是什么推動(dòng)的時(shí)代前進(jìn)，讓曾經(jīng)每份拷貝兩三百元的的殺毒軟件逐漸退出了人們的視野呢？

對(duì)于很對(duì)80、90年代的孩子來(lái)說(shuō)，瑞星的小獅子就是他們童年時(shí)對(duì)計(jì)算機(jī)最深刻的印象。

2017年，網(wǎng)上還傳出了「去掉殺毒與防火墻功能」的桌面小獅子供大家懷念往日時(shí)光。

如今上網(wǎng)的人們恐怕大多數(shù)都不會(huì)記得那只在電腦右下角模仿各種動(dòng)作的獅子了。眾多免費(fèi)的殺毒軟件讓曾經(jīng)的殺毒軟件洗牌，但隨著近些年技術(shù)的變革，似乎殺毒軟件無(wú)論免費(fèi)與否都已不再是裝機(jī)的必備軟件之一。

那是什么推動(dòng)的時(shí)代前進(jìn)，讓曾經(jīng)每份拷貝兩三百元的的殺毒軟件逐漸退出了人們的視野呢？

源起：病毒的出現(xiàn)

在說(shuō)到殺毒軟件的歷史之前我們先來(lái)看看什么是病毒。

從法律層面上來(lái)看¹，「計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?/p>

其實(shí)通俗的來(lái)說(shuō)，計(jì)算機(jī)病毒也是一種程序，只是一些懷有惡意的程序。

不過(guò)病毒是怎么開始的呢？說(shuō)起來(lái)你可能不信，最早病毒通常只是工具，其作用和今日相去甚遠(yuǎn)。

在早期，學(xué)生們用病毒來(lái)做一些學(xué)術(shù)研究和提高自己的編程水平，有時(shí)也會(huì)拿一些病毒來(lái)開一些同學(xué)的玩笑；施樂的工程師們用蠕蟲病毒去尋找閑置的網(wǎng)絡(luò)資源；許多的開發(fā)者使用引導(dǎo)扇區(qū)病毒（boot sector virus）來(lái)反盜版。

在1988年之前開發(fā)的病毒基本都沒有什么危害，比如世界上的第一個(gè)誕生的在 Windows 上的病毒 ——大腦病毒（Brain） —— 是由時(shí)年17歲和24歲的兩兄弟 Basit 和 Anjad Farooq Alvi 開發(fā)的，他們當(dāng)時(shí)制作了一款用于心跳檢測(cè)的程序，而由于他們當(dāng)時(shí)所在的地區(qū)盜版成風(fēng)，他們便制作了這個(gè)主要用于防止盜版拷貝的病毒。只要有人安裝了非正版的軟件，Brain 便會(huì)將盜版使用者的剩余空間吃掉，并在引導(dǎo)磁道里寫下一段中毒提示文字，并附上了兩兄弟的聯(lián)系電話，告知如果中毒請(qǐng)聯(lián)系以獲得「解藥」。

不過(guò)當(dāng)兩兄弟將該病毒發(fā)布之后，他們馬上收到了潮水般的電話，甚至不少是從國(guó)外打過(guò)來(lái)尋求「解藥」的，這對(duì)兄弟也嚇了一跳，并開始解釋他們不是惡意的。

再比如新中國(guó)成立以來(lái)的第一例病毒 ——1988年發(fā)現(xiàn)的小球病毒，它的發(fā)作條件是當(dāng)系統(tǒng)時(shí)鐘處于半點(diǎn)或整點(diǎn)，而系統(tǒng)又在進(jìn)行讀盤操作。發(fā)作時(shí)屏幕出現(xiàn)一個(gè)活蹦亂跳的小圓點(diǎn)，作斜線運(yùn)動(dòng)，當(dāng)碰到屏幕邊沿或者文字就立刻反彈，削去碰到的部分文字。

