《信息安全導(dǎo)論》 課件 第7章 軟件安全與病毒防護

第七章軟件安全與病毒防護1.代碼安全漏洞2015年4月中旬，阿里安全研究實驗室發(fā)現(xiàn)了一個名為“WiFi殺手”的安卓系統(tǒng)漏洞。利用該漏洞，黑客可對開啟了WiFi的安卓手機遠(yuǎn)程攻擊，竊取手機內(nèi)的照片、通訊錄等重要信息，影響市面上大部分安卓設(shè)備。除了手機上的代碼漏洞問題，Web應(yīng)用程序的漏洞問題也是當(dāng)前攻擊事件頻發(fā)的根源之一。雖然目前絕大部分網(wǎng)絡(luò)已安裝有防火墻、入侵檢測系統(tǒng)等安全設(shè)備，但并沒有從根本上解決Web安全問題。由于現(xiàn)實世界中存在各種惡意企圖的攻擊者，利用系統(tǒng)存在的、或是新挖掘出的安全漏洞，加上安全防護體系的缺陷、使用人員的安全意識薄弱、管理制度的薄弱等問題，Web應(yīng)用安全事件層出不窮。根據(jù)補天漏洞響應(yīng)平臺的數(shù)據(jù)進行的統(tǒng)計，自2014年4月至2015年3月的12個月間，補天平臺上顯示的有效高校網(wǎng)站漏洞多達3495個，涉及高校網(wǎng)站1088個。其中，高危漏洞2611個，占74.7%；中危漏洞691個，占19.8%；低危漏洞193個，占5.5%。Web應(yīng)用程序的漏洞問題也是當(dāng)前攻擊事件頻發(fā)的根源之一。事例：黑客捏造了一篇清華大學(xué)校長顧秉林接受采訪的新聞報道，批評現(xiàn)行教育制度應(yīng)用軟件面臨的第1個安全問題是：代碼安全漏洞手機惡意程序的數(shù)量逐年翻翻。這些安裝在手機中的惡意程序可以對用戶進行遠(yuǎn)程控制、隱私竊取、惡意扣費。手機惡意程序的數(shù)量逐年翻翻。手機上的惡意程序還只是整個信息系統(tǒng)中惡意代碼的冰山一角。黑客會盜取網(wǎng)站后臺數(shù)據(jù)庫的重要信息，對社會對個人造成更大的損壞。視頻3：專業(yè)黑客組織HackingTeam被黑應(yīng)用軟件的第3個安全問題：對應(yīng)用軟件本身的非法訪問例如針對手機的越獄越獄反映的安全問題有：一是，越獄打破了手機封閉的生態(tài)環(huán)境，給獲得了root權(quán)限的惡意代碼有了可趁之機。二是，越獄后的設(shè)備失去了廠商對其保修的保護。三是，越獄后手機安裝被破解的應(yīng)用程序涉及盜版行為，侵犯了版權(quán)人的利益。根據(jù)應(yīng)用軟件面臨的三大安全問題，應(yīng)用軟件安全包括：一是防止對應(yīng)用軟件漏洞的利用，如代碼安全漏洞的防范；二是防止應(yīng)用軟件對支持其運行的計算機系統(tǒng)的安全產(chǎn)生破壞，如惡意代碼的防范；三是防止對應(yīng)用軟件本身的非法訪問，如對軟件版權(quán)的保護。接下來本講就主要圍繞第2個方面展開介紹，介紹惡意代碼的概念和防范技術(shù)惡意代碼（Malware，也就是MaliciousSoftware的縮寫），是在未被授權(quán)的情況下，以破壞軟硬件設(shè)備、竊取用戶信息、干擾用戶正常使用、擾亂用戶心理為目的而編制的軟件或代碼片段。惡意代碼是軟件或代碼片段，其實現(xiàn)方式可以有多種，如二進制執(zhí)行文件、腳本語言代碼、宏代碼、寄生在其他代碼或啟動扇區(qū)中的一段指令。依據(jù)定義，惡意代碼包括：計算機病毒（ComputerVirus）蠕蟲病毒（Worm）特洛伊木馬（TrojanHorse）后門（BackDoor）內(nèi)核套件（Rootkit）間諜軟件（Spyware）惡意廣告（DishonestAdware）流氓軟件（Crimeware）惡意軟件依賴主機程序獨立于主機程序后門邏輯炸彈木馬病毒蠕蟲病毒僵尸(DOS)可復(fù)制從主機依賴的角度進行的分類，惡意軟件大致分為兩類：18（1）計算機病毒在1994年2月28日頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》中是這樣定義計算機病毒的：指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，且能自我復(fù)制的一組計算機指令或者程序代碼。