2009开发手记：为啥不对冰刃做攻防

从瑞星2008版开始，大家最关注的是“主动防御”功能，与此有关的负面评论中，最集中的就是瑞星不能拦截冰刃或狙剑，现在09公测了，好像大家对这个问题依然重视。那么，瑞星真的这么弱么，别人一两年前就能做到的，瑞星却做不到？被冰刃过，是不是意味着瑞星很弱？

 

在我们开发2009之初，也讨论过这个问题。最终的结论是，瑞星不会对冰刃、狙剑等安全工具做攻防，就算继续被被别人指指点点，瑞星的工程师也坚持做自己认为对的事情。

 

1、像冰刃、狙剑这种安全工具结束进程时，并不是直接去结束进程，换句话说不像大家看到的这么简单。Windows系统下的所有操作，都是通过对象形式进行的，例如：窗口、文件、个体。这类安全工具都是通过更底层的系统内部函数，如：结束系统对象来实现的，通过先打开要结束进程的对象，再进行结束对象的操作。瑞星如果要拦截此类操作，首先要检测打开对自身程序进行打开或删除的对象，然后再拦截其的打开或删除对象的操作。如果拦截冰刃和狙剑，会严重影响电脑资源占用率、拖慢机器。在一些老机器上效果相当明显，我们目前还保留着一台老机器用于诸如此类的测试，特别是这种在速度方面的差距影响。如果使用该方式必然会使用驱动技术，在同级对抗中是没有意义的。

 

2、无论是病毒或者是安全工具，同级代码之间的对抗，胜利者永远是后出招的，谁在明处谁倒霉。病毒或安全工具放出驱动后，与瑞星的驱动进行对抗，如果要保持对抗的优势，就必须频繁分析对方的招数并升级，双方这样频繁的升级，对于用户电脑安全而言，没有半点好处。 如果我们把冰刃干掉，那么冰刃会不会为了“技术的尊严”针对我们做优化，然后我们再研究新的破解之道……？

 

3、从另外的角度上说，瑞星是杀毒软件，杀毒软件为什么要拦截安全工具呢？安全工具又为什么要关闭杀毒软件呢？花时间花精力浪费用户的系统资源去对抗别的安全工具，除了显摆自己的技术强，还有别的意义么？瑞星2009真正要做的，是帮助用户解决病毒和黑客攻击的问题，而不是和安全工具较劲。

 

4、有人说瑞星工程师太犟，不懂得“照顾用户心理”。这是没办法的事，我们整天跟病毒还折腾不过来，时间、精力都有限，没时间做那些没意义的事情。因此，如果谁要说某个病毒过了瑞星，我们会非常重视，马上研究、处理；如果谁要说冰刃、狙剑等安全工具过了瑞星，那就让他过吧。

 

总是，我们不能把是否能防御冰刃、狙剑这类安全工具作为评判杀毒软件好坏的标准，我们应该把眼光放的更远一点儿。真正好的杀毒软件是能够保护用户电脑安全的。不管做得好不好，至少我们是这么想的，因此在09版中，我们的策略是拦截、防御和查杀。

 

当木马进入电脑之后，没有一款杀毒软件可以保证100%地干掉对方；也没有一款杀毒软件可以100%地截获并处理世界上所有的木马。

 

那么，为什么我们不把木马拦截在电脑之外呢？现在90%以上的木马是通过挂马和U盘侵入用户电脑，只要我们能堵住这两个口子，用户就会安全很多了。