实战卡巴斯基杀毒U盘启动盘

如果系统中毒，在原系统中很可能无法运行卡巴斯基杀毒程序，因为许多病毒都加入了“反杀毒”机制，可以阻止主流杀毒软件的运行，也就是说，在原系统中运行“杀毒U盘”实际意义并不大。因此，这里主要讲怎样制作可以启动电脑并查杀病毒的U盘。

卡巴斯基已经提供了应急磁盘的制作。不过只能制作应急光盘，不支持U盘。因此我们的操作要分两步进行：第一步，制作应急光盘；第二步，把应急光盘装入U盘。

制作应急光盘

准备工作：

1.准备一张Windows XP简体中文版安装光盘。

2.下载PE Builder（3.1.3以上版本）并安装中文支持插件（不安装插件，制作出来的光盘不支持中文显示）。

3.准备刻录机或虚拟光驱软件（由于应急光盘只能制作U盘的中间产物，建议使用虚拟光驱软件）。

制作过程：

1.在卡巴斯基程序界面中选择“服务——应急磁盘——启动向导”，即可在向导的提示下制作出应急光盘的ISO镜像（取名kapa.iso）。

2.用虚拟光驱软件把制作的镜像文件虚拟成光盘（如F盘）。

制作启动U盘

准备工作：

1.准备PETOUSB汉化版。

2.准备大容量U盘（容量最好载512MB以上）。

3.准备卡巴斯基应急光盘（已在上一步制作完成）。

制作过程：

1.将U盘插在电脑的USB插口上，启动PETOUSB汉化版，在“目标路径”中选择U盘设备（可智能识别，注意别选择了硬盘）。

2.在“格式化”选项中选择“格式化”（确认U盘里没有未备份的重要文件），设备卷标（由自己喜好了），并勾选“激活LBA（FAT16X）”。

3.在“建立BarPE/WinPE文件路径”后选择上面制作的应急光盘的盘符（确认虚拟光驱程序已经把光盘镜像载入虚拟光驱）。

4.在“文件复制选项”中勾选“文件复制”，并在后面的下拉菜单中选择“总是改写”。

5.点击“开始”，开始制作，大约1~2分钟后，启动U盘即可制作成功。

将此U盘插入电脑的USB插口，重启电脑，并将第一启动设备设置为“USB-ZIP”，按F10保存退出后再次重启电脑，即可进入Win PE系统，在其开始菜单中选择“Programs-Kaspersky Internet Security 6.0-start”即可启动卡巴斯基杀毒了。进行网络设置后，还可以上网升级病毒库，以保证能够查杀最新的病毒。

KIS/KAV 7.0 MP1改进内容

从卡巴斯基官方论坛上了解到，未来在KIS/KAV 7.0 MP1产品中将有不小的改进，内容如下：

1.Small bug fixes and other product enhancements

2.Change in product's logic when changing the system time

3.Improvements to NetDetect module for signatures and modules update

4.Protection against new methods of auto-clickers

5.Improvements to Parenal Control subsystem

6.Changes to prevent unauthorized product deinstall

翻译：

1.修正一些BUG和增强部分功能
2.改变当系统时间修改时授权的校验方式
3.特征和模块的更新以改进网络监控模块
4.新的处理方式以对付Auto-Clickers（自动点击）
5.改进父母控制子系统
6.改进防护未被认可的产品卸载

卡巴斯基诉瑞星侵权案庭审延期

原定于7月23日上午开庭的卡巴斯基起诉瑞星、北方网一案于今天上午9点进行证据交换，而庭审将延期进行。

目前当事三方的律师和代表均到达案件审理法院-天津市第一中级人民法院，呈交证据和相关资料，最新的开庭日期将于今天公布。北方网派出文字与摄像记者，对卡巴斯基、瑞星公司的代表进行现场采访。

之前位于天津市经济技术开发区的卡巴斯基(天津)科技有限公司将天津门户网站-北方网列为本案的第二被告，7月18日位列全国十大主流新闻网站之一的北方网发表声明：“北方网IT频道声明：卡巴斯基应学会尊重媒体权益”，使案件变得复杂起来。

北方网是由天津市委宣传部牵头，天津人民广播电台、天津电视台、天津广播电视报、今晚报、天津日报共同投入资金、信源组建的第四媒体。于2000年12月18日开通，2001年被中宣部确定为全国十大主流新闻网站之一，日均页面访问量1000万。

北方网卷入瑞星卡巴纠纷 被卡巴斯基列为第二被告

由“误杀门”事件引发的两大杀毒软件厂商口水战，已经正式升级到法律层面。7月2日，卡巴斯基发布公告表示，要起诉瑞星的“不正当竞争”。同时，卡巴斯基将天津北方网列为第二被告，诉讼理由为“对第一被告发布的侵权言论，在未进行基本审核的情况下全文或部分转载(转述)。”目前，此案已获天津市第一中级人民法院受理，并将于7月23日开庭。北方网负责人获悉后表示遗憾：“卡巴斯基要学会尊重媒体的权益！”相关学者、律师接受北方网记者采访时也表示，商家之间的利益之争不应该以牺牲媒体的声誉为代价，更不应把媒体转载的客观事实报道作为诉讼的理由。