（1）計算機病毒按照病毒的寄生存儲的位置分類（1）引導(dǎo)型病毒。也稱為引導(dǎo)區(qū)病毒。操作系統(tǒng)的引導(dǎo)模塊存放在磁盤引導(dǎo)區(qū)，并且控制權(quán)的轉(zhuǎn)接方式是以物理地址為依據(jù)，因此病毒占據(jù)該物理位置即可獲得控制權(quán)。（2）文件型病毒。文件型病毒主要感染可執(zhí)行文件，如擴展名為.EXE、.COM等文件，是一種較為常見的病毒。目錄病毒是文件型病毒的一種特例，其感染方式非常獨特，僅修改目錄區(qū)，便可達感染的目的。宏病毒則是一種數(shù)據(jù)文件型病毒。（3）混合型病毒。也稱為多型病毒，是綜合了引導(dǎo)型和文件型病毒特征的病毒，可感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)。（1）計算機病毒特點：寄生性：計算機病毒不是用戶所希望執(zhí)行的程序，一般不獨立存在（計算機病毒本原除外），而是寄生在別的有用的程序或文檔之上?？蓤?zhí)行性：計算機病毒與其他合法程序一樣，是一段可執(zhí)行程序，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序上，因此它享有一切程序所能得到的權(quán)力。隱蔽性：有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難（1）計算機病毒特點：傳染性：計算機病毒最特殊的地方在于它能自我復(fù)制，或者稱為傳染性可觸發(fā)性：病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力破壞性：產(chǎn)生破壞。（1）計算機病毒它的另一特殊之處是，在條件滿足時能被激活，可稱為潛伏性或可觸發(fā)性。當(dāng)然，破壞性是其主要特征。計算機病毒在結(jié)構(gòu)上有著共同性，一般由潛伏、傳染和表現(xiàn)3部分組成。（2）蠕蟲定義：1988年Morris蠕蟲爆發(fā)該蠕蟲是網(wǎng)絡(luò)中的超級間諜，狡猾地不斷截取用戶口令等網(wǎng)絡(luò)中的“機密文件”，利用這些口令欺騙網(wǎng)絡(luò)中的“哨兵”，長驅(qū)直入互聯(lián)網(wǎng)中的用戶電腦。入侵得手，立即反客為主，并閃電般地自我復(fù)制，搶占地盤。用戶目瞪口呆地看著這些不請自來的神秘入侵者迅速擴大戰(zhàn)果，充斥電腦內(nèi)存，使電腦莫名其妙地“死掉”康奈爾大學(xué)高材生：羅伯特莫里斯（2）蠕蟲定義：1988年尤金·斯帕福德(EugeneSpafford)為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義，“蠕蟲程序可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上?！泵绹斩纱髮W(xué)信息安保教育和研究中心主任、前沿互聯(lián)網(wǎng)安全專家（2）蠕蟲獨立的計算機程序，不需要宿主自我復(fù)制，自主傳播（Mobile）利用系統(tǒng)漏洞利用電子郵件（無需用戶參與）占用系統(tǒng)網(wǎng)絡(luò)資源，破壞其他程序（2）蠕蟲2001年7月19日CRI蠕蟲病毒發(fā)作24小時全球感染圖傳播速度快:在網(wǎng)絡(luò)中通過網(wǎng)絡(luò)通信機制，借助高速通信網(wǎng)絡(luò)進行迅速擴散。（2）蠕蟲清除難度大網(wǎng)絡(luò)中只要有一臺主機未能殺毒干凈就可使整個網(wǎng)絡(luò)重新全部被病毒感染。