殺毒軟件市場(chǎng)怪現(xiàn)象之 誤殺、暗殺、被暗殺

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

最近炒的很熱，并且引得兩位行業(yè)老大戟指嚼舌的事件就是360安全衛(wèi)士誤殺瑞星個(gè)人防火墻一事。按瑞星的官方說法：引擎版本為7.20245的360殺毒軟件存在誤殺行為，將瑞星個(gè)人防火墻的Hookurl.sys文件當(dāng)作病毒攔截并刪除。已安裝了瑞星個(gè)人防火墻的用戶，Hookurl.sys文件被360殺毒誤殺后，惡意網(wǎng)址過濾功能無法正常使用。

在殺毒軟件靠特征碼識(shí)別的基本原則下，出現(xiàn)“誤殺”事故本不新鮮，過去一旦發(fā)生這樣的情況，通常是雙方立刻溝通協(xié)調(diào)，將事故消弭于無形——公諸于眾，彼此顏面上都不怎么好看。然而這一回的情況卻截然不同了，初出茅廬的安全衛(wèi)士居然敢在稱霸中國(guó)市場(chǎng)的老大頭上動(dòng)土，這顯然不是“誤殺”，而是別有用心的“暗殺”！

比起無心之失，“暗殺”可演繹的空間就多了，完全可以上升到企業(yè)主RPWT的層面進(jìn)行鞭撻。因此“暗殺”說一出，緊跟其后的就是瑞星義正言辭的指責(zé)和貼滿各個(gè)IT網(wǎng)站的如山鐵證。

其實(shí)當(dāng)面叫板也好，背后捅刀子也罷，殺毒軟件相互沖突本是不爭(zhēng)的事實(shí)——瑞星用戶如果想裝江民，就必須把瑞星卸掉，否則你的機(jī)器就會(huì)出現(xiàn)死機(jī)、藍(lán)屏，甚至無法啟動(dòng)的現(xiàn)象。反之亦然。這一沖突的緣由，一方面較為客觀的原因是殺毒軟件越來越深入系統(tǒng)底層實(shí)現(xiàn)監(jiān)控，如果多個(gè)殺毒軟件同時(shí)啟動(dòng)，難免產(chǎn)生爭(zhēng)奪系統(tǒng)資源的嚴(yán)重沖突。另一方面，以占領(lǐng)終端為目的的殺毒軟件廠商，顯然更喜歡對(duì)他人取而代之，而不是求同存異。

不管怎么說，被“殺”的總?cè)菀撞┤」姷耐樾囊恍?，況且兇手一方的大當(dāng)家至今還頂著“流氓軟件教父”的帽子。未想到的是，眼球效應(yīng)也引出了讓人瞠目結(jié)舌的新發(fā)現(xiàn)。有網(wǎng)友稱，瑞星7月29日發(fā)布的20.55.12版本中 “HookUrl.sys”文件與此前版本的文件是不同的，而這個(gè)文件從2007年10月份“瑞星2008”開始公測(cè)一直到2008年7月29日這10個(gè)月內(nèi)沒有任何變化。但7月29日瑞星做修改后就發(fā)生了被誤殺的“驚人巧合”（實(shí)際上是7月22日修改完畢的，在7月29日20.55.12版本中進(jìn)行的更新）。

通過對(duì)新舊HooKUrl.sys反匯編后的比較，這位網(wǎng)友還發(fā)現(xiàn)更新后的HooKUrl.sys文件內(nèi)容與更新前的文件程序流程完全一致，只是變量定義的位置分布不同。盡管功能一模一樣，新版本的HooKUrl.sys編譯路徑也換了位置，此前版本的Hookurl.sys編譯路徑很規(guī)范，如： “C:DistributedAotuLinkTemphookurl.sys_N10847Release

firewalldrivers32hookurldriver” ，有服務(wù)器名、產(chǎn)品名稱、編譯類型、產(chǎn)品類型、可執(zhí)行文件類型、運(yùn)行平臺(tái)、可執(zhí)行文件名等等。 最新版本的HooKUrl.sys編譯路徑成了 C:DistributedAotuLinkTempCompileOutputDiri386。此君不由發(fā)出喟嘆：“難道瑞星最近研究發(fā)現(xiàn)，后者更好更規(guī)范？”發(fā)現(xiàn)者還據(jù)此推論：從技術(shù)上來說，某些殺毒軟件廠商完全可以針對(duì)競(jìng)爭(zhēng)對(duì)手的某款產(chǎn)品，故意在自己的產(chǎn)品里放一段特征碼來造成誤報(bào)。

對(duì)于非專業(yè)人士來說，要查證這般吊詭事件背后的真相，顯然殊為不易。但對(duì)于已經(jīng)熟悉了各種各樣“被自殺”事件的公眾而言，再接受一次區(qū)區(qū)殺毒軟件業(yè)的“被暗殺”也不會(huì)有什么心理障礙。

無獨(dú)有偶，四年前陳先生和呂女士就在地區(qū)領(lǐng)導(dǎo)人選舉前被同樣吊詭地“暗殺”過。 （cioage）