如果你長年累月地使用過殺毒軟體,不難發現這麼一個現象——殺毒軟體的彈窗總體來說是越來越多了。以前的殺毒軟體,裝了就裝了,有病毒才會彈窗警告提示用戶;近幾年的殺毒軟體隨便用戶在系統中進行什麼操作,例如安裝個軟體、修改個設置,都會彈窗問你到底要不要這麼幹!不僅如此,就算你啥事也沒做,殺毒軟體還是有可能會彈窗來問候你的冷暖、貧富、安危,就差沒問你大小了。為什麼殺毒軟體會變成這樣?今天就一起來談談這個問題吧。
為何殺軟越來越煩?(漫畫作者:孫渣)
殺毒軟體真的需要彈窗才能殺毒?
雖然大家都在說殺毒軟體,但其實殺毒軟體的機理早已經不僅僅是發現病毒然後查殺這麼簡單。病毒木馬是不斷進化的,從最開始的毫無掩飾,到加上種種免殺手段,病毒木馬變得越來越難啃。病毒逃避殺毒軟體的手段很多,例如加殼技術,病毒可以通過一些手段加密代碼,令殺軟檢測不到其特徵;例如加花技術,病毒可以在自身中插入混淆視聽的代碼,改變其特徵;例如自動變異,病毒可以在傳播中自動改變特徵碼,令殺毒軟體疲於奔命……為了對付這些病毒免殺手段,殺毒軟體也不得不一次次進化自身。
殺毒軟體最早使用特徵碼來檢測病毒,這需要安全公司發現某個病毒的特徵後,把該特徵更新到殺毒軟體中,殺軟才能發現病毒並查殺。特徵碼查殺的歷史非常悠久,如果你接觸殺軟的年頭比較久遠,應該還會有著在90年代的時候,對著電腦報上發布的病毒特徵碼,一個個字符手工打入殺毒軟體的回憶。但面對爆發性增長的病毒,特徵碼是應付不來的,無論病毒庫更新速度多快,病毒始終走在殺軟前面。如何才能對付安全公司尚未發現的病毒?這是個在安全行業一直在探討的問題。
特徵碼是最早的查殺方式,早期的殺軟需要手動輸入特徵碼
特徵碼查殺的改進版是基因碼查殺。這種技術相當於是總結了一堆病毒的特徵,提取出了某類病毒的「基因」,只用一個基因碼就可以對付一大票病毒。這就相當於殺軟看過黑熊,就能認出白熊棕熊灰熊也都是熊,知道它們都很危險。基因碼用來查殺變種病毒還是挺有效的,但用來對付全新的病毒還是無能為力,能認出熊有危險,不等於就能認出老虎有危險。殺軟接著改進,又祭出了啟發式掃描。
啟發式掃描的機理有點像釣魚執法,你病毒偽裝得再怎麼好,最終也是要運行才能發揮作用。如果某段程序運行時會幹些奇奇怪怪的事情,那它多數就是惡意代碼。啟發式掃描的關鍵在於「啟發」,它在類似虛擬機的環境下誘導某個程序運行,從運行的情況來判斷該程序是否危險。如此一來,就算殺軟不認得某個病毒的特徵也無妨,只要這個病毒被成功「啟發」,就逃不過被裁決的命運。
著名殺軟「小紅傘」就以啟發式掃描著稱
以上的查殺手段,在不同的殺軟中有著不同的名字。實際上大多數殺軟,都不會單純只是用某種手段進行查殺。對於安全更有追求的殺軟,更是加入了強大的HIPS系統進行防範。
HIPS英文全稱是Host-based Intrusion Prevention System,翻譯為中文就是主機入侵防禦系統。這種技術的原理並非殺毒,而是以防禦為主。HIPS會監控系統的關鍵部位,例如進程、系統文件等等,如果有程序對這些關鍵之處進行修改,HIPS則會凍結其行為,並詢問用戶是否放行。如果HIPS沒有被攻破,那麼病毒想要發作,幾乎成為了不可能的事情。
