我小学三年级的时候家里买了台电脑，没记错的话是2003年。&br&和电脑一起回来的还有一张正版的金山毒霸光盘，这么久已经记不清价格了，大概是200元/年吧。&br&记忆里那时的金山在杀毒时还会出来一个金山医生的小人，拿个放大镜在屏幕上走啊走的。&br&没有右下角的弹窗，也没有广告，用着还不错，正版到期了就再买一份。&br&有一次购买还送了一张金山单词通的光盘，然后我爸就天天让我背单词...&br&&br&后来有一年，金山和360打了一架。&br&打完过后金山也宣布免费了，正版剩下的钱自动转变为金山会员。&br&刚免费了也没感觉有什么变化，还像以前那样用着。&br&后来有一天右下角弹出了一条广告，我看了看设置，关闭了。&br&再后来过一阵子就会有会员的活动信息从右下角弹出来，我关闭了。&br&再后来上网买东西的时候，会弹出一个很大的网购敢赔，我关闭了。&br&再后来有时会在右下角弹窗告诉我系统垃圾过多，我关闭了。&br&再后来开机时会告诉我开机用了多少秒并且超过了多少的用户，我关闭了。&br&再后来手机连接电脑时弹窗告诉我可以安装手机助手，我关闭了。&br&再后来结束一场游戏会弹窗告诉我已经从免打扰模式中出来，我关闭了。&br&再后来某次升级后桌面上出现了一个加速球，我关闭了。&br&再后来它还弹窗问我要不要把系统日历换成金山日历。&br&我想了想，把金山卸载了。&br&&br&已经不知道我安装的是一款杀毒软件还是病毒程序了。&br&受够了每天一开机就要和杀软斗智斗勇的日子了。&br&之前没有那些杂七杂八的功能时，我的电脑用的很好。&br&现在没有这些杂七杂八的功能后，我的电脑用的很好。&br&&br&不光是金山毒霸，看看现在的软件们。&br&交换确认和取消按钮位置的对话框。&br&安装时的全家桶，甚至把对勾设为浅灰色的捆绑安装选项按钮。&br&卸载时那捉迷藏的卸载按钮。&br&各种右下角的弹窗。&br&各种诱导用户的行为。&br&&br&免费的真的好么？&br&在这狼藉的软件环境下，我有些怀念那收费的时代。&br&怀念那2003年的金山毒霸。&br&&img src=&/126f4c4746cfe147d9aa41a0b3f7e8ed_b.jpg& data-rawwidth=&150& data-rawheight=&150& class=&content_image& width=&150&&&br&免费的代价最为昂贵。
我小学三年级的时候家里买了台电脑，没记错的话是2003年。 和电脑一起回来的还有一张正版的金山毒霸光盘，这么久已经记不清价格了，大概是200元/年吧。 记忆里那时的金山在杀毒时还会出来一个金山医生的小人，拿个放大镜在屏幕上走啊走的。 没有右下角的弹…
楼主对电脑管家，360的认识是片面的，他们早已经不已杀毒软件自居了，要不怎么叫＂电脑管家＂呢？&br&&br&举几个例子：&br&我想装软件的时候，软件管家类似的功能就比自己去网上找方便很多，还不用担心被钓鱼。&br&我欢了宽带，想测测网速，直接用自带的插件就好&br&我以前要关闭开局启动的程序，需要运行msconfig，现在可以在全图形化的界面里做了&br&&br&360也好，电脑管家也好，早已不是安全那么简单，他已经成为了windows系统的一个友好的的管理界面，而windows在这方面的不足是显而易见的。&br&&br&用程序员的话讲，这是给windows加了一个fa?ade模式，是一种进步，一种抽象，有抽象程度高的方案，何必使用抽象程度低的？&br&&br&有些人喜欢自我标榜，比如不用各种管家也可以管理好电脑，启动速度运行速度一样快，那么用管家是不是能用更少的时间达成相同的效果？&br&&br&电脑终究是一个工具，工具存在的意义不是让你学会如何保养工具，而是用工具创造价值，请不要把自己的本末倒置当作一种优越感。&br&&br&手机打得，错别字请见谅。
楼主对电脑管家，360的认识是片面的，他们早已经不已杀毒软件自居了，要不怎么叫＂电脑管家＂呢？ 举几个例子： 我想装软件的时候，软件管家类似的功能就比自己去网上找方便很多，还不用担心被钓鱼。 我欢了宽带，想测测网速，直接用自带的插件就好 我以前…
&b&：&/b&&br&&b&有人问结论，那么结论前置。360安全卫士在启动时会往驱动程序qutmdrv里填充一个黑名单，在黑名单上的程序启动的浏览器会被劫持。因此QQ启动QQ浏览器时被该驱动程序拦截，并被替换为360安全浏览器。以下是得出该结论的过程。dr。&/b&&br&&br&自问自答。一切都挡不住技术宅强大的好奇心啊。在自己电脑上用虚拟机模拟了一下，果然又打开了360安全浏览器。于是果断搭建实验环境。&br&&br&&img src=&/4d4ae5de64acfc0bdcd94e3ba41a0f5a_b.jpg& data-rawwidth=&1600& data-rawheight=&900& class=&origin_image zh-lightbox-thumb& width=&1600& data-original=&/4d4ae5de64acfc0bdcd94e3ba41a0f5a_r.jpg&&&br&把QQ.exe用NOTEPAD.EXE替换，排除QQ自身逻辑干扰。&br&&br&&img src=&/ae3cdf38a483ee6c81c246_b.jpg& data-rawwidth=&1600& data-rawheight=&900& class=&origin_image zh-lightbox-thumb& width=&1600& data-original=&/ae3cdf38a483ee6c81c246_r.jpg&&&br&模拟QQ的行为，在记事本程序内用一个快捷方式触发带网址打开QQ浏览器的操作。&br&&br&&img src=&/f7ad14ae18b827edb7a4f69e_b.jpg& data-rawwidth=&637& data-rawheight=&287& class=&origin_image zh-lightbox-thumb& width=&637& data-original=&/f7ad14ae18b827edb7a4f69e_r.jpg&&&br&在nt!NtCreateProcessEx设置断点，触发打开操作之后被断下。&br&&br&先来看CreateProcessInternalW。&br&函数原型：&br&&br&&div class=&highlight&&&pre&&code class=&language-c&&&span class=&n&&BOOL&/span&
&span class=&n&&WINAPI&/span&
&span class=&nf&&CreateProcessInternalW&/span&&span class=&p&&(&/span&&span class=&n&&IN&/span& &span class=&n&&HANDLE&/span& &span class=&n&&hUserToken&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPCWSTR&/span& &span class=&n&&lpApplicationName&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPWSTR&/span& &span class=&n&&lpCommandLine&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPSECURITY_ATTRIBUTES&/span& &span class=&n&&lpProcessAttributes&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPSECURITY_ATTRIBUTES&/span& &span class=&n&&lpThreadAttributes&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&BOOL&/span& &span class=&n&&bInheritHandles&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&DWORD&/span& &span class=&n&&dwCreationFlags&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPVOID&/span& &span class=&n&&lpEnvironment&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPCWSTR&/span& &span class=&n&&lpCurrentDirectory&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPSTARTUPINFOW&/span& &span class=&n&&lpStartupInfo&/span&&span class=&p&&,&/span&
&span class=&n&&IN&/span& &span class=&n&&LPPROCESS_INFORMATION&/span& &span class=&n&&lpProcessInformation&/span&&span class=&p&&,&/span&
&span class=&n&&OUT&/span& &span class=&n&&PHANDLE&/span& &span class=&n&&hNewToken&/span&&span class=&p&&);&/span&
&/code&&/pre&&/div&&br&我们看看lpCommandLine里的路径。&br&&br&&img src=&/c2b0d57bd7f41bbf3f7b95028dfd3f1b_b.jpg& data-rawwidth=&365& data-rawheight=&171& class=&content_image& width=&365&&&br&lpCommandLine确实是QQ浏览器。&br&&br&再往上看nt!NtCreateProcessEx。&br&函数原型：&br&&br&&div class=&highlight&&&pre&&code class=&language-c&&&span class=&n&&NTSYSCALLAPI&/span&
&span class=&n&&NTSTATUS&/span&
&span class=&n&&NTAPI&/span&
&span class=&nf&&NtCreateProcessEx&/span& &span class=&p&&(&/span&
&span class=&n&&__out&/span& &span class=&n&&PHANDLE&/span& &span class=&n&&ProcessHandle&/span&&span class=&p&&,&/span&
&span class=&n&&__in&/span& &span class=&n&&ACCESS_MASK&/span& &span class=&n&&DesiredAccess&/span&&span class=&p&&,&/span&
&span class=&n&&__in_opt&/span& &span class=&n&&POBJECT_ATTRIBUTES&/span& &span class=&n&&ObjectAttributes&/span&&span class=&p&&,&/span&
&span class=&n&&__in&/span& &span class=&n&&HANDLE&/span& &span class=&n&&ParentProcess&/span&&span class=&p&&,&/span&
&span class=&n&&__in&/span& &span class=&n&&ULONG&/span& &span class=&n&&Flags&/span&&span class=&p&&,&/span&
&span class=&n&&__in_opt&/span& &span class=&n&&HANDLE&/span& &span class=&n&&SectionHandle&/span&&span class=&p&&,&/span&
&span class=&n&&__in_opt&/span& &span class=&n&&HANDLE&/span& &span class=&n&&DebugPort&/span&&span class=&p&&,&/span&
