锦里入口:2011年5月AV-C国际各大杀软测试中文版

置顶：2011年5月AV-C国际各大杀软测试 中文版
(2011-06-01 02:42)[编辑][删除][取消置顶]
标签：av-c
杀软测试
病毒
网络安全
计算机

2011年5月AV-C国际各大杀软测试中文版
AV-C官网

误报测试报告


误报测试报告
对于防病毒安全产品的测试，重要的举措不仅是要衡量它的病毒检测
能力，还要测试它的可靠性。而对于可靠性的评测，其中一方面就是要看
相关产品在样本文件受到感染时的识别能力。没有不产生误报的产品，但
是这些产品产生的误报也存在着差别，我们的目标就是要发现这个差别到
底有多大。没有人会有全部的可能被误报为病毒的安全文件，所以也不可
能做出终极的误报测试。唯一能做到的，也是合理的，就是创建和使用一
个独立的样本文件库。如果对这些相同样本文件，一款产品的误报是 50
次，而另一款产品的误报只有 10 次，那么第一款产品比另一款更易于产生
误报。但这并不意味着产生 10 次误报的产品全局没有超过 10 次误报，重
要的是相对的数字。
所有列示的误报已经上报并发送给杀软厂商核实,目前可能已得到处
理。与杀毒文件有关的未加密的数据块引起的误报，并没有计算在内。对
属于同一款安全产品产生的多次误报，这里仅算一次。非法入侵、生成密
钥、或其他高级帮助工具等，即由厂商提供的和其他非独立采集获得的样
本这里也不算误报。未来我们考虑进行一项单独的测试来评估误报情况，
用于此项测试所使用的误报流行样本都是由安全厂商作为恶意文件收集后
并提交的。
大部分误报可能在大多的时间都落到第一和第二级别。我们认为，在
这类样本文件中杀毒产品不应该有误报，除非很多用户受到影响。同时杀
软厂商低估了误报的风险而高估了病毒风险，我们并不打算基于所谓的误
报率而为产品归类定级。我们允许（测试的产品）产生一定数量的误报
（15 个），然后才开始为产品评分。我们认为，产生误报较高的产品，也
更可能对流行的安全文件产生误报。我们给出的这些样本文件只是作为信
息目的来使用。这些流行样本在实际中所产生的影响，可能不同于报告中
所做的分析。
一些使用第三方引擎/特征码的产品，比拥有自己引擎的产品可能产
生较少或较多的误报，例如由于不同的内部执行设置、额外的检查/引擎、
白名单数据库、在为第三方产品释放原始特征码和可用特征码之间时间的
延迟、在释放特征码之前的额外质量保证等。
误报是衡量杀毒产品质量的重要指标。一份客户提交的误报能够帮助
安全软件厂商解决因为这个问题带来的产品设计上的缺陷。有时，误报甚
至能导致重要的数据丢失或系统无法使用。即使对“不重要”的误报（或
对早期的应用程序的误报）也值得引起注意，因为误报很可能是一种原则
性的检测结果。它只是碰巧发生在一个微不足道的文件上了。误报的可能
性可能也在于产品自身，而且误报也可能再次发生在一个重要的文件上。
所以，误报还是值得一提的，也值得用于评价一个产品的好坏。
在下文列示的，就是在我们的独立样本文件中检测到的误报。红色字
体突出显示了，对带有有效数字签名的样本文件的误报。
McAfee迈克菲对我们准备的产品未产生误报；微软的MSE误报数量为1；BitDefender比特梵德误报数量为3次;eScan误报数量为3次；F-Secure默认设置下误报数量为3次；Sophos默认设置下误报数量为4；AVIRA误报9次；PC Tools误报10次；赛门铁克的诺顿产品误报数量为11；Kaspersky误报数量为12；TrustPort为12；K7为14；AVG误报数量为15；熊猫误报数量为18；歌德塔的误报数量为18；Avast的为19；ESET NOD32产生20次误报；Webroot为22个（首次参加）；奇虎360为104次误报（首次参加，唯一国产）；趋势科技为290次误报



参与 AV-C 测试的条件已经在我们官网的测试方法文档中公布http://www.av-
comparatives.org/seiten/ergebnisse/methodology.pdf。读者在开始阅读本报告前，
应先阅读上面提到的测试方法文档。
参与本次测试的厂商数量限定在 20 个，他们均有较高的知名度，这些厂商同意
接受本次测试以及参与2011 年的一系列公开测试活动。






如同以前报告中公布的那样（并且已在 2010 年的整体产品动态测试中应用），
今年此项测试的获奖情况如下：总检测率（保留两位小数）由测试人员分析集群后，依
据层次聚类法分组而成。与以往一样误报也被考虑进去（未来可能更严格的使用“很
多”和“极多”来表述误报结果），但我们正在对改变误报率（的方法）进行评估。
通过使用集群，不再需要达到固定的阈值，因为阈值会因结果不同而有所变动。
测试人员合理地定义集群，而不是单靠集群，以避免发生如果未来所有的产品成绩都不
好，那么无论怎样都不能取得较高的排名。
喜欢老的奖评制度的用户，可以自己运用固定百分比评级制度来推算，但应记
住，测试集只是一个子集，而不是一个绝对的样本集，所以在不同的测试中单一检测率
的波动不应该被高估。用户可以参考这些数字，在一个特定的测试中应用恶意软件集来
比较这些产品的不同检测率。

遗漏样本图示 (越低越好)

百分比仅指测试使用的病毒样本比例。即使它只是子病毒样本，但对于查看遗漏
病毒样本的数量仍然是重要的。
防御技术（如: 基于主机的入侵防御（HIPS）、行为拦截功能等）。
良好的检测率始终是评定一款杀毒软件的具有决定性并且广泛适用的最重要的因素之一。除此之外，大多数产品还会提供一些象基于主机的入侵防御（HIPS）、行为拦截、信誉评级或其他拦截功能来阻止恶意行为（或者至少是报警功能），如：在恶意软件运行期间，如果所有的实时监测和手动检测都未能检测到它的运行，那么安全产品的这些额外病毒防护功能会发挥作用。
请不要错过包含回溯测试的报告的第二部分（它将会在几个月后发布），它对于产品对新的/未知恶意软件的检测能力进行了评估。
虽然我们对杀毒软件的各个方面进行了多种测试和演示，但仍然建议用户自己对软件进行评估并形成自己的意见。测试数据或报告仅提供一些指导，毕竟有些方面用户自己无法评价。我们建议并鼓励读者去研究其他各种知名的独立测试机构提供的独立测试结果，以便更好判断各种产品在不同的测试条件和测试环境下，对病毒的查杀能力
检测结果概要：

当您对比下列产品的检测率4时，也请考虑每款产品的误报率。



扫描速度测试：




获奖产品不光是归功于它的病毒检测率，也考虑了它们对我们建立的白名单库产生的误报率。在本报告第 7页，您可以看到测试产品的获奖情况。
一款高检测率但同时也有很高误报的产品，可能还不如一款检测率稍差但误报较
少的产品。
