但是,真实的情况是病毒作者技术很一般。熊猫烧香是拿别人威金代码改的,有人说能改代码也需要很高的技术功底,那得看改到什么程度。熊猫烧香改到什么程度呢?把两个函数上下行换个位置,把if判断改个条件和else的代码体互换,把一个大函数或类改成几个小的或小的合成大的。对,就是诸如此类的修改,说他技术牛逼不如说他对语言的语法比较熟。这好像是废话,语法不熟的也写不了代码吧,呵呵。
那么为什么要这么改呢?对,代码变形。变形的目的是什么呢?对,躲避杀软的特征扫描。
这就要说到当年杀软的查杀机制了。当年网络远没现在这么发达,一线城市家庭还是用会嗷嗷叫的电话线上网,速度,56k。落后地区的有钱人家里就算有电脑,那基本是用来当游戏机玩红警的,对,单机,不联网。当时还没有“云”这个概念,类似的技术叫分布式计算,并行计算或网格计算。
杀软的工作方式是厂商到处收集样本,然后有病毒分析员提取病毒特征,然后升级杀软病毒库,杀软遇到这个特征的病毒来进行查杀。从一个病毒出现到杀软捕获,到提取特征,到升级病毒库,最后到查杀,一般至少要24小时。再明确点说就是,后知后觉,反应比较迟钝。
刚刚说熊猫烧香各种改代码,就是为了改掉已经被杀软捕获并提取的代码特征,从而躲避查杀。最疯狂的时候一周搞了多个不同的版本,以当年杀软的反应速度,确实难以招架。这就和某些低级生物一窝能生几百万个后代是一个道理,每个个体都很脆弱,存活是小概率事件,靠提高分母来维持物种延续。
所以熊猫烧香和杀软的对决是胜在了勤快上,完全和技术牛逼不牛逼没关系。
那么为什么杀软厂商对病毒反应这么迟钝?首先病毒在暗处,杀软在明处,杀软的技术特点都摆在哪,病毒可就不一定使出什么阴招。其次病毒可以肆无忌惮无底线乱来,杀软还要考虑用户的感受,监控太多太频繁,系统会很卡,要被用户骂死。病毒就无所谓了,死机就死机,蓝屏就蓝屏,你奈我何?最主要的是杀软是被动防守,病毒是主动进攻。
这就好像万里长城万里长,看起来雄伟壮观,但是游牧骑兵找准一点,一轮冲锋就能撕开个大口子。当年也有什么启发式查毒,主动防御之类听起来让人不明觉厉的词,注意我说的是“词”,其实也就是个技术名词。这些想法是很好的,不过效果就呵呵了。
时至今日,网络速度大幅提高,计算机性能更是千倍万倍的提高,分析及提取算法成熟,基本都由电脑进行,云端查杀技术成熟完善,但是基本原理还是没变,捕获,分析,提取特征,扫描,查杀。区别是现在各个环节的反应效率大大提高,是以秒为单位计算的。一个病毒从出现到完美查杀,基本活不过一分钟。一句话可以最精辟概括:天下武功无坚不破,唯快不破!
用PC的人越来越少,除了专业需要,基本都用手机了,导致做病毒能覆盖的人群少了,没啥油水了。如果诚心做对抗,那道高一尺魔高一丈的事永远也玩不完。有人说移动端人多那就做移动端病毒吧,请看下一条。
移动端的系统架构和思路设计本身就很安全,吃了PC时代这么多亏,移动端从设计之初就考虑和设计了很多安全机制和措施,现在移动端基本不需要杀软了,看看当年的牛逼哄哄的杀软厂商今天都什么德行。金山毒霸?你应该很久没听过了吧,现在叫猎豹,比较有名的是个清理系统垃圾的工具,他们老板声称自己是个AI公司,后来又变成机器人公司,最近好像又变成游戏公司了,反正不是杀毒的。
?从美国退市国内借壳后,市值已经腰斩了好几轮了。瑞星?只剩下那只小狮子了吧,有兴趣的现在在百度图片的缓存里应该还能找到。至于卡巴,诺顿,NOD32,小红伞,比特梵德等,说这个会暴露年龄吧。
?
