2010-12-05 09:19:11 
阿炯
时隔4个月后,瑞星杀毒造假案又有了戏剧性的变化。
近日,瑞星杀毒造假案的主角——北京市公安局网监处原处长于兵的二审结果仍维持一审的死缓判决。而据于兵的最新供认资料,相当一部分病毒是杀毒软件公司自己的科技力量研制的。于兵供认,瑞星公司向其行贿时就提出条件,由公安机关发出病毒警报,提示用户下载该公司杀毒软件进行杀毒,而病毒则是由瑞星公司“研制”的。
“其实这是杀毒软件行业里的公开秘密。”国内一家知名PC厂家高层昨日对《第一财经日报》表示,制造病毒和查杀病毒有点像间谍和反间谍游戏,如果没有病毒,查杀病毒也无从谈起。只有病毒越多越厉害,杀毒软件才能更畅销。所以杀毒软件一般都会有专门制造病毒的研发人员,这样做也有助于公司查杀病毒技术的提升。
“你简单想想,很多病毒预警都是说,最近会有什么病毒将要大规模漫延,而正好又有什么品牌的杀毒软件可以查杀。或者有些病毒今天才出来,第二天就有某个杀毒软件宣称,可以查该病毒。”该高层说,这些杀毒软件厂家真的太及时了,他们怎么知道病毒要漫延,除非自己测试过其威力。只有那些真实属于病毒制造爱好者制造的CIH和熊猫烧香等病毒,才会让杀毒软件厂家忙上几天,才拿得出查杀方案。”据悉,该高层曾被杀毒软件厂家看中,所以他才知道这些游戏潜规则。
行业内公开的秘密
或许正是基于此游戏潜规则,当时于兵才肆无忌惮地炮制“全国首例故意传播网络病毒案件”,因为于兵也不相信东方微点公司不会用到行业潜规则。
根据媒体报道,瑞星公司与北京市公安局网监处的关系一向颇为紧密,双方长期联合发布每日的病毒预警信息,一直引起行业内其他公司的不满,认为这 是非正当竞争。为何发布每日的病毒预警信息也会构成非正当竞争?最好的答案莫过于于兵的供认,病毒可以是杀毒软件公司自己制造。
“只有不良杀毒软件厂家才会自己制造病毒。”奇虎360公司副总裁李涛指出,除了已曝光的杀毒软件厂家外,还有一些杀毒软件厂家也从事该勾当,只是没有被曝光。
作为“全国首例故意传播网络病毒案件”受害者、瑞星公司前总裁、东方微点创始人兼总裁的刘旭更有发言权。2008年底,刘旭曾公开表示,防病毒公司造病毒、传播病毒其实存在很多灰色地带,流氓软件有很多都是正式公司编写的,介于病毒和正常程序之间的灰色地带。很多防病毒公司也把流氓软件当做病毒来杀。
“在上世纪90年代,自己研发病毒自己杀的游戏方式,在很多杀毒厂家都有采用。”一位刚从国内知名杀毒厂家离职的软件工程师昨日对《第一财经日报》透露,这种现象直到2000年后才有所收敛。当时有个软件工程师从瑞星公司离职后,自己开了一家杀毒软件公司,就自己制造病毒自己杀,结果该软件工程师被判刑,“大家自此之后才收敛了。这个故事,国内杀毒行业业内人士都知道。”
上述软件工程师还指出,杀毒软件厂家比拼的就是查杀新病毒的快速反应,最好就是“我有你无”。现在一些手机杀毒软件厂家有时也在用这招,因为手机杀毒软件厂家目前还没有很好的盈利模式,所以有些安装了手机杀毒软件的用户经常会收到提示,“又有什么新病毒出现,需求付费升级。”
“因为目前手机病毒危害度并不高,最多也就是删除通讯录。用户也不多,法律风险很小。”上述软件工程师说。
规范执行力不足
也许瑞星的快速崛起更能说明“以身试险”制造病毒的利益之大。
刘旭表示,瑞星进入杀毒零售市场的时候,那个时候还没有CIH(非瑞星所制造)。由于瑞星快速对CIH病毒实现查杀,瑞星市场份额从当时不到1%迅速上升至26%,所用时间不过几个月。
对此,中国互联网协会法律专家胡钢认为,依据我国《刑法》第二百八十六条规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
“对于这类行为,除了法律途径外,只能通过道德谴责对其监督,社会上目前尚无明确的行业规范。”第三方分析机构缔元信互联网行业高级分析师于明告诉本报。中国互联网协会秘书长助理石现升向本报坦言:“对于杀毒软件公司散布网络病毒,协会尚无明确的行业规范出台,协会目前也只能引导行业自律,采取正当手段竞争。”
事实上,不仅杀毒行业,整个互联网信息安全方面的规范都不完善。上海律师协会信息网络与高新技术业务委员会主任商建刚告诉本报:“就信息安全方面的规章文件特别多,而规范却很少,即便有,执行力也不强。这是导致该行业乱象丛生的重要原因。”
本文转载自: 第一财经日报
--------------------------
江民回应“杀毒软件自造病毒说”-属凭空捏造
江民科技在微博中称:“杀毒厂商自己造毒自己杀的言论已经流传很久,从杀毒软件行业诞生一直至今,这种传言就没有停息过。业内了解真相的人们大多一笑了之,试想,任何一家自己制造病毒自己杀的企业,国家可能会让他生存这么长时间,而且还去大力扶持吗?”
