每日最新頭條.有趣資訊

殺毒軟體“消亡史”

對於很對80、90年代的孩子來說,瑞星的小獅子就是他們童年時對計算機最深刻的印象。

2017年,網上還傳出了「去掉殺毒與防火牆功能」的桌面小獅子供大家懷念往日時光。

如今上網的人們恐怕大多數都不會記得那只在電腦右下角模仿各種動作的獅子了。眾多免費的殺毒軟體讓曾經的殺毒軟體洗牌,但隨著近些年技術的變革,似乎殺毒軟體無論免費與否都已不再是裝機的必備軟體之一。

那是什麽推動的時代前進,讓曾經每份拷貝兩三百元的的殺毒軟體逐漸退出了人們的視野呢?

源起-病毒的出現

在說到殺毒軟體的歷史之前我們先來看看什麽是病毒。從法律層面上來看1,「計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我複製的一組計算機指令或者程序代碼。」其實通俗的來說,計算機病毒也是一種程序,只是一些懷有惡意的程序。

不過病毒是怎麽開始的呢?說起來你可能不信,最早病毒通常只是工具,其作用和今日相去甚遠。

在早期,學生們用病毒來做一些學術研究和提高自己的編程水準,有時也會拿一些病毒來開一些同學的玩笑;施樂的工程師們用蠕蟲病毒去尋找閑置的網絡資源;許多的開發者使用引導扇區病毒(boot sector virus)來反盜版。

在1988年之前開發的病毒基本都沒有什麽危害。比如世界上的第一個誕生的在 Windows 上的病毒 ——大腦病毒(Brain) —— 是由時年17歲和24歲的兩兄弟 Basit 和 Anjad Farooq Alvi 開發的,他們當時製作了一款用於心跳檢測的程序,而由於他們當時所在的地區盜版成風,他們便製作了這個主要用於防止盜版拷貝的病毒。只要有人安裝了非正版的軟體,Brain 便會將盜版使用者的剩餘空間吃掉,並在引導磁道裡寫下一段中毒提示文字,並附上了兩兄弟的聯繫電話,告知如果中毒請聯繫以獲得「解藥」。

不過當兩兄弟將該病毒發布之後,他們馬上收到了潮水般的電話,甚至不少是從國外打過來尋求「解藥」的,這對兄弟也嚇了一跳,並開始解釋他們不是惡意的。

再比如新中國成立以來的第一例病毒 ——1988年發現的小球病毒,它的發作條件是當系統時鐘處於半點或整點,而系統又在進行讀盤操作。發作時螢幕出現一個活蹦亂跳的小圓點,作斜線運動,當碰到螢幕邊沿或者文字就立刻反彈,削去碰到的部分文字。

最早製作病毒的人只是懷有「炫耀技術」的心態,使用一些顯性的、展示性較強的病毒,或者他們只是將病毒用於一些工具性質的場景中。之後,病毒的發展開始呈現帶有顯性破壞的趨勢,比如在2000年左右的情書病毒(Loveletter virus),在它發布後就攻擊了數以萬計的電腦——通過給用戶發送一封表白郵件,引誘你打開 I Love You 的附件,便開始將用戶的本地圖片、文件替換,並將該郵件再次發給通訊錄中的其他好友。

進入二十一世紀之後,病毒的「炫技」開始變味,一些病毒驚人的破壞力為剛剛普及的互聯網帶來了巨大的風波。比如對於中國觸網較早的「網蟲」來說,2003年的衝擊波病毒和2007年的熊貓燒香病毒記憶猶新。前者利用Windows 的一個網絡服務的漏洞進行無感傳播,同時會導致被感染的計算機不斷重啟無法使用。後者則會將感染計算機內的所有把文件與程序變成一個燒香的熊貓圖標無法打開。

比如迄今為止最嚴重的病毒攻擊——在2008年出現的 Conficker 病毒,它借助當時 Windows 的一個記憶體漏洞,破壞系統默認設置,並且自動尋找局域網內其他有該漏洞的電腦,創建鏈接,將自己複製過去,然後在本地接受遠程控制著的指令,收集個人信息、下載安裝附加的惡意程序到受害者的個人電腦中,讓用戶防不勝防。

