Flash Player Clickjacking漏洞防范解决

Flash Player被Clickjacking漏洞利用的问题

发布日期：2008年10月7日
　　漏洞标示符：APSA08-08

　　平台：所有平台

　　受影响的软件版本：AdobeFlashPlayer9.0.124.0及更老的版本

　　摘要

　　Adobe注意到，最近发布的Clickjacking漏洞，使得攻击者有可能诱导使用浏览器的用户在其不知情的情况下点击其他的一个链接或对话框，这类潜在的“Clickjacking”问题已经影响到AdobeFlashPlayer的正常工作。Adobe正努力在即将更新的FlashPlayer中解决这一问题。

　　解决方案

　　客户：

　　用户可按如下方式修改FlashPlayer的设置，以防止Clickjacking问题：

　　点击如下链接进入AdobeFlashPlayer设置中的全局隐私设置页面http：//www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html

　　1、选择“始终拒绝”按钮。



　　2、在结果对话框中选择“确认”。



　　注意：改变此设置后，用户将不会接收到“允许或拒绝相机和/或麦克风的访问”这一类的提示。用户可通过如下链接选择性的允许某些网站访问相机和/或麦克风：http：//www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html

　　IT管理员：

　　IT管理员可以在客户机的文件mms.cfg中，将AVHardwareDisable的值从0改为1，以禁用客户机中FlashPlayer的相机和麦克风的互动。想了解更多关于mms.cfg文件和AVHardwareDisable，请参阅AdobeFlashPlayer的管理指南的第57页：http：//www.adobe.com/devnet/flashplayer/articles/flash_player_admin_guide/flash_player_admin_guide.pdf#page=57.

　　Adobe计划于10月底前发布的FlashPlayer更新中解决这一问题。更多细节将发表的Adobe安全公告网页中，地址为http：//www.adobe.com/support/security.

　　此外，所有记录的的安全漏洞及其解决方案是通过Adobe的安全通知服务发布的。您可以在以下地址注册以获取服务：http：//www.adobe.com/cfusion/entitlement/index.cfm？e=szalert。

　　用户也可在Adobe产品安全事件反应小组博客中获取最新信息：http：//blogs.adobe.com/psirt

　　严重程度等级

　　Adobe将其归类为关键问题。

　　致谢

　　Adobe衷心感谢SecTheory的RobertHansen，WhiteHatSecurity的JeremiahGrossman，DotSpots的EduardoVelaheMatthewMastracci以及LiuDieYu，感谢他们报告此漏洞并与Adobe一起帮助保护我们客户的安全。

Adobe公布跨浏览器攻击漏洞临时解决方案

前段时间安全人员透露了一个严重的“clickjacking”跨浏览器攻击漏洞，该漏洞影响很多主流浏览器，包括IE、Firefox、Safari、Opera等，还有AdobeFlashPlayer。

　　这个被称为“Clickjacking”的安全威胁，原本要在OWASPNYCAppSec2008大会上公布，但厂商请求在开发出安全补丁之前暂时不要公开这个漏洞。近日Adobe在安全公告栏上第一次提及此事，发表了暂时的解决方案。本次漏洞影响FlashPlayer9.0.124.0之前的所有版本，希望各位注意。

日前，一个非常可怕的跨浏览器攻击漏洞Clickjacking正在逐渐显露在人们面前。通过这个Clickjacking漏洞你会在毫不知情的情况下“帮助”黑客“控制”你计算机上的摄像头和麦克风。

这个Clickjacking漏洞具有及其良好的跨平台性，能够影响所有主流桌面平台包括IE、Firefox、Safari、Opera 以及 Adobe Flash。

这个被称为 发现这个Clickjacking漏洞的是Robert Hansen与Jeremiah Grossman两名安全研究专家，从他们已经透露的一点相关信息来看，这个安全危险相当严重。

