Virus 版 (精华区)

发信人: WyzIdeal (一叶小舟), 信区: Virus
标  题: KV3000绝密漏洞，快来看。KVW3000(国际版)抄袭A...(转载)
发信站: 哈工大紫丁香 (2002年06月27日14:13:21 星期四), 站内信件

【 以下文字转载自 Software 讨论区 】
【 原文由 leezy 所发表 】
----------------------------------------------------------------------------
----
 约会   KV3000绝密漏洞，快来看。KVW3000(国际版)抄袭AVP （转贴）
KV3000绝密漏洞，快来看。KVW3000(国际版)抄袭AVP
前天买回一个KV3000，其实根本不是想用，就是傻傻的为了支持一下所谓的民族软件产
业。但我没想到，我买回来的或许就是一个“盗版”AVP。
KVW3000光盘中分为两个版本，一个国内版、一个国际版，国内版好象就是原来那个KV3
000W预览版，国际版就 是一个声称能杀4万种病毒的版本。这两个版本根本就不是一个
软件，除了界面相似，程序结构风格包括对病毒命名完全不同。 而我首先发现KVW3000
所谓国际版的病毒命名规则竟 然与我机器上的AVP一模一样，因为中国反病毒产品暴出
过多起抄袭丑闻，我有了个大胆的猜测，KVW3000是不是抄袭了AVP。由于我对AVP有所了
解，分析很快验证了我的猜测，KV3000目录下有四个LIB，A、B、C三个数据库就分别是
从AVP的多个AVC文件捏合加密压缩而成。其中不仅仅包括了查毒机制和病毒库结构和数
据，KV3000解压缩的机制也
是完全通过，把AVP的extract.avc和unpack.avc放在自身中，再调用来完成的。
特别令人气愤的是，抄袭者的抄都不细致，有对付的嫌疑。AVP对病毒检测判定结果有几
种，一种当然是无毒，一种是detected（发现），在DOS VERSION中是infected （被感
染）:,表示确认有某个已知病毒，一种是warning（警告）:表示检测特性比较类似某个
已知病毒，再一种就是suspicion：，表示怀疑是未知病毒，类似suspicion：Type_com
TSR,就表示该程序可能有驻留内存的特性。AVP的CA库就是来评估可疑文件的，通过这种
加权的智能扫描，能够对有类似驻留内存等可疑特性的文件报警，经过CA的加权扫描，
得出的就是类似suspicion：Type_comTSR的提示。而KV3000对CA.avc的调用根本没考虑
到这点，统一采用‘发现病毒“的提示，于是竟然会给出类似“发现病毒：Type_comTS
R”这样根本不准确的提示。另外那个叫U的LIB，是升级库，没有仔细分析，不过我估计
江民公司做了一个转换
程序，把AVP的UPXXXXX.avc转成KV3000U.Lib。这样，今后江民公司不用分析任何新病毒
，只要跟着AVP走的就完了，只要AVP的病毒库结构不变，江民公司连程序员都不需要了
，只要AVP一升级，运行一下转换程序，把AVP新的升级文件转成自己的格式就完了。
面对这哭笑不得的事情，我确实有话想说：
我也曾经是个KV系列的用户，当时父亲单位买了一个正版的KV100，拿回家，就查出家里
的286上有病毒。当时我也有最新的KILL解密版，但查不出病毒。我当时觉得KV100真是
宝贝。而且当时免疫90免费发都不准，KILL一直垄断，我就特别看不过去。不过也曾简
单分析过KV的程序，应该说一些病毒处理是有些技巧的，但整个程序的工程化思想太差
了。但是后来它总是杀坏了WORD文件，我就不用他了。后来看到网上很多大侠都说KV30
0如何不好，和国外的没法比。他们很多人推荐AVP好，我于是就到网上找了一个KEY，改
为用AVP了。AVP确实非常不错，实时监控非常稳定，支持解压缩的格式特别全，因为自
己也做了程序员，而且一直用汇编，所以就决心剖析一下AVP，不过自己水平确实不行，
也没什么更多的心得。但AVP结构的规范严谨，算法的巧妙确实非常令人赞叹。特别是A
VP的资源完全采用OBJ结构，调用调试起来非常方便。后来网上有传闻，说AV95是抄袭A
VP的，对AV95分析了一下，可乐的是AV95里面竟然还能找到AVP的提示信息。后来又有传
闻说，AV98抄袭AVP，虽然没分析，但听说，AV98的刘杰就是从AV95的经伟出来的，估计
