打破卡巴斯基世界第一的神话

不懂破解

卡巴斯基的技术神话
卡巴斯基在中国已经成为了一款被过度神话的杀毒软件。尤其是那些在中国的数量巨大的“卡饭”们，对卡巴斯基更是有着无与伦比的盲目崇拜，杀毒就用卡巴斯基，他们把卡巴斯基视作杀毒软件的不二之选，这些伪高手们将自己对卡巴斯基的崇拜四处传扬，最终，卡巴斯基被捧成了一个神话，笼罩上了虚幻的光环。这光环是如此强烈，以致于在卡巴斯基被曝出一个又一个缺点，一次又一次误杀事件时，他们仍然将其奉若神明，对其缺点视而不见。然而正如所有神话都是虚构的一样，卡巴斯基的神话也是完全经不起推敲的。卡巴斯基这样一个在俄罗斯本国都称不上是第一的杀毒软件能够达到这样神乎其神的高度吗？显然不能。这里，就让我们来打破卡巴斯基的神话，去掉卡巴斯基虚幻的光环，还卡巴斯基以真实。

世界第一的神话

卡巴斯基的技术水准是相当高的，单从某些方面评论，卡巴斯基的引擎代表着业界最高水准，但是并不是全部。卡巴斯基是一款相当好的杀毒软件，但他从来算不上世界第一。哪怕是在它的老家俄罗斯，它的杀毒技术是否第一都值得怀疑。不少人认为，俄罗斯的杀毒软件中，技术最厉害的其实是Dr.Web，就是鼎鼎有名的“大蜘蛛”，这是俄罗斯军方和国家安全部门使用的杀毒软件,不以商业化为主，而且病毒库也不是很适合普通用户，所以名气不如卡巴斯基，但就杀毒引擎技术来说，卡巴斯基恐怕是难以望其项背了。事实上，尽管卡巴斯基的技术的确极为优秀，但卡巴斯基连一线厂商都算不上，与赛门铁克，迈克菲，趋势科技等这些属于第一阵营的安全厂商相比，卡巴斯基顶多算是二线厂商中的翘楚罢了。即便在中国而言，卡巴斯基的在个人用户市场中所占份额也是少得可怜。而如果拿杀毒软件市场的大头，企业级市场来说，卡巴斯基企业版的表现则更为拙劣，市场份额几可忽略不计。

卡巴斯基习惯以令人眼花缭乱的奖项认证等来炫耀自己的技术实力，那么就让我们再来看最近几次国际权威的杀毒软件评测的结果，这可是在卡巴斯基的官方网站上它绝对不会公布出来的。在今年五月的AV-Test测试中，卡巴斯基仅获得第六名;而在卡巴斯基一向引以为豪的VB100测试中这次也不幸折戟;而在AVC测试中，卡巴斯基仅得到最低等级的Standard评级，其成绩更是惨不忍睹。卡巴斯基的世界第一，只不过是一个笑话。

不懂破解

下面，我们就将具体地分析一下卡巴斯基杀毒软件的一些主要缺点，让大家对它有更全面的了解。

卡巴斯基存在的缺点

过分依赖病毒库

卡巴斯基的杀毒引擎采用了单一形式的规则判断，遇见病毒时的启动非常快，在文件标识比对病毒库的时候被认为有着很好的性能，充分利用了处理器的处理能力。卡巴斯基的病毒库非常的庞大，目前已经达到了30万，而且其病毒库与引擎结合的也非常好，卡巴斯基庞大的病毒库及快速的升级频率，使得卡巴斯基所使用的传统的特征码杀毒技术有着相当不错的表现。这是卡巴斯基强势的地方，但也是卡巴斯基的缺陷所在。卡巴斯基太过依赖其病毒库了，但现阶段，病毒具有更新快，加壳多的特点，传统的特征码查杀病毒方式已经无法应对病毒快速的自我更新和自我保护，这使得卡巴斯基对未知病毒的防护能力极为不佳。虽然卡巴斯基一直宣传自己的启发式杀毒技术捕获未知病毒能力是如何强大，但这其实只是个笑话。在今年五月进行的，以对未知病毒的侦测及防护能力检测为主的AVC测试中，卡巴斯基仅达到了9%的主动侦测率，而主动侦测率最高的AntiVir达到了71%，两者相差不可以道里计。

