Virus 版 (精华区)

发信人: WyzIdeal (一叶小舟), 信区: Virus
标  题: KV3000绝密漏洞,快来看。KVW3000(国际版)抄袭A...(转载)
发信站: 哈工大紫丁香 (2002年06月27日14:13:21 星期四), 站内信件

【 以下文字转载自 Software 讨论区 】
【 原文由 leezy 所发表 】
----------------------------------------------------------------------------
----
 约会   KV3000绝密漏洞,快来看。KVW3000(国际版)抄袭AVP (转贴)
KV3000绝密漏洞,快来看。KVW3000(国际版)抄袭AVP
前天买回一个KV3000,其实根本不是想用,就是傻傻的为了支持一下所谓的民族软件产
业。但我没想到,我买回来的或许就是一个“盗版”AVP。
KVW3000光盘中分为两个版本,一个国内版、一个国际版,国内版好象就是原来那个KV3
000W预览版,国际版就 是一个声称能杀4万种病毒的版本。这两个版本根本就不是一个
软件,除了界面相似,程序结构风格包括对病毒命名完全不同。 而我首先发现KVW3000
所谓国际版的病毒命名规则竟 然与我机器上的AVP一模一样,因为中国反病毒产品暴出
过多起抄袭丑闻,我有了个大胆的猜测,KVW3000是不是抄袭了AVP。由于我对AVP有所了
解,分析很快验证了我的猜测,KV3000目录下有四个LIB,A、B、C三个数据库就分别是
从AVP的多个AVC文件捏合加密压缩而成。其中不仅仅包括了查毒机制和病毒库结构和数
据,KV3000解压缩的机制也
是完全通过,把AVP的extract.avc和unpack.avc放在自身中,再调用来完成的。
特别令人气愤的是,抄袭者的抄都不细致,有对付的嫌疑。AVP对病毒检测判定结果有几
种,一种当然是无毒,一种是detected(发现),在DOS VERSION中是infected (被感
染):,表示确认有某个已知病毒,一种是warning(警告):表示检测特性比较类似某个
已知病毒,再一种就是suspicion:,表示怀疑是未知病毒,类似suspicion:Type_com
TSR,就表示该程序可能有驻留内存的特性。AVP的CA库就是来评估可疑文件的,通过这种
加权的智能扫描,能够对有类似驻留内存等可疑特性的文件报警,经过CA的加权扫描,
得出的就是类似suspicion:Type_comTSR的提示。而KV3000对CA.avc的调用根本没考虑
到这点,统一采用‘发现病毒“的提示,于是竟然会给出类似“发现病毒:Type_comTS
R”这样根本不准确的提示。另外那个叫U的LIB,是升级库,没有仔细分析,不过我估计
江民公司做了一个转换
程序,把AVP的UPXXXXX.avc转成KV3000U.Lib。这样,今后江民公司不用分析任何新病毒
,只要跟着AVP走的就完了,只要AVP的病毒库结构不变,江民公司连程序员都不需要了
,只要AVP一升级,运行一下转换程序,把AVP新的升级文件转成自己的格式就完了。
面对这哭笑不得的事情,我确实有话想说:
我也曾经是个KV系列的用户,当时父亲单位买了一个正版的KV100,拿回家,就查出家里
的286上有病毒。当时我也有最新的KILL解密版,但查不出病毒。我当时觉得KV100真是
宝贝。而且当时免疫90免费发都不准,KILL一直垄断,我就特别看不过去。不过也曾简
单分析过KV的程序,应该说一些病毒处理是有些技巧的,但整个程序的工程化思想太差
了。但是后来它总是杀坏了WORD文件,我就不用他了。后来看到网上很多大侠都说KV30
0如何不好,和国外的没法比。他们很多人推荐AVP好,我于是就到网上找了一个KEY,改
为用AVP了。AVP确实非常不错,实时监控非常稳定,支持解压缩的格式特别全,因为自
己也做了程序员,而且一直用汇编,所以就决心剖析一下AVP,不过自己水平确实不行,
也没什么更多的心得。但AVP结构的规范严谨,算法的巧妙确实非常令人赞叹。特别是A
VP的资源完全采用OBJ结构,调用调试起来非常方便。后来网上有传闻,说AV95是抄袭A
VP的,对AV95分析了一下,可乐的是AV95里面竟然还能找到AVP的提示信息。后来又有传
闻说,AV98抄袭AVP,虽然没分析,但听说,AV98的刘杰就是从AV95的经伟出来的,估计
也跑不了。尽管自己给外国人打工,但见过的老美的软件工程师也没觉得多厉害,所以
一直觉得中国人也该做出好的杀毒软件来。曾经试用过瑞星和VRV,一对比就知道和人家
相差不是一年半载的。就都UNINSTALL了。后来金山毒霸出来了,但很快我就看到了SAC
大侠的帖子,揭发金山抄袭趋势。我也就没兴趣了。说句实在话我特别支持国产软件,
不管他多烂,我买过好多国产软件。WPS97,金山糍粑,血狮,剑侠情缘,决战朝鲜,超
级解罢,还有一堆国产LINUX,不过除了词霸,这些都删了,可以说,我对国产软件够伤
心的了。
 ---ysysys      发贴时间:2002-06-27 09:48:12
回复[1]:(续上篇)
前几天,看到KV3000的宣传广告,说能杀4万病毒,能解多种压缩包什么的。当时觉得江
民公司技术上一直没什么发展,连市场第一都被瑞星给抢了,也许养精蓄锐,真卧薪尝
胆编出东西了,当时不长记性,又发了恻隐之心。就又买了一盒。不过当时也嘀咕,就
凭KV300的水平看,能编出这么好的东西来?不知道江民公司聘了多少高手(如果广告上
没吹牛的话),还没开包装盒的时候,在网上和一个朋友聊了聊,他说听说KV3000不是
江民公司做的,是外包给高手做的。其实我对这个倒不在乎,只要东西能作好,服务能
跟上就成,外包也是很流行的。装上软件之后的事情,就是文章开始的那些了,我的心
情可想而知。
早先有KV100用一个盗版的加密工具做指纹盘的传闻,此事当然难以辨别真假,不过应该
说,对于非常难过的中国软件行业来说,反病毒行业应该是风水宝地了,至少不应当缺
钱。金山最开始抄袭趋势,但被SAC大侠剖析出来后,也就购买了DR WEB的引擎。想用人
家的引擎和库,为何不能堂堂正正去用MONEY来换,而要偷呢,当年,如果不是因为初衷
是打击盗版,KV300 L++放置有害程序的恶性事件有关部门怎么会让江民公司轻易过关呢