诉求：瑞星赔偿575万　　

卡巴斯基在起诉瑞星和北方网的民事诉讼状中表示，“瑞星在其经营的网站上捏造虚假的事实，公开发布大量侵犯卡巴斯基商业信誉及商品信誉的文章。同时，瑞星为了扩大其侵权的范围，竟然还公开向社会悬赏卡巴斯基的诽谤证据，企图在没有任何证据的情况下通过向社会悬赏以实现其非法目的。”卡巴斯基还称，“北方网对瑞星发布的侵权言论，在未进行基本审核的情况下全文或部分转载(转述)。”　　

卡巴斯基表示，根据《中华人民共和国反不正当竞争法》第十四条规定：经营者不得捏造、散布虚假事实，损害竞争对手的商业信誉、商品声誉。很显然，瑞星的行为严重违反了上述规定，故意诋毁卡巴斯基的商业信誉和商品声誉，给卡巴斯基正常的经营活动造成了巨大困扰。瑞星的侵权行为还极大地损害了卡巴斯基的合法权益，并给其造成重大有经济损失。而且，卡巴斯基为了恢复其商业信誉，还将进行大量的工作，已经和将要付出巨大的人力和物力。北方网对瑞星故意实施的侵权行为，在未进行基本审核的情况下进行传播，其行为具有主观过错，构成共同侵权。　　卡巴斯基提出的诉讼请求有：瑞星要立即停止侵犯行为，并公开赔礼道歉。同时，瑞星应赔偿卡巴斯基经济损失共计575万元。此外，北方网要删除转载(转述)含有瑞星侵权言论的网页。

策略：拉媒体“陪绑”　　

“我很关注这起‘误杀门’事件，应该说卡巴斯基和瑞星都存在互相指责对方的行为。”南开大学经济研究所的贺京同教授接受记者采访时说。他表示，做为生产商，最重要的任务是为用户提供合格的产品和服务，保障产品的使用质量。对于因质量问题给用户造成了损失，必须正确地面对和改进，而不可能用其它方式来掩盖和解决。同时，媒体转载的相关报道，如何不含有对事件的主观评论，也不应构成侵权行为。　　

根据相关法律规定，案件审理应由侵权行为地人民法院管辖，而该诉讼案原告为卡巴斯基(天津)科技公司，第一被告即瑞星坐落北京，按理说起诉地应在北京。“是不是卡巴斯基为了能在天津起诉，将北方网作为第二被告，以此满足其异地诉讼的条件？”面对记者这个问题，北方网负责该诉讼案的代理律师周斌笑着说：“有这个可能，也许卡巴斯基认为自己在北京的胜诉率很小。”　　

周斌说，新闻机构侵害名誉权主要以捏造或歪曲所报道的事实为基本构成条件。如果所报道的事实既非捏造，也未被歪曲，而是基本符合事实真相，则不构成侵权。根据最高人民法院在《关于审理名誉权案件若干问题的解答》中对于因撰写、发表文章引起的名誉权纠纷应如何认定的规定，文章反映的问题基本真实，没有侮辱他人人格的内容的，不应认定为侵害他人名誉权。因此，对新闻机构而言，能够证明其报道的消息基于真实，并且没有侮辱他人人格的内容，其行为就不构成侵害名誉权。　　

当记者致电卡巴斯基中国公司时获悉：公司领导都在国外开会，暂不能接受采访。对于记者提出的其他采访问题一概以“进入司法程序，不方便透露任何细节”进行回答。同时，瑞星方面对此事的态度同样是“惜言如金”。瑞星有关负责人表示：“一切交给律师处理，进入正常的司法程序后，我们不发表任何评论。”　　

忠告：卡巴斯基要学会尊重媒体权益　　

北方网总经理、总编辑王奕获悉应诉消息后表示：“在民事起诉状的文字表述中，卡巴斯基除了要求北方网删除相关网页外，并无其它诉讼请求，这已充分说明在这起诉讼案中，卡巴斯基对北方网‘除了陪绑，无所求’。如果卡巴斯基只是为了满足其异地起诉的条件，就将北方网列为第二被告，我认为这是对媒体权益的藐视。”　　

王奕分析说：“卡巴斯基用的是‘假途灭虢’的策略，借北方网注册地在天津的现实，达到在天津诉讼瑞星的目的。而一旦胜诉，则以此为据，再行起诉对其不利的全国各类媒体。事实上，北方网成了卡巴斯基与瑞星博弈过程中，充当桥梁和炮灰的棋子。”　　