熊貓燒香「鎖死計算機內信息」的模式,在後續逐漸發展出了勒索病毒這一門類,病毒從一種「惡趣味」變成了一種「非法生意」,2017年「永恆之藍」是這一模式的最高峰。

但比起「破壞」和「直接索要錢財」,更多企圖商業化的病毒製作者選擇讓病毒變得「越來越無害」。其中的邏輯十分簡單,一般用戶都在計算機出現明顯異常的時候才會想到采取措施,如果病毒能夠一聲不響的長期運行於用戶的設備中,那麽病毒就能更多的竊取用戶的信息、數據或有周邊價值的內容。

這一模式被稱之為高級長期威脅高級長期威脅(英語:advanced persistent threat,縮寫:APT),策劃這些攻擊的不再只是某一個「黑客」,而可能是一整條產業鏈。他們的目標也不再是讓用戶產生直接損失,甚至對於用戶來說有可能都沒有發現「任何損失」。

但實際上,病毒通過默不做聲的獲取用戶的最高權限,可以竊取用戶在設備上的敏感信息或商業秘密乃至國家機密。這些信息被竊取之後,進行數據整理後成為一個個黑產數據庫在「暗網」上明碼標價。

防禦者-殺毒軟體

安全需求是人類最基本的需求,既然有攻,自然就有防,自1986年的大腦病毒問世,人們就開始思考如何對抗病毒程序,直到1987年 IBM 發布了面向個人用戶的第一款殺毒軟體。

說到殺毒軟體,我們簡單介紹下殺毒軟體基本的工作流程 —— 其工作流程大致可以分為3個階段:

(1)捕獲其他程序的程序行為:如它在記憶體中幹嘛了,和網絡互相傳輸了什麽等等

(2)給予引擎機制的規則判斷:如某個病毒具備一個特徵標記,則看看有沒有文件也有同樣的標記

(3)通過病毒庫進行確認:可以理解為病毒庫中存儲了絕大多數病毒的特徵和標記,通過和存儲的病毒庫中的病毒做對比,來確認某個文件是否是病毒

其中第2步是殺毒軟體技術水準區別的最大的地方,好的殺毒軟體通常可以在第2步就攔下大多數的病毒而不需要進入到第3步,而第3步 ——保持病毒庫同步則是用戶必須持續更新的重要原因。

所以自然而然一個生意模式就產生了,產商提供殺毒軟體以及實時更新的病毒庫,用戶支付一個年費來獲得病毒庫和引擎的更新權利(一般還會贈送一個新的界面)。

說到中國的殺毒軟體供應商,我們就不得不提到以江民、瑞星、金山等為代表的第一批入海者。

在1990年代初,瑞星通過出售防病毒卡坐擁該市場的半壁江山,不過防病毒卡的安裝需要拆插硬體,在之後一度也較少更新。

此時,近40歲開始進行計算機創業的王江民先生帶來了純軟體的殺毒方案KV100,並於1996年創立江民新科技術有限公司後,面向市場推出了可以通過軟盤使用的KV300殺毒軟體。

由於90年代,大部分的計算機存在於學校、科研機構的機房或早期網咖中,硬體的防病毒卡需要「每台機器買一台」,而殺毒軟體一個機房只需要買一份在每個電腦上運行,因此殺軟一舉打掉了防病毒卡的市場份額。

不過,防病毒卡的早期引領者瑞星並沒與因此而隕落,也迅速推出了殺毒軟體。並在1999年CIH病毒席卷中國的時候,率先推出了查殺工具,一度奪回失地。

在當時,殺毒軟體一套可以賣到198元,當時的大型遊戲(4張光碟)也僅售64元,極大的利潤也吸引著新的對手的進入。

2000年左右,雷軍攜研發三年之久的金山毒霸也殺入這一市場,用相對極低的價格吸引著用戶,由於普通的用戶並不能區分殺毒軟體的區別,於是,付費殺毒軟體市場陷入了一場持續的價格戰。