考虑到这个漏洞的高度危害性，经Adobe等厂商请求，OWASP NYC AppSec 2008大会将暂不对其进行公布。

什么是Clickjacking？

在中文里，Clickjacking可以翻译为“点击劫持”，而国外资料里对其的解释是“UI redress vulnerabilities(界面伪装漏洞 )”。

据参加OWASP半公开演示的人士介绍，这个漏洞与JavaScript无关，却能影响所有浏览器。

简单的说Clickjacking是一种攻击，是一种新型的WEB方式攻击。其中所涉及到的“Flash Player漏洞”，其实只是Clickjacking安全漏洞的一种表现形式，黑客可以通过一个简单的Flash游戏控制用户的摄像头或麦克风。

Clickjacking漏洞原理解析

在一个已经公布的Clickjacking Demo演示程序中我们不难发现Clickjacking的内涵。

在你可控制的页面A内有一个iframe，iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0，并设置其CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的Width与Height值都设置为足以保证用户可以点击到其中内容(页面B的内容)的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素，这些元素在iframe之下(z-index值决定)，并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时，实际上点击了页面B内的关键元素，这些元素可以是：删除按钮、添加按钮、单选框、请求链接等等。再加上一些社会工程学技巧，这类攻击方式可以进行得非常巧妙。

这种Clickjacking漏洞攻击基于DHTML技术，用到了iframe，而且这样的攻击方式不一定需要JavaScript。虽然使用防iframe代码可以保护你不受跨站点攻击，但攻击者仍可以迫使你点击任何其指定的链接。

类似的欺骗还有——onMouseUpJacking、FormJacking、SubmitJacking——点击劫持。

如果黑客精心设计Clickjacking攻击页面，那么无论网页访问者进行正常鼠标点击还是无意间的鼠标点击动作，都可能会点击激发背后的隐形身影，而这个隐形身影则可以包括下载木马、打开摄像头等各类恶意行为。

据Hansen讲，他们已经同微软以及Mozilla谈论过这个问题，然而他们均表示这个问题非常棘手，目前没有简单的解决办法。Grossman更确切表示，微软最新的IE 8和Mozilla最新的Firefox 3均不能幸免。

那么除非你使用lynx一类的字符浏览器，同时不要任何动态的东西，这样才能保护自己。由于这个漏洞与JavaScript无关，所以即便你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷，无法通过简单的补丁解决。

解决方案

Adobe解决方案

Adobe对于Flash Player引起的Clickjacking漏洞作出回应，给出了临时解决方案，可以避免被黑客控制你的摄像头或者是麦克风。(Clickjacking漏洞影响AdobeFlash9.0.124.0之前的所有版本。)


To prevent this potential issue, customers can change their Flash Player settings as
follows:
1.Access the Global Privacy Settings panel of the Adobe Flash Player Settings Manager at
the following URL:
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html
2.Select the "Always deny" button.
3.Select ‘Confirm’ in the resulting dialog.
4.Note that you will no longer be asked to allow or deny camera and / or microphone
access after changing this setting.
Customers who wish to allow certain sites access to their camera and / or microphone can
selectively allow access to certain sites via the Website Privacy Settings panel of the
Settings Manager at the following URL:
http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html.


用户可以通过改变Flash Player设置来避免Clickjacking漏洞带来的安全威胁：

1.下面的网址是一个全球个人Adobe Flash Player设置管理模板，在这里可以对不同版本的Flash Player进行针对Clickjacking漏洞的安全设置：


http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html




2.打开上面的设置模板页面后，页面会判断你的Flash Player版本，并给出设置页面，选择里面的“始终拒绝”按钮。



3.在弹出的窗口里选择“确定”按钮。



4.注意：进行这个设置后，就无法允许或者拒绝对摄像机、麦克风的访问。

如果想允许某个特定站点上的内容访问摄像机或麦克风，请访问下面的网址，进入全球个人Adobe Flash Player设置管理模板：


http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html




浏览器解决方案

Firefox 3的NoScript(1.8.2以上版本)插件可以防御Clickjacking漏洞攻击。NosSript也给出了ClearClick保护来防御Clickjacking漏洞可能造成的危害。

黑客攻击演示视屏

下面的视频演示了黑客利用Clickjacking漏洞发起攻击的实现过程：


(部分资料来源：金山毒霸官方博客、Adobe官方网站)