版权及免责声明
本报告的版权©2011 归 AV-Comparatives®所有。任何出版物对本测试结果的使
用，无论是全部或部分，都必须先得到 AV- Comparatives 管理部门明确的书面同意并
允许。对使用本报告提供的信息，可能会产生或导致的损害或损失，AV- Comparatives
和参与测试的人员，不承担责任。我们竭尽一切可能，确保基本数据的正确性，但并不
代表 AV- Comparatives 对测试结果的正确性需要承担义务。对报告的正确性，完整
性，或者在任何特定的时间，对报告提供的内容是否适合特殊目的的需求，我们不做任
何保证。对于在创建，生成或发表测试结果过程中，所涉及到的任何人，对任何间接
的，特殊的损害或利益损失，使用或不能使用该网站提供的服务，测试文件或任何相关
的数据引起的或与之相关的事宜，均不承担任何责任。AV - Comparatives 是在奥地利
注册的非盈利性组织。
更多关于AV - Comparatives 及测试方法，请访问我们的网站。
AV-Comparatives e.V. (2011 年4月)
阅读 ┆评论 ┆还没有被转载 ┆收藏
AV-C 2011安全保护产品调查报告
(2011-06-01 03:05)[编辑][删除]
标签：互联网
操作系统
杀软
安全
网络安全
评测
调查
校园














阅读 ┆评论 ┆还没有被转载 ┆收藏
回看2010年3月：又一个划时代的电脑病毒————"鬼影”
(2011-05-05 08:56)[编辑][删除]
标签：病毒
鬼影
划时代
it
一个“划时代”的电脑病毒——鬼影
2010-03-17 CBSi中国·PChome.net 类型: 转载 来源: 网络收集 责编: 吴宏
3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒也因此成为国内首个“引导区”下载者病毒。
鬼影病毒特征——重装系统也杀不掉
以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
颠覆传统 重装系统无法清除
金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR）,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。
李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
安全软件失效 电脑明显变慢
金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
罕见技术型病毒 源于国外
“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。
另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。
“鬼影”病毒分析报告
一、简介
该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒。
二、具体行为
1、该病毒伪装为某共享软件，欺骗用户下载安装。
病毒文件中包含3部分文件：
A、原正常的共享软件。
B、“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。
C、捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。
2，“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。
3，驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
4，病毒母体自删除。
5，重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。
6，b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
7，b驱动会下载av终结者到电脑中，并运行。
8，av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。
三、小结
“鬼影”病毒是第一个引导区下载者病毒，超越了传统的引导区病毒和下载者病毒，不光做到了三无特性，而且就算用户重装了系统，他也会阴魂不散的再次进入用户新系统，全新的结束手法，突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。
磁盘主引导记录（MBR）简介：
MBR（Master Boot Record）,中文意为主引导记录。电脑开机后，主板自检完成后，被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR，它的大小是512字节，它是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
电脑系统开机过程介绍：
开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。然后，将控制权交给主引导程序，再检查分区表的状态，寻找活动的分区。最后，由主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统。
阅读 ┆评论 ┆还没有被转载 ┆收藏
AV-C 2011最新测试数据英文，稍后中文
(2011-05-04 17:35)[编辑][删除]
标签：杂谈
AV-C 2011最新测试数据英文
2011英文测试













阅读 ┆评论 ┆还没有被转载 ┆收藏
SyScan 2011 安全焦点XCon2011 SyScan 2011 前瞻信息…
(2011-04-29 11:09)[编辑][删除]
标签：杂谈
SyScan 2011
前瞻信息安全技术年会论文征稿
SyScan 2011技术年会概要
SyScan 2011年度系列会议将在新加坡拉开序幕，大会的第二站将在中国上海举行，最后在台湾地区结束。
SyScan 2011 上海会议
本次将是SyScan第三次在中国举办技术会议，本次的上海之行，我们非常荣幸的邀请到上海交通大学信息安全工程学院作为这次会议的协办机构。
会议日期: 2011年7月21日-22日
SyScan 2011 上海会议主题和范围
本次SyScan 2011 上海会议主题和范围如下所示：
1. 攻击技术
本主题讨论的方向有：
a. 溢出技术及保护绕过机制.
