《可牛免费杀毒》探秘_论文

2024年5月2日发(作者：)

田墨　竺　

可牛免费杀毒　

－痛并快乐着　

前不久，一款名为《可牛免费杀毒》的软件在网上发布，　

然后短短十几天它就升级到了１．０　Ｂｅｔａ２版本。这是继３６０推　

出免费杀毒软件之后，国内又一款供用户免费使用的杀毒软　

功能颇有　

《可牛免费杀毒》的双引擎比较有意思，即云引擎　

件。让我们来看看这款软件的官方描述吧：集成全球领先的　

《卡巴斯基》杀毒引擎和自主研发高效轻巧的云引擎，无需　

激活，永久免费，兼容其他杀毒软件…一。看上去还不错，还　

没有尝鲜的读者朋友，今天就请随笔者一起来试用感受一　

番吧！　

和本地杀毒引擎（也就是《卡巴斯基》杀毒引擎）。扫描　

病毒时，可以在窗口中看到两个进度框，其中左边就是　

云引擎，而右边则是本地杀毒引擎（如图３）。当笔者的　

电脑连接网络时，它会先用云引擎对电脑中的可执行文　

件进行查杀，然后再用本地杀毒引擎对其他格式的文件　

进行查杀，这种方式查杀更高效。而当笔者的电脑断网　

界面似曾相识　

首先，笔　

蓬

Ｉｌ　ｌ引・氍龇　ＩＩｌ｝　杩，　自｝ｔ　埘肿：…　　

　：

者从《可牛免　

费杀毒　的官　

一　

方网站（ｈｔｔｐ：／／　

ｓｄ．ｋｅｎｉｕ．ｔｏｍ）　

本的安装包。　

在安装的时　

ｎ血　

ｉ　

ｌ　，　

　、●　

、　

ｉ　

ｉ　

《　坚塑　

－＆ｔ　●　口　

～　．．一　～　

一　

＃　

一　

下载了最新版　

｛　

｛　

｝　

蠹窳　爨　—　

州　

螂嘲　

一　

蝴　＊　

＿　

　【强　

ｉ　ⅡＬ￡蛐　

绷蝾　｝ｔ¨‘峨露曲埘　删　斟赫　

候，安装程序　

会通过云安全　

技术对系统进　

行分析…－－。　

这时笔者突　

然觉得，它与　

贝壳安全做　

的那个《金山　

卫士》有些相　

《可牛免费杀毒》的实时防护也很有特色。进入　

窗口中的“实时保护”标签，可以看到它采用了三种不　

同的保护模式，即“超强保护模式”、“双杀软模式”和　

“轻巧保护模式”（如图４）。它默认采用的是“轻巧保　

鲁　

“　Ｉ　女　

，　

：息　烹｛　曼

＊　一”　