在那個時代,國內的金山、瑞星、江民,國外的卡巴斯基、NOD32、麥咖啡、諾頓等殺毒軟體你方唱罷我登場,為中國早期互聯網用戶留下了一段回憶。

但在價格戰背後,殺毒軟體的研發成本與維護成本其實十分高昂。雖然在後期技術演進上逐漸升級,但在早期殺毒軟體與病毒之間就是一場純粹的「消耗戰」。基本的工作流程是,殺毒軟體公司嗅探新病毒、編寫針對新病毒的識別特徵庫、將特徵庫推送到用戶安裝的殺毒軟體本地、最終對病毒進行查殺。

據報導,全球2003年一年新增的病毒約為3萬個。但到了2009年,一年新增的病毒數量高達2000萬。因此,殺毒軟體的商業模式逐漸從一次性售賣,轉向病毒庫更新訂閱。但隨著價格戰的白熱化,殺毒軟體的商業模式發生了質變。

收費模式的余暉-360的殺入

2008年7月17日下午,還在打著價格戰的殺毒軟體江湖出現了一個外來者_奇虎360。不管前幾家如何打著價格戰,但是總還有一個底線,就是用戶始終是要付費的。而此時的這個入場者卻使用了一個當時看來不可思議的奇招。

值此時機,360推出了自己的軟體管家,收錄了主要的軟體的官方版本並提供更新,當然,這個服務也是免費的,無意間其實也打開了渠道分發這個商業模式的盒子。

擁有免費的管家+殺毒的360切到了當時 PC 用戶的痛點,並迅速佔領了半壁江山。在之前,幾乎所有的殺毒軟體產商都嘲笑並抗拒著這種免費的模式。因為正如前文所述,殺毒軟體的研發與維護需要大量的持續投入。

然而沒有想到的是,360通過流量模式這種「羊毛出在豬身上」的做法徹底佔下了殺毒軟體的市場。隨著金山也在2010年11月宣布永久免費,曾經連續9年穩坐江湖頭把交椅的瑞星也發現不對,並在2011年3月宣布個人安全產品免費,然而360的先發優勢,在這一輪變革中坐穩了前排位置。

昔日的殺毒軟體霸主已經退場,殺毒軟體的直接付費模式也宣告落幕。

作業系統生產商的介入-後軟體時代

2010年6月8日,隨著賈伯斯在 Moscone West 會展中心發布 iPhone 4,互聯網也在走向2.0移動時代。

在殺毒軟體主戰場塵埃落定的同時,殺毒軟體的產商也在紛紛思考如何推出移動時代的產品。

但在移動時代,殺毒軟體行業迎來了一個降維打擊的競爭對手——作業系統生產廠商。

移動作業系統不同傳統 PC 作業系統,主流的 Android 和 iOS 都是相對封閉的體系,有自己的安全機制。即便是Android 作業系統,在不 root 作業系統的前提下,病毒也沒有什麽施展拳腳的空間。在系統層級,內置的安全機制解決了原本殺毒軟體需要解決的大部分事情。

於是,各家的產商便將目光放到了軟體管家、裝機助手、記憶體優化這些領域。

在這個時期,在 PC 上失利的金山瞄上了性能優化——通過對 Android 排行榜前列的 App 進行逐個分析如何優化——推出了獵豹清理大師,據統計,獵豹清理大師的下載量在2015年便達到了20億次,一舉挽回了 PC 戰場的頹勢。

之前在 PC 殺軟江湖凱歌高奏的360也把握住了機遇,順勢移植了渠道分發的思路,將自己的軟體管家移植到了移動端,並也針對性的開發了些優化功能和小工具推出了自己的助手順利佔下了這個坑。

不過遺憾的是反觀昔日的霸主瑞星卻是完美的錯過了這次風口,沒有把握住轉型移動的機遇,基本徹底退出了個人市場的爭奪。

另一方面,PC端作業系統也在效仿移動作業系統,建立更為底層的安全機制。

2014年10月1日,微軟在舊金山召開新品發布會,對外展示了新一代的作業系統 Windows 10,這個跳過了數字「9」的全新Windows裡面內置了免費的殺毒軟體 Windows Defender。