&span class=&n&&__in_opt&/span& &span class=&n&&HANDLE&/span& &span class=&n&&ExceptionPort&/span&&span class=&p&&,&/span&
&span class=&n&&__in&/span& &span class=&n&&ULONG&/span& &span class=&n&&JobMemberLevel&/span&
&span class=&p&&);&/span&
&/code&&/pre&&/div&&br&我们从SectionHandle取出目标文件路径。&br&&br&&img src=&/acbf8fcdb337a_b.jpg& data-rawwidth=&604& data-rawheight=&282& class=&origin_image zh-lightbox-thumb& width=&604& data-original=&/acbf8fcdb337a_r.jpg&&&img src=&/f5d1ebca_b.jpg& data-rawwidth=&1115& data-rawheight=&580& class=&origin_image zh-lightbox-thumb& width=&1115& data-original=&/f5d1ebca_r.jpg&&&br&SectionHandle指向了360安全浏览器。&br&&br&也就是说，QQ通过CreateProcess启动的是QQ浏览器，但在到达NtCreateProcessEx之后，却变成了360安全浏览器。栈上只有一个Hookport，你猜这是谁家的驱动程序呢？&br&&br&不出意外的话，是SectionHandle参数被篡改了。如果大家有兴趣，我可以尝试继续挖掘详细流程。&br&&br&360安全卫士 setup.exe
日 16:20:48&br&QQ浏览器 QQBrowser_Setup_14018.exe 日 11:55:05&br&360安全浏览器 360se6_6.5.1.100.exe
日 19:11:35&br&腾讯QQ
QQ2013SP2.exe
?2013?年?9?月?25?日 10:21:29&br&&br&&b&：&/b&&br&&b&几天没来忽然得到这么多关注，比较意外。&/b&&br&&b&大家这么有兴趣我就继续吧，若有进展会更新这个答案。&/b&&br&回复匿名用户：上面的时间是数字签名时间，测试环境都是断网的，所以应该不存在被云控制干扰的问题。&br&&br&&a class=&member_mention& data-editable=&true& data-title=&@依云& data-hash=&e1ecb812fd5ef0e75d04e4a2a6a34e57& href=&///people/e1ecb812fd5ef0e75d04e4a2a6a34e57& data-hovercard=&p$b$e1ecb812fd5ef0e75d04e4a2a6a34e57&&@依云&/a& 安装包sha1： &br&setup.exe 54ce4ff52bd12e24e3&br&QQBrowser_Setup_14018.exe 26b9e99f25bbd5f6f&br&360se6_6.5.1.100.exe cae09ea0fef0c54b3613d7bcbe90c54e&br&QQ2013SP2.exe 970b3e1ba9a579f73f37&br&&br&&b&:&/b&&br&整体流程基本上搞清楚了。&br&&br&&img src=&/7b00bdfc08d839491fac_b.jpg& data-rawwidth=&633& data-rawheight=&353& class=&origin_image zh-lightbox-thumb& width=&633& data-original=&/7b00bdfc08d839491fac_r.jpg&&&br&&br&Hookport通过拦截KiFastCallEntry间接拦截了NtCreateSection，然后转给另外一个驱动程序qutmdrv处理。具体的处理函数是qutmdrv+0x24d16。&br&&br&&img src=&/df90c6dd743d7fdcf2b6f_b.jpg& data-rawwidth=&605& data-rawheight=&486& class=&origin_image zh-lightbox-thumb& width=&605& data-original=&/df90c6dd743d7fdcf2b6f_r.jpg&&&br&&br&然后，qutmdrv+0x24734通过匹配一个通配符规则链表，决定要不要劫持目标进程。&br&&br&&img src=&/93b9576400bcaa27ac1cae6_b.jpg& data-rawwidth=&619& data-rawheight=&281& class=&origin_image zh-lightbox-thumb& width=&619& data-original=&/93b9576400bcaa27ac1cae6_r.jpg&&&br&这是链表内容，位于qutmdrv+0x2d740。具体是些什么软件大家可以帮忙对号入座。&br&&br&&img src=&/fadb0_b.jpg& data-rawwidth=&653& data-rawheight=&480& class=&origin_image zh-lightbox-thumb& width=&653& data-original=&/fadb0_r.jpg&&&br&&br&最后通过篡改SectionHandle，实现了劫持进程的效果。和我之前的猜想一致。&br&&br&One more thing...&br&看起来这个链表的内容涉及到若干系统环境变量以及自定义的变量格式，不太可能是驱动程序自己解析的。那么是由谁填充的呢？&br&&br&&img src=&/2e5d7bdc0cc380de99edac_b.jpg& data-rawwidth=&631& data-rawheight=&264& class=&origin_image zh-lightbox-thumb& width=&631& data-original=&/2e5d7bdc0cc380de99edac_r.jpg&&&br&&br&在qutmdrv+0x24d16设置断点，重启一次360安全卫士，触发了填充规则操作被断下。&br&&br&那么这个appd又是什么东西呢？&br&&br&&img src=&/7bcbd482c6361beee4aeb40af8c064aa_b.jpg& data-rawwidth=&498& data-rawheight=&314& class=&origin_image zh-lightbox-thumb& width=&498& data-original=&/7bcbd482c6361beee4aeb40af8c064aa_r.jpg&&&br&最后，我们用规则里看起来最不可能的CMD.EXE也就是系统的命令提示符来验证一下。&br&&br&&img src=&/ebc1a759a8e1b9e569b28_b.jpg& data-rawwidth=&627& data-rawheight=&225& class=&origin_image zh-lightbox-thumb& width=&627& data-original=&/ebc1a759a8e1b9e569b28_r.jpg&&&br&&br&顺便看了一下appd，是加载若干加密规则文件然后填充的。也就是说填充的具体规则内容完全是可以随时修改的。
： 有人问结论，那么结论前置。360安全卫士在启动时会往驱动程序qutmdrv里填充一个黑名单，在黑名单上的程序启动的浏览器会被劫持。因此QQ启动QQ浏览器时被该驱动程序拦截，并被替换为360安全浏览器。以下是得出该结论的过程。dr。 自问自答。…
&p&上古时代搞出个病毒生怕别人不知道，改个图标，弹出个小球，放一段音乐，弹出光驱……那时候写病毒也没有办法变成人民币，就图一个成就感。即使没有杀毒软件，也很容易感知到中毒了。&/p&&br&&p&现在的病毒是产业化的，闷声发大财。&/p&&br&&p&从前有一天，我写了一个木马，我绞尽脑汁的想，怎么才能伪装得像一个正常程序呢？嗯，我叫winrar.exe会不会看起来像一个压缩软件呢？我觉得我这个点子真棒，洋洋自得得安装了一个360杀毒测试一下，安装完之后我流泪了！因为我发现：&/p&&br&&p&360杀毒的启动程序叫“winrar.exe”！！！！！&/p&&br&&p&你堂堂一个杀毒软件啊，连这个都帮我们干了，让我们病毒木马干什么啊？加个杀毒模块？&/p&
上古时代搞出个病毒生怕别人不知道，改个图标，弹出个小球，放一段音乐，弹出光驱……那时候写病毒也没有办法变成人民币，就图一个成就感。即使没有杀毒软件，也很容易感知到中毒了。 现在的病毒是产业化的，闷声发大财。 从前有一天，我写了一个木马，我绞…
iOS：&br&1.极低的用户权限&br&2.极其严格有限的开发者权限&br&3.坚若磐石的UNIX内核&br&4.强大的沙盒机制&br&5.作为唯一的第三方APP软件来源，APP store对第三方APP的严格审查&br&6.不允许低效高能耗的Flash&br&7.封闭系统&br&..............................&br&对比Android：&br&1.极高的开发者权限（包括后台常驻，通讯录读取，广告等）&br&2.极易root，带来无限的用户权限&br&3.虚拟机机制&br&4.极其宽松，甚至没有第三方APP审查&br&5.允许Flash~（我的观念来自&a href=&///?target=http%3A///2010/04/jobs-thoughts-on-flash-chinese.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&乔布斯：关于 Flash 的思考&i class=&icon-external&&&/i&&/a&，以及现实中使用Flash的一些遭遇，尤其是OS X下~）&br&6.开源系统！！（必须要说明，我不是开源黑，之所以写了这一条，是因为开源的Android，允许用户随意刷入第三方rom，而这些第三方rom里边是否有恶意代码完全不得而知~）&br&&br&不谈其他，只说安全性，iOS这些严格限制，和封闭的特性，带来的最大的优势就是对第三方APP的完美控制，带来了对安全的最大保障！&br&你还需要什么？放心使用就是，科技的最高境界就是让你感觉不到它的存在~&br&----------------------------------隔一下-----------------------------------&br&首先：&br&&b&1、“我的回答首先基于中国的真实环境，Google play和其他一系列Google服务都请忽略，只是因为不接地气，所以某些大神，恳请你们放过我！”&/b&&br&&b&2、“从普通用户角度出发，我们来看看用户会怎么用手机...如果偏离【大多数普通用户】的实际使用场景，那这样的分析就算技术性很强，对于大多数人参考意义也不大~”&/b&&br&&b&3、“必须说明，root过的Android和已经越狱的iOS都毫无安全性可言，但我们依然本着‘接地气’的原则&/b&&b&：相当一部分用户手中的Android设备在购买后，甚至购买时就已经被root了，而新的iOS设备目前来说100%是没有越狱，甚至买回去之后也是无法越狱的，所以以下基于【未越狱的iOS】和【root及未root的Android】分别讨论”&br&&/b&iOS：&br&1、以iOS7.1为例，尚无法越狱，只能购买经过苹果极其严格审核过后的正版软件；&br&2、有限的用户权限，你没办法超频跑分，没办法删减系统程序；&br&3、第三方APP没办法在你不知道的情况下后台偷偷启动摄像头，没办法在你不知道的情况下就开始录音~&br&所以你只能规规矩矩地使用iPhone完成你日常的工作，学习和娱乐~在这种情况下，安全性得到了最大的保障，不会有病毒，也不会有恶意程序~&br&Android：&br&1、以4.4为例，随便百度一下就有无数的Android盗版软件供你安装，这些软件是否经过恶意修改，不得而知~&br&2、热门机型随便一搜就有一大堆第三方rom可刷，这些rom从哪来的也不得而知...&br&3、普通用户root的目的就是为了超频，删除系统自带程序等这些需要最高权限的功能，至于“&b&通过root获得最高权限，反过来控制第三方APP的权限&/b&”这个逻辑顺序对于普通用户来说遥不可及，反而是顶多在&b&已经root后，&/b&打开软件在提示需要获得最高权限时才开始纠结：这个要不要最高权限呢？=。=&br&&br&最后必须要说的是最新版的Android 系统root的难度远远小于iOS系统越狱（依然针对大多数设备，个别例子不具有普遍性）~&br&从这一点也能从侧面看出iOS的安全性是高于Android的...&br&&br&PS：之前关闭评论是因为各位的回复都太认真了，我要是不一条一条仔细看，并且尽量一一回复都感觉对不起各位，但是实在没精力这么搞...所以我修改了答案，突出了我想表达的重点，希望能够减少一些朋友对我这个回答的误解，对于各位的回复我还是会认真回应的！&br&&br&&b&感情相关：果粉，谷粉，安卓黑~&/b&
