ITnews 版 (精华区)
发信人: petrel (紫燕*自在飞花轻似梦*燕燕于飞), 信区: ITnews
标 题: 杀毒引擎一笔烂帐 国产杀毒软件软肋突显
发信站: 哈工大紫丁香 (Wed Apr 16 19:51:03 2003) , 转信
杀毒引擎一笔烂帐 国产杀毒软件软肋突显
(2003.04.16) 来自:Chinabyte 高守
说起反病毒引擎,在全球计算机病毒史上,曾经出现过两个比较著名的人物。
一是俄罗斯的Eugene Kaspersky。1989年,Eugene Kaspersky开始研究计算机病毒现
象。从1991年到1997年,他在俄罗斯大型计算机公司“KAMI”的信息技术中心,带领一批
助手研发出了AVP反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人
之一。2000年11月,AVP更名为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒
研究员协会(CARO)的成员,该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和
病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。
另一位是Doctor Soloman。他创建的Doctor Soloman公司曾经是欧洲最大的反病毒企
业,后来被McAfee兼并,成为最为庞大的安全托拉斯NAI的一部分。初期,McAfee与欧洲的
一些杀毒软件公司经常兴起口舌之争,但是自身杀毒引擎并不出色,于是McAfee停用自己
的杀毒引擎,转而使用收购来Doctor Soloman产品的引擎。
AVP虽然是技术的巅峰之作,但由于长时间懒于开发市场,很长时间里用户并不多,导
致部分的开发人员流失。俄罗斯的另一家反病毒产品Dr.Web,与AVP有很深的渊源,而Sym
antec NAV的主力开发人员里面,也可见Eugene旧部的身影,还有人跳槽去了McAfee,但这
始终也改变不了AVP是全球顶级反病毒引擎的事实。
但由于历史的渊源,Eugene Kaspersky最终还是决定淡化AVP(AntiVirus Tookit Pro
)这个名字,而代之以KAV(Kaspersky Anti-Virus)。
而在中国,从90年代开始至今的杀毒软件市场,KILL一统天下的结局被终结后,瑞星
、江民、金山、交大铭泰等国内杀毒软件厂商逐渐把持了大部分市场。疯狂降价、媒体造
势、诉讼官司这类已经被国外市场认为过时的交锋,在中国一幕又一幕的上演。现在,更
是有外国厂商想进来,中国厂商想出去,两者之间也开始纠缠着牵扯不清的“关系”。
枪打出头鸟 金山引爆杀毒引擎涉外话题
从2002年开始,外界就盛传“金山公司在2000年9月购买了俄罗斯Dr.Web引擎的授权,
当时只签了一年使用权,于2001年9月到期”,后来《21世纪经济报道》的一则报道《金山
毒霸涉嫌盗版杀毒引擎》,使这一问题公开化。
金山软件股份有限公司(以下简称“金山”)的两大竞争对手北京瑞星科技股份有限公
司(以下简称“瑞星”)和江民新科技术有限公司(以下简称“江民科技”)两家公司率先站
出来说话,声明与此报道事件无关。但报道中多次出现“瑞星”字样使金山公司再难平静
,金山对瑞星积累许久的新仇旧恨也随之爆发。
瑞星公司的证据来自俄罗斯Dr.Web方面的一份传真件,“金山杀毒引擎的使用权确实
是2001年9月份到期”,而金山公司一直以商业秘密为由拒绝向外界澄清,两家官司进展出
现活结,一切取决于俄罗斯Dr.Web的态度。
关于此事,出现了不同后续版本,其中一个是:因为杀毒引擎事件的曝光,金山公司
高层大为恼火,派出2002年6月刚上任的主管技术副总裁王涛,与营销副总裁王峰一起同俄
罗斯方面进行交涉,准备续签第二年的合约。
金山公司一直怀疑瑞星公司与俄罗斯方面联手施加压力,所以表现得很谨慎,而俄罗