可以说,希望大家买自己的正版是希望获得尊重,也肯定知识的价值,那么想要别人尊
重自己,也要尊重别人,自己什么都不做,直接把别人的软件当成自己的OBJ来调用,这
难道不和盗版一样可耻么?而且盗版最多是不给作者钱而已,但还给作者扬名,而这种
抄袭连作者的署名权都剥夺了。 其实笔者并不反对学习别人的先进经验,笔者也剖析过
别 人的产品,但是类似KV3000这种直接调用人家的二进制资源的方法,连必要的分析都
没有,根本就没弄清楚人家的结构,技术上更谈不上提高了。说句离谱的,假定说AVP里
有个后门KV3000就有个后门了。
当年KV300尽管质量不行,但还打出中国病毒要用中国的杀毒软件杀的宣传口号,怎么说
也有一点气概。如今,怎么会沦落到这样的地步。也许AVP对中国市场不感兴趣,不在乎
有人抄袭,但KV3000就算是叫了国际版,但是真的能到国外卖么,如果AVP起诉他怎么办

听说KV300赚了上亿的利润,为什么不能好好用这笔钱聘用能人高手,好好编编软件,与
国外的几大反病毒厂商掰一掰手腕呢?其实,中国的安全最终也要靠自己解决,我想更
主要的,要靠中国自己的公司来解决。因此我不赞成中国毒岛、蓝海、江海客、SAC这些
前辈那种掘墓式的方法,写这篇文章,也并不是为了步他们的后尘。我只是比较伤心而
感慨而已,可以说,我没有退过任何一个我买过的国产软件,即使我非常不满意。有时
候,因为自己是个外企程序员,我只是为了找找为中国人写的东西掏点银子的那种感觉

KV也好,瑞星也好,中国的其他软件都一样,无论你们怎么吹,怎么炒,我并不在意,
谁起步都不容易。但当你们有了钱的时候,是该把东西做好的时候了,毕竟你们已经
有了规模和品牌,有了国内用户的信任,如果不好好做,就太可惜了!

--
            【    
   ◎■■■■】〓〓〓〓〓〓〓〓〓〓> 
              【 

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.122]
--
※ 转载:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: 202.118.230.122]
--
※ 转载:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: ark.hit.edu.cn]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.601毫秒