無(wú)意中看到英國(guó)的安全愛(ài)好者Graham Sutherland的一篇舊文《The anti-virus age is over》，盡管是一年前所寫，但仍舊可以以“呵呵”的態(tài)度一覽作者之AV觀：

Graham所說(shuō)并非毫無(wú)準(zhǔn)備，上文是他研究了眾多AV引擎之后所寫。時(shí)至今日，盡管Graham對(duì)于上文中的內(nèi)容略有改觀，比如印度軟件開(kāi)發(fā)人員不再是那么便宜，但其仍然認(rèn)為：AV產(chǎn)業(yè)正面臨窘境!之所以這樣說(shuō)，是因?yàn)椋?/p>

對(duì)于平散列(flat hash)甚至CRC32的嚴(yán)重依賴來(lái)保持AV性能導(dǎo)致修改一個(gè)字節(jié)即可達(dá)到免殺效果。

在模糊哈希方面沒(méi)有真正的建樹(shù)。

I/O訪問(wèn)優(yōu)化的止步不前。

對(duì)操作系統(tǒng)的不良修改，比如非ASLR動(dòng)態(tài)文件被注入到進(jìn)程。

反內(nèi)核緩沖區(qū)溢出/堆噴射機(jī)制不再有效。

在文件、進(jìn)程、系統(tǒng)對(duì)象等等方面ACL的應(yīng)用貧乏。

脆弱而又易被攻擊的組件。

對(duì)于敏感數(shù)據(jù)的低效加密方式，比如：512位的RSA加密。

松散的QA管理，比如曾經(jīng)有篇文章名為《AV detescts itself as malware,screws everyone's boxes》。

相當(dāng)、相當(dāng)、相當(dāng)糟糕的用戶界面。

在白名單機(jī)制和“known good”列表上沒(méi)有實(shí)際的創(chuàng)新。

​Graham言下之意，是在新型安全威脅形勢(shì)下，AV廠商所面對(duì)的是新老問(wèn)題共存，對(duì)AV抱有的是極其悲觀的態(tài)度。如果這僅是一家之言，不妨看看2007年高德納公司研究主管Anton Chuvakin的發(fā)現(xiàn)：

有以下答案供選擇：

100%

94%

90%

70%

50%

33%

22%

14%

2%

其他?

​答案是33%，所有AV產(chǎn)品中最高檢測(cè)率為50%，最低檢測(cè)率僅有2%。令人印象深刻且難以置信的是，你花錢買來(lái)(免費(fèi)下載)的殺毒軟件可能只有2%的效果，對(duì)于大多數(shù)惡意軟件可能根本無(wú)能為力!

有一臺(tái)Windows XP SP2系統(tǒng)的電腦，系統(tǒng)補(bǔ)丁已更新至最新，并采取以下措施保護(hù)該系統(tǒng)：

1)賽門鐵克企業(yè)版10.X反病毒軟件，并開(kāi)啟所有保護(hù)措施，包括間諜程序/廣告程序檢測(cè)功能。

2)Windows Defentder 1.0版本，并設(shè)置每天更新且掃描，以及開(kāi)啟所有保護(hù)功能。

3)ZoneAlarm 6.X免費(fèi)版防火墻，并配置了良好的出站策略，以及禁止了所有入站連接。

此外，該系統(tǒng)刪除了所有可能遭受攻擊和感染的Windows自帶協(xié)議(比如NetBIOS)，停止了許多無(wú)關(guān)服務(wù)，配置IE瀏覽器禁用注入ActiveX等風(fēng)險(xiǎn)項(xiàng)。

一天，這臺(tái)電腦的用戶發(fā)現(xiàn)ZoneAlarm報(bào)警有一系列企圖對(duì)外連接的請(qǐng)求，出于某種警惕性，這名用戶點(diǎn)擊ZoneAlarm彈出框上的“拒絕”按鈕，卻發(fā)現(xiàn)“拒絕”按鈕是灰色狀態(tài)，無(wú)法點(diǎn)擊。隨后這名IT人員Google了發(fā)起網(wǎng)絡(luò)連接的程序名：uvcx.exe，但仍不得不關(guān)閉了這臺(tái)電腦，直到Anton博士介入調(diào)查此事……

是的，Anton正是上面那個(gè)問(wèn)題的參與者，由此他推論：多年來(lái)有不少安全產(chǎn)品一直在糊弄大眾，“主流”AV產(chǎn)品已死!

筆者也有類似遭遇，多年前筆者電腦遭受某種木馬下載者感染，本企圖借助殺毒軟件清除病毒，卻在先后試用國(guó)產(chǎn)兩款反病毒產(chǎn)品后以查無(wú)病毒告終，不得已還是以手動(dòng)清除解決。但筆者遠(yuǎn)不如Graham和Anton博士那樣對(duì)AV產(chǎn)業(yè)悲觀，相反，在未來(lái)信息安全發(fā)展中AV產(chǎn)業(yè)及企業(yè)需要做適應(yīng)性轉(zhuǎn)型，且任重而道遠(yuǎn)! 