b. 恶意软件
c. 内核级木马及后门
2. 防御技术
本主题讨论的方向有:
a. 操作系统级防护
b. 应用程序级防护
c. 网络级防护
3. 漏洞挖掘
本主题讨论的方向有:
a. 模糊测试及静态分析
b. 源代码审计
c. 其他方式
4. 云计算及虚拟化技术
5. 客户端安全
本主题讨论的方向有:
a. 浏览器安全
b. 微软Office, OpenOffice以及GoogleDocs办公软件安全
6. 设备及硬件黑客攻击技术
本主题讨论的方向有:
a. 移动设备(移动电话，手持式电子书阅读设备)
b. 嵌入式系统设备
c. 电子游戏设备
d. 电子阅读器
e. 无线设备
7. Web技术
本主题讨论的方向有:
a. 社交媒体(SNS技术)
b. PHP
c. Java
d. .Net/ASP
e. 网络服务协议(Web Service protocols)
8. 网络及通信技术
本主题讨论的方向有:
a. GSM/3G/3.5G网络
b. VoIP技术
c. IPv6技术
d. WLAN/WIFI无线网络技术
9. 关键基础设施保护
本主题讨论的方向有:
a. 数据采集与监视控制系统
b. 电信通讯网络
c. 交通控制及管理网络
d. 应急服务网络
10. 数据恢复，计算机取证及应急响应
11. 论文评选委员会或者世界关注的其他主题
论文评选委员会
SyScan 2011技术年会论文评选委员会由以下人员组成:
1. Thomas Lim SyScan会议主席, COSEINC公司CEO
2. Dave Aitel Immunitysec创办人及CEO
3. Matthew “Shok” Conover 赛门铁克安全研究员
4. COSEINC公司研究人员
评选委员会将评审所有论文稿件并最终确定大会发言人名单.
评选过程
本次论文评选由两个阶段组成。
第一阶段：对所有提交论文根据主题分类并根据论文质量进行排名。每个主题的前三篇论文将进入最终评审阶段，最终选择的12篇论文及其演讲者将出席此次SyScan会议.每轮评选结果将予以公开.
第一轮评选标准如下所示:
a. 论文的新颖性.(您是否在其他会议中发表过这个主题)
b. 论文质量
c. 论文的影响力
d. 可行性
论文评选委员会将根据第一轮评选标准的b-d条对每篇论文分别给以1-5分的评分，创新性最高的论文得5分，在其他会议中发表过的主题论文得分1分，最后所有论文将依据分类以总分进行排名，得分最高的前三篇论文将进入最后的评审阶段。
第二阶段:在最终一轮评选中，评选委员会成员将采取投票方式评选出最终参加此次SyScan大会的论文。每个评选委员会成员有2票的投票权利，分别投给质量最高的2篇论文，最后得票最高的12篇论文将作为此次SyScan 2011大会的演讲论文。
演讲者待遇：
大会组织者将为参加SyScan 2011 上海会议的演讲者提供：
l 最高不超过1000新元的单人往返经济舱机票
l 三晚的酒店住宿费用
l 两天会议期间的早餐、中餐及晚餐
l 庆祝酒会
l 一些非常健康的酒水饮料及其他娱乐活动
演讲者奖励
l 主题新颖，论述精彩的演讲者将获得500新元的奖励(COSEINC研究人员除外)
l 2011年7月8日前提交演讲稿的演讲者将获得250新元的额外奖励
l 2011年7月15日前提交详细的技术白皮书的演讲者将获得250新元的额外奖励
论文提交方式
参加本次大会提交的所有稿件必须使用英语撰写，并且以PDF的文件格式进行提交，同时包含以下信息:
Section A – Personal Data(个人信息)
a. Name(名字)
b. Handler/Alias(网络ID)
c. Email Address(电子邮件)
d. Cell phone(个人移动电话)
e. Company(公司)
f. Brief biography(个人简介)
g. Photo(个人照片)
Section B –Presentation Data(演讲信息)
a. Title of presentation(演讲题目)
b. Category of Presentation(演讲主题)
c. Time Required for Presentation(预计演讲时间）
d. Newness of Material(演讲内容创新性说明)
e. Availability of Demo(成果展示)
f. Summary of Presentation(演讲总结)