甚至剛剛完成殺毒工作的一臺主機馬上就能被網(wǎng)上另一臺主機的帶毒程序所傳染。僅對主機進行病毒清除不能徹底解決網(wǎng)絡(luò)蠕蟲的問題，而需要借助防火墻等安全設(shè)備進行管理。（2）蠕蟲破壞力強網(wǎng)絡(luò)中蠕蟲病毒直接影響網(wǎng)絡(luò)的工作狀態(tài)，輕則降低速度，影響工作效率，重則造成整個網(wǎng)絡(luò)系統(tǒng)癱瘓，破壞服務(wù)器系統(tǒng)資源，使系統(tǒng)數(shù)據(jù)毀于一旦。（2）蠕蟲與病毒的區(qū)別：蠕蟲和病毒都具有傳染性和復(fù)制功能，但蠕蟲的最大特點是利用各種安全漏洞進行自動傳播（2）蠕蟲蠕蟲在功能上可以分為基本功能模塊和擴展功能模塊。實現(xiàn)了基本功能模塊的蠕蟲程序就能完成復(fù)制傳播流程，包含擴展功能模塊的蠕蟲程序則具有更強的生存能力和破壞力。掃描搜索模塊基本功能模塊攻擊模塊傳輸模塊信息收集模塊繁殖模塊隱藏模塊破壞模塊通信模塊控制模塊擴展功能模塊蠕蟲程序功能結(jié)構(gòu)掃描搜索模塊攻擊模塊傳輸模塊信息收集模塊繁殖模塊尋找下一臺要傳染的計算機。為提高搜索效率，可以采用搜索算法。在被感染的計算機上建立傳輸通道。為減少傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。計算機之間的蠕蟲程序復(fù)制。搜尋和建立被傳染計算機的信息。建立自身的多個副本，在同一臺計算機上提高傳輸效率、避免重復(fù)傳輸。隱藏模塊破壞模塊通信模塊控制模塊隱藏蠕蟲程序，使簡單的檢測不能發(fā)現(xiàn)蠕蟲。摧毀或破壞被感染計算機，或在被感染計算機上留下后門程序等。蠕蟲之間、蠕蟲同黑客之間進行交流，這可能是未來蠕蟲發(fā)展重點。調(diào)整蠕蟲行為，更新其他功能模塊，控制被感染計算機。（3）木馬名稱由來：特洛伊木馬計（3）木馬該木馬主要通過不良網(wǎng)站提供假視頻下載地址進行廣泛傳播。當(dāng)用戶安裝了攜帶該木馬的視頻播放軟件后，該木馬就隨之運行，監(jiān)視用戶的網(wǎng)上銀行操作，篡改用戶的網(wǎng)銀訂單，從而獲得現(xiàn)金轉(zhuǎn)賬，導(dǎo)致用戶資金的流失。2013年9月，被安全軟件廠商騰訊管家截獲。

弼馬溫木馬（3）木馬通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠(yuǎn)程控制的后門，沒有自我復(fù)制的功能一種表面有用，但實際有破壞作用的計算機程序

（3）木馬（3）木馬木馬病毒組成一個完整的木馬程序由兩部分組成

服務(wù)器端中木馬的計算機,即被控制端客戶端通過網(wǎng)絡(luò)控制您的計算機木馬內(nèi)的士兵城外的大部隊客戶端Internet服務(wù)器端①配置木馬②傳播木馬傳播方式｝啟動方式｝發(fā)作方式｝③運行木馬④建立鏈接⑤傳回消息木馬病毒如何工作Internet1.下載郵件2.釋放木馬3.復(fù)制到系統(tǒng)4.在系統(tǒng)中隱藏5.發(fā)回密碼信息（3）木馬特點：隱蔽性：為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣受控端即使發(fā)現(xiàn)感染了木馬，也不能確定其具體位置；非授權(quán)性：指一旦控制端與受控端連接后，控制端將享有受控端的大部分操作權(quán)限，包括修改文件、修改注冊表、控制鼠標(biāo)、鍵盤等（3）木馬共性是自我傳播，都不感染其他文件。傳播特性：木馬需要誘騙用戶上當(dāng)后進行傳播，而蠕蟲包含自我復(fù)制程序，利用漏洞進行傳播。破壞性：蠕蟲的破壞性更多的體現(xiàn)在耗費系統(tǒng)資源的拒絕服務(wù)攻擊上，而木馬更多體現(xiàn)在秘密竊取用戶信息上。