最早制作病毒的人只是懷有「炫耀技術(shù)」的心態(tài)，使用一些顯性的、展示性較強(qiáng)的病毒，或者他們只是將病毒用于一些工具性質(zhì)的場(chǎng)景中。之后，病毒的發(fā)展開始呈現(xiàn)帶有顯性破壞的趨勢(shì)，比如在2000年左右的情書病毒（Loveletter virus)，在它發(fā)布后就攻擊了數(shù)以萬(wàn)計(jì)的電腦——通過(guò)給用戶發(fā)送一封表白郵件，引誘你打開 I Love You 的附件，便開始將用戶的本地圖片、文件替換，并將該郵件再次發(fā)給通訊錄中的其他好友。

進(jìn)入二十一世紀(jì)之后，病毒的「炫技」開始變味，一些病毒驚人的破壞力為剛剛普及的互聯(lián)網(wǎng)帶來(lái)了巨大的風(fēng)波。比如對(duì)于中國(guó)觸網(wǎng)較早的「網(wǎng)蟲」來(lái)說(shuō)，2003年的沖擊波病毒和2007年的熊貓燒香病毒記憶猶新。前者利用Windows 的一個(gè)網(wǎng)絡(luò)服務(wù)的漏洞進(jìn)行無(wú)感傳播，同時(shí)會(huì)導(dǎo)致被感染的計(jì)算機(jī)不斷重啟無(wú)法使用。后者則會(huì)將感染計(jì)算機(jī)內(nèi)的所有把文件與程序變成一個(gè)燒香的熊貓圖標(biāo)無(wú)法打開。

比如迄今為止最嚴(yán)重的病毒攻擊——在2008年出現(xiàn)的 Conficker 病毒，它借助當(dāng)時(shí) Windows 的一個(gè)內(nèi)存漏洞，破壞系統(tǒng)默認(rèn)設(shè)置，并且自動(dòng)尋找局域網(wǎng)內(nèi)其他有該漏洞的電腦，創(chuàng)建鏈接，將自己復(fù)制過(guò)去，然后在本地接受遠(yuǎn)程控制著的指令，收集個(gè)人信息、下載安裝附加的惡意程序到受害者的個(gè)人計(jì)算機(jī)中，讓用戶防不勝防。

熊貓燒香「鎖死計(jì)算機(jī)內(nèi)信息」的模式，在后續(xù)逐漸發(fā)展出了勒索病毒這一門類，病毒從一種「惡趣味」變成了一種「非法生意」，2017年「永恒之藍(lán)」是這一模式的最高峰。

但比起「破壞」和「直接索要錢財(cái)」，更多企圖商業(yè)化的病毒制作者選擇讓病毒變得「越來(lái)越無(wú)害」。其中的邏輯十分簡(jiǎn)單，一般用戶都在計(jì)算機(jī)出現(xiàn)明顯異常的時(shí)候才會(huì)想到采取措施，如果病毒能夠一聲不響的長(zhǎng)期運(yùn)行于用戶的設(shè)備中，那么病毒就能更多的竊取用戶的信息、數(shù)據(jù)或有周邊價(jià)值的內(nèi)容。

這一模式被稱之為高級(jí)長(zhǎng)期威脅高級(jí)長(zhǎng)期威脅（英語(yǔ)：advanced persistent threat，縮寫：APT），策劃這些攻擊的不再只是某一個(gè)「黑客」，而可能是一整條產(chǎn)業(yè)鏈。他們的目標(biāo)也不再是讓用戶產(chǎn)生直接損失，甚至對(duì)于用戶來(lái)說(shuō)有可能都沒有發(fā)現(xiàn)「任何損失」。

但實(shí)際上，病毒通過(guò)默不做聲的獲取用戶的最高權(quán)限，可以竊取用戶在設(shè)備上的敏感信息或商業(yè)秘密乃至國(guó)家機(jī)密。這些信息被竊取之后，進(jìn)行數(shù)據(jù)整理后成為一個(gè)個(gè)黑產(chǎn)數(shù)據(jù)庫(kù)在「暗網(wǎng)」上明碼標(biāo)價(jià)。

