[转]诺顿误报背后藏着什么？

诺顿杀毒软件“误杀”微软WIN XP操作系统正炒得沸沸扬扬，国内安全软件厂商纷纷指责诺顿犯了一个“重大的低级错误”，连诺顿自己也不得不站出来承认是“误报”。不过对于诺顿是否是“误报”，我看却有一些疑点。

诺顿只对简体中文版XP系统“误报”，并且是安装了MS06-070补丁的WIN XP，而对国外用户几乎没有影响。这不由得让人怀疑，安装了MS06-070补丁的简体中文版XP，是否藏有特殊的代码？受影响的文件 netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)究竟是什么？升级前为什么不会 “误报”？

安全软件会在操作者使用过程中，对应用软件的行为进行分析，比如软件使用了哪些端口，向哪个特定的地址发送了信息，这些操作安全软件有责任提醒给使用者。不过一般的情况下，对于成熟的商业软件，安全软件会选择忽略提醒，因为从道德和法律层面上，商业公司是不会将获取的用户信息泄露出去的。

诺顿犯的这个“重大的低级错误”，其实就是证实了微软的简体中文版XP系统存在“木马行为”。诺顿全球安全响应中心负责人Vincent Weafer的解释是：“此事件中，我们的工具主要是查DNA，而不是看有没有数字签名和版权。”

此前，一位美国科学家称微软公司在它的 Windows软件中加上秘密“后门”，以便美国国家安全局（NSA) 可以随意进入用户的操作系统并偷看用户的敏感电脑资料。微软也承认Vista的研发得到了上述秘密组织的大力帮助。NSA表示，它帮助微软开发了新版操作系统的安全保护功能，比如防护蠕虫、木马及其它的恶意计算机攻击等——微软安全了，美国才安全。

但问题或许还不仅仅是对信息安全的担心这么简单。

2006年2月，中美首轮贸易磋商在北京举行，以反盗版、假冒为核心的知识产权保护问题再次成为中美间贸易谈判的焦点，美国贸易代表办公室摆出强硬姿态，声称要把中国告上WTO，并要求美国在华企业收集中国侵权知识产权的证据。

2007年4月，美国向世贸组织递交了争端解决申请书。美国商务部助理部长透露，美国政府起诉中国政府，获得了美国企业的支持，他例举了三个企业的名字：微软、美国联合汽车工业公司、辉瑞制药有限公司（伟哥）。

2007年5月，诺顿杀毒软件“误报”微软WIN XP操作系统存在木马行为。

而国内的安全软件厂商此时却不合时宜的站出来，为了商业利益大打口水仗，将矛头对准诺顿。其实，对于中国用户来说，更希望国内的安全软件厂商告诉用户，微软的简体中文版XP系统是否真正安全，那个升级补丁里，到底藏了什么？
2007年5月18日，由于诺顿杀毒软件“误杀”Windows系统文件，引发大规模电脑瘫痪…，这几天大家都看到媒体和各杀毒厂商一个个抓住这个机会拼命整赛门铁克，都在谈索赔问题。

从种种迹象来看，也许赛门铁克并没有出错，那两个文件极有可能是美国政府下令微软在简体版里植入的后门来监控中国网络信息的，赛门铁克做为世界第一大和最老资格的杀毒厂商，手中掌握的病毒库是其他杀毒厂商无法比的，他的技术实力也是非常雄厚的。这次所谓的误杀门事件并不是由赛门铁克的杀毒引擎所杀，而是由 18号更新的病毒库导致的，一般赛门铁克内部检测定义一个病毒除特征外还要有三道程序机制，除非技术人员反复确认这两个文件里有木马或后门特征是不会把他列为威胁的。

Symantec在杀系统文件时显示的病毒类型为：Backdoor , 后门类型病毒，就是说赛门铁克在这两个文件里发现了后门类型病毒的特征。

为什么赛门铁克其他系统文件不杀?就杀了那两个关键性的核心文件?一杀系统就完了，无法启动?唯一解释只有基于启动时加载内存的系统底层核心文件才这样。

诺顿是微软最高级的安全方面核心合作厂商，因此它的杀毒软件在某些方面工作比较特殊。比如在杀毒软件的安装，使用和功能实现方面，大部分厂商采用的是中间件技术，在系统底层与非自身应用程序之间作为中间件存在并实现其功能；另有一些厂商使用的是应用程序或者嵌入技术，相对而言这种方法安全性较低，诺顿采用了基于系统最底层的系统核心驱动，这种实现方式是最安全的或者说最高级的实现方式，当然这需要微软的系统源代码级的支持（要花许多money），业界公认，这是最稳定的实现方法，但从目前而言，只诺顿一家。

