杀毒软件「消亡史」

|学术观点 作者:老木 2019-08-07

对于很对80、90年代的孩子来说,瑞星的小狮子就是他们童年时对计算机最深刻的印象。

2017年,网上还传出了「去掉杀毒与防火墙功能」的桌面小狮子供大家怀念往日时光。

如今上网的人们恐怕大多数都不会记得那只在电脑右下角模仿各种动作的狮子了。众多免费的杀毒软件让曾经的杀毒软件洗牌,但随着近些年技术的变革,似乎杀毒软件无论免费与否都已不再是装机的必备软件之一。

640.jpg

那是什么推动的时代前进,让曾经每份拷贝两三百元的的杀毒软件逐渐退出了人们的视野呢?

 

源起-病毒的出现

在说到杀毒软件的历史之前我们先来看看什么是病毒。从法律层面上来看1,「计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。」其实通俗的来说,计算机病毒也是一种程序,只是一些怀有恶意的程序。

不过病毒是怎么开始的呢?说起来你可能不信,最早病毒通常只是工具,其作用和今日相去甚远。

在早期,学生们用病毒来做一些学术研究和提高自己的编程水平,有时也会拿一些病毒来开一些同学的玩笑;施乐的工程师们用蠕虫病毒去寻找闲置的网络资源;许多的开发者使用引导扇区病毒(boot sector virus)来反盗版。

在1988年之前开发的病毒基本都没有什么危害。比如世界上的第一个诞生的在 Windows 上的病毒 ——大脑病毒(Brain) —— 是由时年17岁和24岁的两兄弟 Basit 和 Anjad Farooq Alvi 开发的,他们当时制作了一款用于心跳检测的程序,而由于他们当时所在的地区盗版成风,他们便制作了这个主要用于防止盗版拷贝的病毒。只要有人安装了非正版的软件,Brain 便会将盗版使用者的剩余空间吃掉,并在引导磁道里写下一段中毒提示文字,并附上了两兄弟的联系电话,告知如果中毒请联系以获得「解药」。

不过当两兄弟将该病毒发布之后,他们马上收到了潮水般的电话,甚至不少是从国外打过来寻求「解药」的,这对兄弟也吓了一跳,并开始解释他们不是恶意的。

再比如新中国成立以来的第一例病毒 ——1988年发现的小球病毒,它的发作条件是当系统时钟处于半点或整点,而系统又在进行读盘操作。发作时屏幕出现一个活蹦乱跳的小圆点,作斜线运动,当碰到屏幕边沿或者文字就立刻反弹,削去碰到的部分文字。

最早制作病毒的人只是怀有「炫耀技术」的心态,使用一些显性的、展示性较强的病毒,或者他们只是将病毒用于一些工具性质的场景中。之后,病毒的发展开始呈现带有显性破坏的趋势,比如在2000年左右的情书病毒(Loveletter virus),在它发布后就攻击了数以万计的电脑——通过给用户发送一封表白邮件,引诱你打开 I Love You 的附件,便开始将用户的本地图片、文件替换,并将该邮件再次发给通讯录中的其他好友。

进入二十一世纪之后,病毒的「炫技」开始变味,一些病毒惊人的破坏力为刚刚普及的互联网带来了巨大的风波。比如对于中国触网较早的「网虫」来说,2003年的冲击波病毒和2007年的熊猫烧香病毒记忆犹新。前者利用Windows 的一个网络服务的漏洞进行无感传播,同时会导致被感染的计算机不断重启无法使用。后者则会将感染计算机内的所有把文件与程序变成一个烧香的熊猫图标无法打开。

比如迄今为止最严重的病毒攻击——在2008年出现的 Conficker 病毒,它借助当时 Windows 的一个内存漏洞,破坏系统默认设置,并且自动寻找局域网内其他有该漏洞的电脑,创建链接,将自己复制过去,然后在本地接受远程控制着的指令,收集个人信息、下载安装附加的恶意程序到受害者的个人计算机中,让用户防不胜防。

