锐钛型钛白粉厂家
免费服务热线

Free service

hotline

010-00000000
锐钛型钛白粉厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

揭秘金山灰帽子组织真相

发布时间:2020-02-11 04:25:42 阅读: 来源:锐钛型钛白粉厂家

2011年8月,中国互联网安全行业因为一款名为“杀软宪兵”的“杀毒软件测试工具”的出现再起波澜。该软件是由“灰帽子安全实验室”制作发布,在其组织的“全球卡机王测试”中,360、卡巴斯基、瑞星等知名安全厂商的安全产品均被评定为拖慢用户电脑速度的卡机“选手”。

在知名杀毒论坛“卡饭”上,就有网友指出“杀软宪兵”实为金山的“马甲”,以“第三方”之名,行“打击对手”之实。而随着与“杀软宪兵”有关的各种猛料曝光,真相正在一步步浮出水面。

“灰帽子安全实验室”到底是谁

“灰帽子”,通常指没有恶意的“解密高手”,他们通过公布系统和安全软件的漏洞来引起安全厂商的注意并敦促其修正。“灰帽子安全实验室”正是借用了“灰帽子”的含义,并声称其自身定位为“中立的互联网安全组织”。从2011年2月成立到“杀软宪兵”面世前的半年时间内,“灰帽子”并没有什么行动,在互联网上的信息也不多。

2011年8月8号,“灰帽子安全实验室”(以下简称“灰帽子”)发布软件“杀软宪兵”,声称要帮网友抓出真正的卡机“凶手”,并以“知名中立评测机构”自誉。对于此“知名中立评测机构”的空降,多数网友都表示摸不着头脑。

有网友将“灰帽子”同享有盛名的PC安全实验室做对比,反讽“灰帽子”自卖自夸。PC安全实验室是国内唯一的专门从事反病毒软件测试的民间独立第三方机构,模拟最贴近用户日常使用的计算机环境作为测试环境。同时它是VB100、AV-C、西海岸实验室等国际反恶意软件测试标准组织的成员,因其权威公正长期以来受到各杀毒厂商的认可。

“灰帽子”则尚未有被任何权威测试组织认可吸纳的记录,对其测试原理也一直未做详细解释。相比PC安全实验室,“灰帽子”资历尚浅,所宣扬的公正中立确实也有待商榷。

图1:灰帽子官方网站指向香港

查看灰帽子的官方网站,界面较像一个Blog的组织。目前“灰帽子安全实验室”官方网站服务器IP地址已经指向香港,此前备案信息已经完全失效,工信部备案系统中已经查不到的备案信息。换句话说,“灰帽子”已经是在违规运营中。

“杀软宪兵”为金山开后门

在“杀软宪兵”第一轮测试结果公布后,显示360、卡巴斯基、瑞星等安全厂商在“卡机王”排行榜中名列前茅,而金山毒霸的电脑运行时间却比裸机运行还快,如此不符常理的结果引来诸多网友的质疑。

据杀软宪兵称,它的评测杀软速度的方式是这样的:在杀软启动状态下运行宪兵,测试杀软操作时间,然后关闭杀软,再测文件操作时间,对比两者之间性能差距,得出一个倍数,倍数差别越小,说明杀软效率越高,成绩越好。

有网友对此进行了实测,发现当用户从任务栏退出金山毒霸后,仍然还有毒霸进程在运行。这样一来,无论进行任何操作速度评比,毒霸在关闭前后的差别都是最小的。分差来自“毒霸和后台运行的毒霸”,而不是“毒霸和裸机”。同时,其他杀毒软件也是在运行金山毒霸的环境下接受测试,成绩因此大受影响。

也就是说,“杀软宪兵”偷偷为金山开启了后门,允许它比其他对手抢先开跑。当网友使用“XUETR”工具软件,把金山毒霸后台进程彻底关闭后再测试成绩,结果显示,金山毒霸拖慢系统4.12倍,成为卡机之王。

更有网友捅破,在杀软宪兵公布的软件源代码中,有一个测试项目被刻意隐藏了。启用这个“被作者有意隐藏的测试项目”代替原测试项目。编译后运行杀软宪兵,再运行金山毒霸,继续测试,结果显示金山毒霸严重的拖慢系统20倍以上。