王奕说：“卡巴斯基在民事起诉状中称北方网在未进行基本审核的情况下全文或部分转载(转述)，这一点有失偏颇。北方网作为国内享有较高知名度的新闻网站，始终抱持着稳健清醒的职业操守，其新闻采编是有严格规定和详细流程的，可以负责任地说，北方网发表‘误杀门’事件的报道，我都亲自审阅过，完全是对事件的客观描述，没有倾向性的观点。”“2006年2月13日，卡巴斯基曾在《电脑报》上刊登‘道歉声明’，承认误杀了大连大有吴涛易语言软件开发有限公司开发的易语言软件产品，这说明卡巴斯基的误杀是存在的。作为软件生产商，应以正确的方法处理产品质量上的问题。”　　

王奕最后表示：“在以往与司法系统有关人员的交流中，我们曾多次表示：考虑到企业和媒体的博弈关系，反映民生、舆论监督是党和人民赋予媒体的一种制度性权利，这种权利可以推演出表意权、合理评论权、真实抗辩权等等。可现实中，一些企业往往采用不断兴讼的策略阻碍媒体对它的负面报道。我国的《新闻法》尚未出台，媒体对恶意企业的这种挑战，只能依赖《宪法》中粗框的条款和高院的一些司法解释来勉强招架，往往处于不利的地位，希望有关人员能够洞察北方网背后全国众多媒体们的基本权利与责任，不致诱发群体性的‘寒蝉效应’。”“我们完全相信法律会做出有利于社会和谐及民主监督的判决。”王奕坚定地说。

美国警方秘密安放间谍软件 杀毒厂商故意纵容

美国法院最近一项判决引起人们忧虑，杀毒软件厂商是否有意忽略被警方安放在其产品中的秘密间谍软件。本月初披露的一桩案件中，美国联邦机构为了保存一位毒品嫌疑犯的电脑记录，使用了杀毒软件中的按键记录间谍软件，美国警方将其称为“政府软件”(fedware)。CNET对13家主要的杀毒软件厂商进行了调查，结果发现没有一家公司公开承认与政府机构在进行合作。但是，有迹象显示，如果这些厂商收到了法院要求其静默的命令，一些杀毒厂商不会向用户预警，告知用户其产品当中存在政府软件。

大部分受访的厂商，从小公司到赛门铁克，IBM都表示他们从来没有收到这样的法院命令。这些被调查的杀毒软件厂商包括：AVG/Grisoft、Check Point、eEye、IBM、卡巴斯基实验室、McAfee、微软、Sana Security、Sophos、赛门铁克、Trend Micro和Websense。其中，McAfee和微软拒绝回答问题。

在美国，目前仅有两桩刑事诉讼案件涉及到警察使用按键记录器的问题。因此，相关重要的法律规定仍然是悬而未决。但按键记录器软件制造商均表示，警察和调查机构是他们的老买主，部分原因是，按键记录器可以越过现在逐渐常见的通讯和硬盘加密设置的障碍。

Windows Vista和苹果的OS X操作系统都内置了这样的加密措施。一些受访厂商强烈表示自己将维护用户的隐私。eEye Digital Security创始人及公司首席技术官Marc Maiffret就说:“为了免受各种形式的恶意代码的威胁，我们的客户花钱购买我们的服务。维护法律的事情不应该依靠我们来做。因此，我们没有也不会为执法机构的间谍软件或者其它工具开绿灯。”

eEye销售Blink Personal，价格为25美元，内含杀毒与反间谍软件。另外的公司态度中庸。制造ZoneAlarm软件的Check Point表示，他们将为联邦机构提供和第三方厂商一样的待遇，如果他们向自己提出成为“白板名单”(豁免者清单)申请的话。但这家公司的一位女发言人表示，Check Point从来没有对政府机构的软件开绿灯。关于杀毒软件厂商对政府软件放行的报道并不是空穴来风。

美联社2001年曾经报道说，McAfee和联邦调查局合作过，以确保政府的软件不会被其杀毒程序判断为恶意软件。McAfee随后表示，这一报道是错误的。那年底，联邦调查局证实说，它正在开发名为“幻灯”(Magic Light)的间谍软件，以便将按键记录器通过病毒远程注射进入用户的电脑。

科技产品当中政府机构的影子与后门程序一直以来就存在秘密的关系。1995年，巴尔第摩太阳报就曾经披露说，美国国家安全局就曾经说服瑞士的Crypto AG公司，在其加密设备当中安装后门程序。

在他1982年的《迷宫》一书中，James Bamford就曾经描述过，美国国家安全局的前身早在1945年就曾经强制“西联汇款”(Western Union)，“美国无线电公司”(RCA)以及“ITT通讯公司”将电报内容翻译给它。

去年，英国广播公司报道说，英国政府可能与微软进行了会谈，但微软发誓说，不会在Windows Vista的加密功能当中添加后门程序。即使联邦调查局，麻醉品管制局等政府机构没有强迫安全公司对政府软件开绿灯，安全专家还是预测说，这样的法院命令的到来只是时间的问题。究竟在现行的法律下，警方有没有这样的权利？

