对于很多80、90年代的孩子来说,瑞星的小狮子就是他们童年时对计算机最深刻的印象。
2017年,网上还传出了“去掉杀毒与防火墙功能”的桌面小狮子供大家怀念往日时光。
如今上网的人们恐怕大多数都不会记得那只在电脑右下角模仿各种动作的狮子了。过去,众多免费杀毒软件血洗了行业,但随着近些年技术的变革,免费与否似乎不再成为人们装杀毒软件的主要考虑因素了。
到底是什么,让曾经每份拷贝两三百元的杀毒软件逐渐退出人们视野的呢?
源起:病毒的出现
说杀毒软件历史之前,我们先来看看什么是病毒。从法律层面上来看1,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。通俗来说,计算机病毒也是一种程序,只是一些怀有恶意的程序。
不过病毒是怎么开始的呢?说起来你可能不信,最早病毒通常只是工具,作用和今日相去甚远。
在早期,学生们用病毒来做一些学术研究和提高自己的编程水平,有时也会拿一些病毒来开同学玩笑;施乐的工程师们用蠕虫病毒去寻找闲置的网络资源;有开发者使用引导扇区病毒(boot sector virus)来反盗版。
在1988年之前开发的病毒基本都没有什么危害。比如世界上的第一个诞生的在 Windows 上的病毒 ——大脑病毒(Brain) —— 是由时年17岁和24岁的两兄弟 Basit 和 Anjad Farooq Alvi 开发的,他们当时制作了一款用于心跳检测的程序,而由于他们当时所在的地区盗版成风,他们便制作了这个主要用于防止盗版拷贝的病毒。只要有人安装了非正版的软件,Brain 便会将盗版使用者的剩余空间吃掉,并在引导磁道里写下一段中毒提示文字,并附上了两兄弟的联系电话,告知如果中毒请联系以获得“解药”。
不过当两兄弟将该病毒发布之后,他们马上收到了潮水般的电话,甚至不少是从国外打过来寻求“解药”的,这对兄弟也吓了一跳,并开始解释他们不是恶意的。
再比如,1988年传入我国的首例计算机病毒——小球病毒,当系统时钟处于半点或整点,同时系统又在进行读盘操作时,该病毒就会发作,屏幕上会出现一个活蹦乱跳的小圆点,作斜线运动,当碰到屏幕边沿或者文字就立刻反弹,削去碰到的部分文字。
最早制作病毒的人只是怀有炫耀技术的心态,使用一些显性的、展示性较强的病毒,或者他们只是将病毒用于一些工具性质的场景中。之后,病毒的发展开始呈现带有显性破坏的趋势,比如在2000年左右的情书病毒(Loveletter virus),在它发布后就攻击了数以万计的电脑——通过给用户发送一封表白邮件,引诱你打开 I Love You 的附件,便开始将用户的本地图片、文件替换,并将该邮件再次发给通讯录中的其他好友。
进入二十一世纪后,炫技开始变味。一些病毒凭着惊人的破坏力在刚刚普及开的互联网上掀起了轩然大波。国内触网较早的“网虫们”对2003年的冲击波病毒和2007年的熊猫烧香应该还有记忆。前者利用Windows 的一个网络服务的漏洞进行无感传播,并导致被感染的计算机不断重启,无法使用。后者则会把受感染的计算机中的所有文件和程序变成烧香的熊猫图标,无法打开。
迄今为止,最严重的病毒攻击还属2008年出现的 Conficker 病毒,它借助当时 Windows 的一个内存漏洞,破坏系统默认设置,并且自动寻找局域网内其他有该漏洞的电脑,创建链接,将自己复制过去,然后在本地接受远程控制着的指令,收集个人信息、下载安装附加的恶意程序到受害者的个人计算机中,让用户防不胜防。
熊猫烧香的“锁死计算机内信息”的模式,后续逐渐发展出了“勒索病毒”这一门类,病毒从一种恶趣味变成了一种非法生意,2017年的“永恒之蓝”是这一模式的最高峰。
但比起破坏和直接索要钱财,更多企图商业化的病毒制作者选择让病毒变得越来越无害。逻辑十分简单,一般用户都在计算机出现明显异常的时候才会想到采取措施,如果病毒能够一声不响的长期运行于用户的设备中,那么病毒就能更多的窃取用户的信息、数据或有周边价值的内容。
这一模式被称之为高级长期威胁高级长期威胁(advanced persistent threat,缩写:APT),策划这些攻击的不再只是某一个黑客,而可能是一整条产业链。他们的目标也不再是让用户产生直接损失。
而是通过病毒默不做声地获取用户的最高权限,窃取用户在设备上的敏感信息或商业秘密乃至国家机密,进行数据整理后,成为一个个黑产数据库在暗网上明码标价。
防御者:杀毒软件