Clickjacking的一些细节

昨天晚上Rsnake放出了clickjacking的Detail，今天大致看了下，这种攻击对于Flash来说，危险性是加倍的。想你不经意间的鼠标点击，你的摄像头就被控制了或者你的麦克风就被录音了，这是不是很恐怖？

的确如此，所以adobe才会发狂。看到里面有个有趣的事情，Firefox由于有一个noscript插件，所以可以屏蔽掉iframe抑或object；但有个问题是ie没有的，就是object的调用在IE中是个叉叉而不ff中的iframe方式。

譬如此语句：＜object data="http://www.baidu.com" width="200" height="200"＞＜/object＞

也因此攻击方向分成了两种，一种是对目标网站的用户行为控制，一种是通过flash或相关控件对本地资源的非授权调用。而前一种是需要用户登陆的 (对于会员权限控制型的需要，其他用意的可能甚至不需要)（对于多标签浏览器的用户来说，登陆状态的概率很大），后一种则不需要。

余弦兄弟昨天也放出demo来，同样是flash的利用，虽然还不够完美，但是你已经可以看到你无意间的留言已经跑到百度空间这里来了，假如干点别的呢？

因此在一段时间内广大用户还是少点鼠标为好，尤其是陌生的站点，呵呵。个人估计maxthon很快也会放出插件来。

Clickjacking Details

Today is the day we can finally start talking about clickjacking. This is just meant to be a quick post that you can use as a reference sheet. It is not a thorough advisory of every site/vendor/plugin that is vulnerable - there are far too many to count. Jeremiah and I got the final word today that it was fine to start talking about this due to the click jacking PoC against Flash that was released today (watch the video for a good demonstration) that essentially spilled the beans regarding several of the findings that were most concerning. Thankfully, Adobe has been working on this since we let them know, so despite the careless disclosure, much of the work to mitigate this on their end is already complete.

First of all let me start by saying there are multiple variants of clickjacking. Some of it requires cross domain access, some doesn’t. Some overlays entire pages over a page, some uses iframes to get you to click on one spot. Some require JavaScript, some don’t. Some variants use CSRF to pre-load data in forms, some don’t. Clickjacking does not cover any one of these use cases, but rather all of them. That’s why we had to come up with a new term for it - like the term or not. As CSRF didn’t fit the requirements for clickjacking, we had to come up with a new term to avoid confusion. If you like Michael Zalewski’s term “UI redress attack” better use that one, it’s just not CSRF and shouldn’t be mistaken for any other attack, since it really is different. Here is the technical detail:

Issue #1 STATUS: Unresolved. Clickjacking allows attackers to subvert clicks and send the victim’s clicks to web-pages that allow themselves to be framed with or without JavaScript. One-click submission buttons or links are the most vulnerable. It has been known since at least 2002 and has seen at least three different PoC exploits (Google Desktop MITM attack, Google Gadgets auto-add and click fraud). All major browsers appear to be affected.

Issue #1a STATUS: Unresolved. JavaScript is not required to initiate the attack as CSS can place invisible iframes over any known target (EG: the only link on the red herring page). Turning off JavaScript also neuters one of the only practical web based defenses against the attack which is the use of frame busting code.

Issue #2 STATUS: Unresolved. ActiveX controls are potentially susceptible to clickjacking if they don’t use traditional modal dialogs, but rather rely on on-page prompting. This requires no cross domain access, necessarily, which means iframes/frames are not a prerequisite on an attacker controlled page.

Issue #2a STATUS: To be fixed in Flash 10 release. All prior versions of Flash on Firefox on MacOS are particularly vulnerable to camera and microphone monitoring due to security issues allowing the object to be turned opaque or covered up. This fix relies on all users upgrading, and since Flash users are notoriously slow at upgrading, this exploit is expected to persist. Turning off microphone access in the BIOS and unplugging/removing controls to the camera are an alternative. Here is the information directly from Adobe.

