卡巴斯基实验室回应 Mark Russinovich 发表关于卡巴斯基产品中漏洞的报道

        独立研究员 Mark Russinovich 在他最近的一篇报道中声称：卡巴斯基实验室在卡巴斯基® 反病毒产品中采用了“rootkit”技术制作其卡巴斯基® 反病毒软件使得卡巴斯基® 反病毒软件产生可能得漏洞。

        卡巴斯基试验室希望能夠先说明关于 “rootkit” 的定义来描述称卡巴斯基® 反病毒软件中有“rootkit”是不正确的。

        看来 Russinovich 认为有问题的部份是卡巴斯基试验室 iStream® 的专利技术。卡巴斯基® 反病毒软件使用的 iStream® 专利技术并不是一个漏洞。而将此技术视为 “rootkit” 更是不恰当的因为这并不能被入侵或者被有心人士滥用来进行系统攻击。

        iStreams® 技术首次在卡巴斯基® 反病毒软件产品 5.x 中使用已经是两年以前的事情了，而且这也提高了病毒扫描的效率。用基本的术语来讲，卡巴斯基® 反病毒产品中使用的是“利用 NTFS 文件系统格式中供选择的数据流去扫描用户系统中的数据和文件”。当卡巴斯基实验室产品对系统进行扫描时，如果那些已经扫描过的而且没有改动的文件那么扫描时就跳过这些文件，只对那些之前    没有扫描过的或者是之前扫描过但已经改动的文件进行扫描。

        用肉眼是看不到 NTFS 文件系统格式中供选择的数据流的，必须用特定的工具才能看到它们。事实上这些数据流也不是自动可见的，但是这也不意味着利用这些数据流的技术就是有危险或者是系统的漏洞。

        卡巴斯基实验室相信这种技术的使用并不是很容易就能被恶意程序利用的。有以下原因：

        1、如果一个卡巴斯基® 反病毒产品激活后，这些数据流是隐藏的而且任何进程都不能通过它们（包括系统进程）。

        2、如果卡巴斯基® 反病毒产品关闭后，只要使用合适的工具就可以看到这些数据流；

        3、如果一个数据流被一些（可能是恶意程序）数据或代码重写后（例如：在安全模式下重新启动后），当系统再次重新启动后，卡巴斯基® 反病毒产品将会读到这个不明格式的数据流。然后卡巴斯基® 反病毒产品将开始重建反病毒数据库。这就意味着潜在的恶意程序代码将会被删除；

        卡巴斯基实验室利用 iStream® 的技术来提供使用者明显效能提升的好处。唯一的缺点便是将增加移除卡巴斯基产品的时间。也因为这个原因，下个版本的卡巴斯基® 反病毒软件产品将利用更好的演算技术来提供效能上的提升。

        在卡巴斯基实验室的公告中，尤金·卡巴斯基已经针对这个问题进行了深入的分析。请查看（http://www.viruslist.com/en/weblog?weblogid=177727537）。

24×365小时技术支持服务热线：400-611-6633