也跑不了。尽管自己给外国人打工，但见过的老美的软件工程师也没觉得多厉害，所以
一直觉得中国人也该做出好的杀毒软件来。曾经试用过瑞星和VRV，一对比就知道和人家
相差不是一年半载的。就都UNINSTALL了。后来金山毒霸出来了，但很快我就看到了SAC
大侠的帖子，揭发金山抄袭趋势。我也就没兴趣了。说句实在话我特别支持国产软件，
不管他多烂，我买过好多国产软件。WPS97，金山糍粑，血狮，剑侠情缘，决战朝鲜，超
级解罢，还有一堆国产LINUX，不过除了词霸，这些都删了，可以说，我对国产软件够伤
心的了。
 ---ysysys      发贴时间：2002-06-27 09:48:12
回复[1]：(续上篇)
前几天，看到KV3000的宣传广告，说能杀4万病毒，能解多种压缩包什么的。当时觉得江
民公司技术上一直没什么发展，连市场第一都被瑞星给抢了，也许养精蓄锐，真卧薪尝
胆编出东西了，当时不长记性，又发了恻隐之心。就又买了一盒。不过当时也嘀咕，就
凭KV300的水平看，能编出这么好的东西来？不知道江民公司聘了多少高手（如果广告上
没吹牛的话），还没开包装盒的时候，在网上和一个朋友聊了聊，他说听说KV3000不是
江民公司做的，是外包给高手做的。其实我对这个倒不在乎，只要东西能作好，服务能
跟上就成，外包也是很流行的。装上软件之后的事情，就是文章开始的那些了，我的心
情可想而知。
早先有KV100用一个盗版的加密工具做指纹盘的传闻，此事当然难以辨别真假，不过应该
说，对于非常难过的中国软件行业来说，反病毒行业应该是风水宝地了，至少不应当缺
钱。金山最开始抄袭趋势，但被SAC大侠剖析出来后，也就购买了DR WEB的引擎。想用人
家的引擎和库，为何不能堂堂正正去用MONEY来换，而要偷呢，当年，如果不是因为初衷
是打击盗版，KV300 L++放置有害程序的恶性事件有关部门怎么会让江民公司轻易过关呢
。
可以说，希望大家买自己的正版是希望获得尊重，也肯定知识的价值，那么想要别人尊
重自己，也要尊重别人，自己什么都不做，直接把别人的软件当成自己的OBJ来调用，这
难道不和盗版一样可耻么？而且盗版最多是不给作者钱而已，但还给作者扬名，而这种
抄袭连作者的署名权都剥夺了。 其实笔者并不反对学习别人的先进经验，笔者也剖析过
别 人的产品，但是类似KV3000这种直接调用人家的二进制资源的方法，连必要的分析都
没有，根本就没弄清楚人家的结构，技术上更谈不上提高了。说句离谱的，假定说AVP里
有个后门KV3000就有个后门了。
当年KV300尽管质量不行，但还打出中国病毒要用中国的杀毒软件杀的宣传口号，怎么说
也有一点气概。如今，怎么会沦落到这样的地步。也许AVP对中国市场不感兴趣，不在乎
有人抄袭，但KV3000就算是叫了国际版，但是真的能到国外卖么，如果AVP起诉他怎么办
。
听说KV300赚了上亿的利润，为什么不能好好用这笔钱聘用能人高手，好好编编软件，与
国外的几大反病毒厂商掰一掰手腕呢？其实，中国的安全最终也要靠自己解决，我想更
主要的，要靠中国自己的公司来解决。因此我不赞成中国毒岛、蓝海、江海客、SAC这些
前辈那种掘墓式的方法，写这篇文章，也并不是为了步他们的后尘。我只是比较伤心而
感慨而已，可以说，我没有退过任何一个我买过的国产软件，即使我非常不满意。有时
候，因为自己是个外企程序员，我只是为了找找为中国人写的东西掏点银子的那种感觉
。
KV也好，瑞星也好，中国的其他软件都一样，无论你们怎么吹，怎么炒，我并不在意，
谁起步都不容易。但当你们有了钱的时候，是该把东西做好的时候了，毕竟你们已经
有了规模和品牌，有了国内用户的信任，如果不好好做，就太可惜了！

--
            【　　　　
　　　◎■■■■】〓〓〓〓〓〓〓〓〓〓>　
              【　

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.122]
--
※ 转载:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: 202.118.230.122]
--
※ 转载:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: ark.hit.edu.cn]