防御者：殺毒軟件

安全需求是人類最基本的需求，既然有攻，自然就有防，自1986年的大腦病毒問世，人們就開始思考如何對(duì)抗病毒程序，直到1987年 IBM 發(fā)布了面向個(gè)人用戶的第一款殺毒軟件。

說(shuō)到殺毒軟件，我們簡(jiǎn)單介紹下殺毒軟件基本的工作流程 ——其工作流程大致可以分為3個(gè)階段：

1. 捕獲其他程序的程序行為：如它在內(nèi)存中干嘛了，和網(wǎng)絡(luò)互相傳輸了什么等等；
2. 給予引擎機(jī)制的規(guī)則判斷：如某個(gè)病毒具備一個(gè)特征標(biāo)記，則看看有沒有文件也有同樣的標(biāo)記；
3. 通過(guò)病毒庫(kù)進(jìn)行確認(rèn)：可以理解為病毒庫(kù)中存儲(chǔ)了絕大多數(shù)病毒的特征和標(biāo)記，通過(guò)和存儲(chǔ)的病毒庫(kù)中的病毒做對(duì)比，來(lái)確認(rèn)某個(gè)文件是否是病毒。

其中第2步是殺毒軟件技術(shù)水平區(qū)別的最大的地方，好的殺毒軟件通?？梢栽诘?步就攔下大多數(shù)的病毒而不需要進(jìn)入到第3步，而第3步 ——保持病毒庫(kù)同步則是用戶必須持續(xù)更新的重要原因。

所以自然而然一個(gè)生意模式就產(chǎn)生了，產(chǎn)商提供殺毒軟件以及實(shí)時(shí)更新的病毒庫(kù)，用戶支付一個(gè)年費(fèi)來(lái)獲得病毒庫(kù)和引擎的更新權(quán)利（一般還會(huì)贈(zèng)送一個(gè)新的界面）。

說(shuō)到中國(guó)的殺毒軟件供應(yīng)商，我們就不得不提到以江民、瑞星、金山等為代表的第一批入海者。

在1990年代初，瑞星通過(guò)出售防病毒卡坐擁該市場(chǎng)的半壁江山，不過(guò)防病毒卡的安裝需要拆插硬件，在之后一度也較少更新。

此時(shí)，近40歲開始進(jìn)行計(jì)算機(jī)創(chuàng)業(yè)的王江民先生帶來(lái)了純軟件的殺毒方案KV100，并于1996年創(chuàng)立江民新科技術(shù)有限公司后，面向市場(chǎng)推出了可以通過(guò)軟盤使用的KV300殺毒軟件。

由于90年代，大部分的計(jì)算機(jī)存在于學(xué)校、科研機(jī)構(gòu)的機(jī)房或早期網(wǎng)吧中，硬件的防病毒卡需要「每臺(tái)機(jī)器買一臺(tái)」，而殺毒軟件一個(gè)機(jī)房只需要買一份在每個(gè)電腦上運(yùn)行，因此殺軟一舉打掉了防病毒卡的市場(chǎng)份額。

不過(guò)，防病毒卡的早期引領(lǐng)者瑞星并沒與因此而隕落，也迅速推出了殺毒軟件。并在1999年CIH病毒席卷中國(guó)的時(shí)候，率先推出了查殺工具，一度奪回失地。

在當(dāng)時(shí)，殺毒軟件一套可以賣到198元，當(dāng)時(shí)的大型游戲（4張光盤）也僅售64元，極大的利潤(rùn)也吸引著新的對(duì)手的進(jìn)入。

2000年左右，雷軍攜研發(fā)三年之久的金山毒霸也殺入這一市場(chǎng)，用相對(duì)極低的價(jià)格吸引著用戶，由于普通的用戶并不能區(qū)分殺毒軟件的區(qū)別。于是，付費(fèi)殺毒軟件市場(chǎng)陷入了一場(chǎng)持續(xù)的價(jià)格戰(zhàn)。