iOS： 1.极低的用户权限 2.极其严格有限的开发者权限 3.坚若磐石的UNIX内核 4.强大的沙盒机制 5.作为唯一的第三方APP软件来源，APP store对第三方APP的严格审查 6.不允许低效高能耗的Flash 7.封闭系统 .............................. 对比Android： 1.极高…
&i&利益相关：信息安全从业。&/i&&br&&br&说实话360的公关做得真是好差。&br&&br&这事吧，无非就是当年看人家白富美可以帮你一步登天、少奋斗十年，就拼命追求、表白，追上了以后还在微信朋友圈各种贴照片、晒幸福、虐单身。&br&&br&结果自己履历、收入、相貌、身高造假的事情被挖出来了，就赶紧跳出来指责对方是土包子、绿茶、人尽可夫，而且早就被前男友抛弃了好多次，自己压根就看不上对方。&br&&br&先不说危机公关的原则是什么。就说这种始乱终弃的作风，不怕其他合作伙伴心冷？不怕客户和员工齿冷？下任女友看见你如此对待前任，不会兔死狐悲、唇亡齿寒、鸟尽弓藏？&br&&br&君子相交，分手后不说恶言，这不仅仅是道德上的需要，也是避免自己被狠狠打脸的需要，毕竟恩爱秀在前，人家要是真像你描述的那么烂，当初是突然两只眼睛视力都下降到0.01了吗？&br&&br&危机公关应秉持“诚”字，无论诚恳解释，还是诚心道歉，或是诚意补偿，总之先化解情绪、再慢慢寻求挽回之道。哪里有像你们这样，傲慢自视，目空一切，自说自话，视天下人如无物的，套用李敖的一句话：“我不是气你骗我，我是气你连骗我都不打算认真骗，这明摆着就是看不起我的智商嘛。”&br&&br&360还没能执天下之牛耳，BAT之外还有小米，哪家也不简单，且收起你的狂傲之心。&br&&br&再说你们做的这些解释吧，拜托你们在互联网公司做公关，不懂技术要学技术，学不进去也可以去学逻辑，但凡有一样能考及格也做不出这样不靠谱的解释来。&br&&br&说用户机器配置低，这是什么概念呢？打个简单的比方，有一种白酒，它总是宣传自己是60度的烈酒，能点着火，是汉子喝的，其他酒都是四五十度的“低度酒”，是妹子喝的，结果它是兑了水卖给您的，原因是您的酒量太低……&br&【此处应有唐国强剧照一张】&br&&br&说你们是云查杀，测评机构只检测本地能力、太过时太老套。360刚刚宣布进入企业级信息安全市场，涉密网能连接360的云吗？企业内网允许上传可疑文件吗？还是360打算用云查杀和BitDefender以外的第三个引擎？这好嘛，山寨大法好，一人得奖全家受益，照这么说你拿着冠希老师的照片去相亲，相中了再换成自己，被人家发现了就说自己有内涵，对方是外貌协会的，太肤浅。&br&【我还要放一张唐国强的剧照】&br&&br&说测评机构评测标准远离用户需求，听着有点道理，但是拜托你选个好点的例子啊，TeamViewer是一家正正经经的德国公司，人家已经营业十年了，老老实实卖网管软件，就这样被泼了脏水。按照360的理论，攻击者可能利用TeamViewer窃取网银的款项，所以360会“智能”地判断是否应该查杀TeamViewer，那攻击者要是利用Windows自己提供的共享桌面或者其他网络工具窃取网银，360是不是还要“智能”地卸载Windows啊？然后再给你装个“360安全操作系统”？咦，我不小心又真相了。&br&【唐老师辛苦了，记得问他们要劳务费】&br&&br&&br&=====前传=====&br&&br&&u&我们&/u& 期待 &u&美妙的新世界&/u& 于 &u&1984&/u& 年春。 &a href=&/question//answer/& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/question/3005&/span&&span class=&invisible&&0848/answer/&/span&&span class=&ellipsis&&&/span&&/a&
利益相关：信息安全从业。 说实话360的公关做得真是好差。 这事吧，无非就是当年看人家白富美可以帮你一步登天、少奋斗十年，就拼命追求、表白，追上了以后还在微信朋友圈各种贴照片、晒幸福、虐单身。 结果自己履历、收入、相貌、身高造假的事情被挖出来了…
转自&a href=&///?target=http%3A///articles/system/53021.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&金玉其外败絮其中：百度杀毒“雪狼引擎”逆向分析&i class=&icon-external&&&/i&&/a&&br&（原文作者：看雪/monkeycz &a href=&///?target=http%3A///showthread.php%3Fs%3De7c80dd074e3c8cbaaba865bebd0bec8%26t%3D194970& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&【原创】百度雪狼引擎逆向分析&i class=&icon-external&&&/i&&/a&）&br&&br&&p&&b&&u&一、前言&引子&/u&&/b&&/p&&p&&b&百无聊赖的夜晚，偶尔翻看到这么一篇介绍：&/b&&/p&&div class=&highlight&&&pre&&code class=&language-text&&“百度首度自研推出的核心查杀引擎「雪狼」，采用全新「量子查杀」技术。”
“雪狼引擎依托百度大数据分析，通过海量样本的分析技术得到文件多维度信息，实现了短小、抗免杀、能力超强的识别模式技术的突破。”
&/code&&/pre&&/div&&br&&p&虽然早已不像当年对软件安全那般狂热，但也许是虚荣心作祟，想练练手证明自己宝刀未老，外带着一点点传播真相的责任感。我花了几个无聊看视频的夜晚，完成了大部分百度雪狼引擎的逆向分析，如有错误望指正。&/p&&p&&b&1，BAV版本：&/b&&/p&&p&3.0.0.4517&/p&&br&&p&&b&2，引擎文件：&/b&&/p&&img src=&/e87f9e8f398d_b.jpg& data-rawwidth=&522& data-rawheight=&218& class=&origin_image zh-lightbox-thumb& width=&522& data-original=&/e87f9e8f398d_r.jpg&&&br&&p&&b&3，病毒库文件：&/b&&br&&/p&&img src=&/d9a8e98fb50b967f111d53657aed6f8e_b.jpg& data-rawwidth=&461& data-rawheight=&235& class=&origin_image zh-lightbox-thumb& width=&461& data-original=&/d9a8e98fb50b967f111d53657aed6f8e_r.jpg&&&br&&p&&b&4，分析评估：&/b&&/p&&ol&&li&个人认为雪狼仅仅是个非常薄弱传统特征引擎，没有启发，没有虚拟机，没有沙箱等等。&br&&/li&&li&即便是作为一款传统特征引擎也极其不合格，特征总数只有区区2000余条，远远低于传统杀毒软件数百万量级的特征数量。也绝不可能覆盖数量众多的病毒和木马。&br&&/li&&/ol&&p&PS：对比卡巴斯基特征数量：&/p&&img src=&/67dcc3b0b6c_b.jpg& data-rawwidth=&600& data-rawheight=&263& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/67dcc3b0b6c_r.jpg&&&br&&p&这里不禁要提一下，雪狼引擎的库之所以这么小，并非如宣传说的那样是多么牛X的技术突破和多么强大的压缩算法。原因只有一个：&b&特征太少&/b&。&br&&/p&&p&这种拿自己的弱点放大百遍当优点大肆宣传的做法，是非常为人不齿的。&/p&&br&&p&&b&&u&二、“量子查杀”&“大数据分析”深度剖析&/u&&/b&&/p&&br&&p&尽管从上述分析中已经得知，雪狼仅仅是一个传统特征引擎，特征数量也非常少。那么所谓的“量子查杀”和“大数据分析”是不是名副其实呢？下面我将以尽量严谨的逆向分析过程，来揭露它的本质。&/p&&p&MALWARE查杀逆向分析：&br&&/p&&p&&b&1，特征结构描述：&/b&&br&&/p&&p&以某条二进制特征为例：&/p&&img src=&/b4b04d98c600fc940c9dbb_b.jpg& data-rawwidth=&191& data-rawheight=&22& class=&content_image& width=&191&&&div class=&highlight&&&pre&&code class=&language-text&&红色字体为FIRST_WORD
蓝色字体为SECOND_DWORD
黑色字体为THREE_SCRIPT_DATA
&/code&&/pre&&/div&&p&&b&2，结构表：&/b&&/p&&p&特征库SM_VDF结构一共13张&/p&&img src=&/cef6e7d8b61af7d4fa92_b.jpg& data-rawwidth=&467& data-rawheight=&451& class=&origin_image zh-lightbox-thumb& width=&467& data-original=&/cef6e7d8b61af7d4fa92_r.jpg&&&br&&p&&b&3，流程：&/b&&br&&/p&&br&&p&每次读入0X40字节，以WORD形式挨个遍历，第一次匹配WORD提速，成功则第二次匹配DWORD，再成功则执行脚本匹配，再成功则保存特征ID，最后根据这条特征ID查询二叉树关系是否需要满足命中其他特征ID。满足所有条件则最后报毒。&/p&&img src=&/65d011da0d4a17b34b593a48b66b23ce_b.jpg& data-rawwidth=&600& data-rawheight=&248& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/65d011da0d4a17b34b593a48b66b23ce_r.jpg&&&br&&p&&b&4，二叉树：&/b&&br&&/p&&br&&img src=&/7db7c21df3e624ebd33b_b.jpg& data-rawwidth=&303& data-rawheight=&181& class=&content_image& width=&303&&&br&&p&&b&5，特征命中：&/b&&br&&/p&&br&&p&以上图为例，命中 ID_0可以分为以下几种情况：&/p&&br&&div class=&highlight&&&pre&&code class=&language-text&&0-&1-&2-&3
&/code&&/pre&&/div&&p&任意3种组合，命中其中一组即报毒。说白了，其实就一个多种组合匹配。&/p&&br&&p&假设特征描述如下，举例：&br&&/p&&div class=&highlight&&&pre&&code class=&language-text&&0：入口点指令为push ebp
4：文件区段数为4
5：匹配字符串“I AM MALWARE!”。
6：匹配字符串“I AM VIRUS!”。