計(jì)算機(jī)病毒從上世紀(jì)80年代中期發(fā)展至今，經(jīng)歷了惡作劇、報(bào)復(fù)心理、經(jīng)濟(jì)驅(qū)使以及當(dāng)下的政治因素誘導(dǎo)，制作技術(shù)愈加純熟，特別是在互聯(lián)網(wǎng)時(shí)代病毒制作技術(shù)已變地成本愈加低下。由此參與病毒編寫的人群不會(huì)減少，反而會(huì)越來(lái)越多，有需求便會(huì)有產(chǎn)業(yè)，這絕非是計(jì)算印度開(kāi)發(fā)人員收入和反病毒工程師收入可以衡量趨勢(shì)的，好奇心、報(bào)復(fù)性、金錢誘惑、使命所為均會(huì)成為參與病毒編寫的驅(qū)使因素，想想?yún)⑴c黑產(chǎn)所獲得暴利吧!

多態(tài)病毒早在20多年前便已誕生，如今也早已不是什么新鮮話題，只是傳統(tǒng)的特征碼和啟發(fā)式技術(shù)對(duì)于此類病毒顯得捉襟見(jiàn)肘罷了!反病毒產(chǎn)品的功能主要有三部分：阻止、檢測(cè)、響應(yīng)，而如今主動(dòng)防御也早已興起多年，沙盒技術(shù)也已逐漸在各大軟件廠商的產(chǎn)品(比如微軟Office 2012)中應(yīng)用，通過(guò)加密/解密變形的多態(tài)病毒的防御(虛擬機(jī)技術(shù))也已不是問(wèn)題。因此僅僅因?yàn)槎鄳B(tài)病毒的發(fā)展來(lái)否定AV的重要性是片面的。

AV產(chǎn)業(yè)真正面臨的困難，是病毒多平臺(tái)、多渠道、多技術(shù)的發(fā)展，比如移動(dòng)設(shè)備、藍(lán)牙傳輸、與木馬技術(shù)混合，看似四面楚歌之勢(shì)，也是對(duì)于AV廠商的重大考驗(yàn)：既要應(yīng)對(duì)多態(tài)、rookit等，亦要應(yīng)對(duì)早已老掉牙的bat、vbs編寫的病毒，如此便有不同技術(shù)/平臺(tái)優(yōu)勢(shì)的AV廠商的出現(xiàn)以及不同AV引擎的結(jié)合，比如致力于智能手機(jī)病毒的Lookout公司、結(jié)合小紅傘和BitDefentder殺毒引擎的360安全衛(wèi)士。

在病毒數(shù)量不斷增長(zhǎng)的趨勢(shì)下以及傳統(tǒng)特征碼存儲(chǔ)的尷尬境遇下，云查殺順勢(shì)而出，國(guó)內(nèi)某安全公司的安全產(chǎn)品甚至采取“非白即黑”的查殺策略。

而如今APT攻擊已然成常態(tài)，各類自編寫的特定惡意軟件則依然必須由AV廠商應(yīng)對(duì)及披露，盡管在阻止方面似乎仍然無(wú)能為力，正如筆者在《兵臨城下——信息安全的新挑戰(zhàn)》中所寫，震網(wǎng)、火焰病毒均是由AV廠商發(fā)現(xiàn)并公之于眾的。但僅僅如此還不夠，純粹的技術(shù)對(duì)抗在未來(lái)勢(shì)必難上加難，反病毒技術(shù)及常識(shí)的普及對(duì)于AV廠商、安全人員才是以柔克剛之策。以筆者所見(jiàn)聞，倘若普通民眾能夠在個(gè)人電腦、電子設(shè)備操作上養(yǎng)成良好習(xí)慣(比如甚訪問(wèn)可疑網(wǎng)頁(yè)、注意軟件安裝所附帶插件/程序)，并助以選擇合適且安全的軟件產(chǎn)品(比如甚用IE瀏覽器)以及安全產(chǎn)品，足以大大減少個(gè)人遭受惡意軟件侵害的可能性，比如筆者家中父母所用電腦便因隨意安裝各類軟件、插件而遭受木馬攻擊而不自知。

事實(shí)上，不僅AV產(chǎn)業(yè)，整個(gè)安全行業(yè)的趨勢(shì)中，人員的因素顯得愈加重要，所謂7分管理3分技術(shù)，安全更是如此：7分意識(shí)3分技術(shù)。因此，合作方能共贏是安全廠商發(fā)展之趨勢(shì)，安全意識(shí)培養(yǎng)方為個(gè)人信息之保障!

更新：

就在本文寫完后的第二天，筆者在網(wǎng)上看到，ESET公司(NOD32反病毒軟件和ESET智能安全產(chǎn)品所屬公司)市場(chǎng)和營(yíng)銷專員Ignacio Sbampato對(duì)于AV行業(yè)所面臨挑戰(zhàn)的評(píng)論，他認(rèn)為：在商業(yè)層面上的挑戰(zhàn)來(lái)自于基于云計(jì)算的服務(wù)、社交網(wǎng)絡(luò)(AV產(chǎn)品無(wú)法觸及)以及免費(fèi)經(jīng)濟(jì)時(shí)代的軟件，此外還有智能手機(jī)應(yīng)用發(fā)展所帶來(lái)的挑戰(zhàn)，這不同于傳統(tǒng)的反病毒領(lǐng)域，在用戶行為層面上的挑戰(zhàn)來(lái)自于盜版軟件使用，這不僅影響AV廠商，也影響AV的保護(hù)層面和程度，比如盜版的Windows系統(tǒng)安裝盤很可能被植入有病毒程序。