这也就是说，微软给了他大量的底层源代码，而赛门铁克正是基于系统核心层开发，所以才有这么好的稳定性,和WINDOWS系统兼容性最高，cpu占用率是最底的。因此赛门铁克对微软的底层核心层非常了解。只有非常了解微软的底层核心代码才能找到一般杀毒软件所无法找到的后门病毒。

而微软新一代操作系统Vista对系统内核的锁定，在赛门铁克无法掌握大量内核代码的情况下，导致赛门铁克与Vista的稳定性和兼容性都不如以往。再也无法在杀毒软件市场中独占螯头。

微软的系统几乎全世界的政府和个人都在用，他也是美国政府所支持的，说它在系统里没放后门，打死我都不相信，再说了，USA不是天天说要搞电子战，信息战吗？以美国的技术优势是不可能放过操作系统这种辐射性最强的东西了。
联想到欧盟曾经几次要求过微软对其开放核心源代码，要不然就要制裁微软，相信欧盟对微软的win系统也很不放心呀!

其实中国政府也一直相信微软在系统里设有后门，所以在没有办法的情况下，才要网络的军用线路与民用线路物理隔绝。大家还记得，曾经中国政府在美国卖给中国的波音飞机里发现上千多个窃听器？导致两国的外交尴尬。那么有此推理，美国政府也完全可以在操作系统里设有后门，监视中国的一举一动。
所以，这次误杀门事件发生后，中国的信息安全部门曾说过，要对这两个文件仔细研究…………23日cctv新闻。

还好，据说现在中国政府要换SUN公司给中国政府特别开发的操作系统了。SUN一直从事服务器系统范围，在全世界的信誉一直很好。而且源代码对中国政府开放。所以比较放心。

该交易内容为：Sun将与中国标准软件公司(China Standard Software)合作，向中国政府销售以Linux为基础的桌面操作系统。Sun将帮助中国政府建立一个开放性的、便宜安全的操作系统。Sun公司 CEO麦克尼利在访华时明确表示，将向中国政府开放所有Sun拥有知识产权的Solaris源代码。Sun称，我们这样做的目的是让友商放心，让政府放心。言下之意就是告诉合作伙伴，我们不搞垄断，不会卡你们的脖子，同时也请政府放心，我们不会在软件里安放什么后门，危及国家安全，我们的代码都在那摆着，你大可以放心使用。而除中国外，韩国、日本、越南、以色列、印度等国家也开始着手进行类似国家信息安全计划。

以上我所猜测的没错的话，那么Symantec拒绝道歉倒也情有可原了，毕竟是吃了哑巴亏，因为它的确没错呀。只是能力太强了。出了问题，涉及到美国国防安全，美国政府完全有理由不让它泄密，让它掩盖事实，只是倒霉的是Symantec自己，和它的声誉。

由误杀门事件联想到的是，万一发生台海战争，只要美国政府一动动手指，那么中国90%的电脑全部GAMEOVER！

我也同意这个观点。
中国政府企业对微软的win操作系统依赖性太强了，不过我对sun是否能真正为中国政府服务也存有怀疑！

微软的系统几乎全世界的政府和个人都在用，他也是美国政府所支持的

。。。。。。。。。。

没办法呀，没有自己的操作系统

煽动性文章，我恨财阀，我恨垄断
但是我更很没有到的底限煽动与炒作

总之这次事件不是诺顿有问题就是微软有问题。跑不了。

taizitju：煽动性文章，我恨财阀，我恨垄断
但是我更很没有到的底限煽动与炒作回到原帖

呵呵，感觉有可能是，因为我们公司没有说最近与SUN有什么新的合作呀，SUN现在正在跟RedFlag2000加强联络呢
但无论如何，我现在是用的Linux，反正我没有受到影响，Windows也从不升级，只用AVG与ZA这些厂商的免费模块的软件，从来没什么不舒服的，呵呵

微软?谁信呢?但不能不用啊,现在公司文档都在这下面运行,没法子,我想用Linux,但老总不答应,没法子,还是利益重要,钱重要啊,中国人还有十来个亿的人口缺钱花,怎么办?