电子边疆基金会的一名律师Kevin Bankston认为，政府应该明确相关的法律。他说:“这样的事情没有判决先例可循。”在“反窃听法”(Wiretap Act)中有部分规定，即法院可以要求有线或者电子通讯服务提供商、房主、管理人等帮助政府进行电子监管。理论上，政府机构甚至可以要求法院命令安全厂商将间谍软件作为其产品自动升级来发布。大部分现代的安全厂商，操作系统厂商,像微软和苹果都定期提供补丁。尽管这需要技术上的精心设置，但如果厂商们收到了法院的命令，那么这些补丁中仍然可能存在间谍软件。在被问及这一问题时，微软进行了回避。微软一位代表称:“微软会经常与客户，政府机构进行秘密会谈，微软不会对这些会谈内容发表评论。”

在13家厂商当中，McAfee是另外一家对这一问题采取回避态度的公司(还有三家厂商在我们的期限之前没能发来反馈信息)。一些公司拒绝回答我们先前提出的一份问卷调查，那份问卷当中有具体的政府软件名单的调查。因此，我们修改了问题，改为了如果厂商获得了法院的命令，会不会对用户提出预警，告知其产品当中存在警察或者情报机关安装的按键记录器。

赛门铁克企业公共关系部的经理Cris Paden起初拒绝了我们的问卷，他说:“这里有合法的原因不回答这些问题。”当我们修改了问题以后，Paden答复说:“除非有法院命令，否则我们肯定会向我们的用户告知自己产品中是否有任何恶意软件或者代码的存在。”他还说，赛门铁克过去绝对没有接到过这样的法院命令。对政府软件开绿灯的一个风险就是，它可能会给安全软件带来严重的潜在漏洞。如果间谍软件或者恶意软件厂商能够模仿这些政府软件的话，那么这些程序不会被杀毒软件发现。目前来说，对政府软件的侦察还没有任何的行业标准。

Agnitum Outpost Firewall pro 4.0（1025.700.303）

Changes in Outpost Firewall Pro 4.0 (build 1025/700/303), July 18, 2007:

The following issues are fixed (only significant ones are listed):

1、More strict rules for DNS activity

2、Automatic rules creation issue (active rules were disabled)

3、Freezes on x64 platform

Download : Agnitum Outpost Firewall pro 4.0（1025.700.303）x86

Download : Agnitum Outpost Firewall pro 4.0（1025.700.303）x64

Agnitum Outpost Security Suite PRO 2007(Build 1252.619.324)

Agnitum的Outpost前哨防火墙大家都很熟悉，Outpost Security Suite Pro是最新推出的集合反病毒和反木马功能的专业防火墙安全套装，可以360度保护系统不受外界恶意程序、垃圾信息的侵扰，让您轻松愉快的使用网络。

Outpost Security Suite Pro 2007 (build 1252.619.324)

Release date: July 17, 2007

Compatibility with third-party security solutions provided (NOD32, KAV/KIS, Dr. Web, McAfee VirusScan, Webroot SpySweeper and others).

The following issues are fixed (only significant ones are listed):

Freezes on x64 platform

Security center did not detect the "Disable mode" policy

Windows Installer could not start under Windows 2000 with Outpost Security Suite installed

Malware objects counters in the main Anti-Malware plug-in window did not work

Rules presets auto application issue (active rules were disabled)

更新：http://www.agnitum.com/products/security-suite/history.php

官网：http://www.agnitum.com/products/security-suite/index.php

下载：Agnitum Outpost Security Suite PRO 2007(Build 1252.619.324)

病毒的完全研究 变形病毒的基本类型

病毒传播到目标后，病毒自身代码和结构在空间上、时间上产生了不同的变化，这种病毒被称为是变形病毒。按照江民反病毒专家对变形病毒给出的定义: 　　

我们以下简要划分的变形病毒种类分为四类。 　　

第一类变形病毒的特性是：具备普通病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的, 这里称为：一维变形病毒。 　　

在一维变形病毒中, 个别的病毒感染系统后，遇到检测时能够进行自我加密或脱密，或自我消失。有的列目录时能消失增加的字节数，或加载跟踪时，病毒能破坏跟踪或者逃之夭夭。 　　

第二类变形病毒的特性是：除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的，这里称为：二维变形病毒。 　　

在二维变形病毒中， 有如前面提到的MADE-SP病毒等，能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核，并与之溶为一体，或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定，或与文件溶为一体。 　　

第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能潜藏在几个文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为：三维变形病毒。 　　

第四类变形病毒的特性是：具备三维变形病毒的特性，并且，这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒，其本身就是具有传播性质的“病毒生产机”病毒，它们会在计算机内或通过网络传播时，将自己重新组合代码生成于前一个有些代码不同的变种新病毒，这里称为：四维变形病毒。四维变形病毒大部分具备网络自动传播功能，在网络的不同角落里到处隐藏。 　　