不用懷疑 Windows 做殺毒軟體不專業,從世界權威測評機構 AV-TEST 的最近的幾次認證中我們都可以看到4,Windows Defender 在保護性、運行速度以及易用性上都獲得了極高的分數。

作業系統產商的介入讓這場殺毒軟體之戰又進入了另一個時代,在眾所周知的瀏覽器大戰中,微軟正是憑借著預裝 IE 的模式取得了最後的勝利,而無廣告、無彈窗並且和作業系統兼容更好的 Windows Defender 會否讓大家開始不再加裝殺毒軟體呢?

另外,在 Windows 中的官方商店也會解決許多安全性的問題。用過蘋果作業系統的用戶可能都有一個感覺,在使用 macOS 的時候基本沒考慮過要裝一個殺毒軟體,那麽蘋果是怎麽做到這點的呢?

除了由於蘋果的用戶基數相對 Windows 較小,黑客沒有創作Mac平台病毒的原動力之外。蘋果的系統裡面內置了 App Store(與iPhone上的類似),所有提交到上面的程序需要滿足一定的設計規則,並通過蘋果官方的審核。

其中很重要的就是包含了沙盒機制——應用程序對其他文件、程序的權限需要聲明在一個文件裡,程序只能在其聲明的小範圍裡進行操作,而操作的行為將會在提交到 App Store 的時候經過嚴格的審核以保證用戶從 App Store 下載的程序具備極強的安全性。

如果之後 Windows Store 也借鑒了該方式並且在渠道佔有率上有一定份額之後,使用 Windows 的用戶也會極大的降低中毒的風險,從而使得對殺毒軟體的依賴再度下降。

未來

安全問題徹底解決了嗎?其實並沒有。

正如前文所說,如今的病毒已經不再是一個單純的「技術問題」,而是它已經被殺毒軟體和作業系統逼成了一個不純粹是技術的問題。病毒的感染與運作方式也變得更為隱蔽、複雜和多樣化。這使得數字安全的防護也變得超出「一個殺軟」可以解決的範疇。

如今,在對網路安全需求較為強烈的公司或機構中,往往不止採購殺毒軟體,同時會進行配套部署較為完善的信息安全解決方案。其中除了包含殺毒軟體之外,還包括設備的使用規範、網絡的接入方式和各類權限系統等等,以確保那些「沒見過的病毒」也能在其被發現之前就拒之門外,這實際上與物理世界裡的安保系統越來越相似。

而對於個人用戶而言,除了使用更安全的作業系統(隨時保持作業系統的更新)和安裝免費的殺毒軟體以攔截大多數的攻擊之外。更重要的是需要保持在使用網絡、計算機與手機上的安全意識。

比如,伴隨網絡病毒誕生以來的一句「亙古名言」是「不要隨便打開來自網絡的可疑文件」。

也許,因相信並遵從這句話而免於被攻擊的用戶,比歷史上所有殺毒軟體的用戶加起來還要多。

作者| 老木 TRI輕作者

--END--

參考文獻

[1]中華人民共和國中央人民政府.中華人民共和國計算機信息

系統安全保護條例[OL].http://www.gov.cn/gongbao/content/2011/content_1860849.htm

[2]上海證券交易所.三六零安全科技股份有限公司2018年年度報告[OL].http://static.sse.com.cn/disclosure/listedinfo/announcement/c/2019-04-16/601360_2018_n.pdf

[3]全國中小企業股份轉讓系統.北京瑞星網安技術股份有限公司2018年年度報告[OL].http://www.neeq.com.cn/disclosure/2019/2019-04-29/1556525768_760628.pdf

[4]AVTEST.Thebest antivirus software for Windows Home User[OL].https://www.av-test.org/en/antivirus/home-windows/windows-10/april-2019/

獲得更多的PTT最新消息
按讚加入粉絲團