斯方面也咬定价码不松口,从2003年初开始,互相谈了很长一段时间。近期,来自金山内
部的消息称,离最后续签的日期已经不远。
直到现在,金山公司毒霸技术总监陈飞舟依旧使用当初签约时允许的“中俄全球病毒
监测网中方负责人”头衔,经历过“蓝色安全革命”,并将杀毒软件价格拉到谷底的金山
毒霸仍然在市场销售。
“我们从来没有非法使用,”金山公司营销副总裁王峰一口否定外界说法,“2000年
底开始采用双引擎,是出于优化杀毒技术考虑,被人说抄袭是因为太受关注,金山是惟一
承认合法使用国外引擎的公司。”
其实,金山毒霸曾研发过自己的引擎,始于1997年,当时有十几个人,为了稳妥起见
,一直到1999年4月的时候才拿出测试版本。从1999年4月到2000年底,金山一直以free的
方式发布毒霸测试版,2000年11月底市场上开始销售毒霸正式版。
2000年至2001年间,WPS的研发成本在2000多万,卖出去的产品回款也不利。那时候,
金山公司WPS研发组里面都是精英,而且想把毒霸研发负责人陈飞舟调去WPS组。可是陈飞
舟离开一段时间之后,毒霸开始一蹶不振……毒霸的杀毒引擎由陈飞舟主写,重写了几次
。
金山明白,逾越十几年的技术积累不是很容易的事情,包括样本的积累,都是一个过
程,更不要说是虚拟机、大量病毒特征的提取和清除模块等等。完全自主研发的杀毒引擎
难免和国外产品有一定的差距,金山为此请到了对国外反病毒产品剖析得非常透彻的刘杰
担任技术顾问。这本来一直是金山讳莫如深的,但由于传闻来自金山财务部的一个文件泄
漏事件,相关合同文件被网上公开。根据这些资料看,金山得到了刘杰积累的病毒样本,
和一些其他方面的支持。
而在1999年到2000年之间,金山公司在市场调查时发现,很多用户都使用两套杀毒软
件,其中包括国际流行的杀毒软件诺顿、PC-cillin。最后,由金山公司总裁雷军拍板,“
使用两个杀毒引擎”。
在选择国外杀毒引擎期间,金山公司曾经与很多国外厂商进行过谈判,最早与趋势科
技签下协议,在初期版本里确实曾加入趋势产品PC-cillin的杀毒引擎。
当时,金山公司一直宣传自主研发,强调知识产权,权衡考虑,雪藏了这段历史。而
趋势也对此非常低调,包括自己在中国境内的代理乐亿阳都没有告知。
但当时一个著名的中国cracker SAC的出现,打乱了金山的部署。SAC经过对比分析,
得出了金山抄袭趋势的结论,这让金山百口难辨,并导致此事被趋势在中国的独家代理商
乐亿阳知晓。“凭什么中国出现两个趋势引擎?”乐亿阳频频向趋势施压,加速了金山与
趋势初步联姻的失败。最后,金山公司改用Dr.Web的杀毒引擎,当然Dr.Web的部分技术也
来源于AVP。
金山公司对外宣称的杀毒双引擎属于非叠加式引擎。叠加式引擎的杀毒过程较慢,例
如说杀450个文件病毒,可能报有900个,因为两个引擎都查一遍。金山是非叠加式引擎,
金山引擎与Dr.Web两者互补,毒霸的整体杀毒过程比其他双引擎软件要快。这也使金山在
病毒库的自由定义使用上下了功夫,这就是金山毒霸2003版本“闪电杀毒”的秘密所在。
郑州帮进驻 江民科技涉嫌使用AVP引擎
前段时间风传业界称为“王老师”的王江民控股北京中关村所有的肯德基快餐店,记
者调查,其实王老师更大的精力已投入房地产行业,他也并不卖肯德基食品,只是肯德基
一直使用王江民出租的房产。
虽然王江民已经“淡出江湖”,但是据知情人讲,其实王并没有放权,江民公司大小
事情都要通过王江民同意,连申请加班费用也需经他签字。王江民每天9点钟上班,晚上5
点半公司下班后,他还在,通常晚一小时下班,整个江民公司的运营还在他掌控之中,江
民公司还是属于“一个人的公司”。
据了解,王老师其实已经很久不解病毒,最近的一次是几年前曾解杀过CIH病毒。
“江民的那张软盘是纯粹的国货,”一位熟识江民的人士说,“但江民公司在Window
s下开发的一些杀毒软件,包括网络版、单机都有AVP的影子。”