薄弱的监控能力

卡巴斯基的后台监控能力很弱，这是不可否认的。卡巴斯基监控注册表确实监控得很全，而且还监控服务之类的，但开始菜单里的启动文件夹它竟然没监控。而它在监控远程线程代码注入时也只对IE等进程进行提示，从而使人可以注入Winlogon，继而感染文件实现自启动。而且，它监控加载驱动也监控得并不全，使得恶意程序仍有不少漏洞可钻。

卡巴斯基监控能力弱，这使得病毒容易进入用户电脑，但幸好卡巴斯基有着强大的杀毒能力，这才能把病毒杀灭。而且，因为卡巴斯基的监控能力较差，所以卡巴斯基需要定期强制进行全盘扫描，不仅费时间，而且影响硬盘寿命。而与之相反，杀毒能力并不比卡巴斯基强的迈克菲，正是因为其强大的实时监控能力，便能列于世界一流杀毒软件之列。感染病毒后再杀除，仅靠监控能力便将病毒拒之门外，这两者相比，孰高孰低？相信读者自然一望便知。


卡吧死机

卡巴斯基对系统资源的占用很大是一个一直便为用户诟病的缺点，“卡吧死机”，便是曾受过卡巴斯基占资源之苦的用户们给出的最形象的称号。虽然卡巴斯基推出的6.0版称资源占用问题已得到了解决，但实际成效似乎并不大。还有一些卡饭宣称，通过优化设置，可以解决系统资源占用过大的问题，但是事实上你可以尝试一下，在一台纯净的系统上安装卡巴斯基后，不管你怎么优化，只要主监控打开，你就会系统资源占用程度的飞涨。

卡巴斯基的卡并不只表现在资源占用上。卡巴斯基在查杀较大压缩包文件真可用漫长来形容，扫描压缩、镜像文件有时还会卡住，而其全盘扫描时间花费也太长，而装了卡巴斯基后系统启动非常慢这点，更是不少用户普遍反映的问题，百度中搜索“卡巴斯基 启动慢”一下，你就能找到上万条。

误杀之王的传说

卡巴斯基的误杀率之高与它的“卡”一样知名。用户戏称卡巴斯基是“宁可错杀一千，不可放走一个”，还有“伤敌一千，自损八百”，虽然这夸张了点，但足以表明卡巴斯基的误杀是如何的严重。而且，卡巴斯基没有得到微软提供的操作系统的相关核心代码，这使得其杀毒软件的稳定性并不很高。有时当系统文件被病毒感染后，卡巴斯基并不能只是将恶意代码分离出来进行清除，而且它也没有提供隔离功能，只好连系统文件一齐杀掉，于是不少用户哀呼，用卡巴斯基杀完毒，系统也进不了了。

前不久，因为卡巴斯基误杀瑞星卡卡助手事件，瑞星批露出了卡巴斯基半年来的22次重大误杀事件，如此多次数的严重误杀，实在让人目瞪口呆。而其中甚至有卡巴斯基5.0误报卡巴斯基6.0简体中文版安装包为木马的情况，大水冲了龙王庙，自家人不识自家人，着实让人哭笑不得。但瑞星的批露似乎并没有对卡巴斯基起到多大的警戒作用，卡巴斯基似乎变本加厉。在误杀了瑞星的卡卡助手后，卡巴斯基接着把金山的清理专家当作了广告程序，短短一月之内，国内三大安全厂商都不幸惨遭毒手。而就在前几天，卡巴斯基又误杀了系统注册表文件。瑞星指责卡巴斯基为“误杀之王”，看来这的确不仅仅只是传说。
卡巴斯基22次重要误杀事件
卡巴斯基误报QQ为木马
误杀Windows系统文件
卡巴斯基误杀瑞星卡卡
卡巴斯基误报金山毒霸为广告程序
卡巴斯基误报江民代码
卡巴斯基将注册表误作木马