在那個(gè)時(shí)代，國(guó)內(nèi)的金山、瑞星、江民，國(guó)外的卡巴斯基、NOD32、麥咖啡、諾頓等殺毒軟件你方唱罷我登場(chǎng)，為中國(guó)早期互聯(lián)網(wǎng)用戶留下了一段回憶。

但在價(jià)格戰(zhàn)背后，殺毒軟件的研發(fā)成本與維護(hù)成本其實(shí)十分高昂。雖然在后期技術(shù)演進(jìn)上逐漸升級(jí)，但在早期殺毒軟件與病毒之間就是一場(chǎng)純粹的「消耗戰(zhàn)」。基本的工作流程是，殺毒軟件公司嗅探新病毒、編寫針對(duì)新病毒的識(shí)別特征庫(kù)、將特征庫(kù)推送到用戶安裝的殺毒軟件本地、最終對(duì)病毒進(jìn)行查殺。

據(jù)報(bào)道，全球2003年一年新增的病毒約為3萬(wàn)個(gè)。但到了2009年，一年新增的病毒數(shù)量高達(dá)2000萬(wàn)。因此，殺毒軟件的商業(yè)模式逐漸從一次性售賣，轉(zhuǎn)向病毒庫(kù)更新訂閱。但隨著價(jià)格戰(zhàn)的白熱化，殺毒軟件的商業(yè)模式發(fā)生了質(zhì)變。

收費(fèi)模式的余暉：360的殺入

2008年7月17日下午，還在打著價(jià)格戰(zhàn)的殺毒軟件江湖出現(xiàn)了一個(gè)外來(lái)者_(dá)奇虎360。不管前幾家如何打著價(jià)格戰(zhàn)，但是總還有一個(gè)底線，就是用戶始終是要付費(fèi)的，而此時(shí)的這個(gè)入場(chǎng)者卻使用了一個(gè)當(dāng)時(shí)看來(lái)不可思議的奇招。

它首先宣布自己的殺毒軟件本身對(duì)用戶永久免費(fèi)，其后又瞄準(zhǔn)了當(dāng)時(shí)的軟件下載分發(fā)。這里需要解釋一下，在之前之所以很多用戶很容易中毒，和當(dāng)時(shí)的整體特殊環(huán)境是有密不可分的關(guān)系的——當(dāng)時(shí)的用戶普遍不了解如何找到官方下載鏈接，而提供下載服務(wù)的網(wǎng)站有的是通過(guò)彈窗廣告來(lái)盈利，有的則就是直接在提供的下載軟件中掛馬，更有甚者就直接提供一個(gè)木馬的可執(zhí)行程序，將下載顯示的名字改為你搜索的軟件便提供下載，如此用戶就非常容易中毒。

值此時(shí)機(jī)，360推出了自己的軟件管家，收錄了主要的軟件的官方版本并提供更新。當(dāng)然，這個(gè)服務(wù)也是免費(fèi)的，無(wú)意間其實(shí)也打開了渠道分發(fā)這個(gè)商業(yè)模式的盒子。

擁有免費(fèi)的管家+殺毒的360切到了當(dāng)時(shí) PC 用戶的痛點(diǎn)，并迅速占領(lǐng)了半壁江山。在之前，幾乎所有的殺毒軟件產(chǎn)商都嘲笑并抗拒著這種免費(fèi)的模式。因?yàn)檎缜拔乃?，殺毒軟件的研發(fā)與維護(hù)需要大量的持續(xù)投入。

然而沒有想到的是，360通過(guò)流量模式這種「羊毛出在豬身上」的做法徹底占下了殺毒軟件的市場(chǎng)。隨著金山也在2010年11月宣布永久免費(fèi)，曾經(jīng)連續(xù)9年穩(wěn)坐江湖頭把交椅的瑞星也發(fā)現(xiàn)不對(duì)，并在2011年3月宣布個(gè)人安全產(chǎn)品免費(fèi)，然而360的先發(fā)優(yōu)勢(shì)，在這一輪變革中坐穩(wěn)了前排位置。