安全需求是人类最基本的需求,既然有攻,自然就有防,自1986年的大脑病毒问世,人们就开始思考如何对抗病毒程序,直到1987年 IBM 发布了面向个人用户的第一款杀毒软件。
说到杀毒软件,我们简单介绍下杀毒软件基本的工作流程 —— 其工作流程大致可以分为3个阶段:
(1)捕获其他程序的程序行为:如它在内存中干了什么,和网络互相传输了什么等等;
(2)给予引擎机制的规则判断:如某个病毒具备一个特征标记,则看看有没有文件也有同样的标记;
(3)通过病毒库进行确认:可以理解为病毒库中存储了绝大多数病毒的特征和标记,通过和存储的病毒库中的病毒做对比,来确认某个文件是否是病毒。
其中第2步是杀毒软件技术水平区别的最大的地方,好的杀毒软件通常可以在第2步就拦下大多数的病毒而不需要进入到第3步,而第3步 ——保持病毒库同步则是用户必须持续更新的重要原因。
自然而然一个生意模式就产生了,产商提供杀毒软件和实时更新的病毒库,用户支付年费来获得病毒库和引擎的更新权利(一般还会赠送一个新的界面)。
说到中国的杀毒软件供应商,我们就不得不提到以江民、瑞星、金山等为代表的第一批入海者。
在1990年代初,瑞星通过出售防病毒卡坐拥该市场的半壁江山,不过防病毒卡的安装需要拆插硬件,在之后一度也较少更新。
此时,近40岁开始计算机创业的王江民先生带来了纯软件的杀毒方案KV100,并于1996年创立江民新科技术有限公司,向市场推出了可以通过软盘使用的KV300杀毒软件。由于90年代,大部分的计算机存在于学校、科研机构的机房或早期网吧中,硬件的防病毒卡需要每台机器买一台,而杀毒软件一个机房只需要买一份在每个电脑上运行,因此杀软一举打掉了防病毒卡的市场份额。
不过,防病毒卡的早期引领者瑞星并没与因此而陨落,也迅速推出了杀毒软件。并在1999年CIH病毒席卷中国的时候,率先推出查杀工具,一度夺回失地。
在当时,杀毒软件一套可以卖到198元,当时的大型游戏(4张光盘)也才仅售64元,极大的利润也吸引着新的对手进入。
2000年左右,雷军携研发三年之久的金山毒霸也杀进来,并以低价吸引用户,由于普通用户无法区分杀毒软件的区别,于是,付费杀毒软件市场陷入了一场持续的价格战。
在那个时代,国内的金山、瑞星、江民,国外的卡巴斯基、NOD32、麦咖啡、诺顿等杀毒软件你方唱罢我登场,为中国早期互联网用户留下了一段回忆。但在价格战背后,杀毒软件的研发成本与维护成本其实十分高昂。虽然在后期技术演进上逐渐升级,但在早期杀毒软件与病毒之间就是一场纯粹的消耗战。基本的工作流程是:杀毒软件公司嗅探新病毒、编写针对新病毒的识别特征库、将特征库推送到用户安装的杀毒软件本地、最终对病毒进行查杀。
据报道,全球2003年一年新增的病毒约为3万个。但到了2009年,一年新增的病毒数量高达2000万。因此,杀毒软件的商业模式逐渐从一次性售卖,转向病毒库更新订阅。与此同时,随着价格战的白热化,杀毒软件的商业模式也发生了质变。
收费模式的余晖:360的杀入
2008年7月17日下午,杀毒软件江湖中出现了一个外来者——奇虎360。不管前几家如何打价格战,总归还有一个付费的底线,但这个入场者却采用了一个当时看来不可思议的奇招。
它首先宣布自己的杀毒软件本身对用户永久免费,其后又瞄准了当时的软件下载分发。需要解释一下,此前之所以很多用户容易中毒,和当时的特殊环境是密不可分的——由于人们普遍对官方下载途径不熟悉,就随手在非正式网站或弹窗网页进行操作,不料这些提供下载软件的链接中很多会被植入木马,更有甚者会提供一个木马可执行程序,将下载显示的名字改为用户搜索的软件名,如此一来,用户就非常容易被忽悠中毒。
值此时机,360推出了自己的软件管家,收录了主要的软件的官方版本并提供更新,当然,这个服务也是免费的,无意间正好打开了渠道分发这个商业模式的盒子。
拥有免费的管家 杀毒的360切到了当时 PC 用户的痛点,迅速占领了半壁江山。而这之前,基于软件研发与维护的大量投入和高额成本,几乎所有的杀毒软件产商都嘲笑并抗拒这种赔本的免费模式。
然而,令人意外的是,360通过流量模式这种“羊毛出在猪身上”的做法彻底攻占了杀毒软件市场。随着金山也在2010年11月宣布永久免费,曾连续9年稳居江湖首位的瑞星发现势头不对,紧接着在2011年3月宣布个人安全产品免费。然而,此时的360先发优势已经非常明显,在这一轮的变革中坐稳了前排。