&/code&&/pre&&/div&&p&根据组合0，4，5报毒规则描述如下：&br&&/p&&br&&p&(入口点指令为push ebp)&(文件区段数为4)&(匹配字符串“I AM MALWARE!”)&/p&&p&根据组合0，4，6报毒规则描述如下：&br&&/p&&br&&p&(入口点指令为push ebp)&(文件区段数为4)&(匹配字符串“I AM VIRUS!”)。&/p&&p&这里的特征4-&“文件区段数为4”便是百度所谓的复用特征。&br&&/p&&p&不过这种复用特征数量非常少，而且复用度很低。而且实际上也不是什么了不起的技术，只是一个最简单的&b&多模匹配&/b&。&/p&&br&&p&&b&6，实例：&/b&&/p&&img src=&/eeecf9c394d0_b.jpg& data-rawwidth=&458& data-rawheight=&255& class=&origin_image zh-lightbox-thumb& width=&458& data-original=&/eeecf9c394d0_r.jpg&&&br&&p&简单特征，例“Win32.Trojan.Delf.a”：&/p&&p&引用：&br&&/p&&div class=&highlight&&&pre&&code class=&language-text&&Word OP：0x6464
sign count：
idx：000003BC，idy：，Match_Dword：， Virname：Win32.Trojan.Delf.a
Method Size：0000000C
&/code&&/pre&&/div&&p&step：1&/p&&p&匹配2进制数据：69 65 62 75 64 64 79&br&&/p&&br&&p&简单特征，例“Win32.Trojan.BHO.a”：&br&&/p&&p&引用：&br&&/p&&div class=&highlight&&&pre&&code class=&language-text&&Word OP：0x2D42
sign count：
idx：，idy：，Match_Dword：， Virname：Win32.Trojan.BHO.a
Method Size：0000000C
&/code&&/pre&&/div&&p&step：1&/p&&p&匹配2进制数据：38 36 42 45 42 2D 34 44 32 38 2D 34 35 30 36 2D 41 36 42 41 2D 38 44 30 34 36 36 36 33 38 42 35 33 &/p&&br&&p&简单特征，例“Base.Record.InternetExplorer.a”&/p&&p&引用：&br&&/p&&div class=&highlight&&&pre&&code class=&language-text&&Word OP：0x6E72
sign count：
idx：，idy：，Match_Dword：65746E49，Virname：Base.Record.InternetExplorer.a
Method Size：0000000C
&/code&&/pre&&/div&&p&step：1&/p&&p&匹配2进制数据：49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 &/p&&br&&p&复杂脚本特征，例“Win32.Trojan.Nimnal.e”：&/p&&p&引用：&br&&/p&&div class=&highlight&&&pre&&code class=&language-text&&Word OP：0x7404
sign count：
idx：000001EE，idy：，Match_Dword：， Virname：Win32.Trojan.Nimnal.e
Method Size：
&/code&&/pre&&/div&&div class=&highlight&&&pre&&code class=&language-text&&step：1
回退文件偏移：FFFFFFE4
匹配2进制数据：8A 10 83
运算匹配 ANDKEY：0xF0，AndData：E0
匹配2进制数据：01 88 14
运算匹配 ANDKEY：0xF0，AndData：00
匹配2进制数据:83 C0 01 85
移动Buf指针：
匹配2进制数据：75 F1 8B DF B8
移动Buf指针：
匹配2进制数据：81 3B
移动Buf指针：
匹配2进制数据：75 05 39 43 04 74 05 83 C3 01 EB EE
&/code&&/pre&&/div&&br&&p&&b&7，分析评估：&/b&&br&&/p&&br&&p&所谓“量子查杀”：&/p&&div class=&highlight&&&pre&&code class=&language-text&&本质：基于样本“全文”的明文2进制多方式匹配。
通过（1.WORD）,（2.DWORD）进行提速，最后（3.脚本）3个步骤，每次匹配中的病毒IDX保存，在随后进行多模匹配。只是一个最基本最基本的传统特征码查杀方式而已。尽管切分了文件，但本质不变。
&/code&&/pre&&/div&&br&&p&所谓“大数据分析”：&/p&&div class=&highlight&&&pre&&code class=&language-text&&因雪狼查杀机制为全文查杀，导致效率会极为低下。为了提高效率通过统计已有的样本而做出的SECT0表来做提速，仅此而已。
&/code&&/pre&&/div&&br&&p&VIRUS查杀逆向分析：&/p&&br&&p&&b&1，特征结构描述：&/b&&/p&&p&编译了的二进制格式，包含寄存器，逻辑运算，JCC跳转处理的特性。&/p&&p&PS：只反编译了查杀脚本，修复脚本没有弄，纯体力活，搞不动了，没动力。&/p&&p&&b&2，结构表：&/b&&br&&/p&&p&特征库SV_VDF结构一共4张结构表&/p&&img src=&/e8face55e14_b.jpg& data-rawwidth=&235& data-rawheight=&111& class=&content_image& width=&235&&&p&&b&3，自己反编译后定义脚本执行描述：&/b&&br&&/p&&p&BAVREG[0]~BAVREG[9] 为引擎寄存器。&/p&&p&BAVREG[0]类似X86下 EAX。返回值。&/p&&p&BAV_FLAGS 对应X86 FLAGS 寄存器。&/p&&p&&b&4，实例：&/b&&br&&/p&&p&引用：&br&&/p&&p&脚本特征，例“Win32.Virus.Loader.u”&/p&&div class=&highlight&&&pre&&code class=&language-text&&id：0000006D，Win32.Virus.Loader.u
BAVREG[0] = BAVE_GetEP_Section_Index();
BAV_FLAGS = BAVREG[0] - 0x;
Check_BAV_FLAGS == 0 {RetnScan FALSE}
//if(BAVE_GetEP_Section_Index() == 0){retn FALSE;}
&/code&&/pre&&/div&&p&//获取EP段在第几段，为0就失败。&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] = BAVE_GetAddressOfEntryPoint_RVA();
BAVREG[9] = BAVREG[0];
BAV_FLAGS = MatchData RVA:BAVREG[0], 60 64 A1 30 00 00 00 8B 40 0C 8B ;
Add Offset:;
BAV_FLAGS = MatchData RVA:BAVREG[0], 1C AD ;
Check_BAV_FLAGS == 1 {RetnScan FALSE};
&/code&&/pre&&/div&&p&//获取OEP入口点，匹配2进制60 64 A1 30 00 00 00 8B 40 0C 8B ?? 1C AD&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x;
BAV_FLAGS = MatchData RVA:BAVREG[0], 8B 45 3C 8B 54 05 78 ;
Check_BAV_FLAGS == 1 {RetnScan FALSE};
&/code&&/pre&&/div&&p&//当前指针+0×15偏移 匹配8B 45 3C 8B 54 05 78&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x;
BAV_FLAGS = MatchData RVA:BAVREG[0], 61 E9 ;
Check_BAV_FLAGS == 0 {Goto _};
&/code&&/pre&&/div&&p&//当前指针+0×74偏移 匹配61 E9
匹配成功则跳转到 _:&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x0000000B;
BAV_FLAGS = MatchData RVA:BAVREG[0], 61 E9 ;
Check_BAV_FLAGS == 0 {Goto _};
&/code&&/pre&&/div&&p&//当前指针+0xB偏移 匹配61 E9
匹配成功则跳转到 _:&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x;
BAV_FLAGS = MatchData RVA:BAVREG[0], 61 E9 ;
Check_BAV_FLAGS == 0 {Goto _};
&/code&&/pre&&/div&&p&//当前指针+0×9偏移 匹配61 E9
匹配成功则跳转到 _:&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x;
BAV_FLAGS = MatchData RVA:BAVREG[0], 61 E9 ;
Check_BAV_FLAGS == 0 {Goto _0000002B};
&/code&&/pre&&/div&&p&//当前指针+0×7偏移 匹配61 E9
匹配成功则跳转到 _0000002B:&/p&&div class=&highlight&&&pre&&code class=&language-text&&BAVREG[0] += 0x;
BAV_FLAGS = MatchData RVA:BAVREG[0], 61 E9 ;
Check_BAV_FLAGS == 0 {Goto _};
&/code&&/pre&&/div&&p&//当前指针+0×45偏移 匹配61 E9
匹配成功则跳转到 _:&/p&&div class=&highlight&&&pre&&code class=&language-text&&{RetnScan FALSE};
//返回失败
{RetnScan TRUE};
//返回成功报毒
{RetnScan TRUE};
//返回成功报毒
{RetnScan TRUE};
//返回成功报毒
_0000002B:
{RetnScan TRUE};
//返回成功报毒
{RetnScan TRUE};//返回成功报毒
&/code&&/pre&&/div&&br&&p&&b&&u&三、Virus&Anti-Virus攻防实验&/u&&/b&&/p&&p&作为一款传统特征引擎,雪狼在免杀对抗上的能力又如何？&/p&&p&常见的特征免杀方式有两种：&/p&&div class=&highlight&&&pre&&code class=&language-text&&1，逆向分析传统特征库，避开检测条件。
2，黑盒定位特征。
