“那些年”与计算机病毒的“搏斗”

一、电脑病毒花样多

小白：现在的电脑病毒真是越来越难对付了，不知道什么时候你的电脑已经中了病毒。

计算机病毒（图片来自网络）

大东：科技在进步，电脑病毒也在进步。

小白：说到电脑病毒，我就想到了第一个被广泛关注的蠕虫病毒。

大东：而在上个世纪80年代还有一种四处传播的电脑病毒。

小白：叫“大麻病毒”吧！

大东：知道的不少啊。

小白：在你的熏陶下，我也是知道了很多知识的。

大东：“大麻病毒”最早见于新西兰惠灵顿市的报道，因此“大麻病毒”又叫“新西兰病毒”，是一种DOS引导型病毒，这种病毒感染磁盘的引导扇区，所以叫引导型病毒。此病毒程序短小精悍，几百字节的程序，却可以完成驻留内存，截取中断向量，区分软硬盘来感染不同的引导扇区。还有显示时机的判断，以及设置标志，防止重复感染。发作的时候，电脑上会显示一行字：Your PC is now Stoned. Legalize Marijuana.（你的电脑已经 high 了。大麻合法化。）

小白：那这些病毒传播之后我们该如何防御呢？

被“大麻病毒”感染的引导扇区，最后部分是特征字符串。（图片来自网络）

大东：上世纪80年代末，随着计算机病毒传入我国，我国公安部发布了第一款杀毒软件产品：“KILL6”，自此我国反病毒软件实现了从无到有的突破，“KILL”成为我国反病毒软件行业的先驱者、创造者，“KILL”产品立足于本地化病毒的查杀，成为当时我国计算机用户当之无愧的保护神。

小白：我们国家还是相当厉害的。

大东：今天就跟你说说“那些年”与计算机病毒的“搏斗”吧。

小白：快给我讲讲，我都已经迫不及待了。

二、计算机病毒与杀毒软件的发展

大东：病毒早已经成为计算机历史的一部分，自从第一个计算机病毒爆发以来，病毒的种类越来越多，破坏力也越来越强。上世纪80年代初，计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。随后，形势就慢慢地变得失控起来。

制毒&杀毒

Round 1:

计算机病毒初露萌芽

大东：第一代病毒的产生时间可以认为在1986-1989年之间，是计算机病毒的萌芽和滋生时期。由于当时计算机应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，流行病毒的种类也很有限，清除相对来说较容易。这一阶段的计算机病毒攻击目标比较单一，或是传染磁盘引导扇区，或是传染可执行文件，且感染特征比较明显，容易被人工或查毒软件所发现。

“超级病毒”

小白：1989年之后是不是就出现了更难对抗的计算机病毒了呢？

大东：当然了，随着计算机反病毒技术的提高和反病毒产品的不断涌现，病毒编制者也在不断地总结自己的编程技巧和经验，千方百计地逃避反病毒产品的分析、检测和解毒，从而出现了第二代计算机病毒。第二代病毒又称为混合型病毒（又称为“超级病毒”）。

小白：那个时候计算机局域网的应用与普及，再加上网络系统尚未有安全防护的意识，是不是让计算机病毒有了可乘之机啊？

大东：没错，也就是在这个时期出现了计算机病毒第一次流行高峰。这一阶段的病毒攻击目标趋于混合型，一种病毒既可传染磁盘引导扇区，又可传染可执行文件，采取更为隐蔽的方法驻留内存和传染目标。它们往往采取了自我保护措施，增加了检测、解毒的难度。

一位计算机用户的邮件系统遭遇了新型电脑病毒“MyDoom”(又名“Novarg”)的袭击。（图片来自网络）

第一代反病毒引擎

大东：病毒的发展产生了第一代的反病毒引擎——检验法。该方法只能判断系统是否被病毒感染，并不具备病毒清除能力。

小白：但不具备病毒清除能力怎么杀毒啊？

大东：虽然只能判定系统是否感染病毒，不过检验法滋生了真正的反病毒技术王者——特征码技术的出现。它属于第二代反病毒引擎，是反病毒历史上最耀眼的明星，它不但开了可以清除病毒的先河，也为以后反病毒技术的发展打下了坚实的基础。

大东：第二种杀毒技术叫广谱特征码技术。从本质上说，广谱特征码是一类病毒程序中通用的特征字符串。

小白：那也就是说比如有10种病毒都使用了一段相同的破坏硬盘的程序，那么把这段程序代码提取出来做特征码，就能达到用一个特征码查10个病毒的功效，是吗？

大东：没错，这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前已不能有效地对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户。

Round 2：

病毒学会“变形”

小白：那杀毒软件每强化一次，计算机病毒是不是就越来越难破解一次，是不是出现了“变异性”的计算机病毒啊？

大东：是的，第三代病毒的产生时间可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，进入宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。

启发式杀毒引擎

大东：特征码杀毒引擎开启的基于特征码，对病毒进行查杀比对，实时拦截查杀的技术至今仍是杀毒引擎赖以工作的基本原理。但这种技术也有一个缺陷，就是所有特征码必须读到电脑内存中，而且还只能对已知病毒进行查杀。

小白：但是特征码的这种方法，在互联网迅速发展，各种新式病毒层出的时代，是不足以维护网络安全的啊。

大东：是啊，于是一种通过行为判断、文件结构分析等手段，在较少依赖特征库的情况下能够查杀未知的木马病毒的新技术——“启发式杀毒引擎”应运而生。

让窗口关不完的病毒相对来说还是比较“温柔”的。（图片来自网络）

Round 3:

网络时代病毒大爆发

小白：再到后来互联网逐渐走进人们的视线了，计算机病毒是不是又有新的形态了？

大东：随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。

小白：那个时候国内Internet刚刚普及，还有对Email的使用也刚兴起，电脑病毒不正好有可乘之机嘛。

大东：对啊，这个时期夹杂于Email内的WORD宏病毒成为病毒的主流。这一时期的病毒的最大特点是利用Internet作为其主要传播途径，传播快、隐蔽性强、破坏性大。

小白：那个时期网络迅速发展，病毒的传播速度也就大大提高了，感染的范围也就越来越广啊。

大东：没错，另外，病毒的主动性、独立性更强了，变形（变种）速度极快，并向混合型、多样化发展。

云查杀引擎

大东：随着互联网爆炸式的发展，病毒也开始以一种网络化的速度疯狂发展，以“灰鸽子”、“熊猫烧香”为代表的网络病毒开始泛滥，正式揭开了病毒网络化发展的序幕。

小白：云安全概念是不是也在这个时期得到广泛的应用啊。

大东：一些企业提前嗅到其价值，推出了云安全体系。

三、小白内心说—— 反病毒势在必行

（图片来自网络）

大东：不同的时代有不同的技术，杀毒引擎的变迁，也可以说是一段病毒的发展历史，正是由于病毒不断更新、不断变种，推动了反病毒产品的不断革新、不断升级。

小白：可不是嘛，随着网络安全日新月异的变化，原有的安全技术体系已经基本失效，需要新的技术提升来应对复杂的安全变革，反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。

大东：其实，从病毒的发展历程来看，由于各种防毒软件的出现，给整个网络带来巨大冲击和损失的病毒已经越来越少了；而病毒会不断“变异”，再次展示了“暗黑”技术的破坏力。

小白：不过，魔高一尺，道高一丈，尽管计算机病毒仍在肆虐，但可以预见的是，技术正能量很快就会搞定它们。病毒的出现，也只会促使人类在网络安全的保障上更进一步。

来源：中国科学院计算技术研究所