熊猫烧香「锁死计算机内信息」的模式,在后续逐渐发展出了勒索病毒这一门类,病毒从一种「恶趣味」变成了一种「非法生意」,2017年「永恒之蓝」是这一模式的最高峰。

但比起「破坏」和「直接索要钱财」,更多企图商业化的病毒制作者选择让病毒变得「越来越无害」。其中的逻辑十分简单,一般用户都在计算机出现明显异常的时候才会想到采取措施,如果病毒能够一声不响的长期运行于用户的设备中,那么病毒就能更多的窃取用户的信息、数据或有周边价值的内容。

这一模式被称之为高级长期威胁高级长期威胁(英语:advanced persistent threat,缩写:APT),策划这些攻击的不再只是某一个「黑客」,而可能是一整条产业链。他们的目标也不再是让用户产生直接损失,甚至对于用户来说有可能都没有发现「任何损失」。

但实际上,病毒通过默不做声的获取用户的最高权限,可以窃取用户在设备上的敏感信息或商业秘密乃至国家机密。这些信息被窃取之后,进行数据整理后成为一个个黑产数据库在「暗网」上明码标价。

640_1.jpg

 

防御者-杀毒软件

 安全需求是人类最基本的需求,既然有攻,自然就有防,自1986年的大脑病毒问世,人们就开始思考如何对抗病毒程序,直到1987年 IBM 发布了面向个人用户的第一款杀毒软件。

说到杀毒软件,我们简单介绍下杀毒软件基本的工作流程 —— 其工作流程大致可以分为3个阶段:

(1)捕获其他程序的程序行为:如它在内存中干嘛了,和网络互相传输了什么等等

(2)给予引擎机制的规则判断:如某个病毒具备一个特征标记,则看看有没有文件也有同样的标记

(3)通过病毒库进行确认:可以理解为病毒库中存储了绝大多数病毒的特征和标记,通过和存储的病毒库中的病毒做对比,来确认某个文件是否是病毒

其中第2步是杀毒软件技术水平区别的最大的地方,好的杀毒软件通常可以在第2步就拦下大多数的病毒而不需要进入到第3步,而第3步 ——保持病毒库同步则是用户必须持续更新的重要原因。

所以自然而然一个生意模式就产生了,产商提供杀毒软件以及实时更新的病毒库,用户支付一个年费来获得病毒库和引擎的更新权利(一般还会赠送一个新的界面)。

说到中国的杀毒软件供应商,我们就不得不提到以江民、瑞星、金山等为代表的第一批入海者。

640.png

在1990年代初,瑞星通过出售防病毒卡坐拥该市场的半壁江山,不过防病毒卡的安装需要拆插硬件,在之后一度也较少更新。

此时,近40岁开始进行计算机创业的王江民先生带来了纯软件的杀毒方案KV100,并于1996年创立江民新科技术有限公司后,面向市场推出了可以通过软盘使用的KV300杀毒软件。

由于90年代,大部分的计算机存在于学校、科研机构的机房或早期网吧中,硬件的防病毒卡需要「每台机器买一台」,而杀毒软件一个机房只需要买一份在每个电脑上运行,因此杀软一举打掉了防病毒卡的市场份额。

不过,防病毒卡的早期引领者瑞星并没与因此而陨落,也迅速推出了杀毒软件。并在1999年CIH病毒席卷中国的时候,率先推出了查杀工具,一度夺回失地。

在当时,杀毒软件一套可以卖到198元,当时的大型游戏(4张光盘)也仅售64元,极大的利润也吸引着新的对手的进入。

2000年左右,雷军携研发三年之久的金山毒霸也杀入这一市场,用相对极低的价格吸引着用户,由于普通的用户并不能区分杀毒软件的区别,于是,付费杀毒软件市场陷入了一场持续的价格战。

在那个时代,国内的金山、瑞星、江民,国外的卡巴斯基、NOD32、麦咖啡、诺顿等杀毒软件你方唱罢我登场,为中国早期互联网用户留下了一段回忆。

但在价格战背后,杀毒软件的研发成本与维护成本其实十分高昂。虽然在后期技术演进上逐渐升级,但在早期杀毒软件与病毒之间就是一场纯粹的「消耗战」。基本的工作流程是,杀毒软件公司嗅探新病毒、编写针对新病毒的识别特征库、将特征库推送到用户安装的杀毒软件本地、最终对病毒进行查杀。

