CNET中国·ZOL 08年06月27日 【原创】 作者: 中关村在线 杨睿 责任编辑:杨睿
引言:主流杀毒软件在安装过程中大多会选择将防护程序写入开机启动项,随系统一同启动。在机器开启后,无论用户采用什么样的常规方法都无法将相关的杀软进程中止,从而达到(让杀软)全面保护系统安全的目的。但是这一全面防护的安全机制却被一个号称“安全”的“卫士”以安全的名义给阻止了!它就是素来“正义”的360安全卫士。
俗话说“讲话得要负责任”,和以前一样,既然我说360安全卫士阻止了杀毒软软件正常的防护机制,我就有实际的例证来说明,并非是空口无凭的恶意误导用户。今天,我就以来自国外的两款著名杀软:ESET NOD32和卡巴斯基在安装过程中遭遇到情况向大家一一说明。
ESET NOD32杀毒软件在安装结束后,需要将重要文件写入开机启动项或注册为服务,以实现开机自动保护计算机,当有危险文件试图进入系统时,ESET NOD32就会启动防护机制,向用户显示警告信息。但360安全卫士却会在这个时候弹出警告信息,阻止ESET NOD32的正常写入行为,这样做的结果就是直接导致ESET NOD32杀毒软件部分功能异常,发现病毒后不能提示用户!
事实上,ESET NOD32要写入系统的文件(路径)是c:\program files\eset\nod32kui.exe,这是Nod32反病毒软件的外壳程序,该程序的主要是与nod32krn.exe配套使用,用来显示警告信息、提供用户与反病毒内核进行交互的平台(GUI)。如果被阻止,就会导致ESET NOD32不再弹出警告信息,并最终导致NOD32无法正确报毒、杀毒行为。一旦被阻止,ESET NOD32基本上就成为摆设了!
http://img2.zol.com.cn/product/20/508/cezPWdFOydI8w.jpg
360安全卫士阻止ESET NOD32的写入行为
在ESET NOD32杀毒软件安装结束后,它会将自身核心程序安装为系统服务项,以实现实时检测病毒和阻止病毒执行行为(有用户将此理解为“主动防御”,其实并不完全正确,编注),但是此时的360安全卫士将会再次“跳出来”阻止,具体路径(文件)是c:\program files\eset\nod32krn.exe。
这就意味着ESET NOD32安全系统服务正在写入时会被强行中止,20秒后对话框自动关闭,但360安全卫士却没有给出任何有实际意义的提示信息。
http://img2.zol.com.cn/product/20/507/ceijBZuru8bdY.jpg
360安全卫士只是盲目地关闭ESET NOD32写入行为 如果说360安全卫士只对某一款杀毒软件有这样的“强行阻止”行为,我们也许可以理解成常见的“误杀”行为。但不巧的是,360安全卫士对多款杀毒软件都有这样的行为。这显然不能用“偶然行为”或是“误杀行为”来搪塞。
与对ESET NOD32的行为一样,360安全卫士在面对卡巴斯基互联网安全套装(本文以卡巴斯基互联完全套装 7.0版为例,下称卡巴斯基)的正常写入行为时也是采用了同样的“无知”行为,阻止卡巴斯基安全防护机制发生作用。
360安全卫士阻止卡巴斯基写入开机启动项的路径(文件)是c:\program files\kaspersky lab\kaspersky internet security 7.0\avp.exe。
http://img2.zol.com.cn/product/20/506/ceDCATxchQUI2.jpg
360阻止卡巴斯基写入启动项 http://img2.zol.com.cn/product/20/505/ce8i9RUtmTONo.jpg
最终导致卡巴斯基被关闭 失去对系统的保护 avp.exe文件是卡巴斯基监控防护的相关文件,一旦被阻止,用户在重启计算机后可能导致卡巴斯基程序异常(不过,监控还是可以加载,编注)。
在卡巴斯基安装后,360安全卫士同样会弹出阻止提示,让用户选择是否安装启动项c:\program files\kaspersky lab\kaspersky internet security 7.0\adialhk.dll。对卡巴斯基熟悉的朋友应该知道,这是她的反弹出广告模块的重要加载文件,如果阻止,将会导致卡巴斯基反广告功能异常。 笔者只是以ESET NOD32和卡巴斯基为例向大家展示了360安全卫士“无知”的情形,但并不是说只有这两款杀软才会遭遇到此厄运。据笔者测试,包括国内著名的杀软瑞星、金山等杀软都是在360安全卫士拦截范围内! 后记 360安全卫士作为一款安全类软件,为用户提供安全的系统、网络环境本是值得表扬。但是360安全卫士为了达到它某种“不可告人”的目的,比如以“安全的名义控制常用软件客户端安装到系统中”(详见《谨慎解读:奇虎360安全卫士平台战略》第4分页),这样的行为就有些“流氓”了! 或许360安全卫士会将此解释为“正常的安全拦截行为”,这样的说法如果面对的是一款新发布的软件,或者是来源不明的软件也许可以说的通,但是面对国内外知名杀软,360安全卫士难道无法识别么?如果这样的正常行为都无法识别,你又有什么资格做“安全软件”呢? 退一步来说,即使说360安全卫士的拦截行为属于合理范畴,但是要知道,国内有多少网友对系统文件,特别是忽然弹出并显示在屏幕的警告信息具有很强的分析能力呢?此类信息对于计算机初级用户来说,非常具有迷惑性,不是很熟悉系统的用户基本上都会选择“同意”拦截,这其实就是在故意,或者说是恶意引导用户。 很阴险!这样做很阴险!借用户的手将各个杀毒软件一一报废,等到系统出现病毒后,360安全卫士则会跳出来说“你的系统中毒了”。此时用户的用户会自然而然的想“XX杀毒软件不行”,但在事实上,并不是杀毒软件的问题,而是360安全卫士在暗中捣鬼罢了!
我的个人观点:希望世界之窗不要再和360合作了,这种做流氓软件的出身,还指望它从良啊 |