Issue #2b STATUS: Unresolved. Flash security settings manager is also particularly vulnerable, allowing the attacker to turn off the security of Flash completely. This includes camera/microphone access as well as cross domain access. Resolved using frame busting code, bug #4 below notwithstanding. However, as pointed out elsewhere, it is possible to directly frame the SWF file example here and here.

Issue #2c STATUS: To be fixed in Flash 10 release. All versions of Flash on IE7.0 and IE8.0 can be overlayed by opaque div tags. Using an onmousedown event handler the object click registers as long as the divs are removed by the onmousdown event handler function. Demo here of stealing access to the microphone.

Issue #3 STATUS: To be fixed in the final release candidate. Flash on IE8.0 Beta is persistent across domains (think “ghost in the browser”). This would be a much worse vulnerability except for the fact that it is beta and almost no one is using it.

Issue #4 STATUS: To be fixed in the final release candidate. Framebusting code does not appear to work well on some sites on IE8.0 Beta. Instead it is marked as a popup which is blocked by the browser - disallowing the frame busting code from executing.

Issue #5 STATUS: Unresolved. State of clicks on other domains can be monitored with JavaScript (works best in Internet Explorer but other browsers are vulnerable too) which is cross domain leakage and can allow for more complex multi-click attacks. For example a page that has a check box and a submit button could be subverted upon two successful clickjacks. Additionally, this can make the attack completely seemless to a user by surrendering control of the mouse back to the user once the attack has completed.

Issue #6 STATUS: Unresolved. “Unlikely” XSS vulnerabilities that require onmouseover or onmousedown events on other parts of pages on other domains are suddenly more likely. For example if a webpage has a XSS vulnerability where the only successful attacks are things like onmouseover or onmousedown, etc… on unlikely parts of the page, an attacker can promote those exploits by framing them and placing the mouse cursor directly above the target XSS area. Therefore, otherwise typically uninteresting or unlikely XSS exploits can be made more dangerous.

Issue #7 STATUS: Fixed in current releases post 1.8.1.9. Firefox’s Noscript plugin’s functionality to forbid iframe’s can be subverted by iframing a page that contains a cross domain frame or as Ronald found by using object tags. Giorgio Maone validated the issues and issued patches in future releases of the code as well as other potential clickjacking mitigation. 1.8.1.6, 1.8.1.7, 1.8.1.8, 1.8.1.9, 1.8.2 and 1.8.2.1 all contain anti-clickjacking code. All prior versions to 1.8.1.9 were vulnerable to cross domain clickjacking.

Issue #8 STATUS: Unresolved. Attempts to protect against CSRF using nonces can often be overcome by clickjacking as long as the URL of the page that contains the link that includes the nonce is known. Eg: Google Gadgets exploit discussed in Blackhat “Xploiting Google Gadgets” speech. The only semi-decent defenses against this are to omit the nonces in JavaScript space and also include the frame busting code in the same JavaScript. This will break for users who do not use JavaScript though, so it is not an ideal solution.

From an attacker’s perspective the most important thing is that a) they know where to click and b) they know the URL of the page they want you to click, in the case of cross domain access. So if either one of these two requirements aren’t met, the attack falls down. Frame busting code is the best defense if you run web-servers, if it works (and in our tests it doesn’t always work). I should note some people have mentioned security=restricted as a way to break frame busting code, and that is true, although it also fails to send cookies, which might break any significant attacks against most sites that check credentials.

Thanks to Adobe, Microsoft, Firefox, Apple and the various other vendors and people who have been helpful/supportive and care to fix the issue. Also thanks to the researchers who found these issues independently after Jeremiah and I were unable to do our speech, but kept it to themselves (Arshan Dabirsiaghi, Jerry Hoff, Eduardo Vela, Matthew Matracci, and Liu Die Yu). I will release a whitepaper to the informer via hackers for charity sometime today or tomorrow. I’ll also make that whitepaper available publicly sometime next week and information forthcoming when I have some time to put it up. Source to generic clickjacking code available here. I will keep this post up to date with additional issues and updates as I am aware of them.