据报道,全球2003年一年新增的病毒约为3万个。但到了2009年,一年新增的病毒数量高达2000万。因此,杀毒软件的商业模式逐渐从一次性售卖,转向病毒库更新订阅。但随着价格战的白热化,杀毒软件的商业模式发生了质变。

640_2.jpg

 

收费模式的余晖-360的杀入

2008年7月17日下午,还在打着价格战的杀毒软件江湖出现了一个外来者_奇虎360。不管前几家如何打着价格战,但是总还有一个底线,就是用户始终是要付费的。而此时的这个入场者却使用了一个当时看来不可思议的奇招。

它首先宣布自己的杀毒软件本身对用户永久免费,其后又瞄准了当时的软件下载分发。这里需要解释一下,在之前之所以很多用户很容易中毒,和当时的整体特殊环境是有密不可分的关系的——当时的用户普遍不了解如何找到官方下载链接,而提供下载服务的网站有的是通过弹窗广告来盈利,有的则就是直接在提供的下载软件中挂马,更有甚者就直接提供一个木马的可执行程序,将下载显示的名字改为你搜索的软件便提供下载,如此用户就非常容易中毒。

值此时机,360推出了自己的软件管家,收录了主要的软件的官方版本并提供更新,当然,这个服务也是免费的,无意间其实也打开了渠道分发这个商业模式的盒子。

拥有免费的管家+杀毒的360切到了当时 PC 用户的痛点,并迅速占领了半壁江山。在之前,几乎所有的杀毒软件产商都嘲笑并抗拒着这种免费的模式。因为正如前文所述,杀毒软件的研发与维护需要大量的持续投入。

然而没有想到的是,360通过流量模式这种「羊毛出在猪身上」的做法彻底占下了杀毒软件的市场。随着金山也在2010年11月宣布永久免费,曾经连续9年稳坐江湖头把交椅的瑞星也发现不对,并在2011年3月宣布个人安全产品免费,然而360的先发优势,在这一轮变革中坐稳了前排位置。

昔日的杀毒软件霸主已经退场,杀毒软件的直接付费模式也宣告落幕。

 

操作系统生产商的介入-后软件时代

2010年6月8日,随着乔布斯在 Moscone West 会展中心发布 iPhone 4,互联网也在走向2.0移动时代。

在杀毒软件主战场尘埃落定的同时,杀毒软件的产商也在纷纷思考如何推出移动时代的产品。

但在移动时代,杀毒软件行业迎来了一个降维打击的竞争对手——操作系统生产厂商。

移动操作系统不同传统 PC 操作系统,主流的 Android 和 iOS 都是相对封闭的体系,有自己的安全机制。即便是Android 操作系统,在不 root 操作系统的前提下,病毒也没有什么施展拳脚的空间。在系统层级,内置的安全机制解决了原本杀毒软件需要解决的大部分事情。

于是,各家的产商便将目光放到了软件管家、装机助手、内存优化这些领域。

在这个时期,在 PC 上失利的金山瞄上了性能优化——通过对 Android 排行榜前列的 App 进行逐个分析如何优化——推出了猎豹清理大师,据统计,猎豹清理大师的下载量在2015年便达到了20亿次,一举挽回了 PC 战场的颓势。

之前在 PC 杀软江湖凯歌高奏的360也把握住了机遇,顺势移植了渠道分发的思路,将自己的软件管家移植到了移动端,并也针对性的开发了些优化功能和小工具推出了自己的助手顺利占下了这个坑。

不过遗憾的是反观昔日的霸主瑞星却是完美的错过了这次风口,没有把握住转型移动的机遇,基本彻底退出了个人市场的争夺。

另一方面,PC端操作系统也在效仿移动操作系统,建立更为底层的安全机制。

2014年10月1日,微软在旧金山召开新品发布会,对外展示了新一代的操作系统 Windows 10,这个跳过了数字「9」的全新Windows里面内置了免费的杀毒软件 Windows Defender。

不用怀疑 Windows 做杀毒软件不专业,从世界权威测评机构 AV-TEST 的最近的几次认证中我们都可以看到4,Windows Defender 在保护性、运行速度以及易用性上都获得了极高的分数。

操作系统产商的介入让这场杀毒软件之战又进入了另一个时代,在众所周知的浏览器大战中,微软正是凭借着预装 IE 的模式取得了最后的胜利,而无广告、无弹窗并且和操作系统兼容更好的 Windows Defender 会否让大家开始不再加装杀毒软件呢?