卡巴斯基的漏洞

卡巴斯基软件本身的漏洞也是极多的，其中最知名也最简单的一个漏洞恐怕就是著名的修改时间漏洞了。卡巴斯基要想正常运行，首先要对用户的key文件进行校验，看是否过期。而卡巴斯基校验key的合法性是通过本地时间来校验，系统时间一旦被病毒修改，key文件立即失效，从而导致卡巴斯基无法正常使用。这是很早便有的一个漏洞，但卡巴斯基似乎并没打算去解决这个问题，可能这是出于自身利益考虑，毕竟通过在时间上进行限制，是目前最简单也最有效的一种对授权许可进行控制的方式。因此，不少病毒便利用这个漏洞修改用户系统时间已达到让卡巴斯基失效的目的，所以如果哪天你发现你的卡巴斯基没有正常运行的话，请看看你的系统时间吧，如果你发现你回到了二十年前，三十年前，恭喜你，你中招了。

对于卡巴斯基5.0，曾有高手撰文系统地指出了其中存在的设计漏洞，称其在杀毒软件里使用了许多不安全的技术。而前不久，不少使用卡巴斯基6.0的用户发现，他们无法正常上网，某种情况下卡巴斯基会中断用户与WEB网站的连接，从而导致WEB页面打不开。而6月份，更有高手指出，卡巴斯基6.0和7.0都有漏洞，可导致系统崩溃。
卡巴斯基6.0-7.0都有漏洞可致系统崩溃
卡巴斯基再曝漏洞 用户上网遭拦截
国外安全技术高手谈卡巴斯基存在隐患

不懂破解

关于卡巴斯基的三十八个缺点

查杀病毒方面

1. 监控不力，误报率高

卡巴斯基的监控防护弱，内存监控和文件监控无法第一时间发现病毒。而在进行全盘杀毒时又经常出现误报的情况，严重影响了用户的日常工作和使用。网络上甚至流传卡巴斯基的杀毒特点为：“宁可错杀千个，不可放过一个”，给用户的日常使用带来了极大的隐患。

2. 查杀rar、zip等压缩格式的文件速度慢

卡巴斯基在查杀较大压缩包文件真可用漫长来形容。一些技术论坛甚至建议用户在全盘查杀时跳过压缩包。

3. 修改系统时间即可使卡巴斯基失效

针对卡巴斯基的病毒非常多，这并非仅仅是因为卡巴斯基名气比较大，而是因为只需简单的修改系统时间就可以让卡巴斯基无法升级无法使用。卡巴斯基要想正常运行，首先要对用户的key文件进行校验，看是否过期。而卡巴斯基校验key的合法性是通过本地时间来校验，系统时间一旦被病毒修改，key文件立即失效，从而导致卡巴斯基无法正常使用。

4. 对“本土”病毒查杀能力差

任何商品都是有地域差异的，杀毒软件也是如此。卡巴斯基在对国内病毒尤其是木马程序的查杀能力有待提高，反应速度也远不如国内杀毒软件。

5.  查到病毒提示声音吓人

发现病毒提示声音难听，卡巴斯基的“杀猪声”一向以来便为人诟病，“经常听卡巴杀猪一样的叫声，是不是感觉很不爽，有时不注意还会吓了自己一跳”。

6.  扫描速度慢

扫描时间花费太长。

7.  主程序没有集成病毒上报功能。

8.  卡巴杀毒后进不了系统。

卡巴kav6.扫描提示病毒删除，结果重启系统进不去了，点击用户名後就注销，安全模式也进不去了，只有重装。

9.  扫描压缩、镜像文件会卡住

使用kis6.0.0.307,在扫描GhostXP_SP2_0425.iso时总在HD-4.GHO这个文件卡住,导致系统非常慢,但把这个文件从ISO里面提取出来扫描却没有卡住.电脑里面还有好几个文件都会出现这种扫描卡住的现象,每次扫描都要在按跳过、跳过……估计和文件的特殊结构有关  而与大小无关我有个只有几十k的img文件，卡巴扫描这个文件能用老半天，然后说什么扫描错误。

10.  无法辨别病毒残留文件

很多病毒都会在运行时生成一些配置文件用来进行破坏或自我保护，并且会在注册表中添加相应键值。卡巴斯基杀毒后无法及时对残留文件进行清除，很容易导致病毒的死灰复燃或者系统异常无法恢复。对于通过系统还原来自我保护的病毒卡巴斯基更是一筹莫展。