属于江民自己的产品,也就是硕大的KV产品包装盒中那张标记有“A:”字样的KV杀毒
软盘,那是KV老版本,是由王江民亲自研制的。但是,现在很少有人用KV软盘杀毒,除非
是做一些数据修复方面的事情。
江民现在的杀毒引擎,由原行天98的开发人刘杰、王磊、何公道编写。而很久以前,
业内就盛传,行天98是利用AVP公司杀毒引擎产品的漏洞,将AVP杀毒引擎拿出来,把病毒
库提炼升级,再运用到江民杀毒引擎中。
刘杰、王磊、何公道都是来自河南郑州,是当年中国通用软件历史上赫赫有名的郑州
帮成员,刘杰在未进江民公司之前,曾经在金山公司当过一年的技术顾问。另两人王磊、
何公道很早以前就为江民公司研发了KV3000;后来由现任江民总经理的常进喜,说服王江
民亲自出面,邀请刘杰加盟,刘杰现在是江民公司总工程师。
很久以前,AVP杀毒引擎“解决办法”在法国被解密,此后一直被许多国家的杀毒软件
“借用”,使得Kaspersky实验室忙不迭地到处打击盗版。同时,随着AVP产品被盗用得越
来越频繁,AVP近亲产品的“市场占有率”空前高涨。
2002年,Kaspersky Labs的总经理,Eugene Kaspersky的妻子拜访了江民公司,具体
内容不得而知,但也许只是一次礼节性的访问,当时她正在天津病毒检测中心参加一次会
议。
不过传闻,AVP刚进入中国的时候,江民公司开始有点“慌”,至少修改了病毒的命名
方法。
刚刚经历过人事调整的江民公司,从事病毒研发的只剩下十几人的研发队伍,据称,
分任研发部正副经理的王磊和何公道事必躬亲。刘、王、何的组合,技术上确实够灿烂,
但对走出个人英雄主义时代,已经产业化作业的反病毒领域来说,江民的明星引进战略还
有待品评。
记者还了解到关于江民使用杀毒引擎的另一个版本,“刘杰曾经与AVP一起进行过研发
合作,AVP部分病毒记录由刘杰添加,AVP也曾私下里给过刘杰一定时期的授权”。
单单就江民KV现有产品来看,并不是简单的对AVP的2进制模块移植,库也有一定不同
。只有两种可能,要么是在借鉴的基础上,重写了大量模块,要么可能像传闻所说获得了
源码级授权,可能是默许下的借鉴,或者是私下的合作。
界面研发学金山 韩国安博士托起东方卫士
长久以来,在公司发展及战略规划方面,交大铭泰软件有限公司(以下简称“铭泰”)
一直很难摆脱跟跑金山的模式。
有人开玩笑说,金山在软件市场的四面征讨,和铭泰的不断紧跟“骚扰”,是中国通
用软件产业的特色景观。
有人说,“金山不需要市场调研,因为调研了也不知道该开发啥,啥火就做啥,争取
把别人挤垮;铭泰也不需要市场调研,也不知道该做啥,干脆看着金山做啥就做啥”,“
金山做词典,铭泰做词典;金山做快译,铭泰做快译;金山做病毒,铭泰做病毒”,铭泰
杀毒产品所体现的多面性,也许是对铭泰产品发展现状的最好说明。
在很多业界人士眼里,铭泰一直没有给人留下大公司的印象,但其运作能力却毋庸置
疑。2003年4月,铭泰总裁何恩培获得中国十大软件领军人物,与微软、甲骨文公司排在一
起;初春,铭泰与微软两家公司的员工扛着铁锹奔赴北京郊区植树,与东方卫士险些胎死
腹中的危情时刻相比,走在队伍前面的何恩培,此刻要意气风发得多。
此时,单机版杀毒引擎已换成来自韩国安博士公司的授权,交大铭泰杀毒软件产品东
方卫士网络版也悄然进入市场,据说与单机版不同,网络版使用的是西班牙熊猫软件公司
的引擎。
据传闻,2001年11月,刚刚进入杀毒市场的铭泰收购上海创源,东方卫士的很多技术
是在创源安全之星基础上的升级研发。消息人士进一步透露,虽然上海创源曾收购因高层
管理人员离婚而分家的南京信源公司,并购买了VRV2000防病毒软件的知识产权,但是创源
安全之星仍然有很多技术采用了国外AVP杀毒引擎。
该人士举例说,东方卫士最早的版本中,继承了AVP产品某个早期版本中的瑕疵,连部
分误报现象都一样。对此铭泰当然矢口否认。
“不可能,我们自己有很强的研发实力,不一定要国外的引擎才能生存,实际上东方