另外,在 Windows 中的官方商店也会解决许多安全性的问题。用过苹果操作系统的用户可能都有一个感觉,在使用 macOS 的时候基本没考虑过要装一个杀毒软件,那么苹果是怎么做到这点的呢? 

除了由于苹果的用户基数相对 Windows 较小,黑客没有创作Mac平台病毒的原动力之外。苹果的系统里面内置了 App Store(与iPhone上的类似),所有提交到上面的程序需要满足一定的设计规则,并通过苹果官方的审核。

其中很重要的就是包含了沙盒机制——应用程序对其他文件、程序的权限需要声明在一个文件里,程序只能在其声明的小范围里进行操作,而操作的行为将会在提交到 App Store 的时候经过严格的审核以保证用户从 App Store 下载的程序具备极强的安全性。

如果之后 Windows Store 也借鉴了该方式并且在渠道占有率上有一定份额之后,使用 Windows 的用户也会极大的降低中毒的风险,从而使得对杀毒软件的依赖再度下降。

 

未来  

安全问题彻底解决了吗?其实并没有。

正如前文所说,如今的病毒已经不再是一个单纯的「技术问题」,而是它已经被杀毒软件和操作系统逼成了一个不纯粹是技术的问题。病毒的感染与运作方式也变得更为隐蔽、复杂和多样化。这使得数字安全的防护也变得超出「一个杀软」可以解决的范畴。

如今,在对网路安全需求较为强烈的公司或机构中,往往不止采购杀毒软件,同时会进行配套部署较为完善的信息安全解决方案。其中除了包含杀毒软件之外,还包括设备的使用规范、网络的接入方式和各类权限系统等等,以确保那些「没见过的病毒」也能在其被发现之前就拒之门外,这实际上与物理世界里的安保系统越来越相似。

而对于个人用户而言,除了使用更安全的操作系统(随时保持操作系统的更新)和安装免费的杀毒软件以拦截大多数的攻击之外。更重要的是需要保持在使用网络、计算机与手机上的安全意识。 

比如,伴随网络病毒诞生以来的一句「亘古名言」是「不要随便打开来自网络的可疑文件」。

也许,因相信并遵从这句话而免于被攻击的用户,比历史上所有杀毒软件的用户加起来还要多。

作者 | 老木 TRI轻作者

--END--

参考文献

[1]中华人民共和国中央人民政府.中华人民共和国计算机信息

系统安全保护条例[OL].http://www.gov.cn/gongbao/content/2011/content_1860849.htm

[2]上海证券交易所.三六零安全科技股份有限公司2018年年度报告[OL].http://static.sse.com.cn/disclosure/listedinfo/announcement/c/2019-04-16/601360_2018_n.pdf

[3]全国中小企业股份转让系统.北京瑞星网安技术股份有限公司2018年年度报告[OL].http://www.neeq.com.cn/disclosure/2019/2019-04-29/1556525768_760628.pdf

[4]AVTEST.Thebest antivirus software for Windows Home User[OL].https://www.av-test.org/en/antivirus/home-windows/windows-10/april-2019/

前沿杂志
互联网前沿42

无人驾驶汽车正从科幻变成现实。作为第二次机器革命(即如今的人工智能变革)的重要产物和标志,无论从未来5年、10年抑或20年来看,无人驾驶汽车都可能产生巨大影响,这些影响牵扯到人类生活的方方面面,需要政策制定者现在就开始绸缪无人驾驶汽车的未来并应对其潜在影响。

2018-07-11

全站精选