iDoNews专栏：免杀易做，内鬼难防–“免检”软件产品还是免了吧！

几年前，免检产品出问题的新闻曾经屡次出现。最近，又发生了“免杀”事件。

近日，央视《经济与法》栏目曝光了木马病毒通过360认证，盗取支付宝账户信息一事。

针对央视的 道，360安全卫士官方微博发布360公司回应称，被曝光病毒是通过混入正常软件，然后提交安全认证实现“免杀”，360对此类行为已加强监管措施，会配合公安机关进行重拳打击，并承诺用户如因木马造成财产损失，360公司会进行现金赔偿。

之前，在我印象里，“免杀”是病毒木马制造者为了躲避杀毒软件的查杀而采取的一种手段。那么，安全认证“免杀”是怎么一回事呢?

根据我平时的见闻，这种免杀可能是一种类似于“白名单”的模式，并非360一家独创，而是很多安全软件厂商都在做的一件事情。因为在一些软件下载站，我曾经多次见过“某某杀毒软件认证安全”的字样，这些杀毒软件不只是一家。一些 站，下面也有类似标注。很久以前，在搜索引擎进行搜索，一些 站链接后面也有类似的安全或不安全的标注。而在一个大型的知名安全软件论坛，我也见过一些软件开发者咨询某安全软件(不是360，是另外一家)“怎么进行软件安全认证”的问题。

为了得到更专业的解释，对“免杀”这个概念，我咨询了安全软件行业的某从业人员。

关于360的“认证免杀”，他是这样解释的：“这个认证是360为了避免误杀正规软件搞的，加入免杀认证以后，厂商上传的文件就会被360当作可信直接放过。”

应该说，这个目的的出发点是好的，是为了避免误杀。

很显然，这并非完全是360产品和技术的过错，而是人的问题，一种特殊的利益关系造成的特殊“内鬼”问题。

于是，对于“认证免杀”，我有些反感了。我就想，如果说免杀认证就像发了个通行证，央视曝光的犯罪人员属于“冒领”通行证，那会不会出现“盗领”通行证的现象发生呢?记得前段时间曾经出现过带有数字证书的木马。

对于我这个疑问，上述安全行业人士是这样回答我的：“这个不是通过证书，而是让厂商直接上传文件。 比如你用公司营业执照注册个账户，账户开通以后通过这个账户上传的文件直接免杀。”

“那这个经过免杀认证的文件得有一个特征吧?或者叫标识吧?”我问。

“很容易，机器自动提，甚至直接用文件的Hash值。”他回答我。

在对免杀认证有了一定认识后，我认为认证免杀的安全隐忧很大。我又有了疑问：“别有用心者，能通过修改这个文件、改造这个文件的手段让木马实现免杀吗?”

必须承认，360安全软件是出色的安全软件。当然，我也相信360今后会采取更为严格的准入措施来完善它的免杀制度。但是，这次免杀事件的发生却给我们提了一个醒儿，那就是：免杀易做，内鬼难防!依我看，软件行业的“免检产品”还是免了吧!

我曾经看过一位 友形容某产品的留言，大意是：“产品是好产品，技术是好技术，就是脑袋秀逗了。”诚如斯言，如果一个出于好意的认证过程，中间掺入与人相关的利益因素，就有可能会出现利益纠葛导致“变味”。

贿赂软件厂商员工，在软件免杀认证时“搭便车”，这是已经被验证过了的手段。或许，还有别的隐忧。我们应该记得这样一件事情，那就是2015年9月的苹果XCodeGhost特洛伊木马事件。开发工具被植入了恶意代码，那被开发的软件产品如何能幸免?假如这种手段被渗透到我们一些厂商的免杀认证模式中去，恐怕要比贿赂软件厂商员工的灾害大得多。

所以我认为，安全软件厂商应该对所有进行认证的软件进行不同方式的检测。甚至，安全软件厂商应该彻底放弃“认证免杀”这个概念，不给任何人留空子。这不是因噎废食，而是这个模式有着太多的漏洞。免检产品都不能让人彻底放心，更何况你这个免杀软件呢?

还是我前面那句话：免杀易做，内鬼难防——“免检”软件产品还是免了吧!

不过，还有一个大问题，在免费安全软件大行其道的今天，安全软件厂商舍得放弃这个业务吗?