與蠕蟲的區(qū)別與聯(lián)系：（4）后門后門是指繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的方法，最主要目的就是方便以后再次秘密進入或者控制系統(tǒng)。（4）后門兩種情況：攻擊者攻陷一臺主機，獲得其控制權(quán)后，在主機上建立后門，比如安裝木馬程序，以便下一次入侵時使用。在程序開發(fā)與調(diào)試期間，程序員常常為了測試一個模塊，或者為了今后的修改與擴充，或者為了在程序正式運行后，當(dāng)程序發(fā)生故障時能夠訪問系統(tǒng)內(nèi)部信息等目的而有意識預(yù)留的。（4）后門Word2003程序中的彩蛋：輸入=rand()，看看效果（4）后門Word2003程序中的彩蛋：輸入=rand()，看看效果（5）Rootkit最初，Rootkit是攻擊者用來修改Unix操作系統(tǒng)和保持根權(quán)限且不被發(fā)現(xiàn)的工具，正是由于它是用來獲得root后門訪問的kit工具包，所以被命名為“root”+“kit”。目前通常所說的Rootkit是指：一類特洛伊木馬后門工具，通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)限并隱藏在計算機中。（5）RootkitRootkit與特洛伊木馬、后門等既有聯(lián)系又有區(qū)別。Rootkit屬于特洛伊木馬的范疇，它用惡意的版本替換運行在目標(biāo)計算機上的常規(guī)程序來偽裝自己，從而達到掩蓋其真實的惡意目的，而這種偽裝和隱藏機制正是特洛伊木馬的定義特性。各種Rootkit通過后門口令，遠(yuǎn)程Shell或其它可能的后門途徑，為攻擊者提供繞過檢查機制的后門訪問通道，而這正是后門工具的定義特性。（5）RootkitRootkit與特洛伊木馬、后門等既有聯(lián)系又有區(qū)別。作為一類特殊形態(tài)的木馬后門工具，一個惡意代碼之所以能夠被稱為Rootkit，就必須具備替換或修改現(xiàn)有操作系統(tǒng)軟件進行隱藏的特性，而這才是Rootkit的定義特性。Rootkit強調(diào)的是強大的隱藏功能、偽造和欺騙的功能，而木馬、后門強調(diào)的是竊取功能、遠(yuǎn)程侵入功能。兩者的側(cè)重點不一樣，兩者結(jié)合起來則可以使得攻擊者的攻擊手段更加的隱蔽、強大。針對惡意代碼的兩條主要防范途徑：（1）法律防范（2）技術(shù)防范對計算機病毒的法律懲處：（1）法律防范我國刑法第286條第一款：違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。我國刑法第286條第二款：違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰對計算機病毒的法律懲處：（1）法律防范我國刑法第286條第三款規(guī)定：故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。根據(jù)該款規(guī)定，故意制作、傳播計算機病毒的，也構(gòu)成破壞計算機信息系統(tǒng)罪。對計算機病毒的法律懲處：依照這兩款規(guī)定，行為人利用計算機病毒對他人計算機系統(tǒng)進行破壞，造成他人計算機信息系統(tǒng)不能正常運行的，或者對他人數(shù)據(jù)和程序進行破壞的，后果嚴(yán)重的，構(gòu)成破壞計算機信息系統(tǒng)罪。這兩款規(guī)定并不直接針對計算機病毒，而是對利用計算機病毒對他人計算機信息系統(tǒng)造成破壞的予以打擊，因而是一種間接規(guī)制。但這樣的刑法規(guī)定在面臨新型的計算機病毒時出現(xiàn)了難題越來越多的計算機病毒，如木馬程序，不再是破壞性的，而是以侵入、控制他人計算機為手段，意圖獲取他人計算機信息數(shù)據(jù)以謀取經(jīng)濟利益。