还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的，它可能主要是，人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息，也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波，向外发出信息。也可以潜藏在联接Internet网的计算机中，收集密码和重要信息，再悄悄的随着主人通信时，将重要信息发出去（I-WORM/MAGISTR（马吉思）病毒就有此功能），这些变形病毒的智能化程度相当高。

瑞星被疑在枪手论坛雇人攻击卡巴斯基 每帖0.5元 顶帖0.15元

任务名称：“瑞星比卡巴斯基强百倍切身体会

任务编号：99

任务标题：瑞星比卡巴斯基强百倍切身体会

任务套餐：不设最高消费限制

任务金额：10000元 嘉奖金额: 0元

发贴写博价：0.50元 顶贴留言价: 0.15元

任务状态：任务剩余酬金7960.2元

任务参与人数已满

在网上竟然有这么一种枪手网站...他们的任务是发帖、顶贴、写博客、网络宣传、网络公关、网络炒作，您看到的上面几行就是我们最不愿意看到的。

该帖子对其任务进行了详细说明，凡是转发一次“瑞星比卡巴斯基强百倍切身体会”的文章就能够获得0.5元的酬金，顶贴留言者能获得0.15元，但帖中详细规定了发贴标题、正文以及发布和回帖规范，任务发布者为这次发贴活动提供了总计数额1万元的酬金。截至14日下午5点，各大论坛和贴吧一共有39条帖子登记在册。

瑞星却否认了这一页面的真实性，市场部负责人郝亭称瑞星目前正在进行悬赏100万征集卡巴斯基攻击瑞星的证据，绝对不可能用1万元来做这样的事情。

访问任务：瑞星比卡巴斯基强百倍切身体会

杀毒软件中主动防御新技术全面介绍

好的杀毒软件，重要在引擎的优秀，病毒库越大，杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。　　

一、杀毒软件引擎与病毒库的关系　

其实病毒库与杀毒引擎没有直接的关系，杀毒引擎的任务和功能非常简单，就是对指定的文件或者程序进行判断其是否合法。而病毒库，只不过是对杀毒引擎的一种补充，那个过程，就是杀毒引擎对文件或者程序判断。明白这一点，就应该知道，好的杀毒软件，重要在引擎的优秀，病毒库越大，杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。　

二、加壳、脱壳　　

1.什么是加壳

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序)，以达到缩小文件体积或加密程序编码的目的。　

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。　

如何判断一个可执行文件是否被加了壳呢?有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。　　

为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。　　

脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力。　　

2. 脱壳　　

“马甲”能穿也能脱。相应的，有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法：硬脱壳和动态脱壳。　

第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。　　

第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

三、虚拟机脱壳引擎(VUE)技术
　　
对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。
　　
“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟cpu、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难。
　　
四、启发式杀毒
　　
病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
　　
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。
　　
启发式杀毒代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率， 而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，一次质的飞跃。在新病毒，新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生和应用更具有特殊的重要意义。
　　
五、主动防御技术的概念
　　
主动防御技术这是目前炒得比较热的一个概念。从概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。 也就是有些人所说的：通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征，如修改注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其是否为病毒。
　　
江民防病毒专家称，主动防御核心技术有“虚拟机技术”“病毒行为阻断技术”等。虚拟机技术用软件虚拟CPU环境，激活病毒，判断其是否是病毒并清除。
　　
瑞星病毒专家称，“主动防御”一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。

卡巴斯基8.0开发预告

根据卡巴斯基全球实验室的报告，卡巴斯基实验室总裁卡巴斯基·尤金先生在俄国的发言会上提到：现在已经在少数地区上架的卡巴斯基7.0将在2007年9月6日全面上市，为了赶上最新的节奏，卡巴斯基实验室将在2007年12 月中旬发布新一代产品——Kaspersky 8.0。