手动解决方案

当前，最简单的办法是禁用浏览器的脚本和插件功能。
1、通过如下路径找到mms.cfg文件：C:\WINDOWS\system32\Macromed\Flash；
2、用记事本打开该文件；
3、将AVHardwareDisable的值从0改为1，保存退出即可。有些用户系统内无此文件，则可通过金山软件提供的Clickjacking漏洞修复工具自动进行修复

杀毒软件大搞忽悠消费

日前,笔者对部分北京消费者调查发现,多半消费者对杀毒软件的信任度在降低.甚至有位深受电脑病毒之害的消费者称,杀毒软件该“死”了,因为它已经很难有效阻止病毒.

与消费者的无奈形成对比的是,知名杀毒软件厂商瑞星的副总裁毛一丁曾对媒体宣称,“与去年同期相比,瑞星杀毒软件的销量增加一倍.

杀毒软件销量有增无减,为何病毒却越来越防不住、消费者越来越没信心?

病毒难被杀

“新病毒层出不穷,杀毒软件已经无法招架”,2007年,这样的言论,常常被无奈的用户提及.

　　2007年6月,研究机构YankeeGroup的专家(AndrewJaquith)在赛门铁克2007用户大会上表示,传统采用特征来辨识病毒的杀毒软件,已无法有效率处理每天成百上千的新增恶意程式,“在不久的将来,杀毒软件将会死去,变得无用”.

　　2007年耸人听闻的桩桩病毒“大案”似乎也从事实上表现了杀毒软件的“软弱无力”.从年初的“熊猫烧香”、“灰鸽子”到年中的“AV终结者”,再到年末的“酷狮子”、“机器狗”病毒的破坏性有增无减,变种木马猖狂肆虐.

　　另外,杀毒软件厂商自身产品的缺陷也更增添了用户的不信任感.2007年5月,诺顿杀毒软件升级病毒库后误杀Win－dows系统,从而导致用户在重启后将无法进入系统等种种严重的后果,“中招”电脑达到数百万台.截止2007年底,杀毒软件甚至落得“比病毒还危险”的评价.

厂商并不在意

　　面对“杀毒软件无用”、“杀毒软件将死”的论断,杀毒软件厂商们似乎并没有在意.趋势科技中国区总裁叶伟伦此前曾表示,杀毒只是网络安全的一个方面,杀毒软件不会走向末路,未来应该有防毒、杀毒、清除恶意软件一体化的产品和服务出现.

　　瑞星公司副总裁毛一丁也表示,未来将是“能够自我完善、增强功能应对环境变化的信息安全软件”勃发生机.

　　金山毒霸反病毒工程师李铁军认为,杀毒软件本身没有过时.他提出,杀毒软件最有效、使用最广泛的技术是特征码查杀,拦截未知病毒是理想而已,鉴定一个程序是否有恶意,只能依赖于对该程序最终结果的判定.“在没有得到这个程序之前,杀毒厂商如何对这个程序的结果进行准确的判定呢,这本身就是不现实的”.

　　毛一丁还认为,杀毒软件不会消亡,走向末路的是传统杀毒软件,而查杀病毒、清除木马、保护用户安全的需求将长期存在.

　　“只要病毒作者不再升级”

　　几家知名的杀毒软件厂商每年都要发布诸如《信息安全报告》,里面公布的病毒数据巨大,它们用最基本的数字提醒消费者,病毒很可怕,数量惊人.这些触目惊心的数据提醒网民们,必须使用杀毒软件.

　　据咨询机构相关分析师介绍,不断升级、不断推出变种正是近年来病毒的显著特征.这也正是杀毒软件防不胜防、以至于大量用户受损失的重要原因.

　　在2007年,“熊猫烧香”病毒的肆虐,促使更多人装上杀毒软件.遗憾的是,杀毒软件并没能及时制止“熊猫烧香”.“熊猫烧香”的数月持续,恰恰生动说明了杀毒软件的尴尬与无力,已经给用户造成“杀毒软件无用”的担心.

