黑客们凭借高超的技术可以在网络世界中自由穿梭,无所不能却又不留痕迹。这种侠客般的身影令许多少年们十分羡慕,然而由他们制造的电脑病毒所造成的各种损失不计其数,世界上曾爆发过许多次大规模的电脑病毒事件,每一次都造成了大量的经济损失。此外对于电脑用户来说,病毒也着实令人忌惮。病毒犹如顽疾,一旦不小心感染上,就会惹来麻烦,轻则程序损坏,重则电脑瘫痪。作为个人用户最基本的防护武器,杀毒软件一直在反病毒史上发挥着重要的作用。
计算机病毒与杀毒软件的诞生
杀毒软件的英文名字是antivirus顾名思义就是反抗病毒的意思,世界上第一款杀毒软件是产生于1983年的:mcafee,对杀毒软件稍有了解的人因该都听说过mcafee,其创始人约翰·麦克菲(john mcafee)也是一个话题人物,不仅自身作风极差甚至还公开表示自己创立的mcafee是垃圾,近些年来还一度因为涉嫌谋杀而被通缉。不过由于当时病毒还不怎么流行,因此杀毒软件也并不出名。
直到1987年,第一个电脑病毒c-brain终于诞生了。一般而言,业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟:巴斯特(basit)和阿姆捷特(amjad)所写的,他们在当地经营一家贩卖个人电脑的商店,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,c-brain就会发作,将盗拷者的硬盘剩余空间给吃掉。
这个病毒在当时并没有太大的杀伤力,但后来一些有心人士以c-brain为蓝图,制作出一些变形的病毒。而其他新的病毒创作,也纷纷出笼,不仅有个人创作,甚至出现不少创作集团(如nuke,phalcon/skism,vdv)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。
正是由于病毒的不断推陈出新,杀毒软件开始正式登上历史舞台,1989年,全球第一款杀毒软件mcafee诞生。初期,mcafee与欧洲的一些杀毒软件公司经常兴起口舌之争,但是自身杀毒引擎并不出色,通过兼并欧洲最大的反病毒企业doctor soloman公司,并使用其产品的引擎终于获得成功。一时间mcafee声名鹊起。
另一方面,俄罗斯人尤金·卡巴斯基(eugene kaspersky)在1989年开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算机公司kami的信息技术中心,带领一批助手研发出了avp反病毒程序。kaspersky lab于1997年成立,eugene kaspersky是创始人之一。2000年11月,avp更名为kaspersky anti-virus。eugene kaspersky是计算机反病毒研究员协会(caro)的成员,该协会的成员都是国际顶级的反病毒专家。avp的反病毒引擎和病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。由于历史的渊源,eugene kaspersky最终还是决定淡化avp (antivirus tookit pro)这个名字,而代之以kav(kaspersky anti-virus)。一直以来,杀毒引擎核心技术掌握在德国、俄罗斯、美国等少数国家,比较知名的杀毒引擎包括俄罗斯的dr.web(大蜘蛛)、kaspersky(卡巴斯基),美国的mcafee(迈克菲)、德国的antivir(小红伞),以及罗马尼亚的bitdefender(比特梵德)等。
国内杀软的发展
纵观中国,最早的杀毒软件是冠君金辰公司的kill,这款产品曾经一度霸占中国的杀毒软件市场。而第一款被后来人所熟知的杀软是由王江民创立的江民杀毒软件,1994年7月,王江民推出了kv100超级巡警。由于当时没有网络和光盘传播,杀毒软件经常遇到对病毒反应滞后的问题,对此王江民想到了在报纸上一星期公布一次新病毒特征码,让用户自己升级。kv100由此一炮打响,在反病毒市场上大受欢迎。
有了市场基础,以及公安部及各地公安部门的大力支持,使得kv100半年销售期共售出近1万套,kv200一年销售期共售出近20万套。
1996年9月,王江民带着自己设计的kv100杀毒软件闯进中关村,创造了一个一周赚得150万元的奇迹。随后,王江民在中关村扎根,创立北京江民科技公司。由于有kv前两个版本的大量用户基础和品牌优势,加上先期kv拥有了通畅的销售渠道,再加上在市场策划以及广告宣传上的才能和资源优势,kv300的销售有了奇迹般的增长,到1997年底销售量就达50万套,遥遥领先kill及其他杀毒软件。
