碼來造成誤報。

對于非專業(yè)人士來說，要查證這般吊詭事件背后的真相，顯然殊為不易。但對于已經(jīng)熟悉了各種各樣“被自殺”事件的公眾而言，再接受一次區(qū)區(qū)殺毒軟件業(yè)的“被暗殺”也不會有什么心理障礙。

無獨有偶，四年前陳先生和呂女士就在地區(qū)領導人選舉前被同樣吊詭地“暗殺”過。 （cioage）