卡巴斯基 8.0的特性如下：　　

1.防火墙的性能增加，采用多重隐身模式，还增加了许多新内容；　　

2.杀毒系统采用了DNA基因式查杀手法，能100%扫描出病毒并且清除之；　　

3.主动防御系统增加了宏防护和组策略防护系统，更加提高系统的安全性；　　

4.为了普及正版，卡巴斯基8.0取消了授权文件激活的模式，只能靠激活码激活，企业用户会拥有一个可以激活多台计算机的激活码；　　

5.家长控制系统将在卡巴斯基8.0中全面体现出来，能达到80%的反黄拦截，强大的不良信息库　随时驻守在计算机后台；　　

6.提高了卡巴斯基的监控水平，有15个监控项驻留在任务管理器，对Bxt、txt、exe、td、key、doc、ppt及多种打开方式进行实况监视并且给予反馈；　　

7.间谍防护系统新增了银行密钥保护和VISA监视,，能预警尼姆达病毒、Viking病毒以及其他流行的网络病毒了；　　

8.扫描仪新增了Rootkit和木马扫描器；　　

9.新增了变换皮肤的系统，可以自由变换卡巴斯基杀毒软件的软件外观；　　

10.添加了增大用户界面，让高级用户能变得更自由。

卡巴斯基7.0官方卸载专用工具

昨天7月10日晚，俄罗斯时间17：56，相当于北京时间22：56；卡巴斯基实验室终于发布了7.0官方卸载工具了。

关于卡巴斯基7.0官方卸载专用工具使用说明：

适用于卡巴斯基KAV 7.0 & KIS 7.0 ，同时也应该适用于今后的版本，下面说到的方法仅能用于Windows 2000或32位的Windows XP操作系统，同时KIS 7.0被安装在默认的目录（ C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0）、KAV被安装在默认的目录（C:\Program Files\Kaspersky Lab\Kaspersky Antivirus 7.0 ）。

当从“开始”－“控制面板”－“添加与删除程序”来删除KAV 7.0时可能发生一些错误。结果是程序不能被删除或只是部分被删除。

为了达到完全的卸载，下面说说本卸载工具的使用方法步骤：

1. 下载7.0官方专用卸载工具KleanerV7.zip，卡巴斯基官方下载地址：http://support.kaspersky.com/downloads/utils/kleanerv7.zip

2. 解压缩KleanerV7.zip到某一目录。

3. 重启电脑，并进入安全模式。

4. 找到第2步的目录，并运行Kleaner.exe文件。

5. 重启电脑，就会达到完全卸载的目的。

巧用卡巴斯基寻找在线flv视频下载地址

卡巴斯基作为一款大名鼎鼎的杀毒软件，他的作用可不仅仅是杀毒，今天无意中发现了卡巴斯基破解flv视频下载的方法。众所周知，flv视频文件的下载地址是很难搞到的，通常情况下都是靠某些网站去解析地址，得到真实的*.flv下载地址。但是这种情况下被支持的网站是有限的，不是所有的flv视频网站都可以被正确解析出flv文件下载地址。那么，让我们把这个艰巨的破解任务交给卡巴斯基吧。

首先当然是要下载一个卡巴斯基，本人使用的是KIS 6.0，其它版本，请大家自己去试验了。

装卡巴斯基的过程不用讲了吧？下面切入正题。装好卡巴斯基之后，保证实时监控正常运行。然后我们打开一个视频网站，比方说：6rooms.com ，随便进入一个播放页面后。

提示正在连接之后，就开始播放了。但是播放起来很卡，根本就没有办法好好的让我欣赏。于是我们来干一件奇妙的事情——关掉卡巴斯基的实时监控。

怎么了？哈哈，听到杀猪的声音没有？对了，卡巴斯基会突然报警。不要害怕，这个不是病毒，是误报，点允许可以继续在线收看视频，点拒绝就不能在线收看了。回过头来仔细看看报警的提示框上写了什么？

把蓝色椭圆框里面的地址：“http://…….flv”拷贝到迅雷或者Flashget里面下载吧。哈哈，是不是很惊奇？没想到那么不可一世的flv视频网站，被个卡巴斯基给破解了。经过再三尝试，这个方法适用于所有flv视频网站。

瑞星、卡巴斯基又“杠”上了

口水战是皆大欢喜的事，所以屡打不衰，吐口水的有好处，被吐的也不吃亏，旁边看的也觉得过瘾。 　　

“瑞星这次看来是要和卡巴耗上了。”一位杀毒软件同业在看到转发后的瑞星最新声明文件后如是说。 　　

瑞星昨天早晨就卡巴斯基侵权诉讼案作出了最新公开回应，声明对此感到遗憾，并继续“揭黑”行动，指责卡巴斯基最近两周又出现6次重大误杀事故。 　　

事件要回溯至5月的卡巴误杀瑞星卡卡事件。由于卡巴斯基此后一直没有就该事件给出正式道歉，两方在“误杀”和“误判”上存在分歧，瑞星与卡巴之间展开了一场“口水战”。瑞星多次披露卡巴斯基误杀事件。随后，“口水战”一度在整个杀毒软件行业蔓延，导致众多知名公司牵涉其中。 　　

由于瑞星的揭黑行动，卡巴斯基提出将以法律诉讼来解决问题。然而，此后，瑞星一反常态，保持沉默。事隔一个月后，瑞星终于第一次就卡巴斯基的诉讼行为给出了正式回应。瑞星在声明中表示，对于卡巴斯基的诉讼将严格按照法律程序来处理，并将依法保护自己的合法权益。 　　

在业内人士看来，瑞星事隔一月回应诉讼，可能是利用时间进一步收集证据。卡巴斯基的诉讼及瑞星的最新声明凸显两家公司仍将继续对抗下去，同时也显示出卡巴斯基的诉讼并未吓阻瑞星继续“曝光”其误杀事件的决心。 　　