&/code&&/pre&&/div&&p&尽管我已经解开了雪狼的特征库，但是方法2的成本更低，也是一般黑客最常用的免杀方式。以此做实验更能说明问题。&/p&&br&&br&1.以雪狼可以检测出的某恶意程序为例，使用MYCCL定位特征码。&br&2.十六进制查看&br&&p&特征码1：&/p&&img src=&/26a7d6f8bcb6a0eca3c2c60_b.jpg& data-rawwidth=&600& data-rawheight=&31& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/26a7d6f8bcb6a0eca3c2c60_r.jpg&&&p&特征码2：&br&&/p&&img src=&/6a613271caaa71a858cfd25_b.jpg& data-rawwidth=&600& data-rawheight=&33& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/6a613271caaa71a858cfd25_r.jpg&&&p&特征码3：&/p&&img src=&/727f876d_b.jpg& data-rawwidth=&600& data-rawheight=&33& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/727f876d_r.jpg&&3.得知这一条特征对应的三处特征码全取在PDB路径上。&br&4.把路径大小写修改以后保存。&br&5.查杀测试：&br&&p&将virus.exe和virus_bypass.exe同时扫描，结果如下。&/p&&img src=&/da2ca894c3a0ee4c43eead_b.jpg& data-rawwidth=&600& data-rawheight=&342& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/da2ca894c3a0ee4c43eead_r.jpg&&&p&6，评估分析：&br&&/p&&p&如此简单的特征方式也预见到了会被如此简单的BYPASS。&/p&&br&&p&&b&&u&四、雪狼&其他杀软查杀效果实际对比&/u&&/b&&/p&&p&为了验证以上所有结论，我托朋友从某论坛下载了一些恶意程序样本，使用几款常见的杀毒软件来做查杀对比测试。一共63个文件。下载链接：&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1790021& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/forum.php?mod=viewthread&tid=1790021 &i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1790016& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&邮箱收到的_病毒样本区&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1789970& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&& #18_病毒样本区&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1789968& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&& #25_病毒样本区&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1789889& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&好友QQ中毒发来的，管家报毒，360杀毒扫描安全&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1789867& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&QQ粘虫_病毒样本区&i class=&icon-external&&&/i&&/a&&/p&&p&&a href=&///?target=http%3A///forum.php%3Fmod%3Dviewthread%26tid%3D1789965& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&& #128_病毒样本区&i class=&icon-external&&&/i&&/a&&/p&&p&&b&1，测试条件：&/b&&/p&&p&1.百度杀毒不允许关闭卡巴引擎，但是在代码里判断系统是否为双核，内存是否大于4G。不满足条件则不打开卡巴引擎，于是被我以此巧妙地关闭了卡巴引擎，以检测雪狼真实效果。&/p&&p&2.360杀毒关闭了BD和小红伞。&/p&&p&3.全部测试都是断网。(各家杀软显示样本数不同原因是有些杀软统计了解包数量，实际测试样本数量均为63个)&/p&&p&&b&2，查杀效果：&/b&&br&&/p&&p&瑞星：&img src=&/8453d9eff33a26f4fba0c_b.jpg& data-rawwidth=&600& data-rawheight=&376& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/8453d9eff33a26f4fba0c_r.jpg&&&/p&&p&360杀毒：&img src=&/1fa7f966ca244dd5b55e2d_b.jpg& data-rawwidth=&600& data-rawheight=&411& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/1fa7f966ca244dd5b55e2d_r.jpg&&&/p&&p&百度杀毒：&img src=&/8362eec8d8cb0e2f84f752_b.jpg& data-rawwidth=&600& data-rawheight=&338& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/8362eec8d8cb0e2f84f752_r.jpg&&&br&&/p&&p&火绒杀毒：&img src=&/945a9e70ad83d068c6f6_b.jpg& data-rawwidth=&600& data-rawheight=&377& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/945a9e70ad83d068c6f6_r.jpg&&&br&&/p&&p&&b&3，评估分析：&/b&&br&&/p&&p&事实胜于雄辩，效果如何也一目了然。&/p&&p&(PS:非360软文，用过数字杀毒的都知道QVM引擎的奇葩误报率)&/p&&br&&p&&b&&u&五、总结&思考：&/u&&/b&&/p&&p&&b&百度的雪狼引擎只是一款基础的传统特征引擎，而且特征数量之少导致其远远无法应付当前的恶意程序环境，免杀对抗也极为容易。尤其是在系统配置低，只有单核和4g以下内存的机器。如果安装百度杀毒，将会直接关闭卡巴引擎不给用户任何提示和选择，单凭雪狼区区两千条特征远远无法抵御恶意程序的侵袭。&/b&&/p&&p&&b&最重要的是不负责任的盲目夸大宣传是不折不扣的欺骗，薄弱的查杀率将会使广大用户暴露在安全威胁之中。跟现在的主流杀软相比，还是太浮躁，一款优秀的反病毒引擎，不是一蹴而就，需要是时间，需要积累。&/b&&/p&
转自 （原文作者：看雪/monkeycz ） 一、前言&引子百无聊赖的夜晚，偶尔翻看到这么一篇介绍：“百度首度自研推出的核心查杀引擎「雪狼」，采用全新「量子查杀」技术。”
&p&因为实际上这是最好用、最方便操作、最明智的选择，强烈反对现在知乎答案中“拔高微软更新的作用、鄙视安装杀毒软件的风气，以及一些人莫名其妙的幸灾乐祸”。&/p&&p&曾经在三年中处理了不下于1000台中毒的同学的电脑，多的时候一天处理10多台，对校园病毒木马环境和同学的心理算是非常了解，也见过一些奇奇怪怪的病毒，比如女生不喜欢男友看av，编的遍历全磁盘删除日文字符.rmvb和.rm等扩展名的文件的病毒，见过盗取老师JAccount用户名密码的病毒，也许想改自己成绩。不客气地说,对普通用户只安装正版的window 操作系统+随时更新，校园环境下安全性基本为0，校园里面病毒传播途径多种多样，移动介质是病毒传播最常见的方式，只安装正版的window+随时更新的操作系统，更大的可能是早在勒索病毒爆发前就早死翘翘了；我处理过的电脑正版windows+及时更新的出问题的不知道有多少。&b&对于普通用户，装360或腾讯管家是最明智最方便操作的选择&/b&，并不需要人人成为专家，也不可能人人都是高手&b&，实际上腾讯管家、360的广泛装机&/b&，极大地打击了校园病毒的传播，&b&居功甚伟&/b&。&b&普通用户&/b&自忖&b&不是高手，还是老老实实地把360或者腾讯管家或者杀毒软件装上，别听知乎上的瞎扯淡，他们仅仅是不通实务的瞎子而已,&/b&动不动就让企业用户更新到windows10，以为企业更新和你家电脑更新成本一样呢，不是微软员工能增加东家利益就别眺出来误导人了，况且window 操作系统即使随时更新，对病毒防护也一点都不高&b&。当然，有条件的装360和系统更新同时都都做是最好滴。&/b&&/p&&p&这次幸运的更新系统的同学，阻断了此次病毒的传播途径中最大的那个而已，不要有那么高的自信，病毒并没有承诺不进化只靠这次的漏洞传播，况且专网、内网内首先中毒的一定还是被社会工程学击破自己点击了病毒的，随后才是内网爆发的。尤其&b&不要幸灾乐祸嘲笑中毒的同学&/b&，看你不爽，同学可以拷贝个病毒exe乘你上厕所，在你电脑上双击一下，慢慢笑去吧。&/p&
因为实际上这是最好用、最方便操作、最明智的选择，强烈反对现在知乎答案中“拔高微软更新的作用、鄙视安装杀毒软件的风气，以及一些人莫名其妙的幸灾乐祸”。曾经在三年中处理了不下于1000台中毒的同学的电脑，多的时候一天处理10多台，对校园病毒木马环境…
&p&利益相关：前某安软漏洞修复工作人员（NOT TX）&/p&&p&很简单，因为&b&国内有很大部分非原版的GHOST Win7系统&/b&，而这些GHOST版本系统中，又有很大范围版本的ci.dll文件有问题，&b&当微软的补丁更新替换这个文件后，重新开机，系统就会蓝屏，显示0x0000006B错误&/b&&/p&&p&问题版本的ci.dll文件：&/p&&img src=&/v2-65d3032ceec7e10a40e6bd_b.png& data-rawwidth=&602& data-rawheight=&765& class=&origin_image zh-lightbox-thumb& width=&602& data-original=&/v2-65d3032ceec7e10a40e6bd_r.png&&&p&类似的问题，2016年4月的时候就已经发生过了，可以见这里：&a href=&///?target=https%3A///s%3Fwd%3DKB0ci.dll& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/s?&/span&&span class=&invisible&&wd=KBci.dll&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/p&&p&微软2017年3月的补丁中，也包含了更新这个文件的升级包，所以，自然不能对可能发生蓝屏的用户推送这个补丁。&/p&&p&&b&而对于这部分蓝屏用户，安软厂商也做出了努力，包括：&/b&&/p&&ol&&li&向微软反馈GHOST系统蓝屏问题——微软不愿为盗版系统处理问题&/li&&li&帮助用户修复替换问题版本的ci.dll文件（腾讯静默替换，360系统修复时替换）&/li&&/ol&&p&&b&所以，其实并没有什么恶意在里面，有问题的，最终还是：&/b&&/p&&ol&&li&用户安全意识不高，选择非原版操作系统&/li&&li&忽略安软的建议&/li&&li&认为系统更新没有必要，关闭了windows update&/li&&/ol&&p&END&/p&&p&===================================&/p&&p&UPDATE:&/p&&p&1、这个回答在卡饭论坛引起了网友们的讨论，其中ID叫“ &a href=&///?target=http%3A///forum.php%3Fmod%3Dredirect%26goto%3Dfindpost%26ptid%3Dpid%3D& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&伊川书院&i class=&icon-external&&&/i&&/a& ”的网友的观点很不错，他认为：&/p&&blockquote&安软厂商应该在修复补丁时，对于不同类型的系统（原版、盗版、GHOST版等），应进行可能性的风险提示，在安全性和用户体验上进行衡量和优化，降低风险。&/blockquote&&p&这个观点很棒，当然啦，我已经不再做库发补丁了，这些建议和想法，还望各家第三方安软厂商们多思考和衡量下啦&/p&&p&2、这是我个人知乎账号里，点赞最多、涨粉最多、回复也最多的回答，激动\(≧▽≦)/&/p&
利益相关：前某安软漏洞修复工作人员（NOT TX）很简单，因为国内有很大部分非原版的GHOST Win7系统，而这些GHOST版本系统中，又有很大范围版本的ci.dll文件有问题，当微软的补丁更新替换这个文件后，重新开机，系统就会蓝屏，显示0x0000006B错误问题版本的c…