演讲时间为60分钟，若发言预计超过60分钟，请在论文提交时预先通知论文评选委员会。所有出席此次上海SyScan 2011技术年会的演讲者需要提交一份关于演讲内容的完整技术论文。
论文稿件提交方式:Email发送至:cfp@syscan.org
重要日程
论文截稿日期: 2011年5月27日
第一轮评选结果公布：2011年6月3日
最终评选结果公布： 2011年6月10日
演讲人出席确认时间：2011年6月17日
演讲人行程确认时间：2011年7月1日
演讲材料提交日期： 2011年7月8日
技术白皮书提交日期：2011年7月15日
其他信息：
欲了解更多有关本次SyScan 2011 上海会议的更多信息、细节及咨询，请访问www.syscan.org
阅读 ┆评论 ┆还没有被转载 ┆收藏
[转载]一个木马黑客的自白
(2011-04-28 07:35)[删除]
标签：转载
原文地址：一个木马黑客的自白作者：黑客神马
曾几何时，在计算机技术人员眼中，黑客还被当成了天才来膜拜。即使到了中国所特有的红客出现，也因为所谓的正义感而尚能被网民接受。但在目前这个几乎全民皆可以做黑客的时代，黑客守则中的不恶意破坏任何系统已无人遵守，黑客精神被彻底抛弃。
曾几何时，在计算机技术人员眼中，黑客还被当成了天才来膜拜。即使到了中国所特有的红客出现，也因为所谓的正义感而尚能被网民接受。但在目前这个几乎全民皆可以做黑客的时代，黑客守则中的不恶意破坏任何系统已无人遵守，黑客精神被彻底抛弃。
在赤裸裸的金钱诱惑下，天天都有数不清的人怀着各种目的，前赴后继踏入网络地下世界。Kevin的7天黑客日记，让我们看到了互联网“黑社会”触目惊心的事实：许多人以偷窥为乐，交流着各种木马入侵手段，把肉鸡（被黑客控制的他人电脑）卖给别人，甚至还有所谓的“师父”，制作简单易懂的教程。
Day1萌芽
从大学开始，各种电脑新知识一直是我的兴趣所在，那些黑客、红客、木马、病毒之类的信息就特别能够吸引我。在这方面我没有太多的知识，但看看那些报道也很过瘾。
去年有关DDOS攻击敲诈网站的报道，就引起了我不少兴趣。当时在百度贴吧，我看到灰鸽子群、木马群等非常活跃，每天会有近百篇帖子更新，绝大多数都是有关灰鸽子教学、推销木马软件以及肉鸡销售等内容。当时想想自己没有兴趣攻击和黑掉那些网站，也就只是看看算了。
不过，最近金山和灰鸽子之间的争论又引起了我的兴趣，听说寄生在灰鸽子上下游这个产业链达到了1亿元的规模，让我真的大吃一惊。想想自己现在拼命每个月才赚那么几千块钱，真是有点嫉妒。我对计算机一直有兴趣，我就不相信自己会比那些人差。我想上网看看灰鸽子究竟是怎么回事，我也要去学。
Day2寻找 自学
趁着下午上班不忙，我溜达到百度的灰鸽子贴吧中，里面有一个帖子，标题是“90元收徒，教鸽子配置，内外网上线方法，免杀，抓肉鸡，网马配置。”这很吸引我。按照帖子的提示，加入了一个以VISTA SP1为名字的QQ群。
当我顺利通过验证进入该群后发现人还真不少，137名成员中有30多人在线，大家正在热火朝天讨论有关双开、肉鸡、代理、扫描等话题，对这些名字我是只知其一不知其二，不管它，反正不耻下问就行了。不少人的名字前面还有“【徒】”的字样，大概是付了钱的标记吧。
在这个QQ群的共享空间中有40种相关教程和工具提供下载，我都下载了，不过大部分都是压缩文件，需要解压密码才能查看使用。听说很多人都是借教木马骗钱的，算了，我还是晚上回家先看看网上的资料自己试试吧，反正网上的黑客网站和软件那么多，不一定要交钱才能学。
Day3联络 付费
昨晚搞了一晚上，看了不少网站，也试用了一些软件，一无所获。那些入侵、扫描的教程和文章说起来都很简单，但我照着操作却死活得不到相同的结果，真是郁闷。看来还是得交钱拜个师父才学得会吧。
今天我回到了VISTA SP1群，找到了管理员Paul，他就是大家说的师父。不过看看他的QQ资料显示，年龄为25岁，目前也在上海，和我一样。
当我以菜鸟名义谦虚向Paul请教如何使用灰鸽子以及木马等一系列问题，他显得并不耐烦，只是说自己拥有多年的黑客木马经验，并能编写黑客工具，而且只要拜他为师，可以免费提供各种黑客工具。
好吧，交就交吧，反正只要能学会就行，Paul很爽快地提供了建行和工行的两个账号，让我转90元进任一账户，并留下了一个134的手机号码。下班后我就通过建行ATM机上给Paul转账90.01元，并短信通知了他。
Day4拜师 初试
昨天晚上我有事，回家已经11点多了，上群看了看，还有10多个人在线，不过师父却不在了。