11.  查杀病毒完全依赖于病毒库

卡巴斯基主要依靠以其庞大的病毒库及较高的升级频率为基础的特征码杀毒技术来查杀病毒，但现阶段，病毒具有更新快，加壳多的特点，传统的查杀病毒方式已经无法应对病毒快速的自我更新和自我保护。卡巴斯基虽然具有不错的脱壳能力，但单凭病毒库的更新和脱壳量的增加只能是治标不治本，并且一旦升级服务器再次出现异常则又会导致用户无法升级，造成大量损失。

兼容性方面

12. 兼容性差
经常出现安装卡巴斯基导致系统蓝屏或无法进系统的问题，经常遇到卡巴斯基与其他程序冲突无法共存的问题。卡巴斯基个人版产品均无法直接在windows server 2003 操作系统上安装使用。

13. 卡巴斯基运行时占用系统资源过多，系统启动慢

1、卡巴斯基对硬件配置要求很高，低配置用户运行杀毒软件时导致系统演奏变慢，在进行杀毒时更是如此，经常会出现“假死机”的情况，影响用户的日常使用。用户戏称之为“卡吧死机”。2、安装卡巴斯基升级到最新版本后，进程中包含两个同样的进程，其中一个是用户的，一个是系统的，系统启动的进程会占用大量内存和cpu时间 3、装了卡巴斯基后系统启动非常慢

14. 对Vista不能完全支持
VISTA下卡巴无法升级！会出现篮屏现象。

15. 卡巴斯基与BitComet冲突造成BT下载速度过慢

16. 卡巴与各防火墙的兼容性
    以下方案为卡巴斯基官方验证后的推荐方案，适用于卡巴斯基6.0版本，注意是KAV6.0而不是KIS6.0。
和平共处:
1) KAV 6.0 & Kerio 2.1.5
2) KAV 6.0 & Mcafee Personal Plus 6.0.6014
3) KAV 6.0 & Look 'n' Stop
4) KAV 6.0 & Tiny Personal Firewall 6.5.92
5) KAV 6.0 & 8Signs Firewall 2.2.6
6) KAV 6.0 & CHX-I Stateful Firewall
7) KAV 6.0 & microsoft Windows Xp sp2
8) KAV 6.0 & norton personal firewall 2005
9) KAV 6.0 & NVIDIA Active armor / NV firewall
10)KAV 6.0 & ZoneAlarm Pro version:6.1.744.001
11)KAV 6.0 & Spybot 1.3
12)KAV 6.0 & Spysweeper 4.5.8
13)KAV 6.0 & Netveda Safety.NET firewall
14)KAV 6.0 & NVidia firewall
15)KAV 6.0 & Jetico personal firewall
一般共处
1) KAV 6.0 & Outpost 2.6, 2.7,3.51 (需关闭kav的 web anti-virus and mail-antivirus) 官方最推荐方案
2) KAV 6.0 & Sygate Firewall 5.6b2818 (不要选择 port 80 in kav)
3) KAV 6.0 & Tiny Firewall Pro 2005 (不要选择 http traffic)
不兼容
1) KAV 6.0 & ZoneAlarm 5.5
- no internet connection
2) KAV 6.0 & Norton Firewall 2006
3) KAV 6.0 & BlackIce 3.6

17. 安装卡巴后不能玩《帝国时代II》。Ages of Empires II fails to start。

18. 开启卡巴监控时访问共享文件速度非常慢。samba file share very slow with KAV enabled

19. 安装卡巴6.0.2后javascript脚本被禁用。Install Kaspersky6.0.2 disable javascript

20. 安装卡巴后严重影响上网速度。kaspersky anti-virus slows down surfing speed

21. 使用KAH的时候发现会比较频繁掉线。除非关闭隐藏模式才能解决。

22. 卡巴和金山词霸2007冲突。（不确认是打金山还是卡巴的补丁后问题才解决）

软件功能方面

23. 无嵌入式杀毒功能
很多通讯软件和下载工具经常会成为病毒的传播工具，没有嵌入式杀毒功能意味着无法在第一时间防止病毒通过这些程序进行传播。

24. 无硬盘数据备份和恢复功能
当用户由于中毒导致数据丢失或损坏时，无法对其进行恢复，杀毒也变的没有任何意义。

25. 不具备漏洞扫描功能。
有很多病毒都是通过漏洞来传播，让用户的操作系统及时打补丁是防范病毒的第一步。卡巴斯基没有漏洞扫描的功能，无法提示用户及时修复漏洞，给用户的系统安全带来隐患。