挺久之前的回答竟突然涌进来一百多个赞！原来是被轮子哥翻牌子了，轮带逛名不虚传！&br&以下是原回答...&br&&br&我曾经是QQ电脑管家的忠实用户，按理说我一个“资深”IT码农是不应该装这种“乱七八糟”的软件的，但是当初我对腾讯这样的大公司的东西还是有一些盲目信任的，而且我也不是特别介意它偶尔偷偷搜集点我的操作习惯什么的。&br&&br&不过事实证明那时的我还是图样！去年上半年碰到的一件事让我下决心删掉了QQ电脑管家，而且以后也不会再安装其它类似的软件了。&br&&br&我是个IT码农，经常需要开着Chrome的调试器调试网页。去年4月初的某一天，我突然在Chrome调试器里看到了一段陌生的js报错，点进去之后发现这段错误来自于一个Chrome插件，我的个人习惯是从来不在Chrome上安装任何插件的。而这个新出现的插件是QQ电脑管家静默安装到我的Chrome中的，名字叫某某网址保护，具体有点记不清了。&br&&br&我简单看了一下出错位置的代码就感觉不太好了，插件中竟然直接用 document.body.onclick=function(){...} 的方式来监听点击事件，虽然错误的原因并不在这里，但这样绑定事件很容易覆盖目标网页中的原有逻辑，或者被目标网页中的原有逻辑覆盖。&br&&br&作为一个很有责任感的用户，我好不犹豫的把这个问题反馈给了QQ电脑管家的官微，官微也给了我反馈承诺会改进。于是我就先把这个Chrome插件卸载了。&br&&br&一个月后的某一天，我又一次在Chrome调试器中看到了类似的错误，原来那个插件又自己回来了。我再一次点进了错误堆栈，电脑管家诚不欺我！他们确实调整了相应的代码，可为什么仍然有报错呢？于是我尝试读了一下他们的代码，然而只开了头我就崩溃了。。。。&br&&br&我卸载了这个插件，然后卸载了整个QQ电脑管家。对不起！我再也不会回来了！&br&&img src=&/03f16ae2821edcc7b3e9_b.jpg& data-rawwidth=&275& data-rawheight=&271& class=&content_image& width=&275&&&br&具体我看了什么呢？下面直接贴上当时发的长微博....&br&&img src=&/baeaaffecd5718_b.jpg& data-rawwidth=&440& data-rawheight=&2919& class=&origin_image zh-lightbox-thumb& width=&440& data-original=&/baeaaffecd5718_r.jpg&&&br&&br&有时，某些大公司的代码品质真的让人心寒！
挺久之前的回答竟突然涌进来一百多个赞！原来是被轮子哥翻牌子了，轮带逛名不虚传！ 以下是原回答... 我曾经是QQ电脑管家的忠实用户，按理说我一个“资深”IT码农是不应该装这种“乱七八糟”的软件的，但是当初我对腾讯这样的大公司的东西还是有一些盲目信…
360一不小心就装上了，mse还要去找一下才装的上。
360一不小心就装上了，mse还要去找一下才装的上。
&p&遇到感兴趣的话题了，曾经自用pc，天天上网、下载游戏、聊天，6年没有安装过杀毒软件，也没有遇到过大问题；曾经中招熊猫烧香，自己动手搞定；目前工作N年，电脑也从来不开杀毒软件，稍微废话几句。&br&第一次这么多赞，非常开心。&/p&&br&一般不装杀毒软件的，主要是技术人才，有以下特点：&br&1、极简主义者，同时有严重的强迫症，必须是性能最优，桌面无特效，壁纸和图标必须按固定组合出现，甚至无图标，无任务栏。这种情况下连多一个图标都是一种侮辱，更不用说多一个杀毒软件了。&br&2、杀毒软件本身对资源的占有又比较明显，卡顿感严重。&br&3、系统必须是自己亲手diy的，用ghost会被鄙视，系统各种优化无所不用极其，什么日志记录、韩文字体，统统干掉，启动时间不在18s以内都不好意思和人打招呼。&br&4、对自己的技术有相当的信心，不认为防范病毒只能通过杀毒软件。（下面会详细讲解如何通过技术无视掉杀毒软件）&br&&br&杀毒软件一般只针对几种情况：&br&1 文件病毒和木马&br&2 钓鱼网站或不安全网站&br&3 其他的比如对系统的篡改&br&&br&以上几个方面基本来源就几个：文件下载，文件传输，网址访问等，一个不联网，不用外部设备（u盘，cd）的电脑是不需要杀毒软件的，同理。&br&这几个方面都可以比较彻底的通过技术手段和经验来避免，而不需要借助工具。当然，不要质疑准确率的问题，裸跑一定有风险，技术再好的人也可能会中招，即使你用杀毒软件也不是100%安全，因此我们只是尽量将风险降到最低。&br&&br&看到很多人说裸奔很多年从不用杀毒软件，我理解一种是真的技术水平很高，我只能膜拜，另外更多的我相信是上网行为比较简单（就玩个网游之类的），否则我相信没有任何人敢打包票说能绝对不中招，除非你不下载软件。&br&现在安全行业这么复杂，看个视频、下个软件、看个网页、打开一个邮件，都可能感染病毒，02年的时候就听说过一种病毒，以邮件为传播途径，bug在你根本不需要打开邮件，只要鼠标指向了这封邮件就中招，可见现在的病毒有多么牛叉（谢谢&a href=&/people/li-ke-89& class=&internal&&李渔王&/a&指正，此处的鼠标指向邮件会中度是因为windows基于outlook的bug，而不是病毒自身多么nb）。所以技术虽然是解决方案，但很多时候也是浮云。&br&&br&&p&============= 详细讲解不通过杀毒软件，如何避免潜在威胁 =================&br&技术，不是无缘无故的信心，分为两大类：访问网站和下载软件。&/p&&br&一、访问网站，主要需要规避 钓鱼网站、病毒木马的植入。&br&1 针对固定网址的访问，一般技术男有固定的访问网站，收藏夹一般都装不下，风险比较小。&br&2 针对搜索结果，核心是关注url多过关注标题，且对重要网站的域名敏感。重点说一下：&br&打开浏览器的状态栏，每次点击一个网站前，鼠标指上去，任务栏会显示所访问网站的url，通过这个，可以规避很多风险。&br&对于熟悉的网址，只要顶级域前面一级的域名是已知的，不管网址前后多么胡扯，都不会有风险。例如&a href=&///?target=http%3A///xxx.php& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/xxx.php&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&，是完全没问题的，前提真的是已知域名，而不是把其中的“i”换成1这样的钓鱼网站。（当然如果是百度被入侵了并且植入了木马，那另当别论，但是概率过低不在这讨论）&br&对于不熟悉的网址，第一要任是分析网址的合理性，举个简单例子：&br&百度上搜索“南京民政局”，排开位置因素，单纯说url的分析，&a href=&///?target=http%3A//www.& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&www.&i class=&icon-external&&&/i&&/a&这个明显就是一个非常典型的例子，汉语拼音缩写，gov域，一般80%以上把握不会有问题。&br&而下面图片这个例子，百度搜索第二页的第五个，你看网址，稍微有点常识，都知道南京民政局不会去申请这么一个烂网址，就像新浪微博会用&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&一样，好用好记，同时也比较专业。一般网站可能不会去买那么好记的，但是拼音缩写是很容易申请的，因此这么没有规律的域名一定要注意，尽量不要访问。&br&&img src=&/99c2d020fd2_b.jpg& data-rawheight=&94& data-rawwidth=&376& class=&content_image& width=&376&&&br&&p&涉及到钱的操作，例如银行，绝不通过链接点击的方式登录，而统一通过自己输入域名或者搜索官网网址后进入，以回避钓鱼网站，对于不熟悉的网站尽量不访问。&br&（举例，有人电话告诉你银行卡透支了，问你是否要转接到人工服务，回答no并挂掉电话，然后自己电话联系到对应银行的客服进行咨询）&/p&&p&这方面千万不要太相信自己的能力，一个植入各种脚本代码的网站，在你打开网站的瞬间，分分钟格式化你的硬盘没商量，当然现在这样的网站应该很少了，早年我也付出过惨痛的代价，恶作剧一点的，给出一个无限弹窗，让你看着电脑慢慢死去，也有办法防范，比如禁止掉script的执行，但影响体验，不必要。&/p&&p&&br&这方面能够展开的很深，无法面面俱到，要依靠长期的经验来积累，核心就是对url有一定的敏感度，就一般很难中招了。&br&如果实在不确定，点击“百度快照”看下内容，因为快照是存在百度服务器上的一个小副本，不会有问题。&/p&&p&&br&二、文件类&br&1 针对文件下载，一般有固定的软件下载网站，例如天空、华军、绿盟等等，一般很少会有病毒木马，因为他们本身也会对软件做多软件测试，但插件之类的就不好说了，整体来说问题不大。&br&同时，回避掉下载网站上乱七八糟的下载按钮是基本能力（基本都是一些强推的软件，一般也没啥风险，就是烦）。&br&下载过程中比较棘手的，主要是一些非热门资源，可能经过很长时间搜索，在一个一般的网站上找到了，下或者不下，比较纠结，分析方法如下：&br&
·和网站访问一样，对url做基本分析，确定域名的合理性。&br&
·下载链接前，看链接指向的url地址，做合法性分析，主要看后缀，比较基本的，下载photoshop，url至少应该是photoshopxxx.exe、photoshop_cs6.zip类似的，这种可信度相对较高，如果url是加密过的，那就无能为力了。&/p&&p&一句话，下载过程中的主要判断对象是网站，而真正的重点还是在于下载后对于文件的判断上。&/p&&p&&br&2 下载后的文件判断，纯通过技术比较难，但也有办法：&br&首先说下前提：必须要查看文件的后缀名，打开系统的显示文件后缀名，具体就不描述了。&br&1 压缩文件，先打开压缩文件看内容，通过文件名、文件组成能够判断大概，可以避免掉一些安装就会感染的问题（针对一打开就感染的无能为力）&br&2 可执行文件，比较简单了，就通过文件名和大小来判断，比如你下载photoshop，结果给你个jsdb.exe，明显是金山毒霸。&br&3 图片，一样通过大小、尺寸、文件名来判断，比如你传一张图片给我，jpg格式，640*480尺寸，大小却有几M，让我怎么能相信图片里没有隐藏自执行文件？&br&图片是可以和程序合成到一起的，所以需要小心。&br&4 txt、doc、音频之类的风险极小，不太用关注，如果碰到这样的也植入了木马，我表示你遇到高手了。&br&结合以上几点，文件的预判是很难的，因此我的经验是电脑上仍然要安装一个杀毒软件，但是不要后台运行，只有真的不确定的时候，手工跑一下杀毒，这样也不占用资源。因为没有人能100%确定没问题，也总有在陌生网站下载文件的时候。&/p&&br&&p&综合来说，裸跑是有相当依据的，并不是无缘无故的自信。&/p&&p&另外，即使下载的内容或者访问的网站有问题，很多时候也不一定是致命的，对执行后的现象敏感的话，一般也是有迹可循，并且可以手工搞定的，核心在于对系统进程的判定。内容比较多，有机会再说。&/p&
遇到感兴趣的话题了，曾经自用pc，天天上网、下载游戏、聊天，6年没有安装过杀毒软件，也没有遇到过大问题；曾经中招熊猫烧香，自己动手搞定；目前工作N年，电脑也从来不开杀毒软件，稍微废话几句。 第一次这么多赞，非常开心。 一般不装杀毒软件的，主要是…
