对于很对80、90年代的孩子来说,瑞星的小狮子就是他们童年时对计算机最深刻的印象。2017年,网上还传出了「去掉杀毒与防火墙功能」的桌面小狮子供大家怀念往日时光。如今上网的人们恐怕大多数都不会记得那只在电脑右下角模仿各种动作的狮子了。众多免费的杀毒软件让曾经的杀毒软件洗牌,但随着近些年技术的变革,似乎杀毒软件无论免费与否都已不再是装机的必备软件之一。
那是什么推动的时代前进,让曾经每份拷贝两三百元的的杀毒软件逐渐退出了人们的视野呢?源起-病毒的出现在说到杀毒软件的历史之前我们先来看看什么是病毒。从法律层面上来看1,「计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。」其实通俗的来说,计算机病毒也是一种程序,只是一些怀有恶意的程序。
不过病毒是怎么开始的呢?说起来你可能不信,最早病毒通常只是工具,其作用和今日相去甚远。在早期,学生们用病毒来做一些学术研究和提高自己的编程水平,有时也会拿一些病毒来开一些同学的玩笑;施乐的工程师们用蠕虫病毒去寻找闲置的
网络资源;许多的开发者使用引导扇区病毒(bootsectorvirus)来反盗版。在1988年之前开发的病毒基本都没有什么危害。比如世界上的第一个诞生的在Windows上的病毒——大脑病毒(Brain)——是由时年17岁和24岁的两兄弟Basit和AnjadFarooqAlvi开发的,他们当时制作了一款用于心跳检测的程序,而由于他们当时所在的地区盗版成风,他们便制作了
这个主要用于防止盗版拷贝的病毒。只要有人安装了非正版的软件,Brain便会将盗版使用者的剩余空间吃掉,并在引导磁道里写下一段中毒提示文字,并附上了两兄弟的联系电话,告知如果中毒请联系以获得「解药」。不过当两兄弟将该病毒发布之后,他们马上收到了潮水般的电话,甚至不少是从国外打过来寻求「解药」的,这对兄弟也吓了一跳,并开始解释他们不是恶意的。再比如新中国成立以来的第一例病毒——1988年发现的小球病毒,它的发作条件是当系统时钟处于半点或整点,而系统又在进行读盘操作。发作时屏幕出现一个活蹦乱跳的小圆点,作斜线运动,当碰到屏幕边沿或者文字就立刻反弹,削去碰到的部分文字。
最早制作病毒的人只是怀有「炫耀技术」的心态,使用一些显性的、展示性较强的病毒,或者他们只是将病毒用于一些工具性质的场景中。之后,病毒的发展开始呈现带有显性破坏的趋势,比如在2000年左右的情书病毒(Lovelettervirus),在它发布后就攻击了数以万计的电脑——通过给用户发送一封表白邮件,引诱你打开ILoveYou的附件,便开始将用户的本地图片、文件替换,并将该邮件再次发给通讯录中的其他好友。
进入二十一世纪之后,病毒的「炫技」开始变味,一些病毒惊人的破坏力为刚刚普及的互联网带来了巨大的风波。比如对于中国触网较早的「网虫」来说,2003年的冲击波病毒和2007年的熊猫烧香病毒记忆犹新。前者利用Windows的一个
网络服务的漏洞进行无感传播,同时会导致被感染的计算机不断重启无法使用。后者则会将感染计算机内的所有把文件与程序变成一个烧香的熊猫图标无法打开。比如迄今为止最严重的病毒攻击——在2008年出现的Conficker病毒,它借助当时Windows的一个内存漏洞,破坏系统默认设置,并且自动寻找局域网内其他有该漏洞的电脑,创建链接,将自己复制过去,然后在本地接受远程控制着的指令,收集个人信息、下载安装附加的恶意程序到受害者的个人计算机中,让用户防不胜防。熊猫烧香「锁死计算机内信息」的模式,在后续逐渐发展出了勒索病毒这一门类,病毒从一种「恶趣味」变成了一种「非法生意」,2017年「永恒之蓝」是这一模式的最高峰。但比起「破坏」和「直接索要钱财」,更多企图商业化的病毒制作者选择让病毒变得「越来越无害」。其中的逻辑十分简单,一般用户都在计算机出现明显异常的时候才会想到采取措施,如果病毒能够一声不响的长期运行于用户的设备中,那么病毒就能更多的窃取用户的信息、数据或有周边价值的内容。这一模式被称之为高级长期威胁高级长期威胁(英语:advancedpersistentthreat,缩写:APT),策划这些攻击的不再只是某一个「黑客」,而可能是一整条产业链。他们的目标也不再是让用户产生直接损失,甚至对于用户来说有可能都没有发现「任何损失」。
但实际上,病毒通过默不做声的获取用户的最高权限,可以窃取用户在设备上的敏感信息或商业秘密乃至国家机密。这些信息被窃取之后,进行数据整理后成为一个个黑产数据库在「暗网」上明码标价。
防御者-杀毒软件安全需求是人类最基本的需求,既然有攻,自然就有防,自1986年的大脑病毒问世,人们就开始思考如何对抗病毒程序,直到1987年IBM发布了面向个人用户的第一款杀毒软件。说到杀毒软件,我们简单介绍下杀毒软件基本的工作流程——其工作流程大致可以分为3个阶段:
(1)捕获其他程序的程序行为:如它在内存中干嘛了,和网络互相传输了什么等等
(2)给予引擎机制的规则判断:如某个病毒具备一个特征标记,则看看有没有文件也有同样的标记