原有的刑法規(guī)定的對象均是破壞性程序，對此類程序則無能為力。對惡意代碼等計算機侵害的法律懲處：增加了新的網(wǎng)絡(luò)犯罪條款新增非法侵入、控制計算機信息系統(tǒng)新增非法提供程序、工具罪新增非法獲取計算機數(shù)據(jù)罪新增非法控制計算機信息系統(tǒng)罪修訂了非法侵入計算機信息系統(tǒng)罪2009年，《刑法修正案（七）》思路：惡意代碼的技術(shù)防范本質(zhì)上是軟件的可信驗證問題Anderson于1972年首次提出了可信系統(tǒng)的概念自此，應(yīng)用軟件的可信性問題就一直受到廣泛關(guān)注（2）技術(shù)防范思路：惡意代碼的技術(shù)防范本質(zhì)上是軟件的可信驗證問題ISO/IEC15408標(biāo)準(zhǔn)和可信計算組織（TrustedComputingGroup）將可信定義為：一個可信的組件、操作或過程的行為在任意操作條件下是可預(yù)測的，并能很好地抵抗應(yīng)用軟件、病毒以及一定的物理干擾造成的破壞。（2）技術(shù)防范模型：軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment（2）技術(shù)防范1、軟件的可信性要求其獨有的特征指令序列總是處于惡意軟件特征碼庫之外，或其Hash值總是保持不變。其技術(shù)核心是特征碼的獲取、Hash值的比對。（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment1、軟件的可信性特征碼掃描技術(shù)，首先提取新惡意軟件的獨有特征指令序列，并將其更新至病毒特征碼庫，在檢測時將當(dāng)前文件與特征庫進行對比，判斷是否存在某一文件片段與已知樣本相吻合，從而驗證文件的可信性。（2）技術(shù)防范1、軟件的可信性Hash值對比（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment2、身份可信驗證用戶獲得的軟件程序不是購自供應(yīng)商，就是來自網(wǎng)絡(luò)的共享軟件，用戶對這些軟件往往非常信賴，殊不知正是由于這種盲目的信任，將可能招致重大的損失。（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment2、身份可信驗證傳統(tǒng)的基于身份的信任機制主要提供面向同一組織或管理域的授權(quán)認(rèn)證。如PKI和PMI等技術(shù)依賴于全局命名體系和集中可信權(quán)威優(yōu)點：對于解決單域環(huán)境的安全可信問題具有良好效果。缺點：隨著軟件應(yīng)用向開放和跨組織的方向發(fā)展，如何在不可確知系統(tǒng)邊界的前提下實現(xiàn)有效的身份認(rèn)證，如何對跨組織和管理域的協(xié)同提供身份可信保障已成為新的問題（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment2、身份可信驗證本機系統(tǒng)軟件代碼簽名驗證：依次點擊“開始”→“所有程序”→“附件”，點擊“運行”（或者使用組合鍵win+r）。在“運行”對話框中，輸入sigverif。然后點擊“確定”按鈕。（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment2、身份可信驗證本機系統(tǒng)軟件代碼簽名驗證：在彈出的“文件簽名驗證”窗口下，點擊“開始”按鈕。（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment2、身份可信驗證本機系統(tǒng)軟件代碼簽名驗證：返回到“文件簽名驗證”窗口下，點擊圖中“高級”按鈕。在彈出的“高級文件簽名驗證設(shè)置”窗口下，點擊“查看日志”按鈕，查看簽名驗證的記錄。