今天又忙碌了一天，但我一直惦记着师父要教我的事情。回到家匆匆扒了几口饭，我就上网去找师父。他说已经收到我交的学费，并正式表示我现在已经是他的徒弟了，而且还让我在名字前面加上了“【徒】”以和其他人区别。
随后师父给了我解压密码，让我先从他自己制作的“内网鸽子上线教程”动画教程开始学起，按照教程操作。虽然是非常傻瓜的操作，但也许是自己太笨了，我操作后并没有取得教程中所说的效果，连灰鸽子远程控制软件都打不开。师父随后利用QQ远程控制功能控制了我的电脑，演示并查了故障原因。据师父分析，估计因为我电脑用的系统是Win?鄄dows2000，所以才不够稳定。已经晚上10点多了，师父说时间太晚，不愿意继续教了，让我第二天再联系他。
Day5讲解
今天晚上，我换了一台Windows XP的笔记本，和师父再联系，应该没什么问题了吧。果然在师父的QQ远程控制指导下，顺利将灰鸽子服务器软件测试调试上线好。随后师父嘱咐我按照“免杀教程”，将生成的这个服务器软件进行免杀处理，以躲过杀毒软件。
按照教程的方法，我采用4种不同的工具，一步步完成了服务器软件的处理，果然“如愿”逃过了电脑中卡巴斯基的查杀毒处理。呵呵，终于比昨天要顺利了，一步步接近胜利。
以我的计算机知识来看，免杀处理过程应该是在软件中加入大量无关的代码，然后加壳，再进行多次压缩加密，以达到躲过杀毒软件的效果。不过我发现，免杀教程的制作者不是师父，似乎是来自于黑鹰红客基地网站的某位人士，也许他们之间都有交流吧。
完成了灰鸽子服务器软件调试和免杀，终于到了第三步了。按照师父的提示，我开始学习下一步操作———抓肉鸡。但是在看了自动抓肉鸡的教程后，却发现缺少了一个重要的工具。当时师父已经下线了，所以我只能请教仍然在线的师兄。一位好心的师兄告诉我这个工具必须向师父购买，“外面买不到也找不到，是师父自己编的，大概50元吧。”
好吧，既然师父不在，又拿不到工具，那我就再去试试前两天下载的其他黑客工具和教程吧。不过遗憾的是，最后还是没有成功，看来还是得让师父按部就班地教我。
Day6小成 偷窥
第六天了，还是没有找到一台肉鸡，真的有点气馁。不过师父安慰我说，这个事情是急不来的，要有耐心。他还告诉我有些徒弟看了教程，按部就班地学，很快就满师了。
按照教程，我把灰鸽子服务端配置好，再一次做了免杀。并根据网络上找到的教程依次进行端口扫描，弱口令密码扫描。经过3个多小时的等待，终于我的软件中提示已经找到了14台目标电脑。
按捺不住激动的心情，照着教程所说的，我远程登陆目标电脑，上传灰鸽子服务端，运行。啊，终于灰鸽子有反应了，目标电脑终于被我控制了，我拥有自己第一台肉鸡了（见右上图），万岁！我的第一台肉鸡位于四川绵阳，我找到电脑中的图片文件夹。“甘肃图片？”下载看看，原来是位MM在景点的留影啊。继续，继续看看还有没有其他的。
同时我还在继续看那些有漏洞的电脑能不能入侵，结果是4：14，不到30％的成功率，但我已经很满意了。
再入侵一台肉鸡，来自福建，但电脑里好像没什么东西，只有一个联系表，没意思，关了。
另一台肉鸡里面许多与网游有关的文件，应该是个网游玩家吧。（见右下图）看看他在干什么？在打游戏，好，下次等我给他种个网游木马，把装备偷来全部卖掉。
对了，听说灰鸽子还能够打开肉鸡的摄像头。试试看，怎么没反应，大概是没安装摄像头或者没插上吧，下次再试试其他肉鸡。
不知不觉都凌晨一点多了，虽然明天，不对，应该是今天不上班了，但还是先去睡觉了。
Day7犹豫 放弃
今天下午，我把这几天的经历炫耀地告诉了表姐，结果被她好好骂了一顿，因为她就中过灰鸽子，结果重装系统又打了补丁才解决。
可是我才入门，就这样放弃了？回家后看了看全球头号黑客凯文·米特尼克的报道，我发现自己根本就不是一个黑客，只是一个可耻的偷窥者。
在这个群只待了短短六天，看到经常在线的徒弟不下20余名，而且还有一些“学有所成”的徒弟在师父的允许下教授新来的菜鸟，因此每天来加入该群的人也不下20余名。但如果在言语中流露出不想缴费学习的意思，就会被师父和师兄毫不犹豫地踢出该群。师父与几个核心成员的每月收入在万元以上，而这个群建立的时间只有短短4个月。
好吧，我还是放弃这一切吧，这并不是一次光彩的经历。晚上我又一次打开了灰鸽子，删除了肉鸡上的服务器端软件。我决定告别这一切，改邪归正，明天醒来，我还是决定做个好人。
幕后调查
猖狂的木马教学
从Kevin的来信及记者随后调查情况来看，木马教学不仅仅只是QQ上一对一的辅导，已经呈现多样化、专业化的态势。