关于你们“老总”我想起一句歌词

观念不及格其他全都是垃圾
------我的地盘

taizitju：煽动性文章，我恨财阀，我恨垄断
但是我更很没有到的底限煽动与炒作回到原帖

不同观点而已，有没有道理大家自己判定。
这年头，谁也不好糊弄。

下过四国军旗吗？
在低分场，第二步就出个炸弹到处乱晃，70%的人会用司令来撞你。

姜奇平:微软操作系统暗藏监视中方秘密程序?

作者：姜奇平 数字化产业研究专家

     6月5日，中华网上一则《大家注意了：微软窃取我国家机密》的帖子引起网上热议：被诺顿爆出“后门”的微软中文版操作系统程序，是不是内置了美国政府定向监视中方的秘密程序？我称之为“后门”事件。我认为微软应当给出一个说法。

    事件的缘起是，不久前，诺顿杀毒软件将微软视窗两个系统程序当作特洛伊木马病毒加以杀除，导致用户系统瘫痪；诺顿承认“误报”病毒。

一开始，人们（包括我在内）都将矛头指向杀毒厂商，谴责它们不负责任。但相关杀毒软件厂商的某种保留态度耐人寻味：他们只承认在病毒这一点上是“误报”，但并不承认在安全问题上是误报。换句话说，这等于暗示，如果有人（美国政府或微软）有意设计了对用户不安全的程序，虽然不算病毒，但完全在安全报警范围内。

    这引起了专家们的极大关注。找来程序一看，疑惑变得更大了。

    第一，程序的性质是“后门”。所涉及的两个系统程序，特别是其中的 lsasrv.dll，正是用于本地安全密码验证的文件，作为恶意软件的特征报的是“backdoor.haxdoor”。后门的作用，与“特洛伊木马” 的作用是一样的，都是秘密潜伏在敌营内部发挥作用。

    考虑以下因素，一是微软程序员Ferguson以往曾提及，“我们也征求了执法机构的意见。他们表示他们还是希望能够读出BitLocker加密的数据，并且他们希望我们对此有所准备”。

    二是有消息称，一位美国科学家称微软公司在它的Windows软件中加上秘密“后门”，以便美国国家安全局（NSA）可以随意进入用户的操作系统并偷看用户的敏感电脑资料。微软也承认Vista的研发得到了上述秘密组织的大力帮助。 NSA表示，它帮助微软开发了新版操作系统的安全保护功能。我们已经注意到微软一直表白自己不在操作系统中开发后门程序，但自己不开发，不等于不采用别人开发的类似程序。三是去年BBC新闻广播报道，英国政府就操作系统中（设计）后门问题与微软展开了讨论。有此先例，因此这个问题不是凭空提出的。

     于是，第一个希望微软澄清的问题是：这两个被报“后门”的程序，是否加入了NSA或其他第三方要求加入或帮助开发的东西？

    第二，程序的对象是中国内地。问题发生在简体中文版，比较英文版和简体中文版， lsasrv.dll大小相差22k，欧美用户和港台用户没有出问题，令人怀疑这个Backdoor（后门）是专门针对中国内地的；而且有网友根据局部测试反映，“此事件系统崩溃的电脑基本都是安装了上海政府版WindowsXP Professional系统，而安装联想OEM认证home版的WinXP以及其他Windows版本的系统就没有出现问题”。

    于是，第二个希望微软澄清的问题是：这两个被报“后门”的程序，是否是专门针对中国内地甚至中国政府编写的？意图何在？鉴于已涉及政府采购软件，建议微软根据开源先例，向中国政府公开这两个文件的源代码，以证明清白。在此之前，呼吁政府暂缓强制推行Vista升级。

    “后门”被揭露，有一定偶然性。由于合作关系改变，赛门铁克无法像以往那样，与微软在内核代码级配合，因此出现这次“误杀”，无意中“走火”暴露了微软系统级上这个不是特洛伊木马的“特洛伊木马”。这样的“后门”还有多少没有被发现？我们有理由从必然性上思考“后门事件”。

    附带说一句，微软既然作为三大厂商之一支持美国政府在对华知识产权问题上诉诸WTO争端，相信也应该明白对于中国需要承担什么样的社会责任，才算负责任的厂商。 （原载来源：第一财经日报 ）