关于杀毒软件错位的观点和习惯

我关于国内一些反病毒产品的评价，也曾引起了一些人的质疑。当然，这些质疑并不是从技术角度来探讨，对一个普通用户上来讲，假定媒体说某某技术是先进、广谱的什么技术，而我说这是落后过时的东西的话，多数用户并没有从产品内部结构进行深入剖析的判别能力，只能依照自己的一些好恶来判定。

所以这些用户主要的两个依据就是，我所批评过的一些产品，被大量盗版，因为只有好的才被盗版，所以他们是好产品。理由或者是产品有很高的市场占有率，只有好的才能占有市场，所以这是好的产品。

这种观点不仅是非技术性的，而且逻辑上也并不成立。拿是否被盗版、是否占有多数市场的原则来作为衡量多数软件品质的标准并非是没有道理的。但杀毒软件的若干特殊性，使这一判据不能成立：

第一就是与很多应用软件不同，反病毒软件是一种黑箱式软件。我们比较WPS97和OFFICE97可以从功能多少上看出产品的能力，我们比较血狮和红警可以很容易从画面效果等方面做出判断。但反病毒产品则不同，反病毒产品的功能性的东西是有限的，用户界面也相对OFFICE这样的操作性的软件比较简单。反病毒产品的真正技术水准主要由其内部结构决定的，但用户对反病毒产品的内部结构、机理却恰恰没有了解的能力。真正合理判定反病毒产品质量必然要依赖一个相对全面的样本库的测试，甚至要借助逆向工程的手段。但对此，多数用户既没有前者所需的丰富积累，又没有后者所需的精力或水平。这就使厂商广告成为用户判别杀毒软件产品质量的选择依据，加之国家对IT广告没有明确的管理，这就使某些厂商可以任意制造名词，夸大性能，导引用户选择产品的判定。

以下的例子充分说明了反病毒产品的黑箱特性。某国内产品经常检测到JPG病毒，应该说在对反病毒技术和病毒机理有了解的人来说，知道这是误报。但对大多数对此一无所知的用户来说，还以为这种软件很有效，又查出了新病毒呢；该软件的另一个BUG就是检查CDROM时，发现病毒如果选择清除，会显示KILLED OK！知道CDROM是只读的用户以此为笑谈，但对很多对计算机硬件缺乏了解的用户则会认定，该软件真神，又杀掉了一个病毒。

这些都说明目前依照用户判断或者市场份额作为衡定国内反病毒产品的参照系是没有价值的。当社会基本形成了一个优胜劣汰的良好的产品竞争规则和机制后，这些才具有实际的意义。形成这样一个机制需要一个基础， 我们一直在讲，对于反病毒产品，国内最需要公正的第三方测评机制，这样才能使市场份额和技术水准达到一个一致性的统一，才能形成一个优胜劣汰的机制。现在看来仅仅提出公正是不够的，还需要测评机构是有足够水准的，至少象本次CHIP的测试我们是无法认可的。如果连测评机构本身都不明就里，同样糊涂的被厂商广告和宣传误导，就完全没有了意义，甚至产生更坏的作用。

第二就是，用户的要求的认识问题，我一直觉得，国内用户对产品相对低的要求和认识也是导致低技术含量产品占有市场的原因。国内报纸常见一些用户写的心得就是，我感谢某某软件为我杀掉了病毒，我对这种思想很不理解，如果是某种FREE的的产品，为了感谢作者的义务劳动这样说无可厚非。但对于购置了商品化反病毒产品的用户来说，用户付了钱，理所当然就应当获得良好的反病毒保护。但这一点很多用户是意识不到的。某些低技术水准的反病毒产品的问题不是不能杀毒，如果不能杀毒，就算不上杀毒软件了。也不是他们对新病毒没有响应，这些产品对当前主要的流行病毒也有一定的响应能力。这就使用户在使用这些软件的同时，同样也具备了一定的病毒防范能力，但问题就在于这种能力并不十分完善。但由于这些产品也能为用户起到一定的防御作用，因此国内用户往往因为这样的产品为自己发现了某一个常见病毒而坚定自己对该产品的选择。这样的用户是大量的，而且这些用户依赖广告选择了产品后，往往是从一而终的。根本没有试用过其他产品，也就谈不上什么选择。这样也是导致了反病毒市场，是按照广告"质量"做一种不恰当的匹配的原因。