实际上，记者也通过百度贴吧联系上了几位教授木马以及贩卖木马工具的人。其中一个教授者的汇款地址为河南商丘，他给记者展示了自己拥有的各类木马盗号工具的截图后，让记者看着开个价，号称“包教包会”。而且，他还承诺当天晚上就去赶做视频课程。据这个人说，他之所以教人用木马，主要是为自己建网站筹集费用。
而另外一位“教师”，开价就高了许多。从他与记者聊天过程以及所发的帖子中内容来看，他应该是某黑客论坛的版主级以上的人物。他所售卖的黑客工具———黑色××远程控制修正免杀版，从演示动画上分析，功能大致与灰鸽子相当，不过另外加了DDOS的攻击功能。他向记者开价为100元、300元、400元不等，后两个价格档次还承诺软件终身免费更新升级。
除此之外，记者还加入了一个名为“黑客爱好者乐园”的QQ群（群号码为39191700），该群的主持人声称每晚8点在某语音聊天室进行语音教学，内容包括灰鸽子、双开3389、网游木马、高级木马、刷Q、入侵、“黑人”等。而记者在晚上几次进入该聊天室，的确发现这个群的主持人在进行语音教学。
除了百度贴吧上面泛滥的教授木马的帖子，有关木马的论坛进入了更隐秘的状态。3月，灰鸽子工作室在一片喊打声中停止网站更新，声称永久关闭，而网上另外两个有关灰鸽子的重要网站也改头换面。比如凤凰灰鸽子论坛更名为凤凰工作室论坛，将以往的开放注册改为邀请注册，只有老会员才能邀请新人进来，旁人更难一窥究竟。虽然这个论坛的内容看上去已经改头换面，但木马、漏洞、免杀等仍然是热议的重要话题。另外一个格子论坛（原名鸽子论坛）已经轰然关闭，页面也打不开了。但是，网上打着安全或者黑客、红客旗号的网站、论坛上，随处可以找到各类黑客教程。
记者观察
灰色的1亿元
只要稍微了解电脑以及网络知识的使用者，加上一点耐心，都可以轻易地去玩木马、抓肉鸡、修改系统、偷窥视频、拿到肉鸡电脑中的各种文件，而肉鸡毫无察觉。
所以，当灰鸽子工作室辩解称灰鸽子只是一个远程控制软件的时候，理由是那么的苍白无力。其他真正的远程控制软件，比如Pcanywhere、Windows远程桌面、QQ远程协助，都需要被控制者同意才行，并且被控制者电脑上都有明显的提示。而灰鸽子却是千方百计地隐藏自己的痕迹。
实际上，在灰鸽子之前，同样有一款木马在国内也赫赫有名，被很多黑客用来入侵，这款木马就是冰河。身为数据库开发程序员的冰河开发者黄鑫从来没有黑过任何一个网站，甚至在开发测试冰河的时候也是利用自己和朋友的计算机来检验。2003年黄鑫停止了对冰河后续版本的开发，程序员的良知让他不得不面对冰河作为一个黑客工具所带来的危害性。对比之下，灰鸽子开发者的行为是否如其所说只是卖菜刀的，就不言而喻了。
灰鸽子这条所谓的木马灰色产业链是否有1亿元？这无法证实，但就记者所见的一切，却是触目惊心的。编写木马的程序员的收入要远远高于普通的程序员，这是事实。
记者在QQ群中待了几天，看到不分昼夜、不分地域，时刻有人炫耀自己所窃取的肉鸡上的文件，熟悉的黑客之间会讨论是否要搞破坏。可是，当有新人上线来请教问题，“无私”解答者却寥寥。要想人教？要想获得强大的工具？对不起，请掏钱。50元起跳，越多越好。在这些群里，等级森严，师父带徒弟，徒弟带徒孙，一级一级，都被金钱利益牢牢纠集在了一起。
如果说最早的黑客只是为了炫耀技术才入侵网站但从不搞大破坏，让技术爱好者佩服，现在这些玩木马的人，早已经用自己的行动玷污了黑客的头衔，已经毫无道德可言。
专家视角
法律维权仍为奢望
周宾卿（上海市信息服务行业协会顾问律师）
理论上说，参与整个木马黑色产业链各个环节的角色都是违法的，比如那些通过教学徒如何“种木马”并收取费用的“老师”，就可被列为“教唆犯罪”一列，其行为已经形成了“共同犯罪”，其他木马设计、销赃、盗卖等参与者也都难逃其究。
但之所以木马犯罪者最终被绳之以法的少之又少，是因为以现在公安等相关部门还没有对木马产业链的上下游进行完整的追踪，缺乏足够的资源也造成对产业链进行全面调查的侦察成本过高。目前相关部门只能对影响恶劣、后果严重、涉案金额巨大的少数案件进行大规模调查，并将少数主要涉案者送上法庭。至于那些盗取QQ号、破坏个人电脑数据的行为，公安部门甚至不予立案，其实在现实生活中QQ和网游账号被盗者报案而公安机关不予受理的情况，已经屡有发生。
造成这种现状的主要原因是虚拟财产仍无法准确被估值，司法机关很难以盗窃行为为犯罪者定罪，目前木马罪犯常被定下“非法侵入计算机信息系统罪”、“侵犯通信自由”等罪名，在高一级法院未对虚拟财产明确表态的前提下，下一级法院往往遵循过去的做法，绕开虚拟财产的概念为罪犯定罪。
