发信人: yorke120()
整理人: emil(2001-03-07 09:07:14), 站内信件
|
KVW3000(国际版)抄袭AVP——伤心的发现
前天买回一个KV3000,其实根本不是想用,就是傻傻的
为了支持一下所谓的民族软件产业。但我没想到,我买回
来的或许就是一个“盗版”AVP。
KVW3000光盘中分为两个版本,一个国内版、一个国际
版,国内版好象就是原来那个KV3000W预览版,国际版就
是一个声称能杀4万种病毒的版本。这两个版本根本就不
是一个软件,除了界面相似,程序结构风格包括对病毒命
名完全不同。
而我首先发现KVW3000所谓国际版的病毒命名规则竟
然与我机器上的AVP一模一样,因为中国反病毒产品暴出
过多起抄袭丑闻,我有了个大胆的猜测,KVW3000是不是
抄袭了AVP。
由于我对AVP有所了解,分析很快验证了我的猜测,
KV3000目录下有四个LIB,A、B、C三个数据库就分别是
从AVP的多个AVC文件捏合加密压缩而成。其中不仅仅包括
了查毒机制和病毒库结构和数据,KV3000解压缩的机制也
是完全通过,把AVP的extract.avc和unpack.avc放在自身
中,再调用来完成的。
特别令人气愤的是,抄袭者的抄都不细致,有对付的
嫌疑。AVP对病毒检测判定结果有几种,一种当然是无毒,
一种是detected(发现),在DOS VERSION中是infected
(被感染):,表示确认有某个已知病毒,一种是warning
(警告):表示检测特性比较类似某个已知病毒,再一种
就是suspicion:,表示怀疑是未知病毒,类似suspicion:
Type_comTSR,就表示该程序可能有驻留内存的特性。AVP的
CA库就是来评估可疑文件的,通过这种加权的智能扫描,能
够对有类似驻留内存等可疑特性的文件报警,经过CA的加
权扫描,得出的就是类似suspicion:Type_comTSR的提示。
而KV3000对CA.avc的调用根本没考虑到这点,统一采用‘
发现病毒“的提示,于是竟然会给出类似“发现病毒:Type
_comTSR”这样根本不准确的提示。另外那个叫U的LIB,是
升级库,没有仔细分析,不过我估计江民公司做了一个转换
程序,把AVP的UPXXXXX.avc转成KV3000U.Lib。这样,今后
江民公司不用分析任何新病毒,只要跟着AVP走的就完了,
只要AVP的病毒库结构不变,江民公司连程序员都不需要了
,只要AVP一升级,运行一下转换程序,把AVP新的升级文
件转成自己的格式就完了。
面对这哭笑不得的事情,我确实有话想说:
我也曾经是个KV系列的用户,当时父亲单位买了一个正
版的KV100,拿回家,就查出家里的286上有病毒。当时我
也有最新的KILL解密版,但查不出病毒。我当时觉得KV100
真是宝贝。而且当时免疫90免费发都不准,KILL一直垄断,
我就特别看不过去。
不过也曾简单分析过KV的程序,应该说一些病毒处理是有些技巧
的,但整个程序的工程化思想太差了。
但是后来它总是杀坏了WORD文件,我就不用他了。后来看
到网上很多大侠都说KV300如何不好,和国外的没法比。他们
很多人推荐AVP好,我于是就到网上找了一个KEY,改为用AVP了。
AVP确实非常不错,实时监控非常稳定,支持解压缩的格式特
别全,因为自己也做了程序员,而且一直用汇编,所以就决心
剖析一下AVP,不过自己水平确实不行,也没什么更多的心得。
但AVP结构的规范严谨,算法的巧妙确实非常令人赞叹。
特别是AVP的资源完全采用OBJ结构,调用调试起来非常方便。
后来网上有传闻,说AV95是抄袭AVP的,对AV95分析了一下,
可乐的是AV95里面竟然还能找到AVP的提示信息。后来又有传闻