《PC COMPUTING》杂志"反击病毒"专题有一段精彩的论述，"中国的反病毒产品市场长期以来一直被商业广告和纯粹的商业炒作新闻报道所左右，这使得我们的用户对反病毒产品一直没有建立起来正确的概念，这方面的教训是非常沉痛的。举个例子来说，在去年许多媒体都报道说国内某某公司的产品在世界范围内首先成功清除了CIH病毒，某公司的杀毒软件可以完全清除CIH病毒，但是今年四月二十六号CIH病毒大爆发却给我们的国家带来了数以亿计的损失。是这些遭受到了侵害的计算机都没有配备杀毒软件吗？不是的。究其原因是由于那些被大肆炒作的产品都属于在国际上已被淘汰的静态反病毒产品，而这类没有实时监控（病毒防火墙）功能的产品面对象CIH这样传播疯狂、发作致命的毁灭性病毒是无能为力的。这些产品在介绍自身时只提可杀CIH病毒，但却不讲由于自身的限制必须经常运行才可能避免系统被破坏（而且不能100%防止），这让许多信任它们的用户遭受了灭顶之灾。"

时至今日，上文批评的产品，也都具有了实时监控的功能，使大家似乎淡忘了这个事件。但大家理应意识到的是，在CIH大发作后，那些购买了反病毒产品依然受害的用户，所做的理应不是感谢反病毒产品又开发了数据恢复的功能，而完全应该意识到他们购买反病毒产品不该换来一个CIH照旧发作的结果，他们完全可以用法律的方式去追究这些厂商的责任。

当前，很多国内计算机用户在选择反病毒产品的基本出发点就是--能杀毒。但事实上，只要是反病毒产品，杀毒是都能杀的。这与百米赛跑相似，如果比较的标准不是谁先冲过终点，而是谁能冲过终点的话，就无法排出名次。反病毒产品的区别就在于杀毒的种类的多少，杀毒的效果，是否有安全隐患等等。那么用户就理应进行选择，这时由于用户对反病毒产品接触面的狭窄，由于反病毒产品的黑箱特性，也由于某些厂商的夸大其词的广告攻势，用户本身的公正选择能力，受到了局限。这时就需要我们的IT媒体以一种为用户负责的态度来处理问题；但可以说，国内多数媒体本身对反病毒产品就缺乏认识和了解或者根本没有胆识来揭开反病毒产品的盖子，就是说剥夺了很多用户的知情权，用户对产品的科学、合理的选择依据也就无从谈起。

第三是用户的一些其他的错误观念与不正确认识。我经常接到一些用户的关于求救数据恢复的MAIL，其中很多，是某个长期占据国内最大市场份额的反病毒产品，杀毒造成逻辑分区丢失、WORD文件无法打开等问题，用户求救是否能把"病毒"造成的损失补救回来。用户根本意识不到在用户杀毒操作前分区或文件是正常的，而杀毒后分区丢失、文件损坏，这个过程完全是由于反病毒产品不正确处理造成的，而并不是病毒造成的，用户完全可以追究厂商的责任。

再比如说，很多单位的反病毒制度依然是定期用查毒软件启动机器进行检测。实际上由于主流操作系统和反病毒技术的发展，用户完全可以凭借安装一个可靠的具备实时检测能力的软件，达到不被感染的目的。也就没有必要做这样的定期检测。曾经有人反对我这样的观点，因为毕竟新病毒产生速度很快，在线检测如果遇到无法识别的未知病毒，就会导致病毒入侵。但事实上对于大多数用户来说，其对新病毒的接触，一般要比反病毒监控网遍布全球的大型反病毒企业滞后得多。而同时，对同一种产品，实时监控和静态扫描都是基于基本相同的检测机制，并不是实时监控不到，静态扫描就可以扫描出来。对照国外的产品纷纷把DOS版本共享的行为，以需要磁盘启动的DOS版本来主打天下的某国内反病毒企业，应当加快技术进步的步伐。

　　回到CHIP的测试，我想我充分说明了其编辑所谓"宁做真实全面的50%，不做不真实不全面的100%！"并不足以所缺欠的借口，而且这些缺陷不是50%或者100%这样量化的不足，而是正与负的谬误，不错，媒体有发言的权力，但面对自己还缺乏了解的东西，以一种轻率来表现勇敢，而后再佐以直面口诛笔伐的勇气，是否就是媒体唯一的选择。我想对于一个严肃的媒体来说，比销量、新闻效应、经济利益更高贵的还有道德与良知。如果不能拿出准确科学的东西的话，那么选择沉默同样值得尊重。