在瑞星提供的一份卡巴斯基近两周的最新误杀名单中，江民、金山等同业赫然在列。从上述公司证实是否有误杀事件。金山公司新闻发言人魏雪峰证实确有其事。“卡巴将金山毒霸的升级库文件误报为风险程序，但几小时后，很快卡巴就更新了，这一次他们的反应还是挺快的。”魏雪峰言语中透露出对卡巴此次处理失误的速度比较认可。 　　

原本，杀毒软件出现误判和误杀客观上不可能完全避免，何以引起如此多的“口水战”？一位业内人士的笑谈透露出了一些信息，他说：“口水战是皆大欢喜的事，所以屡打不衰，吐口水的有好处，被吐的也不吃亏，旁边看的也觉得过瘾。”他的这番言论从最近杀毒软件业各个公司的曝光率就可以窥见一二。 　　

去年卡巴斯基针对中国市场推出免费试用半年活动以来，中外杀毒软件竞争逐渐走向无序。瑞星此番申明，又把纷争推向新高度。根据卡巴斯基的消息，针对瑞星的诉讼将于7月23日在天津第一中级人民法院开庭审理，而瑞星此前也表示，掌握了卡巴斯基自去年9月开始对瑞星的恶意攻击证据，即将发起法律诉讼。

瑞星:关于卡巴斯基起诉瑞星的声明

近日，卡巴斯基公司以不正当竞争为由，对瑞星公司提起了诉讼，瑞星公司对此表示遗憾。瑞星认为，作为信息安全公司，最重要的任务是为用户提供合格的产品和服务，保障用户的信息安全。对于因误杀给用户造成损失一事，必须正确地面对和改进，而不可能用其它方式来掩盖和解决。

附：近两周卡巴斯基误杀列表　　

我们注意到，前段时间卡巴斯基杀毒软件“半年22次重大误杀事件”被曝光之后，卡巴斯基公司似乎并没有认真对待自身的产品质量问题，依然置国内用户于不顾，继续我行我素，完全没有解决频繁误杀这一重大的产品问题。

在6月15~30日短短两周时间内，卡巴斯基杀毒软件又连续出现6次重大误杀事件，被误杀的软件都是国内用户广泛使用的软件产品。卡巴斯基公司对这些严重误杀事件依然采取不公布、不承认、不道歉、不赔偿的态度，继续大规模滥杀正常的商业软件，严重影响到国内用户的对电脑和软件的使用。

我们不得不提出这样的疑问：卡巴斯基是在保护用户的电脑，还是在破坏用户的电脑?是在给用户带来安全，还是给用户带来麻烦?

针对卡巴斯基诉讼一事，瑞星公司的律师将按照严格的法律程序来处理，瑞星公司只在此声明：

1、我们将把提高产品的技术水平、改善产品质量和服务质量作为公司的主要目标，为社会和消费者提供保障信息安全的产品。

2、针对于卡巴斯基对瑞星公司的诉讼，瑞星公司将依法保护自己的合法权益。

卡巴斯基起诉瑞星 7月23日开庭

卡巴斯基今日在中文官方网站发布公告，称卡巴斯基起诉瑞星不正当竞争案已经被法院受理，并将于7月23日开庭审理。

这场诉讼起源于今年5月的一场误杀大战，卡巴斯基杀毒软件曾误杀瑞星的反流氓软件卡卡上网安全助手，并拒绝道歉。后来，卡巴斯基与瑞星双方展开了一场口水战，瑞星还公开了卡巴斯基近期一些列的误杀事件。

而另一方面，瑞星表示已经掌握大量确凿证据证明卡巴斯基从去年9月至今雇用多家论坛、博客传播公司及大量论坛枪手，冒充用户名义，对瑞星公司的产品和企业形象进行恶意诽谤。瑞星将收集更多证据，对卡巴斯基公司提起国际诉讼。 瑞星公司表示，公司悬赏100万向社会各界征集更多证据，并将对卡巴斯基提起国际诉讼。

以下为公告全文：

针对北京瑞星科技股份公司通过损害我司商业信誉、商品声誉的方式以实现其不正当竞争目的的行为，我司已于2007年6月11日向天津市第一中级人民法院提起诉讼。法院受理了我司的起诉并已经通过传票通知各方当事人，该案将于2007年7月23日在天津市第一中级人民法院开庭审理。 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　

卡巴斯基公司 　　

二〇〇七年七月二日

反病毒软件测试是否正确安全厂商提质疑

反病毒软件更新太快，需要经常测试其性能，所以人们想当然的会选择一款顶级的产品，想当然的认为大牌厂商的产品能够包打天下。您也是这样想的，对吧？但我认为未必。随着安全软件的复杂度日益攀升，致使安全厂商抱怨现行的评测方式不足以测试计算机防护产品中应用的新技术。 　　