&ul&&li&&b&有360，我的XP还能再战500年！IE6还能再战500年！&/b&&/li&&li&没事就去点那个加速球，腰不酸了，腿不疼了，开个程序要两分钟了&/li&&li&电脑城那个修电脑的坑我，有360加速我2GB内存杠杠的，那家伙居然忽悠我加内存&/li&&li&诶，我iTunes由于什么服务没启动打不开，360给我装了个手机助手，比iTunes好用多了！&/li&&li&哎呦我电脑漏洞这么多啊，赶快补上&/li&&li&诶只装个安全卫士不安全啊，再装个杀毒吧&/li&&li&日人民报又说有新的手机病毒了，还好我装了360&/li&&li&我的浏览器不安全，赶紧让360帮我修复下，于是装上了所谓的“安全”浏览器&/li&&li&不久后装上了360全套，并开始像卖安利那样推销360&/li&&li&360那个网卡还有路由器是神器！&/li&&li&周鸿祎是好人（嗯，妹子们都这么说）&/li&&li&那些老是提周鸿祎之前3721的事情都是SB！&/li&&li&360安全桌面好酷炫，能让电脑跟艾派德一样（实则拖慢速度）&/li&&li&待补完&/li&&/ul&&br&最终小白得出一条结论：&b&没360你微软TM的能不倒闭？&/b&&br&&br&&br&利益相关：360黑&br&=========== 补充=============&br&补充1条&br&其实看360和其他安全卫士们相爱相杀才是乐趣，你们懂吗？&br&&br&另外关于第一条，我在这里细说下&br&360的”XP盾甲“功能成为了很多用户在MS停止支持后仍然驻守XP的理由&br&然而XP已经无法适应目前的软硬件，硬件方面如SSD，4GB以上内存（我知道XP有64bit版，但那个非常渣），软件方面如DX11 API，使得用户无法享受计算机进步带来的更优质的体验&br&说白了就是360把这些用户宠坏了，让他们觉得用了360之后XP很安全，根本没有必要升级更新的操作系统&br&久而久之，用户会抱有一种类似于某位光腚总菊中层的想法&br&&b&为什么要我们适应新技术而不是新技术适应XP？&/b&
有360，我的XP还能再战500年！IE6还能再战500年！没事就去点那个加速球，腰不酸了，腿不疼了，开个程序要两分钟了电脑城那个修电脑的坑我，有360加速我2GB内存杠杠的，那家伙居然忽悠我加内存诶，我iTunes由于什么服务没启动打不开，360给我装了个手机助手…
&p&这是卡巴斯基秘密研发了 14 年，内部开发代号为 11-11 的操作系统。&/p&&img src=&/v2-aaf5dcebaaea40ffed91_b.jpg& data-rawwidth=&1200& data-rawheight=&797& class=&origin_image zh-lightbox-thumb& width=&1200& data-original=&/v2-aaf5dcebaaea40ffed91_r.jpg&&&p&&i&（图自 twitter）&/i&&/p&&h2&先简单介绍一下配置（已经了解了的可以跳过这部分）&/h2&&img src=&/v2-85c0ea144e5be1c9c3bf4_b.jpg& data-rawwidth=&1358& data-rawheight=&1058& class=&origin_image zh-lightbox-thumb& width=&1358& data-original=&/v2-85c0ea144e5be1c9c3bf4_r.jpg&&&p&&i&（图自 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&）&/i&&/p&&p&据悉，Kaspersky OS 支持搭载 X86/ X64/ ARM 等架构的处理器设备，最低的运行配置为：&/p&&p&&b&Kaspersky OS for x86/x64 CPU&/b&&/p&&ul&&li&处理器：Pentium II 或更高版本&/li&&li&内存：8MB 或更高版本&/li&&li&网络设备：Realtek RTL8139、Intel i82580&/li&&/ul&&p&&b&KasperskyOS for ARM CPU&/b&&/p&&ul&&li&处理器：ARMv7 或更高版本&/li&&li&内存：8MB 或更高版本&/li&&/ul&&p&除了操作系统之外，卡巴斯基还配套退出了独立的安全超级服务器和用于与 Kaspersky OS 组件之间进行安全交互的系统。&/p&&h2&&b&Kaspersky OS 的安全从何谈起？&/b&&/h2&&p&Kaspersky OS 没有基于 Linux 系统，整个 GUI-less 操作系统完全是卡巴斯基自主开发的，里面没有一丁点 Linux，卡巴斯基的 CEO Eugene Kaspersky 说道：&/p&&blockquote&我也希望无论从头开始建立安全的 IoT 或基础设施存在多大的困难，还是要去做。就像是我们建立 Kaspersky OS 的理念一样。&/blockquote&&img src=&/v2-2c9600bfdd5d_b.jpg& data-rawwidth=&1712& data-rawheight=&904& class=&origin_image zh-lightbox-thumb& width=&1712& data-original=&/v2-2c9600bfdd5d_r.jpg&&&p&&i&（图自 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&）&/i&&/p&&p&Kaspersky 声称这款系统几乎是不可能被黑客入侵的，因为通常入侵者要想访问未经授权的设备都需要破解用户的数字签名，而在 Kaspersky OS 的系统中，这得需要一台量子计算机才能破解得了。&/p&&p&对于黑客来说，这代价有点昂贵。&/p&&h2&&b&Kaspersky OS 找到了合适的定位&/b&&/h2&&p&作为一款操作系统，Kaspersky OS 没有选择开发成像 Windows 或者 Mac 那种面向个人用户的 PC 多媒体操作系统，没有与微软和苹果硬碰硬，显然比较明智。&/p&&p&因为即便是卡巴斯基掌握了防护多种操作系统的技术，但 PC 操作系统行业早在 20 世纪 80 年代就已经达到饱和，此时迎头追赶，很难有发展起来的机会。而选择网络设备和物联网作为切入点，相对而言就比较妥当。&/p&&p&在可预见的未来，物联网确实是一股趋势。越来越来智能产品改变我们的生活，产品与产品之间的联系越来越紧密，网络安全也从终端开始移动到以智能路由器为首的物联网中心。&/p&&p&当然，这意味着网络风险也越来越大，一旦家中或者是企业的物联网被入侵，可造成的损失会非常大。你的电脑、手机会隐私会被窥探；网络摄像头记录的画面会被翻看；智能门禁系统会失控；就连开在路上的特斯拉也有可能会被远程控制。&/p&&p&去年，卡巴斯基实验室曾联合 B2B 国际发布的《Kaspersky Cybersecurity Index 21–29–60》报告，报告中显示只有 21% 的网民认为会受到包括恶意程序、病毒、欺诈等网络威胁；29% 的网民曾是网络犯罪的受害者；8% 的网民经历过账号被盗情况；22% 的网民设备上曾遭受过恶意软件；60% 的网民在所有设备访问互联网的时候使用保护产品来提供网络安全解决方案。&/p&&p&目前物联网安全这对于 Kaspersky OS 来说，就好像是一座尚待开发的金矿。&/p&&h2&&b&智能时代的工业控制系统催生了百亿市场的蓝海&/b&&/h2&&p&Kaspersky OS 的另一个定位是面向工业控制系统。&/p&&p&工业控制系统多运用于涉及国计民生的工业、能源、交通等重要领域，其网络安全的重要性不言而喻，随着智能时代的来临，工控系统会迎来一波升级潮，同时新的工业控制系统也不断遭遇网络安全的挑战，Kaspersky OS 的到来无疑是一个契机。&/p&&p&在谈到工业控制系统时候，Eugene Kaspersky 表达了他希望保护那些关键基础设施（工业、运输、通讯等）的愿景，当然，这也就是 Kaspersky OS 研发初衷。&/p&&blockquote&2017 年 1 月，匡恩网络发布《2016 工业控制网络安全态势报告》，报告显示，2016 年以工业控制系统为介质，实施针对国家政府基础设施的网络安全攻击增多，世界各国政府及企业均积极加强对工业控制系统网络安全的治理。2016 年全球工控安全市场规模保持高速增长将达到 71 亿美元，复合年均增长率约为 7.2%，预计 2019 年将达 87.49 亿美元。世界格局进入抢占网络空间战略制高点的激烈竞逐期。&/blockquote&&p&现在发布操作系统只是第一步，日后 Kaspersky OS 还需要不断地更新维护以保持系统稳定，抵御各类病毒以及黑客的入侵，显然，这件事做起来并不简单。&/p&&p&从卖杀毒软件到卖操作系统，卡巴斯基在面对巨大商机的同时，需要面临的考验还有很多，很多…&/p&&br&&blockquote&作者： &a href=&///?target=http%3A///author/linshuqia& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&林树洽&i class=&icon-external&&&/i&&/a& &a class=&member_mention& href=&///people/be5fcfe496d5913e12a1a& data-hash=&be5fcfe496d5913e12a1a& data-hovercard=&p$b$be5fcfe496d5913e12a1a&&@数字马里奥&/a& &/blockquote&
这是卡巴斯基秘密研发了 14 年，内部开发代号为 11-11 的操作系统。（图自 twitter）先简单介绍一下配置（已经了解了的可以跳过这部分）（图自 ）据悉，Kaspersky OS 支持搭载 X86/ X64/ ARM 等架构的处理器设备，最低的运行配…
如果有心的话，去了解一下猎豹移动成立之前，09年、10年在毒霸身上发生了什么事，然后再看毒霸2012版大受好评，到现在又被人诟病，这一路是为什么了。&br&占坑有时间再写。&br&&br&回来了，最近忙死了，以前没怎么答过题，没想到还有人催，受宠若惊，不废话了，开始我的答题。&br&&br&金山毒霸十几年了，在06年之前的那几年国内杀毒软件可谓被江民，瑞星，毒霸三分天下，收费模式下的杀毒软件过的也很滋润，有几件事不容忽视，2005年瑞星贿赂北京公安局网监处于兵设计陷害原瑞星总经理刘旭从瑞星离职后创立的微点制作病毒，这被称为中国杀毒软件业最大丑闻，这是其一，同样是05年，曾制作3721的周鸿祎创立奇虎公司，以安全卫士开始，接下来代理俄罗斯的杀毒软件卡巴斯基，最后推出自己的杀毒软件-360杀毒，并完全免费提供给用户使用，而此时，国内其他杀软依然是收费模式，这对整个杀软行业带来很大冲击，360杀毒这个一枝独秀的免费杀软加上先推出的360安全卫士很快就积累了大批的用户，这是其二，依然在收费模式下的金山毒霸团队在09年推出一款至今仍让人怀念的免费软件-金山网盾，收费的金山毒霸搭配免费的金山网盾，很快金山网盾破千万用户，最后增长到七八千万用户，被360盯上了，360抄袭金山网盾推出360网盾（互联网行业不仅仅中国，各种抄袭成风，更诡异的是，往往首创者或因为时机或因为资源等等不能成为最大受益者和颠覆者），在10年，本来用户量就超金山毒霸金山网盾几个量级的360安全卫士制造不兼容的借口诱导用户卸载金山网盾，强迫用户二选一，在短时间内金山网盾因为这种恶意竞争导致用户量急剧下降，我想这应该是金山毒霸团队最艰难的一年吧，金山起诉360并获得胜诉，但360没有执行法院判决里的发布公开道歉声明一项，仅做了赔款，这是其三，360不仅对竞争对手采取恶意竞争手段，还诬陷金山员工李铁军在瑞星微点案中作伪证，李以360损害其名誉权起诉360，同样以360败诉告终，赔款一万还是多少，忘了，但360依旧拒不执行法院判决的公开道歉一项，这是其四，这两项都不含任何阴谋论，网络上可查到法院的判决和相关报道。我说这么几件事是想说明个什么意思呢，第一，互联网免费模式的杀毒软件对于先前以收费模式为主的传统杀毒软件行业的冲击是十分巨大的，第二，这个行业的商业竞争是十分激烈而且防不胜防的，在如此激烈的商业竞争下，金山毒霸要想活下去必须做出变化，在10年这一年，金山安全和傅盛创立的可牛合并成立金山网络公司，并在当年宣布金山毒霸全面免费，这可不是一件小事，你看传统软件业的代表企业微软和互联网代表企业谷歌的竞争之路，微软不会轻易放弃它的收费模式，但它这个巨人也开始转变，最近不久在其他系统上推出免费的office嘛，看一些数据，记不太清楚，大概吧，金山毒霸宣布免费之前，金山的财报显示毒霸差不多有2个亿收入，700多万的付费用户（这也是个有意思的数据，当时毒霸的用户远不止这个数，也就是说仍然有大批使用破解或者共享激活码等等的非付费用户），新成立的金山网络壮士断腕，宣布免费就是舍弃掉2亿的收入，要怎么赚回这笔钱，我觉得那个时候的金山网络管理层心里也在打鼓吧，一下放弃这么大一笔收费，到底能不能行，傅盛借鉴了已被360这样的互联网安全公司验证有效的盈利模式-网址大全+浏览器，流量变现，所以推出了金山毒霸网址大全，猎豹浏览器，另一方面通过广告以及软件推广分成等，比如今年腾讯就给金山一个亿的费用作为推广合作，收入的点肯定不是我能完全看到的，但本质上还是通过流量变现，通过广告盈利。&br&金山网络宣布全面免费时，还说三年内不考虑盈利，三年不盈利可以烧投资的钱给员工发工资，但任何一家企业不可能永远不盈利，在这三年里，金山网络布局了网址大全，猎豹浏览器（其实至今这两项的用户量与360导航及浏览器的用户量都不在一个量级，相差至少十倍），傅盛在采访里说是砸锅卖铁做毒霸，事实上真是倾全力打造全新的毒霸，推出了广受好评的毒霸2012版，安装包只有10M，资源占用少，云查杀等等。