　　而对此,厂商们振振有词.比如,据《北京商报》报道,瑞星副总裁毛一定对熊猫烧香的看法是,“只要病毒作者不再升级,我相信任何一家安全软件厂商都能轻松'搞掂'.”

　　年底,“机器狗”病毒再一次在网吧以及校园领域重演了这一幕,用户在论坛上发出帖子:“求助,机器狗病毒杀不掉,已经升级到最新的XX杀毒软件了”.

　　在熊猫烧香以及随后的病毒发作时,杀毒软件厂商们在媒体上发布病毒报警时反复宣传,遭受病毒主要是因为“没有安装杀毒软件或安装了国外杀毒软件”.相比熊猫烧香,“机器狗”更加直接地说明,这个说法并不科学,甚至,很值得质疑.

　　一个事实是,消费者需求并没有得到满足.那么,原因到底是不是“只要病毒作者不再升级”呢?

谈谈本人对各款杀软的主观体验(绝对真实)

　　第一次接触杀毒软件,是江民的KV200,当时自己还没电脑,是在学校机房见老师在用那玩意杀毒,DOS状态下的,那会儿还是个电脑白痴,见到屏幕上刷一排字母下来,就觉得这玩意儿专业啊!酷毙了!就在那时,脑子里就有先入为主的念头,以后有电脑,俺就装KV的杀软! 后来终于拥有了自己的电脑,在装机装一半的时候,就拉着同学跑去软件店里买杀软(汗......那时候居然不怕JS偷换我的硬件....).同学给我推荐的是金山毒霸(貌似早期金山很强,用的是国外的引擎)和KILL安全胄甲,但是我眼里始终只有江民的KV,于是花了38块大洋,买了特惠装的KV3000回家! 安装后,感觉良好,有几次别人拿盘过来拷东西给我,有病毒都会及时通报!没过几个月后就升级成KV2003了!2003的监控更强大,上个别XX网站,有些恶意代码都能及时喀嚓掉!很不错的杀软!就是附带的反黑王这个防火墙很不稳定,有时候居然会使系统蓝屏........鸡肋一个.......现在虽然不用国产杀软了，但觉得江民还是一款不错的杀软——里面包含了多少童年的记忆啊！~

金山毒霸是我使用过的第二种杀软,这个杀软是同学买七彩虹显卡送的一年正版,那时候金山的广告做得厉害啊,满街都在宣传,一遇到装机的,首选就是金山毒霸啊!(广告害人.........) 如果国内三大让我给他们评分,金山的界面我能给它评满分!但是.......使用起来........先不说那噱头的闪电杀毒,感觉那时候升级很麻烦,我正版的序列号,选的是本地的服务器,自动升级却经常失败.后来换金山主站的服务器,还是会出现失败,或连接超时.......难道是看不起当时我那电信512K的ADSL?而且,感觉那会的金山不如上一代的金山,后来听人说,金山的国外引擎提供商不提供新的引擎给毒霸了,貌似这个国外的引擎提供商有说是卡巴的,有说是蜘蛛的......众说纷纭~ 金山做的东西太多了,很多都是精品,但是杀软始终不是强项........ 有时候会跳杀.

瑞星我机子上没安装过,但是我以前的公司有安装,正版的当时也要200多啊,结果发现这钱老板花得不值........兼容性不如江民,和公司里一些打印机扫描仪的驱动有冲突,往往是开了监控就打印不了或扫描不了.于是,办公司里上班高峰期,一半电脑是关瑞星,然后扫描东西或打印东西(那个是设计服装辅料的公司,边扫描边打印是很普遍的事)!结果很多员工都养成一开机就关瑞星的习惯,直接无视杀毒软件的监控.......然后......那年公司的电脑基本上没有一台不是带毒的...... 查杀能力还不错,比金山强!但是有时候往往杀毒不彻底, 查得出来,杀不干净....... 现在的版本兼容性估计很好了,但是感觉枪手太多了,这东西确实没有那么好,都会有人捧得天花乱坠....... 而且炒作得让人恶心!