（2）技術(shù)防范2、身份可信驗證IE中軟件簽名驗證設(shè)置：首先打開IE瀏覽器Internet選項對話框，進入“高級”頁框，去掉“允許運行或安裝軟件，即使簽名無效”選項前面的勾?！跋螺d未簽名的ActiveX控件”選項選擇“禁用（推薦）”“下載已簽名的ActiveX控件”選擇選擇“提示（推薦）”（2）技術(shù)防范3、能力可信驗證軟件的可信性要求軟件系統(tǒng)的行為和功能是可預(yù)期的，其技術(shù)核心是軟件系統(tǒng)的可靠性和可用性，如源代碼靜態(tài)分析法、系統(tǒng)狀態(tài)建模法等，統(tǒng)稱為能力（行為）可信問題。（2）技術(shù)防范軟件可信驗證模型FICE特征可信驗證Feature身份可信驗證Identity能力可信驗證Capability環(huán)境可信驗證Environment4、環(huán)境可信驗證軟件的可信性要求其運行的環(huán)境必須是可知、可控和開放的，其技術(shù)核心是運行環(huán)境的檢測、控制和交互。（2）技術(shù)防范1.病毒和殺毒軟件的開始從微軟的DOS操作系統(tǒng)開始，電腦病毒就出現(xiàn)了。

到了1988年，麥卡菲推出了自己的第一款殺軟McAfeeVirusScan，這才標(biāo)志著商業(yè)化殺毒軟件的開始。

1.病毒和殺毒軟件的開始

“防病毒卡”

1.病毒和殺毒軟件的開始這種卡可以插在主機的任何一個擴展槽上，不占內(nèi)存空間。它會在電腦上電自檢的時候把程序掛在系統(tǒng)上，就可以對病毒實時檢測了。1991年，剛剛成立的瑞星公司研發(fā)出一款全新的防病毒卡，并用一年多的時間就拿下國內(nèi)一半以上的市場份額。

到了93年，瑞星的防病毒卡日銷量已經(jīng)接近1000套，毛利潤達20萬，這個數(shù)字對于當(dāng)時年銷售量只有45萬臺的國內(nèi)計算機市場來說，還是非常震撼的。1.病毒和殺毒軟件的開始但“防病毒卡”這種硬件不能及時升級病毒庫，要是出了新病毒，你還得把卡寄回去，非常麻煩。江民公司的KV系列KV系列最早只能消滅六種病毒，所以叫KV6，但隨著病毒不停出現(xiàn)變種，KV6肯定是不夠用了。于是王江民發(fā)明了一種叫做“廣譜特征碼”的技術(shù)，通過添加病毒特征碼來查殺變種病毒。1.病毒和殺毒軟件的開始KV系列殺毒軟件越賣越好，從1996年到1998年，KV系列一度占據(jù)了市場80%的份額，將同時代的其他軟件廠商遠(yuǎn)遠(yuǎn)拋在后頭。在那個盜版泛濫的年代，KV系列還能擁有100萬的用戶，堪稱是軟件界的奇跡。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山而另一邊，當(dāng)瑞星反應(yīng)過來的時候，防病毒卡早就大勢已去，自家產(chǎn)品被王江民吊起來打，于是他們也開始轉(zhuǎn)型做殺毒軟件。但這時候再想打入市場已經(jīng)非常困難，瑞星的老大王莘想到想到個好辦法，跟聯(lián)想、方正這些硬件廠商合作，把瑞星作為預(yù)裝軟件放在電腦里，用這種“蹭熱度”的方式來打廣告。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山要光有這種手段，也很難讓瑞星站穩(wěn)，殺毒能力不行的話，估計下場就跟IE差不多。圖片所以瑞星急切的需要一個機會，證明自己實力。而這個機會并沒有讓他們等太久。1999年的4月26日，全球各地的6000萬臺電腦開始陸續(xù)癱瘓，那些中毒的電腦，會被不斷寫入垃圾信息，覆蓋硬盤，直到BIOS被破壞，電腦崩潰，這就是當(dāng)時最恐怖的病毒，CIH。78