昔日的殺毒軟件霸主已經(jīng)退場(chǎng)，殺毒軟件的直接付費(fèi)模式也宣告落幕。

操作系統(tǒng)生產(chǎn)商的介入：后軟件時(shí)代

2010年6月8日，隨著喬布斯在 Moscone West 會(huì)展中心發(fā)布 iPhone 4，互聯(lián)網(wǎng)也在走向2.0移動(dòng)時(shí)代。

在殺毒軟件主戰(zhàn)場(chǎng)塵埃落定的同時(shí)，殺毒軟件的產(chǎn)商也在紛紛思考如何推出移動(dòng)時(shí)代的產(chǎn)品。

但在移動(dòng)時(shí)代，殺毒軟件行業(yè)迎來(lái)了一個(gè)降維打擊的競(jìng)爭(zhēng)對(duì)手——操作系統(tǒng)生產(chǎn)廠商。

移動(dòng)操作系統(tǒng)不同傳統(tǒng) PC 操作系統(tǒng)，主流的 Android 和 iOS 都是相對(duì)封閉的體系，有自己的安全機(jī)制。即便是Android 操作系統(tǒng)，在不 root 操作系統(tǒng)的前提下，病毒也沒有什么施展拳腳的空間。在系統(tǒng)層級(jí)，內(nèi)置的安全機(jī)制解決了原本殺毒軟件需要解決的大部分事情。

于是，各家的產(chǎn)商便將目光放到了軟件管家、裝機(jī)助手、內(nèi)存優(yōu)化這些領(lǐng)域。

在這個(gè)時(shí)期，在 PC 上失利的金山瞄上了性能優(yōu)化——通過(guò)對(duì) Android 排行榜前列的 App 進(jìn)行逐個(gè)分析如何優(yōu)化——推出了獵豹清理大師，據(jù)統(tǒng)計(jì)，獵豹清理大師的下載量在2015年便達(dá)到了20億次，一舉挽回了 PC 戰(zhàn)場(chǎng)的頹勢(shì)。

之前在 PC 殺軟江湖凱歌高奏的360也把握住了機(jī)遇，順勢(shì)移植了渠道分發(fā)的思路，將自己的軟件管家移植到了移動(dòng)端，并也針對(duì)性的開發(fā)了些優(yōu)化功能和小工具推出了自己的助手順利占下了這個(gè)坑。

不過(guò)遺憾的是反觀昔日的霸主瑞星卻是完美的錯(cuò)過(guò)了這次風(fēng)口，沒有把握住轉(zhuǎn)型移動(dòng)的機(jī)遇，基本徹底退出了個(gè)人市場(chǎng)的爭(zhēng)奪。

另一方面，PC端操作系統(tǒng)也在效仿移動(dòng)操作系統(tǒng)，建立更為底層的安全機(jī)制。

2014年10月1日，微軟在舊金山召開新品發(fā)布會(huì)，對(duì)外展示了新一代的操作系統(tǒng) Windows 10，這個(gè)跳過(guò)了數(shù)字「9」的全新Windows里面內(nèi)置了免費(fèi)的殺毒軟件 Windows Defender。

不用懷疑 Windows 做殺毒軟件不專業(yè)，從世界權(quán)威測(cè)評(píng)機(jī)構(gòu) AV-TEST 的最近的幾次認(rèn)證中我們都可以看到⁴，Windows Defender 在保護(hù)性、運(yùn)行速度以及易用性上都獲得了極高的分?jǐn)?shù)。

操作系統(tǒng)產(chǎn)商的介入讓這場(chǎng)殺毒軟件之戰(zhàn)又進(jìn)入了另一個(gè)時(shí)代，在眾所周知的瀏覽器大戰(zhàn)中，微軟正是憑借著預(yù)裝 IE 的模式取得了最后的勝利，而無(wú)廣告、無(wú)彈窗并且和操作系統(tǒng)兼容更好的 Windows Defender 會(huì)否讓大家開始不再加裝殺毒軟件呢？