以上种种显示,“杀软宪兵”不仅为金山吹响“黑哨”,更为金山打造了独家跑道。故此,金山轻松领跑,而其他对手却纷纷落马。

图2:还原系统至裸机的状态之下,金山毒霸测试结果极差

测试还发现,除了“杀软宪兵”为金山毒霸大开“方便之门”外,金山毒霸同样对于“杀软宪兵暗中“放行”。

根据灰帽子工作室公布的检测方法,可知“杀软宪兵”主要是通过记录开启和关闭杀毒软件时杀毒软件扫描“写入注册表及系统文件”的时间差来判定杀毒软件运行的优劣。然而,测试中显示,金山毒霸对于“杀软宪兵”进行的“写入注册表及系统文件”操作,则采取了“默认放行”,由此金山毒霸的测试成绩大为提升。

为了得到更为准确地测试结果,网友用VMP加壳工具,给“杀软宪兵”做加壳处理,增加测试难度。“杀软宪兵”在加壳之后,其本身的测试功能不会有所改变,只是叫原本“认识”它的其他软件失去了辨识能力,让“测试样本”更接近“未知的”文件。在此环境下,再运行金山毒霸,最终,测试结果显示金山毒霸严重拖慢了系统数百倍。

有互联网安全专家指出,“杀软宪兵”反复“写入注册表及系统文件”的操作,本身就类似木马行为。将此类软件安装至个人用户电脑中,是否妥当尚值得商榷。而金山毒霸对于该软件大行“方便”之门,则更是加大了用户电脑的安全隐患。

至此可知,“杀软宪兵”的测试原理本身就存在一定不合理性,同时与金山又互开后门,测试结果明显偏向金山毒霸。看到这样的结果,便能理解为何网友频频爆料揭短,讽刺它所谓的“公正中立”之说了。

“金山”、“灰帽子”的关系

至此,几乎可以证实“杀软宪兵”与金山的关系非比寻常。有网友通过对“杀软宪兵”代码及“灰帽子”网站的进一步分析,找到了更多蛛丝马迹,指证金山就是“灰帽子”以及“杀软宪兵”的幕后黑手。

据“卡饭”论坛网友爆料,“杀软宪兵”的源码内包含了软件作者的电脑名称yangxiaodong为金山开源论坛里官方认证超级版主,而且其邮件后缀是,确定为金山公司内部员工;而此前“灰帽子”官方网站的备案人(曾为独立备案,现已经失效)“宋海波”也为金山员工,甚至被人肉搜索出其在金山的工作年限,以及毕业院校等信息。

图3:“杀软宪兵”的源码内包含金山员工名称yangxiaodong

面对诸多证据和业内的质疑,金山于8月11日发表公开声明表示称该软件为第三方开源,与金山无关。但声明中却只字不提虚假测评等事,且声明措辞与灰帽子此前发布的声明也颇为相似,有网友表示“如果这样还说灰帽子不是金山‘马甲’,那金山也太低估用户的智商了。”

金山声明中称,“灰帽子安全实验室’发布的‘杀软宪兵’为绿色开源软件,其评测原理、方法完全公开透明。”然而对于该软件的测试方法,金山只是承认“比较简单粗糙”。但有人指出,灰帽子正是通过如此方法来掩盖金山“卡机”的事实。

金山为何要戴“灰帽子”

作为国内老牌安全厂商,金山为何利用“杀软宪兵”来抬高自己,贬低其他竞争对手,为何不从技术和产品本身入手,进行真刀真枪的竞争?

据知情人士透露,“事实上金山宣布永久免费,是无奈之举,事实上并未做好加入免费阵营的准备。收入的锐减让金山极不适应,曾寄予希望的增值服务也无人问津,根本无力支撑运营及研发支出。”

近日有网友在微博怒称,自己在没有安装和使用金山毒霸的情况下,每月被莫名其妙的扣走了6块钱,激动之下甚至爆粗口,质疑金山毒霸“都什么年代了,还玩这种把戏”。而金山客服的回复的“误会”一说让网友更加愤怒。

近一年时间内,金山毒霸开始在各项杀毒软件评测中表现不佳,还发生了将AV-C测试倒数第一当成正数第一的乌龙事件。今年6月至8月,金山官方博客网站分别两次被黑客攻破,再度引发了业界和网民对金山安全能力的质疑。

图5:8月7日金山毒霸博客被黑目前,金山已经不再参加国际权威杀毒软件测试。前不久,金山毒霸发布了号称最快杀毒软件的“猎豹”版本,但该版本并未参加国际权威测试,在国内各网站评测中,也表现不佳。有安全专家评价,过分追求速度而忽视了病毒检出率,不足10%的病毒查杀概率,即使速度再快也没有价值。

中山注册公司资料

代理记账咨询

中山筹划税务费用