安全厂商和评测机构之间的良好关系在评测失败时，就会变得紧张起来。双方的中介代理人也赞成对评测方法进行全面改革，以使消费者正确的对比产品的特性。赛门铁克公司的反病毒工程师Mark Kennedy说：“我不认为有人会相信现在的测试正确的反映了产品之间的区别”。 　　

kennedy说：赛门铁克公司、F-Secure公司和Panda软件公司的代表们上个月在冰岛Reykjavik召开的国际反病毒测试研讨会上达成了共识，要重新设计测试方案以更好的体现防护软件的性能。他们希望所有的安全厂商能够共同出台一个新的测试方案应用于业界。初步方案应该在9月份就能完成。传统的测试方法是跑一些恶意软件的样本来测一下反病毒引擎，反病毒引擎包含一些指标，通常称之为特征，通过这就可以识别出有害软件。但是反病毒产品在最近几年已经发生了很大变化，McAfee Inc公司的安全系统工程师Toralv Dirro就说：“现在许多产品有新的方法来检测和阻止恶意软件”。基于特征的检测方法是重要的，但随着恶意软件的暴增，会导致检测效率的下降，所以现在的安全厂商已经对恶意软件加入了多重防御方法。目前正在开发的行为检测技术，就可以根据计算机上的可疑行为来识别恶意软件。 　　

用户不小心下载的恶意软件可能通过基于特征的方法没有检测出来，没关系，只要它开始发送垃圾邮件，这个行为一旦被识别出来，就可以把它干掉。同样的，一旦发现有程序尝试进行缓冲区溢出攻击就马上把它干掉。当然基于主机的入侵防护系统，即有防火墙功能，又可以检查可疑数据包，也可以阻止攻击。造成计算机感染的原因很多，这也使测试变得复杂。比如，可能是用户自己打开了恶意邮件的附件造成感染，也可能是访问了嵌有攻击代码的网页造成感染。分析人士说：不同的攻击方式有不同的防御措施，区别对待才能比较正确地进行测试。 　　

另外，基于特征的测试至少要花5分钟。“这是非常基础的测试，它很简单，而且便宜”，AV-Test.org的Andreas如是说（Andreas的硕士论文就是关于反病毒测试的）。在一个，对于恶意软件的测试样本来说，跟那些互联网上的攻击样本比起来要老很多。安全厂商认为也应该测一测安全软件清除恶意软件的能力。对于安全厂商来说，一旦测试失败，测试公司将测试结果发布出来，这是很尴尬的。测试公司有很多赚钱方法，像AV-Test.org通常跟一些科技杂志社像计算机世界（隶属于IDG公司）都有生意往来，病毒公告的logo也授权给一些公司，在网上杂志上发布一个月，用于提升品质。 　　

这个月早些时候，Virus Bulletin杂志宣称在最新的一轮测试中有一些“大写名错误”，涉及到卡巴斯基实验室和Grisoft SRO公司的产品。该杂志的VB100恶意软件测试样本是Wildlist国际组织收集的，这个组织是专门收集和研究恶意软件。为了通过VB100测试，反病毒软件必须能够发现所有样本。卡巴斯基的高级研究师在E-mail中写道：卡巴斯基只是因为在测试当天轻易地、“选择性”地把一个蠕虫病毒的特征去掉而没有通过测试。现在这个特征已经加上了，邮件中还写道：“明显的，我们本应该通过。要是测试提前一天或推后一天，我们肯定就通过了。” 　　同样的，F-Secure公司开始也是因为技术差异性失败了。在测试过后，所有的安全厂商都会被告知哪些样本测试失败，因此，他们不得不又把这些特征给放到产品里去。 　　

用户该怎样选择呢？Virus Bulletin的技术顾问John Hawes提醒说：基于特征的测试并不能完全体现现实世界的多样性。当然Hawes也说基于特征的测试可以显示出安全软件的适应性和一致性。Virus Bulletin写了一份关于反病毒产品的回顾，把可用性提到了跟检测功能同等重要的位置。他们也在开发更高级的测试方案来测试新的安全技术。Marx说，AV-Test.org正在广泛开展一种只包含30到50个测试样本的测试方法，与其基于特征的测试方法相对应，这样的测试能够更好的体现安全软件的性能差异。 　　

Marx还说：至少，用户应该装一些安全软件，没有它们计算机会面临更高的风险。但对一些轻量级的互联网应用，装一些免费产品就可以了。 　　

有意思的是，Marx本人从不装任何反病毒软件，因为AV-Test.org是收集恶意软件的，大多从e-mail里收集。“我每天能找到1,000个病毒，多多益善。”

Kaspersky Free Cleaner 12.0.0.13

Kaspersky Free Cleaner - anti-virus Utility for cleaning infection by: I-Worm.Zafi.b; I-Worm.Bagle.at,au,cx-dw; Virus.Win32.Implinker.a; Not-a-virus.AdWare.Visiter; Trojan.Win32.Krotten; Email-Worm.Win32.Brontok.n; Email-Worm.Win32.Warezov.

Changes in version version 12.0.0.13:

1) added Email-Worm.Win32.Warezov virus

下载: Kaspersky Free Cleaner 12.0.0.13