从1996年到1998年,王江民一时风光无限,kv300曾一度占据了市场80%的份额,将同时代的其他软件厂商远远抛在后头。
瑞星和金山的崛起
看着江民的日渐兴盛,在防毒卡时代风生水起的瑞星自然不甘屈居人后,当时市场上许多用户已经习惯了江民的kv300,说服众多用户改用瑞星已不易,但说服对技术十分了解的厂商容易。基于这种思想,瑞星选择了oem的方式,不但将之当作公司利润来源,更把oem当作了比广告宣传作用更大的迅速提高占有率的市场推广行为。这样瑞星一口气和联想、同创、方正、浪潮、实达、和光等十几家知名厂家以及中关村十几家中小厂商签下了oem合同。
oem的方式迅速为瑞星抢下了市场份额, 瑞星很巧妙地让用户产生这样的联想:既然联想、方正等国内几乎所有的知名公司都经过严格测试后选择了瑞星,那么瑞星的技术一定出色。在实施oem策略的同时,瑞星不忘各种能挤压竞争对手和抢夺市场份额的手段组合。尤其以针锋相对的捆绑销售的方式将vrv挤出了主流市场,使得自己能有足够的精力和机会来抢食江民的市场。
但真正使得瑞星复苏的还是其技术的提升,1998年cih病毒开始肆虐全球,电脑用户们纷纷谈“宏”色变。而就在此时,瑞星推出了98版瑞星杀毒软件,使用户可以在不丢失文件数据的情况下彻底杀除cih病毒。一时间瑞星名声大噪。瑞星小狮子的形象也开始深入人心。当时许多孩子对于瑞星小狮子的喜爱甚至超过一些游戏,后来在瑞星没落时,网上曾一度以“去掉其无用的杀毒功能,只保留小狮子”来戏谑,但这也从一个侧面展示了瑞星当时的辉煌。
金山毒霸第一版的发布时间为1999年这比江民和瑞星要晚了不少。2001年8月,金山推出了配有双杀毒引擎的"金山毒霸",总经理雷军向媒体宣称:金山要在一年内进入市场三甲,三年内夺得市场第一。
2002年3月,金山软件公司在长沙召开了被媒体称为"长沙起义"的渠道商大会,广州、成都、上海等十余家地方渠道大亨门下的近100家店头签约金山授权服务店。按要求,这100家店面必须在自己的招牌下面挂上了另外的一块牌子:"'金山毒霸'授权服务店",并实施"金山毒霸"的"315服务公约"。回报是丰厚的,金山保证经销商在该地区内拿到最低进货价和丰厚的返点,以及其他政策支持。但这100家签约店面的销售压力也同样巨大--必须保证"金山毒霸"的出货量占所有杀毒软件的50%以上。
2002年8月,金山再次使出了令业界目瞪口呆的价格杀手锏,在市场上长袖善舞的金山给这次活动起了个极具震撼力的名字:"蓝色安全革命"。金山宣布将其刚投放市场且原本定价为199元和129元的"金山毒霸2003"和"金山网镖2003"价格下降到零售价50元,如此大规模的降价在反病毒软件市场史无前例,此前,所有的单机版杀毒软件的市场零售价均在160元到200元之间。凭借着正确的策略,良好的宣传以及价格战使得金山在当时杀毒软件市场获得一席之地。
此时的国内杀软市场看似江民、瑞星、金山三足鼎立,但瑞星已经逐渐确立了其国内杀软老大的地位,一直到免费杀毒软件出现前,瑞星的地位基本上不可撼动,江民逐渐日薄西山,而金山打字、金山词霸、wps等产品要比金山毒霸更为知名。
免费杀毒软件的出现
提及免费杀毒软件自然离不开360,而提到360免费杀毒软件就要从卡巴斯基和360的合作开始说起,2005年,雅虎要推出一个上网安全软件“上网助手”,周鸿祎那时已经有了“安全软件 免费杀毒”的想法。
于是,周鸿祎找到一些国内杀毒厂商:瑞星、金山、江民——当时这三家基本垄断了国内杀毒市场,试图说服他们提供一个免费或者半免费的杀毒软件,哪怕是简要版、试用版,跟“雅虎上网助手”捆绑在一起推出。但是,三家都没有理解周鸿祎的想法,反应无一例外是一口拒绝。原因应该很容易理解:当时他们的软件都卖得很好,一年有几个亿的收入。收钱都收不过来,干吗要尝试免费呢?至于国外厂商,虽在中国的个人消费市场做得一般,但企业客户做得不错,也算是既得利益者,一样难以说服。
最终之所以找到卡巴斯基,是因为它在中国市场的状况比较特殊。当时,在一些小众高端用户群里,卡巴斯基比较受欢迎——它的杀毒技术确实不错。但正因为技术好、对机器性能要求高,所以它在大众用户中没什么市场。而360则需要卡巴斯基的名气。二者一拍即合,展开合作。2006年中,周鸿祎开始做360安全卫士。时任卡巴斯基实验室大中国区董事总经理的张立申找到周鸿祎,要求合作。毕竟360刚成立,没有雅虎财大气粗。最终的协议是:360每年拿出两三百万元购买卡巴斯基为期半年的激活码,卡巴斯基与360共同进行推广,如果用户到期后选择续费使用卡巴斯基,线上销售收入大家按比例分成。