昔日的杀毒软件霸主悉数退场,曾经的直接付费模式也宣告落幕。
操作系统生产商的介入:后软件时代
2010年6月8日,随着乔布斯在 Moscone West 会展中心发布 iPhone 4,互联网也在走向2.0移动时代。
关于PC端杀毒软件的争夺战暂时消停了,杀毒软件的产商纷纷开始思考如何推出移动时代的产品。
但在移动时代,杀毒软件行业迎来了一个降维打击的竞争对手——操作系统生产厂商。移动操作系统不同于传统 PC 操作系统,主流的 Android 和 iOS 都是相对封闭的体系,有自己的安全机制。即便是Android 操作系统,在不 root 操作系统的前提下,病毒也没有什么施展拳脚的空间。在系统层级,内置的安全机制解决了原本杀毒软件需要解决的大部分事情。
于是,各家产商便将目光放到了软件管家、装机助手、内存优化这些领域。
在这个时期,在 PC 上失利的金山瞄上了性能优化——通过对 Android 排行榜前列的 App 进行逐个分析如何优化——推出了猎豹清理大师,据统计,猎豹清理大师的下载量在2015年便达到了20亿次,一举挽回了 PC 战场的颓势。
之前在 PC 杀软江湖凯歌高奏的360也把握住了机遇,顺势移植了渠道分发的思路,将自己的软件管家移植到了移动端,并针对性的开发了些优化功能和小工具,推出了自己的助手,顺利占下这个坑。
反观昔日霸主瑞星,却完美的错过了这次风口,没把握住转型移动的机遇,基本彻底退出了市场竞争。
另一方面,PC端操作系统也在效仿移动操作系统,建立更为底层的安全机制。
2014年10月1日,微软在旧金山召开新品发布会,对外展示了新一代的操作系统 Windows 10,这个跳过了数字9的全新Windows里面内置了免费的杀毒软件 Windows Defender。
不用怀疑 Windows 做杀毒软件不专业,从世界权威测评机构 AV-TEST 的最近几次认证中,我们都可以看到4,Windows Defender 在保护性、运行速度以及易用性上都获得了极高的分数。
操作系统产商的介入让这场杀毒软件之战又进入了另一个时代。在众所周知的浏览器大战中,微软正是凭借着预装 IE 的模式取得了最后的胜利,而无广告、无弹窗并且和操作系统兼容更好的 Windows Defender 会否让大家开始不再加装杀毒软件呢?
另外,在 Windows 中的官方商店也会解决许多安全性的问题。用过苹果操作系统的用户可能都有一个感觉,在使用 Mac OS 的时候基本没考虑过要装一个杀毒软件,那么苹果是怎么做到这点的呢?
除了由于苹果的用户基数相对 Windows 较小,黑客没有创作Mac平台病毒的原动力之外。苹果的系统里面内置了 App Store(与iPhone上的类似),所有提交到上面的程序需要满足一定的设计规则,并通过苹果官方的审核。
其中很重要的就是包含了沙盒机制——应用程序对其他文件、程序的权限需要声明在一个文件里,程序只能在其声明的小范围里进行操作,而操作的行为将会在提交到 App Store 的时候经过严格的审核以保证用户从 App Store 下载的程序具备极强的安全性。
如果之后 Windows Store 也借鉴了该方式并且在渠道占有率上有一定份额之后,使用 Windows 的用户也会极大的降低中毒的风险,从而使得对杀毒软件的依赖再度下降。
未来
安全问题彻底解决了吗?其实并没有。
正如前文所说,如今的病毒已经不再是一个单纯的技术问题,而是它已经被杀毒软件和操作系统逼成了一个不纯粹是技术的问题。病毒的感染与运作方式也变得更为隐蔽、复杂和多样化。这使得数字安全的防护也变得超出“一个杀软可以解决”的范畴。
如今,在对网路安全需求较为强烈的公司或机构中,往往不止采购杀毒软件,同时会进行配套部署较为完善的信息安全解决方案。其中除了包含杀毒软件之外,还包括设备的使用规范、网络的接入方式和各类权限系统等等,以确保那些没见过的病毒也能在其被发现之前就拒之门外,这实际上与物理世界里的安保系统越来越相似。
而对于个人用户而言,除了使用更安全的操作系统(随时保持操作系统的更新)和安装免费的杀毒软件以拦截大多数的攻击之外。更重要的是需要保持在使用网络、计算机与手机上的安全意识。
比如,伴随网络病毒诞生以来的一句亘古名言是——不要随便打开来自网络的可疑文件。
也许,因相信并遵从这句话而免于被攻击的用户,比历史上所有杀毒软件的用户加起来还要多。
,