普通用户如果想举起法律武器对木马犯罪进行防范，至少在现阶段还是奢望，过高的维权成本和法律条文对虚拟财产的界定还是暂时无法逾越的坎儿。从实际操作来说，建议用户更多采用防火墙、杀毒工具等技术手段对自己的电脑进行防护。
本篇文章来源于 秋窗会 - Autumn Window Network - 黑客网站，免费黑客软件，黑客教程原文链接：http://www.syhack.com/news/show.asp?id=311
',1)">
阅读 ┆评论 ┆查看原文 ┆收藏
亦师亦友话“黑客” 人大附中网络俱乐部记
(2011-04-27 08:11)[编辑][删除]
标签：校园
来源：人大附中 作者：张璇 时间：2002-03-17
以前经常有些老师问我：“你手下的那些小黑客怎么样了？”“小黑客？挺好啊！”还能说什么？谁让我负责的网络俱乐部的那些同学有那么强的好奇心呢？结果名声在外了。
人大附中有了网络俱乐部，从1999年3月起。网络俱乐部里网罗了一批精通计算机技术的学生，他们来自全校的各个年级。他们热情、淘气，充满好奇心和探索欲，对计算机技术有着一种狂热的喜爱，这让他们成为学生中的计算机高手、精英，当然偶尔也会惹点儿祸，所以在学校就落下一个“黑客”的名。不过平心而论，这些小黑客不仅没有像网上的黑客那样大搞破坏，反而成为人大附中校园网络建设的功臣，立下过不少汗马功劳。我从他们身上，学到了不少东西。对我来说，他们不仅是学生，也是我的老师，更是我的朋友。
网络俱乐部的诞生
网络俱乐部从诞生之日就成为校园网的管理者和建设者。
图书馆为了满足学生上网的需求，购买了16台多媒体计算机，在图书馆三楼成立了一个电子阅览室，可以浏览光盘，可以直接上国际互联网。
但是，每天开放，谁来值班？碰到问题，谁来解答呢？靠图书馆的那几个老师，非累死不可。怎么办？几个学生在馆长办公室里一碰头，一个天才的计划就此酝酿而成。
几天以后，人大附中学生网络俱乐部正式成立。向全校的各个年级招收会员。通过发放申请表、管理小组审核认定、发放会员证等程序确定第一批会员140人。然后从会员中选拔管理员，成立中心管理小组。中心管理小组在图书馆老师（也就是本人，图书馆电子备课室的负责人张璇）的指导和协助下开展工作，其实也就是起个监督和召集的作用。因为成立的一个原则就是学生自己管自己。
当然，做为总发起人，这些可爱的孩子们不仅负责电子阅览室计算机软硬件的日常维护和开放的管理，而且利用自己学到的知识，为上网的同学解决碰到的问题，网络俱乐部成为一个真正的由学生自我管理和自主运行的团体。他们制定了“管理细则”和“会员须知”，明确会员的权利和义务，制定奖惩条例。他们不仅在这里学到了知识，而且积累了管理的经验，培养了自我学习的能力，养成了共享知识的习惯，从这里诞生了一批品学兼优的人大附中学生网络高手。
这些可爱的孩子们，不仅在俱乐部的活动中展现了自己的能力，也为人大附中争得了荣誉。并且利用这里积累的经验，催生出了人大附中网络阅览室和学生网络实验室，为人大附中的网络建设做出了重要的贡献。中国人民大学附属中学今天挂上了由网络文明工程组委会授予的“网络文明工程绿色网络示范学校”牌匾，成为我国首所绿色网络示范中学。这里面也有着他们的一份功劳。
我们的顾问
李鑫是我们网络俱乐部的第一高手。但是，网络俱乐部成立的会员名单上却没有他。他第一次出现时，就已经是网络俱乐部的技术顾问。
他是一个高手，一个真正的高手，他编过操作系统，也做过网站，精通各种软件的使用，也能使用电脑绘画和作曲， 他是网络俱乐部唯一一个使用自己编制的网页编辑器制作网站的人。另外据戴悦说，如果他愿意，可以随时进入白宫的网站。如果说，当时的网络俱乐部有一个黑客的话，就是他。
记不清什么时候第一次见到李鑫。那时一个很重要的问题是，一些对计算机不是非常了解的成员经常有意无意删除系统中的一些文件，造成系统无法正常使用，大大增加了学生管理员的劳动负担。几次重装之后，大家找到了李鑫。结果是：李鑫在十分钟的时间内制造了一场“瘟疫”。于是，没有账号的人无法登陆计算机，壁纸也不能随便换，文件也不能随便改，甚至连format和fdisk也失踪了！不仅杜绝了那些人随便更改设置的可能，而且彻底剥夺了他们删除文件的权利。学生管理员获得了这次斗争的胜利，但是这场瘟疫的另外一个后果是：一个老师把他传进了办公室，因为很多老师无法使用办公室的计算机，不得已，我们只好又请来了李鑫，让他为我们提供解毒方案。