…

曼　苎　

　■・…－《　≈　

＊　Ｈ■（　＃，　

ｌ　≮　…Ⅷ　…“　

护模式”，只对系统关键位置进行保护，系统资源占用　

非常低。如果你的系统中还安装了其他的杀毒软件，那　

：：　………　

＊　

一

’　嚣　

●■　■，　－　

…　ｆ

ｅ　■　

ｉ。　…

蚋　

Ｉ　

…　

：。　

…

一　一一　溪　一　一　一一　

…　

么就可以选择“双杀软模式”。这种兼容模式可以避免　

杀毒软件之间常见的程序冲突。并且，这一模式在众多　

……　

茹一　Ｂ　＃矗　

杀毒软件互不兼容，甚至故意互相卸载的今天出现，难　

似。安装完成　

后，看到它不仅采用了　

《金山卫士　那种蓝色的　

窗口界面，并且就连界面　

中的布局都是一样的（如　

图１）！好像官方只说它有　

《卡巴斯基》的血统，没　

说有贝壳安全的血统呀？　

笔者上贝壳安全的网站（ｈｔｔｐ：／／ｗｗｗ．ｂｅｉｋｅ．ｃｎ）查看，原来，它　

们确实是合作伙伴（如图２）。　

ｌｌ、　

糯１８婀１２０１０］ＰＣＤ　

。。

＿。　

墁　ｋ　盥　ｉ　

≥¨　

能可贵。　

如果用户　

想要获得最好　

的防护效果，　

那么可以选用　

个病毒都存在多个名称。现在这两款杀毒软件出现病毒名　

相同的情况，那就说明它们出自一家・…一　

２．探秘云引擎　

其实，在前面笔者发现《可牛免费杀毒》和《金山卫士》　

一

“超强保护模　

式”。由于这　

样，都有贝壳安全的血统时，大家可能已经猜到《可牛免　

费杀毒》的云引擎就是贝壳安全的云引擎　好了，话不多　

种模式会占用　

说，下面看看笔者最后是怎么通过实验认证的吧！　

较大的系统资源，因此《可牛免费杀毒》会弹出一个提示窗口　

首先，笔者从网上收集了３３个病毒样本，分别用　可牛免　

询问用户是否开启。“超强保护模式”默认只开启了文件实时　

费杀毒》和贝壳安全的　贝壳木马专杀》进行查杀。测试的　

防护功能，如果想开启更多的保护功能，就点击“更改设置”　结果让人非常兴奋，因为这两款软件都只识别出了３０个病毒　

链接，根据自身需求勾选邮件防护、网页防护和主动防御等　

样本（如图７和图８）。并且经过认真对比，笔者发现它们所报　

功能（如图５）。其中，主动防御功能可以监控病毒的记录键　

的３Ｏ个病毒名完全相同。由此可见，《可牛免费杀毒》使用的　

盘、安装隐藏驱动和修改系统内核等可疑行为。　

就是贝壳安全的云引擎。　．　

杀毒引擎实验　

１．探秘本地杀毒引擎　

大家已经知道，《可牛免费杀毒》的本地杀毒引擎用的是　

《卡巴斯基》。不过，笔者最早可不是从其官方获知的，而是　

自己抢先实验得知的。下面笔者把实验的过程写出来，相信不　

少读者对这一方法感兴趣。　

笔者先在网上找到一个常见的病毒一一“灰鸽子　木　

马。然后通过浏览器登录ｗｗｗ．ｖｉｒｕｓｔｏｔａ１．ＣＯ１ＴＩ，点击“选择”　

按钮导入“灰鸽子”木马文件，再｜　击“发送文件”按钮，病毒　

分析开始…一。分析完成后，就可以看到常见的杀毒软件分别　

对这个“灰鸽子”木马文件进行分析的结果。接着，用Ⅸ可牛免　

费杀毒》对这个文件进行查杀，在扫描结果里看到病毒名。　

将得到的　

釜　一　

这个病毒名与　

前面网站中显　

■％　ｇ　

示的众多病毒　

囝ｖ……Ｒ＾Ｂ　ｃ、ｄ…－ｎ－　【．ｔｔＩＭ‘、・“ｌⅢ　ｍ　

０　Ｂ．ｃｋａⅢ　Ｉｎ　Ｈ　呻…、　叭　川ｔｌ　、ｔ‘　ｎｌｎｒ．ｔ。ｆ　ｌ矾　

名进行对比，　

婚Ｂ．ｃ　ａ　Ｉ　Ｈ　ｌ‘…“　ｃ、ｄ……　川　ｑ　、・ｈｌｎｌｎｒ．ｔｏｒ、＾由、０Ｔ　

鲰　

发现《可牛免　

，∞ｔ蛳ｔ　ｔ　Ｉ３３．Ｏ　２０１Ｄ．０ｓ．２‘　＃２，　饨．ＩＤ，ｔ￣　ｔ　Ｍ：　

费杀毒　显示　

ｃ●　２１　２０１０．０　２’　ｍ　…一１：｜　

Ｉ　“，　”．１　１ｔ０‘．０　２０１　Ｏ５　２’　～　ｎ３７．§　

的病毒名正　

Ｊｉ∞　△　ｌ３．０一§０Ｏ　２０ｉＯ　０５　２‘‰０Ｈ—　＝　２００７∞ｈ　

班铆埘Ｉｎ＂　７—０．０．１２５　龃ａ－０５・２＂／８＾０ｈｂ０ｒ　ｎ３２　∽　

好和《卡巴斯　

Ｍ吐如ｅ　５．‘ｃ０　Ｏ　１１ｓｅ　２Ｄ１０．０５　２７　Ｂ６　ｒ　ｄ４　

№　Ｈ　眦ｔ　２０￣．０．Ｉ　２０ＺＯ－　．２　ｃ　８　ｔ　∞．№　

基》显示的相　

Ｄ扎　ｉ．５ｄ　０１Ｏ　０ｓ　２７　＊：ｎ　０｝／　ａ　ｎ　＾　

喇∞２　轧｛　：０１Ｏ　０５．　Ⅱ　ｋ啪　

同（如图６）。　

因为每款杀毒软件都有它自己独特的病毒命名规范，所以每　

其实，大家进入《可牛免费杀毒》的文件夹，观察里面的文件也能发现《可牛免费杀毒》和《卡巴斯基》的　

关系。因为文件央中的某处有一个《卡巴斯基》的Ｋｅｙ文件。不过，这个Ｋｅｙ文件具体在文件夹中的什么位置，它　

里面有些什么内容，还是请有兴趣的读者自己去揭秘吧！圆哑　

ＰｃＤｌ２ｏ１ｏＩ第１８期１　４Ｒ