2008年7月,奇虎360正式发布360杀毒,同时宣布360杀毒永远对用户免费。自此拉开了免费杀毒软件的序幕。作为国内安全行业的老大,瑞星的反应最为激烈。瑞星直截了当地指出,奇虎360的免费杀毒,是bitdefender和奇虎360一起导演的一出暗渡陈仓的把戏。瑞星指出,实际上是bitdefender将免费使用期一年的、且经过功能裁剪的杀毒组件,由奇虎360以“永久免费的杀毒软件”名义在国内推出,用奇虎360的免费杀毒来提高知名度,然后由另一家代理商负责销售,以图用这种互联网免费的策略来抢占国内杀毒市场。瑞星公司宣称,此举旨在“一面跨过伪军打鬼子,一面保护渠道和新老用户的利益”,作为一个负责任的主流安全厂商,瑞星将为国内安全行业的健康发展竭尽全力。
然而经过几轮搏杀以后,结果大家自然都很清楚,尽管瑞星2011年宣布免费,但是当时其用户量已经与360不可同日而语。目前360也早已取代瑞星成为国内杀软的老大,但是其软件内部的一些流氓行为,也被不少用户所诟病。
2010年11月,360向业界公布了第七代反病毒引擎—人工智能引擎qvm,qvm是qihoo support vector machine的缩写,中文意思是奇虎支持向量机,它是在vapnik著作的机器学习经典《statistical learning theory》中的理论基础上进行了创新,首次将机器学习的理论用于未知病毒识别。这种技术原理是先通过对病毒样本的分析和分类形成样本向量和向量机,然后建立一个机器学习的决策机模型,利用决策树和向量机对大量样本进行学习,从而识别恶意程序或非恶意程序。随着学习样本数量的增加,再配合白名单,就能够在识别未知恶意程序的同时,降低误报,使未知病毒识别技术真正商用。
360在杀毒引擎核心技术领域所取得的成绩,给腾讯、百度等国内互联网公司以启示。经过多年的研发,腾讯和百度也相继推出了自主反病毒引擎tav和雪狼,但都是以智能为旗号,使用的是瑞星和江民时代的第一代引擎技术,也就是“特征码杀毒引擎”,在3代引擎已经成熟商业化的时候,tav和雪狼引擎尚处于第一代到第二代的过渡过程。
主动防御技术
传统的基于病毒库扫描的反病毒软件都是很被动的,只能在新病毒出现之后才能有应付措施,一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术,在没有病毒样本的情况下,对病毒进行全面而有效的全面防护,阻止病毒的运作,从技术层面上有效应对未知病毒的肆虐,一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。
另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。
在对全球17款主要杀毒软件进行了测试中表明,在新病毒查杀方面,杀毒软件的平均检测率只有20%~30%,甚至低于去年的40%~50%。相比之下,只有eset nod32和bitdefender表现较好,查杀率分别为68%和41%。值得一提的是,eset nod32采用世界领先的高级启发式threatsense@引擎,可同时支持基因码,虚拟机,以及代码分析这三种启发式防毒技术,在查杀大部分未知病毒的同时只产生了极少的误报,为业界最低,因此eset nod32的threatsense技术被公认为主动防御技术成熟和稳定的集大成者。
eset公司成立于1992年,是一家面向企业与个人用户的全球性的计算机安全软件提供商。开发总部在斯洛伐克的bratislava。
启发式查毒技术
说到主动防御,不得不提起启发式查毒技术,启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种。
启发式指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被称为动态虚拟机。
静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,会出现较多误报的情况。
作为启发式杀毒软件的代表产品eset nod32,以其完善的启发式引擎threatsense,超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。成为业界的最高水准,同时也被冠以“启发之王”的美誉。