26. 软件漏洞让人担忧
卡巴斯基时不时的会爆出存在高危漏洞，需要用户尽快使用下载补丁修补漏洞。杀毒软件是用来保护系统，防止病毒和黑客入侵的，如果杀毒软件如此频繁的出现高危漏洞，连安全软件都不再安全，如何保证系统的安全？

27. 软件汉化质量差
卡巴斯基软件设置较为复杂，设置的内容较为专业。但在其专业的同时语意也让人琢磨不透，往往要借助英文原版软件的对照才能完全明白要设置的内容。汉化语意的模糊让国内用户进一步拉开了与卡巴斯基的距离。

28. 退出KIS导致的异常
现象：电信LAN通过PPPoE拨号，如果手动退出KIS之后，大概几分钟后会出现任务栏被自动中止然后又自动恢复。接着网络就断了，网络连接也无法断开，还有视频播放没有声音等故障出现，注销再进入故障依然，只有重启计算机后就好了。

29. 卡巴6中文版依然不支持中文路径。即导入中文路径的key文件无效。

30. 卡巴6.0中文版字体显示不正常

31. 卡巴自我保护不够强。
进程可以被超级巡警或冰刃轻松终结，而 NOD32 在被结束后能够重新启动。
下面是从一篇转贴归纳的，因为作者原文的文字表述差强人意，呵呵
 卡巴对于注入型病毒无法抵御
 卡巴的剖析器存在堆积溢出错误
 卡巴扫描过文件以后会自动添加交换数据流信息
 卡巴对于注入的逻辑漏洞的底层问题没有修补
 在Black Hat Briefing安全会议上，卡巴被多次点名提出产品存在严重问题
 卡巴监控采用远程线程代码注入的行为时，只监控注入IE等进程，而其防火墙默认的控管规则里却允许系统和非系统等进程访问HTTP等端口
 卡巴监控不能防范利用JS注入

32. 主动防御功不足
主动防御能力不足，启发式扫描功能需要加强，且主动防御里程序活动分析老误报。在最近的AVC测试中卡巴斯基仅达到9%的主动检测率，只获得最低评级。

33. 清除广告流氓软件能力弱
流氓软件对计算机的危害不亚于病毒，并且现在流氓软件与病毒的界限越来越难划分了，很多病毒都是通过流氓软件传播和释放的。卡巴斯基无法对流氓软件进行检测和查杀，并且没有相应功能的产品，导致用户无法避免流氓软件的侵扰。

34. 卡巴斯基吃大量NTFS分区格式的硬盘空间（可能是卡巴5存在的问题，卡巴6有待确认）
原因是卡巴的NTSF数据流索引新功能导致，扫描一遍文件后在所有NTSF文件上打个标志，为了下一次扫描更快。

35.卡巴斯基卸载不了或卸不干净的问题

每次都要用卡巴斯基官方的卸载工具卸载后，再用优化大师清理了注册表后才能装新的版本。而有的版本则可以安全卸载，也许是汉化包的问题。

36.防火墙无端口监视功能

病毒和黑客经常会通过端口感染或入侵用户计算机，对用户的系统安全带来危害。卡巴斯基防火墙针对此类攻击只提供了关闭端口的解决方法，而大多数用户不知道该关闭哪些端口，并且盲目的关闭端口又容易阻碍正常的计算机通讯。

37.产生的日志报告文件过大，不及时清理会严重影响系统

经常会有用户安装卡巴斯基一段时间后系统分区剩余空间突然大幅减少，全面检查后发现是在路径为：C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP6Report的文件夹占用超过1G的空间，此文件夹用于存放卡巴斯基报告文件，软件默认设置为30天清理一次，但往往不到30天就已经积累了超过1G的文件，影响用户的系统

38.卡巴斯基企业版功能不足

卡巴的企业版似乎还只有5.0，6.0还没有发布。企业级杀毒软件产品对管理功能要求更高一些，而卡巴的策略管理不清晰，比较混乱，其网络管理功能不足，策略的分发不是很流畅。而且，企业版客户端比6.0占内存还大，有时客户端安装还会出问题

弥鬲

我就不用它。我用的是Mcafee