说,AV98抄袭AVP,虽然没分析,但听说,AV98的刘杰就是从AV95
的经伟出来的,估计也跑不了。
尽管自己给外国人打工,但见过的老美的软件工程师也没觉得
多厉害,所以一直觉得中国人也该做出好的杀毒软件来。曾经
试用过瑞星和VRV,一对比就知道和人家相差不是一年半载的。
就都UNINSTALL了。后来金山毒霸出来了,但很快我就看到了SAC
大侠的帖子,揭发金山抄袭趋势。我也就没兴趣了。说句实在话
我特别支持国产软件,不管他多烂,我买过好多国产软件。WPS97
,金山糍粑,血狮,剑侠情缘,决战朝鲜,超级解罢,还有一堆
国产LINUX,不过除了词霸,这些都删了,可以说,我对国产软件
够伤心的了。
前几天,看到KV3000的宣传广告,说能杀4万病毒,能解多种
压缩包什么的。当时觉得江民公司技术上一直没什么发展,连
市场第一都被瑞星给抢了,也许养精蓄锐,真卧薪尝胆编出东
西了,当时不长记性,又发了恻隐之心。就又买了一盒。不过
当时也嘀咕,就凭KV300的水平看,
能编出这么好的东西来?不知道江民公司聘了多少高手(如果
广告上没吹牛的话),还没开包装盒的时候,在网上和一个朋
友聊了聊,他说听说KV3000不是江民公司做的,是外包给高手
做的。其实我对这个倒不在乎,只要东西能作好,服务能跟上
就成,外包也是很流行的。
装上软件之后的事情,就是文章开始的那些了,我的心情
可想而知。
早先有KV100用一个盗版的加密工具做指纹盘的传闻,
此事当然难以辨别真假,不过应该说,对于非常难过的
中国软件行业来说,反病毒行业应该是风水宝地了,至
少不应当缺钱。金山最开始抄袭趋势,但被SAC大侠剖析
出来后,也就购买了DR WEB的引擎。想用人家的引擎和库
,为何不能堂堂正正去用MONEY来换,而要偷呢,
当年,如果不是因为初衷是打击盗版,KV300 L++放置有害
程序的恶性事件有关部门怎么会让江民公司轻易过关呢。
可以说,希望大家买自己的正版是希望获得尊重,也肯定
知识的价值,那么想要别人尊重自己,也要尊重别人,自
己什么都不做,直接把别人的软件当成自己的OBJ来调用,
这难道不和盗版一样可耻么?而且盗版最多是不给作者钱
而已,但还给作者扬名,而这种抄袭连作者的署名权都
剥夺了。
其实笔者并不反对学习别人的先进经验,笔者也剖析过别
人的产品,但是类似KV3000这种直接调用人家的二进制资
源的方法,连必要的分析都没有,根本就没弄清楚人家的
结构,技术上更谈不上提高了。说句离谱的,假定说AVP
里有个后门,KV3000就有个后门了。
当年KV300尽管质量不行,但还打出中国病毒要用中国的
杀毒软件杀的宣传口号,怎么说也有一点气概。如今,
怎么会沦落到这样的地步。也许AVP对中国市场不感兴趣
,不在乎有人抄袭,但KV3000就算是叫了国际版,但是真
的能到国外卖么,如果AVP起诉他怎么办。
听说KV300赚了上亿的利润,为什么不能好好用这笔钱聘
用能人高手,好好编编软件,与国外的几大反病毒厂商掰
一掰手腕呢?其实,中国的安全最终也要靠自己解决,我
想更主要的,要靠中国自己的公司来解决。因此我不赞成
中国毒岛、蓝海、江海客、SAC这些前辈那种掘墓式的方
法,写这篇文章,也并不是为了步他们的后尘。我只是
比较伤心而感慨而已,可以说,我没有退过任何一个我买
过的国产软件,即使我非常不满意。有时候,因为自己是
个外企程序员,我只是为了找找为中国人写的东西掏点银
子的那种感觉。
KV也好,瑞星也好,中国的其他软件都一样,无论你们怎
么吹,怎么炒,我并不在意,谁起步都不容易。但当你们
有了钱的时候,是该把东西做好的时候了,毕竟你们已经
有了规模和品牌,有了国内用户的信任,如果不好好做,
就太可惜了。
|
|