&br&从2013版开始，盈利是必须提上议程的事了，顺便提一下，虽然猎豹移动（原金山网络）在今年在美国上市，并一举成为全球最大的工具类软件开发商，海外几个亿的移动端用户，但是移动互联网依旧在摸索阶段，不如PC互联网有成熟的盈利模式，看金山软件的财报就知道，虽然移动端用户量超PC端，但盈利能力远不如PC，也就是说毒霸，猎豹浏览器，网址大全依然是收入的重要来源，这就不难解释各种捆绑，锁定主页等等行为了，这就是为什么了。&br&我觉得第一名的答案很可笑，或者是抖机灵吧，套用韩寒那句台词，小孩才分对错，大人只看利弊，傅盛是360出来的，难道就回答了题主的问题？面对一家1500多员工的企业，不仅各种研发投入，最重要的是不能拖欠员工工资啊（自己大概算算这个员工数得发多少钱工资），盈利问题摆在面前，换谁上当CEO都是一样，互联网的免费模式下，现有盈利模式依然是那些看似简单的广告，流量变现，除非谁能开拓新的切实有效的盈利模式。&br&&br&回答完为什么，我的答案也可以结束了，不过还想说点其他的题外话；&br&第一，我知道毒霸这其中的盈利压力和无奈，但我并不认同这种简单粗暴的方式；&br&第二，用着免费软件（不仅仅杀毒软件）的网友们，任何一个软件公司或者团队没有义务免费为你提供服务，它是为了赚钱，别真把自己当上帝，都得听你的，为你服务，不要一用得不爽就“泼粪”，你没有给开发团队带去任何价值就能免费使用它的服务不仅不感谢，还去给他们制造困扰，这是正常人干的事？几个选择，用的不爽觉得没法用了，你有选择权不用就是，用的不爽了觉得好用的下去就是希望能优化，你可以去提建议，只要不是想捞一笔走人的生意都会很欢迎你提建议；&br&第三，谈谈我对猎豹移动盈利模式的想法，随着不断探索移动端的盈利模式，移动端的营收占比会越来越多，从而缓解PC端营收压力，毒霸就不会像现在这样粗暴，另一方面根据场景智能推送广告是一种趋势，广告弹窗并不是都惹人烦，一旦推送的是对你有用的信息你依然是可以接受的，还有猎豹移动游戏和新收购了一家彩票公司进而开展在线彩票业务等都将是新的盈利点；&br&第四，回答这个问题的时候，无意中发现一个问题，大意是为什么最近几年没有大规模的病毒爆发，知乎部分网友爱抖机灵，有个高票答案是“他们都改名叫安全软件”了，这简直就是对所有杀毒软件行业的从业者的莫大侮辱和诬陷，竟然还有那么多人点赞支持，可能仅是玩笑，但有些事并不适合拿来开玩笑。那个问题也算是与这个问题有点关系，病毒没有大规模爆发，这就涉及到杀毒软件和病毒这“双生花”一直以来的发展史了，有空再详细写，同时也是现在杀毒软件除了查杀以外还整合系统优化，安全辅助等的原因；&br&第五，没有第五了，困死了，有空再补充，第一次写这么长的答案，欢迎指正。&br&&br&以下更新于&a href=&tel:141116&/a&:&br&评论里不理性的童鞋有问题去找毒霸的工作人员，我此长篇是为了回答题主的为什么，没有立场，非要说立场，我在五点的第一点就明说了不认同这种做法，全文没有一点为毒霸洗地的内容，这种现状是基于现阶段法律的监管不够，各厂商擦边球，这样的一个恶劣环境是需要立法去改善的。&br&&br&&br&利益相关：初入互联网行业的从业者，金山毒霸用户
如果有心的话，去了解一下猎豹移动成立之前，09年、10年在毒霸身上发生了什么事，然后再看毒霸2012版大受好评，到现在又被人诟病，这一路是为什么了。 占坑有时间再写。 回来了，最近忙死了，以前没怎么答过题，没想到还有人催，受宠若惊，不废话了，开始我…
1、360为了干死所有搞安全的人推出了免费杀毒软件，大家一片叫好。&br&2、360开始琢磨怎么赚钱了。因为免费，自己把自己财路也给断了。于是开始做全家桶。&br&3、因为别人都被360搞死了，所以只能跟着做全家桶了。
1、360为了干死所有搞安全的人推出了免费杀毒软件，大家一片叫好。 2、360开始琢磨怎么赚钱了。因为免费，自己把自己财路也给断了。于是开始做全家桶。 3、因为别人都被360搞死了，所以只能跟着做全家桶了。
&p&这个也邀请我？&/p&&p&好吧，说两句。这个其实是个CI设计的问题。你说的这些小动物代表，实际是产品的标识，通常标识有三类，一类是具象的，包括动、植物等，譬如野生动物协会用熊猫标识&/p&&img src=&/f722c080956dfd2a42ac2_b.jpg& data-rawwidth=&302& data-rawheight=&400& class=&content_image& width=&302&&&br&&p&捷豹汽车用飞奔的豹子，苹果手机用了咬了一口的苹果。这种具象标识，可以把型号和产品的特点联系起来，猎豹是世界上短距离跑最快的动物，一头飞奔的豹子让你联想到汽车的速度；咬了一口的苹果，让你有再咬一口的冲动，可以去尝试一下苹果的产品。&/p&&p&还有一类是抽象标识，各种抽样图形，标志之类的东西，譬如宝马的蓝白方块，奔驰的三叉星、奥迪的四个圈。这类标识在创立时往往有一些特殊的涵义，譬如奥迪的四个圈是代表当年四家公司合并。奔驰的标志来在创始人家里房子上花的星星。&/p&&p&比较常见是文字字母标识，就是加工过的字数数字，什么IBM、DELL之类的东西。这了字母或者是创始人的名字（DELL的名字来自于创始人Michael Dell ），或者是什么东西的缩写（IBM的名字是International Business Machines Corporation的缩写），把字母加工一下做标识，对标识和名字的认识可以统一，看到标识马上知道公司或者产品的名字。简单明了，比较直接。&/p&&p&杀毒软件其实这几种标识都有，国外大多是抽象标识，卡巴斯基之类的，也有具象的物品，譬如小红伞一类的。国内比较愿意用小动物。&/p&&p&小动物之类的具象标识可以给人联想，把产品的功能特点形象的表现出来。&/p&&p&病毒木马这类东西给人的印象是坏东西，而且很狡猾的隐藏在电脑里面，杀毒软件安全软件要像猎手一样去抓他们，杀掉他们。&/p&&p&所以，安全产品用的动物都是能捕捉猎物的猎手。百度的雪狼是猎手，金山的猎豹是猎手，瑞星的狮子是猎手，腾讯的老鹰是猎手，江民的小青蛙也是捕捉害虫的，它也算猎手。&/p&&p&这些厂商用这些猎手动物形象代言就是要告诉你，我的产品很厉害，能像这些小动物猎手一样捕捉病毒，把狡猾的病毒揪出来杀掉。所以都弄个动物代言，还是厉害的猎手动物。&/p&&p&这里面值得特别说说是百度那个雪狼在冰山上长啸的标识。&/p&&p&百度杀毒不光用了雪狼这个猎手动物的标识，还弄了个冰山，啥意思呢？&/p&&p&雪狼是杀毒引擎，猎手动物的形象表示能抓病毒木马的，其他家的狮子、猎豹差不多，但是百度用冰山这个标识表示，我百度杀毒不但能攻，还能防。&/p&&p&冰山、城墙、盾牌这类东西代表坚固、防御、安全，百度增加了冰山的标识和雪狼放在一起表示自己家的百度杀毒攻防兼备。&/p&&p&杀毒软件发展到现在其实是个总体安全的概念。光用引擎和病毒库去扫描病毒早过时了。&/p&&img src=&/fbc97e3bd7f5bfee711ab8_b.jpg& data-rawwidth=&300& data-rawheight=&450& class=&content_image& width=&300&&&p&上面是百度杀毒的界面，你看这个界面就知道，整个一个HIPS（Host-based Intrusion Prevention System
）软件啊，不光是杀毒，而是个防入侵、防注入、能监控、还能杀毒的综合安全软件。&/p&&p&百度觉得一个猎手动物体现不出自己的特点，所以就弄了个冰山加雪狼来做标识，冰山代表防护，雪狼代表查杀，这个标识设计算比较成功的。&/p&&p&现在知道为什么安全软件都愿意用动物标了？&/p&
这个也邀请我？好吧，说两句。这个其实是个CI设计的问题。你说的这些小动物代表，实际是产品的标识，通常标识有三类，一类是具象的，包括动、植物等，譬如野生动物协会用熊猫标识 捷豹汽车用飞奔的豹子，苹果手机用了咬了一口的苹果。这种具象标识，可以把…
图片是网上找的。(经评论提醒是孙渣的作品)&br&充分说明了市面上免费杀毒软件的面貌。&br&&br&所以现在我只用系统自带的Microsoft Security Essentials&br&&br&&u&（呃。。。没想到过会收到这么多赞。这些赞实在是于心有愧。一是用别人的劳动成果来回答，二是只抖机灵不给干货，这样违背知乎精神事不可提倡。以下补充点自己的东西）&/u&&br&&br&过去的Windows系统，漏洞百出，防不胜防。即使是Windows XP第一代的时候，我也经历过重装电脑后一连网就中毒的事情。系统文件几乎是想改就改，想删就删，还不让用户知道。因此在2000年代，第三方的杀毒软件是装机必备的。&br&&br&后来，Windows系统在安全性上有了两个意义重大的升级。一是WinXP-SP2中加入了&b&安全中心&/b&，并且能主动会提示文件来源于网络。二是从Win Vista开始系统文件和用户文件分开管理，并且Vista还引入了&b&权限&/b&的概念(这么多年了，Windows终于从Linux那里学会了点有用的东西)。任何文件想要执行系统权限，都会暗屏确认。&b&就这一点来讲，可以帮用户过滤掉多少后门程序&/b&。&br&&br&因此今天，系统本身的安全性已经接近完美了。普通的上网、浏览网页、聊天几乎不再会直接感染病毒或流氓软件。而安全防范上，&b&“人”&/b&才是最薄弱的一环节。安装盗版软件、打开来路不明的邮件附件等才是根本原因。特别是明明知道.exe文件来路不正，执行的时候忽略暗屏直接点“确认”，在我看来简直作死。。&br&&br&所以，现在的系统安全，&b&良好的用户习惯&/b&胜过一切杀毒软件，包括下面漫画中某“现在的杀毒软件”。&br&&br&&img src=&/ad91fb55f7a813db0ffa2b_b.jpg& data-rawwidth=&600& data-rawheight=&1545& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/ad91fb55f7a813db0ffa2b_r.jpg&&
图片是网上找的。(经评论提醒是孙渣的作品) 充分说明了市面上免费杀毒软件的面貌。 所以现在我只用系统自带的Microsoft Security Essentials （呃。。。没想到过会收到这么多赞。这些赞实在是于心有愧。一是用别人的劳动成果来回答，二是只抖机灵不给干货，…
多图预警！！&br&(￣^￣)&br&&br&&br&-------------------------------------------开始作死的分割线！-------------------------------------------&br&&p&本着不作死不开心的知乎精神，决定来搞一搞&/p&&p&电脑是 RMBP ME294，虚拟机是PD10，装了win7，给分了12GB内存，我真的害怕会被卡死啊(　?д?)&/p&&p&&img src=&/f82dbc09d7aebb_b.jpg& data-rawwidth=&1584& data-rawheight=&1414& class=&origin_image zh-lightbox-thumb& width=&1584& data-original=&/f82dbc09d7aebb_r.jpg&&性能还是不错的(??_?`)&br&&/p&&p&&img src=&/02181ee05_b.jpg& data-rawwidth=&2880& data-rawheight=&1800& class=&origin_image zh-lightbox-thumb& width=&2880& data-original=&/02181ee05_r.jpg&& 干干净净的桌面！！(￣▽￣)&/p&&p&&img src=&/f1ddabfe728ecd105ce635_b.jpg& data-rawwidth=&2880& data-rawheight=&1800& class=&origin_image zh-lightbox-thumb& width=&2880& data-original=&/f1ddabfe728ecd105ce635_r.jpg&&// 大家可以留意一下顺带的捆绑软件，我全都是按照默认安装的，一路确定！&/p&&p&&b&&u&第一个&/u&&/b& 百度卫士 &/p&&p&&img src=&/136e5c8ab8de3d5f3639e5ea_b.jpg& data-rawwidth=&2880& data-rawheight=&1800& class=&origin_image zh-lightbox-thumb& width=&2880& data-original=&/136e5c8ab8de3d