李鑫对校园网的安全也很关心。他随时从外部对网络进行监测，发现危险赶快就来通知。有一次，他很严肃地找我，说：“张老师，我们的网络安全上有漏洞！”看我不是很相信，他让我给网络中心打个电话。然后在计算机上敲下一行字符，随着回车的动作，我们发现服务器停止反应了！实验成功了！看着我后怕的样子，李鑫不慌不忙的说：“没关系，装个补丁就行。”然后轻轻告诉了下载的位置。
作为神话般的人物，事迹当然不仅这一两件事例，类似的还有很多。正是那些事实塑造了俱乐部的李鑫神话，让李鑫成为俱乐部成员崇拜的偶像，这里面也包括我。那时，我们的口号是：有问题，找李鑫。
可爱的浣熊
浣熊原名王浣洁，网络俱乐部的创始人之一，第一任俱乐部主席。核心成员中唯一的一个女性，圆圆的鹅蛋脸上总带着一点坏坏的笑意，显得有些莫测高深。
她拥有自己的论坛OASIS（绿洲），还在东方网景担任过主持人。王浣洁的名字还被刻到一张光盘中，于1999年1月由Mars Polar Lander（火星极地着陆器）发送到火星上。她参加了清华的网络评价，文学方面和科研方面的才华受到了专家们的肯定；她进入了“人类基因组计划”，同专家们一起，用计算机模拟基因测序。中央电视台东方时空“实话实说”栏目也邀请她作特邀佳宾参与节目，探讨学生在“玩”中的自主学习问题。这是一个怪才。
她其他科目并不是非常突出，但是喜欢英语，爱好计算机。她的英语极好。联合国的人来参观，她是导游和解说员。纯熟的英语让老外瞠目结舌。
她喜欢计算机，Foxpro和Html语言是她的强项，也是俱乐部里唯一一个直接用html语言写网页的人。她经常上网，有时很晚。这就导致上课精神不足，甚至睡觉。我们常说，幸亏她在人大附中，不然……
但是她的爱好不仅如此。她还喜欢《老子》和《易经》，并且缠着我，想要购买图书馆收藏的影印本脂本红楼梦，还曾经在那天晚上给我在网上预定了两袋伟嘉猫粮。
那大概是星期五的晚上九点钟，我正在图书馆加班制作网站，角落中的OICQ突然跳到了屏幕中心，一只小企鹅闪啊闪：“张老师，还在忙啊？”
“是！很多事情，当然不能休息。”
“您是一个人？”
“你想找谁？舒老师吗？”
“不不，我想问问您，有没有什么奇怪的事情发生？”
“没有啊！”我觉得很奇怪，就追问了两句。可是，小浣熊的态度非常暧昧，总是顾左右而言他。我也就放弃了，自己做起自己的活计来。可是，这时电话响了。
“喂！”
“您是人大附中张璇老师吗？”
“是的。您有什么事？”
“我们是**网站。您在我们这里预定的伟嘉猫粮已经准备好了，什么时候给你送来？”
“什么？我从来没有预定过猫粮。”
“……”
放下话筒，我正在奇怪，突然想到了王浣洁：“好个淘气的丫头！”难怪她问我有没有什么奇怪的事呢？
真够可以的！不过，王浣洁虽然淘气，却是一个有自制力的人。一次她成绩没考好，居然自动禁网一个月，说到做到，还真是有点了不起呢！
相辅相成的搭档
一个面庞上总带着几分稚气，另一个却显得有些老成，一个好动，一个好静，一个能说会道，一个说话慢慢吞吞。但是他们一样都是计算机高手，而且在一个班学习，不同的性格并没有影响他们成为“焦不离孟”的好友，总是一起出现在网络俱乐部的活动场地。这就是好静的李宇恒和好动的侯晓迪。当时他们还仅仅是初二。
侯晓迪是李鑫的忠实崇拜者。他甚至把李鑫称为教主，而自居护法之职。这虽然有些孩子气，但并没有影响他的技术的成就。他对网络安全的兴趣已经达到了一种狂热。如果仔细看看他的目录，你会发现那里面有着很多木马、病毒，他总是在研究这些东西，自然有时难免出一些事情，所以当有一天，他一脸委屈的向我诉苦，说机房老师说他是一个危险人物时，我也只有叹气的份儿。但是，他可是网络俱乐部中干活最不惜力的人。平时的值班他做最多，修机器，装系统也总少不了他，他是一个非常可爱的孩子，也非常好强，上了本校高中，他和几个好朋友另外组建了一个网络安全社，专门研究安全问题。后来，不仅和一个计算机安全专家共同写了一部著作，还发现了国内邮件系统的安全漏洞，并且提出了修改方案。
李宇恒是侯晓迪的好朋友，很多事情都一起做。他们一起写书，一起研究网络安全，一起制作网站，一起参加机器人比赛，并获奖。但是两个人也有不同。李性格更内向，技术上也偏向于编程。他曾经编了一些程序来辅助管理。这个程序可以自动控制会员的上机时间，可以提醒会员已经到时，甚至到以后可以强制关机。而且在使用的过程中不断完善。李不但是计算机高手，他的成绩也十分优秀。更难得是他的书法也很不错。
在一年多的时间里，我和这些学生摸爬滚打在一起，他们既是我的朋友，又是我的老师。每当想起他们，眉梢眼角就会洋溢出压抑不住的笑意。眼前就会浮现出那一张张的充满青春气息的面庞。李鑫、王浣洁、戴悦、张硕、侯晓迪、李宇恒、乐大山……