從特徵碼到基因碼到啟發式掃描再到HIPS,殺軟的反病毒能力越來越強,但與此同時也帶來了另一個問題——誤殺率。特徵碼還好說,認準了基本錯不了,但基因碼、啟發式掃描、HIPS都全自動運作的話,很有可能就會錯殺良民了。例如某個遊戲修改器,並不是什麼病毒,但它也需要在其他程序上掛鈎子注入代碼,行為乍看上去和病毒無異。讓殺毒軟體來自動處理的話,這修改器多半就當場槍斃了。如何才能避免這種問題?只能讓部分流程不自動化處理,靠彈窗讓用戶自行判斷是否進行該操作。
UAC就是一個簡單的HIPS系統,為了安全,系統需要把一些東西交給用戶判斷是否放行
實際上,在安全性較高的系統中,彈窗是少不了的。例如當年的Windows Vista,加入UAC這個簡單的HIPS系統後,彈窗令人煩不勝煩,就算在後來的系統中優化了UAC的邏輯,但彈窗仍然少不了;又例如iOS,App請求權限的時候,也會彈窗告知用戶。殺軟對安全問題越敏感,查殺能力越強,與此同時誤殺率也會增加。這是個難以調和的矛盾,控制誤殺率很考驗安全公司的功力。但總體來說,現在的殺軟對比過去,的確更加敏感更容易誤殺,有了更多彈窗,也是可以理解的。
殺毒軟體彈窗都是為了安全?
為了平衡安全和誤殺,殺軟彈窗可以理解,但是否所有的彈窗都是為了本職工作?這就很難說了。自從免費殺軟成為了主流,殺軟們幹的份外事也變得越來越多,過去你安裝一個殺軟那就是得到一個殺軟,現在你安裝一個殺軟,還能夠同時得到軟體管家優化大師乃至安全瀏覽器,買一送N,你說賺不賺?
很多情況下,免費的東西才是最貴的,不收你錢,但你得付出其他代價。收費軟體可以直接一手交錢一手交貨獲利,做得好就可以賣到錢。免費軟體則不然,免費軟體並不直接從用戶中汲取利潤,即使免費軟體擁有最大的裝機量,但如果只是供用戶使用自己什麼也不幹,利潤也只相當於無數個0相加。免費軟體必須盡一切辦法,全面包圍用戶的一切使用環境,才能通過更多流量和露出度來進行廣告等推廣。
一些殺軟號稱可以攔截彈窗,但它自己本身就利用彈窗推廣東西
免費殺軟往往會推銷一些東西,彈窗就是推銷東西的好方法。一方面,免費殺軟們需要靠彈窗來獲得更多的露出度,從而收穫更多的流量以進行廣告等推廣接而獲取收入;另一方面,若傳統的收費殺軟推出了功能簡化的免費版,這些免費版也得頻頻彈窗推銷功能更強的收費版。中國的用戶環境沒能提供培育收費軟體的土壤,也只能接受頻頻彈窗的免費殺軟了。
那是否有不彈窗的免費殺軟?微軟的MSE算是一個。由於來自微軟,背靠著Win系統這個大奶媽,UAC已經接手了一大部分系統防護功能,也不需要彈窗推廣來獲利,因此MSE表現得很安靜。在Win10中,MSE已經被整合進了系統,就算Win10不安裝什麼殺軟,安全還是有一定保障的。
總結
簡而言之,現在殺軟所處的大環境和以前不可同日而語。現在的安全環境更複雜,殺軟彈窗可以說是符合計算機安全的歷史進程的;而免費殺軟成為了絕對主流的當下,殺軟們也只能通過推廣彈窗來獲利。其實現在的收費殺軟也不算特別貴,如果對清靜有一定要求,還是可以考慮一下的。