另外，在 Windows 中的官方商店也會(huì)解決許多安全性的問題。用過(guò)蘋果操作系統(tǒng)的用戶可能都有一個(gè)感覺，在使用 macOS 的時(shí)候基本沒考慮過(guò)要裝一個(gè)殺毒軟件，那么蘋果是怎么做到這點(diǎn)的呢？

除了由于蘋果的用戶基數(shù)相對(duì) Windows 較小，黑客沒有創(chuàng)作Mac平臺(tái)病毒的原動(dòng)力之外。蘋果的系統(tǒng)里面內(nèi)置了 App Store（與iPhone上的類似），所有提交到上面的程序需要滿足一定的設(shè)計(jì)規(guī)則，并通過(guò)蘋果官方的審核。

其中很重要的就是包含了沙盒機(jī)制——應(yīng)用程序?qū)ζ渌募?、程序的?quán)限需要聲明在一個(gè)文件里，程序只能在其聲明的小范圍里進(jìn)行操作，而操作的行為將會(huì)在提交到 App Store 的時(shí)候經(jīng)過(guò)嚴(yán)格的審核以保證用戶從 App Store 下載的程序具備極強(qiáng)的安全性。

如果之后 Windows Store 也借鑒了該方式并且在渠道占有率上有一定份額之后，使用 Windows 的用戶也會(huì)極大的降低中毒的風(fēng)險(xiǎn)，從而使得對(duì)殺毒軟件的依賴再度下降。

未來(lái)

安全問題徹底解決了嗎？

其實(shí)并沒有。正如前文所說(shuō)，如今的病毒已經(jīng)不再是一個(gè)單純的「技術(shù)問題」，而是它已經(jīng)被殺毒軟件和操作系統(tǒng)逼成了一個(gè)不純粹是技術(shù)的問題。病毒的感染與運(yùn)作方式也變得更為隱蔽、復(fù)雜和多樣化。這使得數(shù)字安全的防護(hù)也變得超出「一個(gè)殺軟」可以解決的范疇。

如今，在對(duì)網(wǎng)路安全需求較為強(qiáng)烈的公司或機(jī)構(gòu)中，往往不止采購(gòu)殺毒軟件，同時(shí)會(huì)進(jìn)行配套部署較為完善的信息安全解決方案。其中除了包含殺毒軟件之外，還包括設(shè)備的使用規(guī)范、網(wǎng)絡(luò)的接入方式和各類權(quán)限系統(tǒng)等等，以確保那些「沒見過(guò)的病毒」也能在其被發(fā)現(xiàn)之前就拒之門外，這實(shí)際上與物理世界里的安保系統(tǒng)越來(lái)越相似。

而對(duì)于個(gè)人用戶而言，除了使用更安全的操作系統(tǒng)（隨時(shí)保持操作系統(tǒng)的更新）和安裝免費(fèi)的殺毒軟件以攔截大多數(shù)的攻擊之外。更重要的是需要保持在使用網(wǎng)絡(luò)、計(jì)算機(jī)與手機(jī)上的安全意識(shí)。

比如：伴隨網(wǎng)絡(luò)病毒誕生以來(lái)的一句「亙古名言」是「不要隨便打開來(lái)自網(wǎng)絡(luò)的可疑文件」。

也許，因相信并遵從這句話而免于被攻擊的用戶，比歷史上所有殺毒軟件的用戶加起來(lái)還要多。

–END–

參考文獻(xiàn)：

[1]中華人民共和國(guó)中央人民政府.中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例[OL].

[2]上海證券交易所.三六零安全科技股份有限公司2018年年度報(bào)告[OL].

[3]全國(guó)中小企業(yè)股份轉(zhuǎn)讓系統(tǒng).北京瑞星網(wǎng)安技術(shù)股份有限公司2018年年度報(bào)告[OL].

[4]AVTEST.Thebest antivirus software for Windows Home User[OL].

作者：老木，TRI輕作者，公眾號(hào)：騰訊研究院（ID：cyberlawrc）

來(lái)源：https://mp.weixin.qq.com/s/vKMwetErBgyYTNQPVdWNvw

題圖來(lái)自Unsplash，基于CC0協(xié)議