卫士还是双引擎,”交大铭泰公司副总裁,信息安全事业部总经理朴圣根说,“跟其他公
司不一样,铭泰与韩国安博士的合作是考虑到未来长远发展。”
当被问及近期安博士杀毒软件进入中国,并由上海朝华软件代理其产品这一敏感的问
题时,朴圣根说,安博士进入中国与铭泰本质上没有冲突,铭泰主推自有品牌“东方卫士
”,对于安博士杀毒引擎的使用,也并不是简单汉化与抄袭,而是技术深层次的合作,“
对外不推广安博士品牌,对外界也很少宣传安博士。”
朴圣根表示,东方卫士刚推出市场的时候并没有用国外的杀毒引擎,后来考虑到进军
东南亚市场,而国内病毒和国外病毒的机理不太一样,选择国外杀毒引擎更适合国外环境
,所以在其新产品中采用双引擎技术。
他认为,朝华软件实际是帮助韩国安博士公司推广品牌,不同于铭泰和安博士之间的
合作方式,朝华软件完全使用韩国的技术,相当于安博士产品的汉化版。
朴圣根的回答,令东方卫士的引擎迷雾更加扑朔迷离。
东方卫士2002年刚上市时,有网友将其定为“金山毒霸(东方卫士版)”,究其原因是
软件界面与金山毒霸非常相似,连某些具体功能的名称都有所相同。
一位了解东方卫士研发经历的朋友向记者透露,东方卫士单机版和金山没有关系,说
“东方卫士是金山毒霸翻版”是不正确的,金山的界面借鉴了国外很多出色的软件,而且
金山本身有很强的美工力量,所以设计得很漂亮,大家向学习金山艺术化界面风格也无可
厚非。
这个知情者还透露,铭泰之所以选择韩国安博士,并不是因为安博士的技术好,而是
因为其授权价格便宜,与其继续冒风险“抄袭”,不如选择花钱使用有国外厂家授权的杀
毒引擎。
国产软件何处去 各方坦言知识产权危机
熊猫软件(中国)有限公司(以下简称“熊猫”)总经理何支涛接受记者采访时说,熊猫
并没有将杀毒引擎正式授权给铭泰网络版使用,虽然先前签过一纸协议,但对方相关款项
一直没有交付,“如果铭泰新版本里含有熊猫软件杀毒引擎,那是一定是盗用。”
何支涛解释说,熊猫公司并没有对交大铭泰进行任何引擎授权,而是仅仅将熊猫网络
版产品中的一款 “PPS”的网关防毒产品类似OEM给交大铭泰,并且授权有日期限制,产
品里还包含熊猫LOGO及公司标识。他表示,因该项技术并不属于熊猫软件的核心产品,所
以有偿授权给其他厂家使用对熊猫软件市场销售没有太大影响。
他认为,国内软件企业普遍使用国外杀毒引擎这种现象,与国内企业自身研发水平不
高有关系。杀毒软件技术研发难度大,一是需要技术积累,二是需要技术团队建设。如果
纯粹使用国外技术,可持续发展性不够。
“并不是说国内企业没有完全成功的可能,”何支涛说,“但是,难度、风险及不可
控因素会大大增加,绝对不建议未经授权使用杀毒引擎,应该要反对。”
瑞星科技股份有限公司研发副总裁谈文明认为,如果确实有某些国内厂商盗用国外杀
毒引擎的话,这样做是非常可耻的行为。特别是在中国已经加入WTO、知识产权的问题已经
引起全社会关注的情况下,发生这样的事情是让人震惊和痛心的。知识产权的危机在反病
毒软件行业的确是比较严重的。“如果侵权盗版的事情被放任下去,厂商们都靠盗版来打
价格战的话,有可能整个行业都被拖死。”
当问及是否瑞星有使用国外病毒引擎现象时,谈文明称,瑞星在研发上的投入使其拥
有了足以抗衡国际同行的反病毒和信息安全核心技术,“外国人能做好的中国人也能够做
好,用不着去盗取。”
他认为,从国外成功的软件企业发展来看,普遍规律是一样的,国内企业应该寻找恰
当的产品和市场方向,脚踏实地,做好技术开发工作,要舍得投入资金和人员。
“国内其他公司使用AVP引擎的事情,如果在我们引入产品前就发生,那是相关国内公
司与软件著作权人的事情,需要总部与其进行交涉,”北京乐亿阳科技有限公司副总经理
蔡枢说,“如果在乐亿阳将AVP产品引入中国后再发生这样的事情,乐亿阳将一追到底,现
在国内已有完备和强大的法律后盾。”
蔡枢介绍说,乐亿阳与趋势产品的销售业务已经“断开”很久了,但国内使用趋势产
品的一些骨干性金融、电力系统和其他行业的用户,仍坚持请乐亿阳提供专业的反病毒服