国外的:

卡巴斯基,第一次接触的国外杀软就是它!当年用的还是4.XX的版本,界面极度不友好,但是我一直坚信,杀软凡是长得好看的,一定不好用,凡是长得难看的,就一定很专业!(结果咖啡的界面更"专业"~嘎嘎!) 当时正巧正版的KV到期,懒得去花钱升级,于是在某个论坛里发现了这个卡巴下载,就下了个尝尝鲜~ 当年的卡巴很小巧啊,根本就不卡啊,资源占用很小啊,好像5.0以上的版本就真的很卡了! 监控感觉和当年的KV有得一拼,而且还略胜一筹,好像很敏感,但是病毒库,特别是国内的病毒收集不全,上了一些XX网站测试了后(当时开的是双监控,KV和AVP卡巴),KV能报出病毒,而卡巴有的却报不出!而且杀猪的声音让我常做恶梦啊....... 不过真的恶梦终于来了,冲击波泛滥的时代,我居然菜到不去升级系统补丁,然后,一开机卡巴和KV就轮流报警,拼命抢杀蠕虫,猪叫声此起彼落,正当我忙着一个个点报警窗口的时候,抢杀的恶果来了........屏幕上出现60秒重新启动的小窗口..........连续开机N次都是这样........惨痛的经历告诉我们,杀软千万别开双监控啊!菜鸟们谨记啊!抢杀到蓝屏的时候,连系统都进不去啊!.........

不过不能否认,是个好杀软!但是始终是二线厂........不过我还是觉得它很努力的!

诺顿,传说早些年,卡巴还没流行起来的时候,高端用户里主推的国外杀软只有诺顿........我很荣幸的在以前的公司里用过这款杀软!老板终于忍受不了老是中毒的机子了,于是叫了个认识的电脑高手,来给我们公司的电脑换杀软,高手带来的就是诺顿!!不过,这个高手水平有限,带来的是诺顿个人版本,而不是企业版......个人版本那个耗资源啊,公司里那几台设计用的主流配置的机子,一装上去,就觉得很卡啊,这才叫"卡那啥啥"!先不说那个资源占用,后来我们换了款杀软,一查啊,机子里的病毒和诺顿生存得是那个相安无事,和平共处,共创和谐系统啊........太寒了!好像诺顿个人版的策略是只要病毒不发作起来,就不驱逐它,养起来当小蜜好了!!俺不懂技术,但是感觉当年的诺顿确实有养病毒的嗜好.......

个人版的实在是不推荐给大家用,还是企业版的好,免费,而且稳定,又不耗资源!感觉企业版查杀比个人强........

NOD32,第一次接触,居然是看到水哥的MN组合视频后,心里痒痒的,就下了试用了!很小巧的杀软,没想到这个年代,还有这么简朴的界面(2.5XX和2.7的版本)......资源占用也小,稳定性很强,启发性杀毒很不错,查杀能力确实比咖啡好!而且兼容性很强!见过不少资深中毒者,双监控里大部分有带个NOD32!如卡巴+NOD,红伞+NOD,微点+NOD........而且口碑都很好啊!不愧是微软御用的杀软！

AVAST(小A),很棒的杀软,个人版是免费的,界面很漂亮!查杀和监控都不错,感觉查杀能力比监控强!就是误杀率高啊,而且设置有点乱,第一次接触的新手会很头疼........我试了几次,觉得不适合自己,就卸载掉了.其实确实是个很好的杀软!

DR.WEB大蜘蛛,克里姆林宫与普京御用的杀软,俄罗斯杀软界的双雄之一,传说中脱壳能力很强的杀软,德国红伞和韩国驱逐舰核心的完全版..........众多光环下,我忍不住了,试用了它的绿色版,来当咖啡的辅杀!感觉查杀比咖啡强很多,但是启动扫描的时候和卡巴一样,会比较慢!目前和咖啡配合,扫描一些样本基本没有漏杀过,咖啡查不出的,蜘蛛能查出,蜘蛛无能为力的,咖啡弥补上来!分工搭配~还不错!传说中,蜘蛛的监控很强,但是,没试过,界面很难看是吸引我的主要原因.......(BT吧)