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山CIH只有1kb大小，卻造成了10億美元的損失。而瑞星之所以迅速崛起，就是因為他們是當(dāng)時國內(nèi)第一家清除了CIH病毒的公司。在之后不到一年的時間，瑞星的銷量極速回升，月銷量輕松超過十萬套。直到2003年，瑞星都一直占據(jù)著60%的市場份額，他們的年銷量超過7個億，可以說，只要你在國內(nèi)上網(wǎng)，就不可能不知道瑞星。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山雷軍的金山毒霸

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山為了搶市場，金山毒霸推出了免費測試和降價的策略，一度把價格干到50元，宣傳自己是“人人都買得起的高品質(zhì)反病毒軟件”。要知道KV300的零售價是260元，98版瑞星的零售價是230元，而98年浙江省的人均月收入僅有771元。所以雷軍這張降價牌打的非常成功，不到三年，就在市場占有率上超過了老大哥江民，僅次于瑞星。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山在2000年初的這段時間，國內(nèi)的瑞星，金山，江民三足鼎立，國外的卡巴斯基，諾頓，麥咖啡群雄爭霸，估計不少小伙伴也是從這時候開始用殺毒軟件的，那是屬于殺毒軟件的黃金時代。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山2008年7月，一個叫奇虎360的公司橫空出世，宣布自己的殺毒軟件永久免費。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山5年后，時任瑞星市場總監(jiān)的唐威跟媒體坦白：“我們當(dāng)時沒有意識到這種模式的顛覆性，因為看不清楚免費模式要怎么生存?！笨床欢牟还馊鹦?，當(dāng)時幾乎所有同行都不理解這種做法，大家覺得周鴻祎就是來做慈善的，也都沒把他放在眼里。但360的商業(yè)模式壓根就跟同行不一樣，他用免費殺毒給自己的瀏覽器，導(dǎo)航等等產(chǎn)品帶來了大量的流量，用廣告變現(xiàn)的方式來支撐殺毒軟件的研發(fā)和維護。

2.從裝機必備的黃金時代到廣告泛濫后的日薄西山就在所有人還等著360垮臺的時候，它的用戶數(shù)很快就突破了3億，以坐火箭的速度拿下了中國殺軟屆的頭把交椅。那段時間，360把廣告甚至打到了央視。他身后的瑞星和金山也被迫跟著一塊跑。金山在2010年宣布永久免費，而瑞星苦苦撐到2011年也徹底放棄了收費模式。到此，昔日的殺毒軟件霸主接連退場，殺軟的付費模式也徹底宣告落幕。3.殺毒軟件現(xiàn)狀殺毒軟件也不再是以往單純的殺毒，變成了啥都能干的“網(wǎng)管”。里面到處是頁游廣告和垃圾新聞，這些玩意甚至比病毒還惡心。要是你裝了好幾個殺毒軟件，你就能看到真正的流氓打架：不打招呼就上全家桶，隨便篡改你的主頁，不斷用“警告、危險”等彈窗對你連哄帶嚇。目的只有一個，就是爭奪你電腦的主控權(quán)。為什么我們現(xiàn)在不再需要殺毒軟件了？現(xiàn)如今用殺毒軟件的人已經(jīng)越來越少了，以前隔三差五總會出現(xiàn)一些新的電腦病毒，但最近幾年好像都沒聽說裝不裝殺毒軟件，殺毒軟件到底有沒有用，這些十年前就存在爭議的話題似乎從來沒有停止，一邊是殺毒軟件在PC上逐漸銷聲匿跡，而另一邊卻接連不斷發(fā)生網(wǎng)絡(luò)安全事件：游戲服務(wù)器、企業(yè)網(wǎng)站甚至政府部門的計算機都被病毒攻擊過。那為什么殺毒軟件的存在感越來越低了呢？為什么我們現(xiàn)在不再需要殺毒軟件了？2006年中國互聯(lián)網(wǎng)安全報告上的數(shù)據(jù)，全年共截獲234211個新病毒，當(dāng)年的毒王就是“熊貓燒香”。而到了2020年，僅僅是勒索病毒一種，就已經(jīng)有78.1萬個，而惡意程序的數(shù)量是4298萬余個。這樣的數(shù)量放在當(dāng)年是不敢想象的。其實近幾年也不是沒有大規(guī)模的爆發(fā)過電腦病