王江民是反病毒专家,但他承认反病毒专家没有病毒作者的水平高。"编病毒的人多,反病毒的人少,几个反病毒专家的思想怎么能够和数不胜数的编病毒人的思想相比。另外,编病毒在暗处,反病毒在明处,所以,我们不可能超越他们,也无法知道他们正在琢磨什么怪招法。"
但只要是病毒编出来,王江民就有决心"把它消灭掉"。"我从不傲视同行,但我傲视病毒。外国有些反病毒软件常常查出来某种病毒,但告诉你无解,建议把文件删掉算了。但只要是我遇到的病毒,我就非要杀了它不可。"
王江民反病毒,写病毒的人也在想方设法对付王江民。合肥1号病毒作者1996年10月3号将KV300解密后,把合肥1号嵌入到KV300之中,然后把带有合肥1号病毒的KV300解密放到了BBS上传播。病毒在1997年1月1号发作后,合肥1号病毒作者马上就在网上大肆宣传KV300中藏有病毒。王江民很快把合肥1号病毒杀了,合肥1号作者马上又在网上跳出来说:"为什么只有王江民能杀这个病毒,而别人杀不了?是因为王江民自己编了这个病毒,这个病毒应该叫KV300病毒。"他一边叫嚷,一边又炮制出了合肥2号病毒,但这两个病毒都没有得到大规模传播就让王江民的快速反病毒网消灭了。
王江民说,他迄今遇到的最难解、最厉害的Joke病毒也首先出现在安徽。"它有无数次变形,把加密学上的加密手段都用上了。我头疼了三天多,才把它杀了,用的是破解密码的方法。"
往王江民身上泼脏水的还有上海1号病毒。上海1号一出来,KV300上海技术中心马上就收集到了该病毒的样本,王江民立刻就把它杀了。紧接着上海2号出现,上海2号把病毒发作的显示信息改成了KV300C,但上海2号病毒还没有离开上海市又被王江民消灭了。1997年2月,出现了上海3号病毒,这个病毒干脆把病毒发作信息写作王江民的拼音字母"Wangjiangmin"。"三个病毒我归纳了一下,也就这个水平和思想状态,我出一组反上海病毒的广谱代码,这之后再没有出现上海4号病毒,因为这个病毒的作者写的病毒格式再怎么改也逃不出我的那一串广谱查毒代码。"
王江民回烟台老家,给当地办的软件展销会捧场,烟台证券公司把求救的电话打到了展销会上,告之证券公司的系统全部瘫痪,当时正值股票起伏的时候,股民急得要闹事。但软件展销会刚开始,王江民一时走不开,证券公司的人实在是急了,派了几个人,到软件展销会上问谁是王江民,然后,连拖带拽把王江民塞进汽车,拉到了证券公司。证券公司一百多台机器感染的是1150夜贼病毒,Windows95启动不了。王江民用半个多小时将联网的一百多台机器上的病毒全部清除干净。中午吃饭的时候,证券公司的经理对王江民说:"你是个实在人,如果你先讲条件,开口要两万元,我也得老老实实赶紧给你,因为我今天弄不好设备的话,要损失的不止十多万,还有我在股民中的信誉。我们想聘请您作为特别安全顾问!"
对付不同的病毒,王江民采用不同的方法。新DIR病毒由于是针对450兆以内的硬盘编写的,对于超过450兆的硬盘,该病毒算法有错误,如果用普通杀病毒方法,很容易出错。王江民针对该病毒潜藏在内存中的"反串"功能(即为迷惑用户自动解除病毒,然后再传染的特性),先在内存中取消新DIR病毒的感染功能,然后去查病毒,新DIR病毒发现有查毒操作,立刻自己解毒,把硬盘恢复成原来没有染毒的样子,"我在后面查,它就在前面自己解除自己。等它把硬盘完全恢复了过来,它也就被彻底清除了,因为我事前已经切断了它的传染功能,当它想再度传染的时候,已经不能得逞了。"王江民管这叫做"掉转枪口,以毒攻毒。"
王江民反宏病毒的过程是:"1996年10月份,用户第一次把宏病毒寄给我,11月13日,我收到几个反映宏病毒的电话,12月13日,反映宏病毒的电话增加到了十几个,到了1997年1月13号,变成了好几十个电话。我意识到了宏病毒的严重性,半个月中一天都没有下计算机,研究Word格式。KV300反宏病毒再次发挥了广谱的优势。"王江民自豪的是。我第一个把能查杀宏病毒的国产软件KV300送到北京市公安局"。
第一次剖析宏病毒,王江民用了半个月时间,而1997年12月,对付Word97宏病毒,王江民只用了三天时间。王江民坦言,现在收到的病毒样本比以前少多了,"以前一个星期能收到二三种,而现在半年我才收到20多种。这一方面是因为,KV300推出来以后,国内很少再出现引导区病毒,因为引导区病毒几乎没有可能逃过KV300;另一方面,KV300的智能广谱也挡住了许多未知病毒和宏病毒的兴风作浪。"王江民说:"这主要归功于公安部门加强了对计算机病毒的监察力度,归功于公安部批准了国内外杀毒产品上市,归功于所有反病毒产品厂商和全民反毒意识的提高。"
病毒少,对反病毒产品的销量肯定会有影响。"去年PC的销量350台,今年预计是600万台,增长近100%,按道理反病毒市场也会增长一倍,但今年的杀毒软件市场只会在去年的基础上略有增长,增长不会太大。"