同时,江民科技也认为,所有的正规杀毒软件都清楚,制造病毒或传播病毒的后果,轻则公司名誉扫地,被用户和市场彻底抛弃,重则当事人和公司法人代表触犯刑法,面临牢狱之灾。因此,无论从法律上还是个人道德情感上,都是完全不可能的事情。
此前,有媒体报道称,瑞星杀毒造假案的主角——北京市公安局网监处原处长于冰的二审结果仍维持一审的死缓判决。而据于冰的最新供认资料,相当一部分病毒是杀毒软件公司自己的科技力量研制的。于冰供认,瑞星公司向其行贿时就提出条件,由公安机关发出病毒警报,提示用户下载该公司杀毒软件进行杀毒,而病毒则是由瑞星公司“研制”的。
而《第一财经日报》援引国内一家知名PC厂家高层的话语称,杀毒软件公司自己研发病毒自己杀是杀毒软件行业里的公开秘密。昨日,瑞星公司发来声明称,上述报道为作者捏造事实,给瑞星公司的名誉以及商业信誉造成了严重的损害。瑞星公司将通过法律途径,追究相关个人及公司的法律责任,以维护自己的合法权益。(雷风)
另外说说KV300杀毒软件反盗版技术
2010年4月,王江民先生离世。作为中关村第一代最成功的创业者,王老师的一生可以称得上传奇。1951年10出生的他患有小儿麻痹导致腿部残疾,后来成为了光机电领域的专家,只有初中文化的他,38岁开始学习编程,45岁只身前往中关村创业成立江民科技,专业研发KV系列杀毒软件。
短短数载,KV杀毒软件成了中关村的硬通货,攒机商可以用一盒的KV300直接进行交易,在今天看来简直就是神话一般的存在。在那个杀毒软件最火的年代,江民公司使用王江民自研的大块头磁盘机,不停的写入新盘片,在贴上标签装箱,分销商就在门外排队交钱拿货。1996年仅凭这些软盘公司就能月入超千万。
回顾完这段历史,或许大家都会有疑问,在那个连光盘都尚未普及的年代,单纯通过软盘载体销售杀毒软件,不会有盗版吗?事实上,不仅有盗版,而且还特别疯狂,当年有个叫做“中国毒岛论坛”的网站,就时常提供破解工具下载,不过最后很多盗版商都被江民公司“坑“了一把。不过先来说说KV杀毒软件是怎样在技术层面上对抗盗版的。
在软件发行主要依赖软盘的年代,针对载体进行加密处理是最主要的技术手段。一张标准的容量1.44MB的软盘有80个磁道,每个磁道18个扇区。KV300的加密盘会在特定位置(比如73、74磁道等)格式化出特殊的扇区,这些扇区的ID和实际数据格式并不匹配,成为了最重要的“指纹”,在这些特殊的磁道里会写入随机的密钥、磁道ID校验码、版权签名。而因为打乱了扇区之间的物理间隙,所以普通的复制工具在读取磁盘时直接报错,无法复制数据。
KV300启动的时候,会先绕过DOS的接口,直接用底层的方式移动磁头读取特定的扇区,如果没有找到软盘就会提示插入正版KV300密钥盘并退出。如果读取到了数据,就识别之前写入的密钥+磁道ID校验+版本签名,有一个不通过,就说明这是非正版,直接退出。
检测到了非正版直接退出是软件公司一贯来的做法,但是江民科技面对当时汹涌的盗版潮,做出了一个现在看来非常大胆的决定。1997年,为了打击使用“MK300V4”工具制作盗版密钥盘的行为,王江民在KV300L++版本中埋下了后来闻名的“逻辑炸弹”。一旦程序检测到系统正在使用盗版密钥盘运行,逻辑炸弹就会被触发:它不是简单的让程序停止运行,而是直接对计算机硬盘实施软件层面的打击,修改分区表,可以把扩展DOS分区的表项指向一个错误的位置,从而在系统启动时形成一个死循环引用,导致电脑无法正常启动,硬盘灯常量,仿佛被锁死。江民公司自己把这个逻辑炸弹称为“主动逻辑锁”。
这种修改方式非常特殊,在当时来说只能用DOS2.0这种不支持硬盘分区的系统软盘启动机器,然后手工修复分区表,对普通用户来说简直就是无法完成的任务。后来公安部份认定江民科技此举违反了《计算机安全保护条例》,属于故意输入有害数据,对江民科技处以3千元罚款。
在当时来看,KV300这套加密技术几乎是无解的。密钥隐藏在非标准磁道里,传统的复制工具根本无处着手,只能用专业的磁盘分析工具扫描。每张正版软盘的密钥都不同,只复制程序毫无用处。再加上令盗版商闻风丧胆的逻辑炸弹,心有余悸,硬盘直接被锁死数据恢复不了。同时KV300还采用了当时非常先进的阶梯式加密法来防止反跟踪,代码不是一次性全部解密,而是像爬楼梯一样,执行完A段才能解密B段,B段执行完了才能解密C段。破解者必须跟着程序一步一步走,在每个阶梯都可能遇上新的反调试陷阱,极大增加了分析的复杂度和时间成本。
KV300利用“不完全格式化”技术,在90年代硬件受限的条件下,使用存储介质的底层特性做防盗版,无疑是成功的。如今软盘早已淘汰,很多年轻人根本没见过;而软件的加密也变成了云端激活、硬件绑定等等方式,甚至杀毒软件都免费了。