务。现在乐亿阳独家代理AVP产品,俄文名Kaspersky Anti-Virus,在全球注册的中文名称
叫“卡巴斯基”,乐亿阳与俄罗斯卡巴斯基实验室之间确认的合作关系是紧密和牢固的。
俄罗斯杀毒软件之所以非常强大,是因为俄罗斯有国际顶尖的数理科技领域的特殊人
才及优良的传统,这些专业人才的培养不是三年两载就能成功的。
他表示,乐亿阳公司与俄罗斯卡巴斯基实验室是合作伙伴,乐亿阳销售AVP的产品,向
国内的AVP用户提供优质和专业的服务,还将全力维护AVP产品的所有利益,包括著作权、
版权,这已受到中国政府和中国法律的保护,各地的版权局也都非常重视、权力在握。
他进一步称,中国的网络安全产品的市场有很大的发展空间,希望国内外企业携手共
进。对中国出现国际领先的、拥有独立知识产权的杀毒软件产品还要有耐心,还期待更好
的保护知识产权的环境、更强的基础数理科学研究和不断培养出越来越优秀的专门人才。
全球第一个包级别病毒过滤引擎AV Leach的主要设计者,Antiy Labs总工程师赵志刚
认为,中国很多信息安全领域与国外相比,起步都比较晚,如果想要赶超国外水平,闭门
造车是不行的,必需学习、分析和借鉴,其中必然包括一些逆向工程的手段。思路是不受
法律保护的,通过逆向工程分析机理,之后自行编码实现,这与抄袭是不同的。而通过合
作、引进的方式直接提高产品的能力,也是一条很好的路线,只要不是对2进制模块的直接
盗用,都是正常的行为。
而Antiy Labs的资深系统程序员李柏松则指出,AVP很容易被“引用”的原因,并非A
VP存在杀毒引擎漏洞,而是因为AVP整个引擎和库与主程序是完全分离的,而且是由数千个
obj链接文件巧妙构成的,因此其他人在编译程序时也可以将AVP的obj文件编译进来,这不
叫漏洞,只能说明AVP的结构化非常好,所以里面的静态模块可以被拆出来复用。
北京市中孚律师事务所郑英华律师接受ChinaByte记者采访时说,从法律方面讲,“国
内企业未经授权而盗用国外杀毒引擎”涉及国际私法,应依据我国现行《著作权法》、《
计算机软件保护条例》及我国政府参加的多边国际条约(尤其是WTO相关议定书)和与他国政
府订立的双边条约规定处理。
从总体上讲,知识产权危机不仅在中国软件业是一个严重问题,而且在中国的其他行
为诸如高清晰度彩电、DVD解码技术等方面均存在相当程度的危机。
从技术的角度看,如果中国的杀毒软件在核心技术方面缺少自己的自主知识产权,这
就使得中国杀毒技术的发展受制于人。
可从两方面看“国内企业未经授权而盗用国外杀毒引擎”这件事情:
第一、在国外杀毒引擎不享有著作权的情况下,中国国内企业未经授权而盗用国外杀
毒引擎不属侵权行为,因国外对计算机软件的保护历史较国内长,所以这种情况为数很少
。
第二、在国外杀毒引擎享有著作权(尤其是在中国国内享有著作权)的情况下,中国国
内企业未经授权而盗用国外杀毒引擎属侵权行为,情节严重时,相关责任者将承担刑事责
任。
郑律师认为,中国企业与国外企业在知识产权法律官司中还处于弱势,一方面在众多
领域中国企业没有自己的知识产权,这就使得中国企业先天不足;另一方面法律意识不强
,不注意保护自己的知识产权,诸如进行著作权登记以及采取司法救济等。
避免版权纠纷的最主要的途径就是获得版权,一方面要自主开发,拥有自己的知识产
权;另一方面也可以购买版权。订立合理的版权许可合同获取使用权也是权宜之计。
而从法律意义上讲,知识产权这把达摩克利斯之剑始终高悬,严重制约着中国软件业
的发展。为避免留下知识产权纠纷的隐患,无论谜团后面的隐情如何,国内企业都必须有
因应之道。
--
※ 来源:.哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 172.16.8.35]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:206.652毫秒