关于预先防毒不得不知的部分
为什么预先防毒很重要
假设有一枚导弹即将击中一座城市,是提前拦截导弹更省事,还是在击中了城市之后再修复更省事?
虽然拦截导弹会费很多事情,甚至有可能做无用功拦截不了。但是导弹击中城市之后重建废墟中的城市显然更加费力,尤其是这座城市很大的时候。城市越大,导弹击中之后重建就越费力。
计算机预先防毒就是拦截导弹。当病毒成功入侵电脑的时候,该丢的数据已经丢了,该丢的账户密码也都丢了,病毒一通破坏造成的系统异常也发生了。除非这台电脑安装的软件极少,还原起来容易,而且没有登陆过任何账户,否则还原乃至重置被破坏的系统到可工作状态将消耗极大的精力。
我为什么需要杀毒软件
注
本节场景模拟使用样本 SHA-256:466edd12b44d227bc7e2bd82d17ce3c7b60b3d486d7f2bf70c0fb79846139e2d
本节内容不是卡巴斯基软件宣传。
先来看一个情景(没有歧视游戏玩家的意思)
某天,某人收到了一封主题为“Re:待处理发票”的邮件。ta 没有安装任何杀毒软件,为了清净甚至利用工具删除了 Windows Defender。出于好奇心,ta 下载并打开了附件中的“PDF”
没有反应。某人顿时对这个“PDF”失去了兴趣。电脑中的一切都是那么的风平浪静,这个人认为 ta 的电脑没有任何问题。
某天在开机后某人立刻打开了任务管理器,虽然占用不大,但是一个没有名字的进程吸引了 ta 的注意力。
这个进程不一会就消失了,电脑也没有什么别的问题。“不影响我打游戏”,ta 想。
——直到有一天 ta 账号被盗了
ta 下载了卡巴斯基免费版。甚至还没开始全盘扫描,卡巴斯基免费版就开始报毒了。
ta 发现 ta 的电脑里面居然有这么多病毒。
原来当时的“PDF”不是 PDF,而是一条指令,用于执行远程命令。
卡巴斯基免费版可以直接防御。
Trojan/MSIL.DCRat
Trojan/MSIL.DCRat 可以通过钓鱼邮件、恶意链接、网络下载等途径传播,常常利用社交工程手段欺骗用户点击恶意链接或下载恶意附件。
一旦潜入系统,Trojan/MSIL.DCRat 会尝试隐藏自己的文件、进程和注册表项,以避免被发现和清除。
该病毒具有远程控制的功能,攻击者可通过远程命令和控制面板操控被感染的计算机,进行各种恶意活动。
Trojan/MSIL.DCRat 可以窃取用户的敏感信息,如账号密码、银行卡信息等,并将这些信息发送给攻击者。
该病毒可能通过下载和安装其他恶意软件,进一步危害受感染系统的安全和稳定性。
Trojan/MSIL.DCRat 会修改系统设置和权限,以维持其存在,并阻止杀软和安全工具的正常运行。
From 计算机病毒百科
没有杀毒软件保护电脑,等到黑客利用各位的电脑攻击别的服务器/黑客盗取了各位的账户,出现了后果就晚了。
为什么杀毒软件不能 100%拦截所有的病毒
缺乏经验的用户在使用计算机时可能会产生虚假的安全感,认为他们的计算机是无懈可击的。但其实不是这样的。
首先,任何软件都有可能存在漏洞,杀毒软件也不例外。
例如,Avast 和 AVG 曾经有一个长达 10 年的漏洞,允许攻击者提升权限,从而禁用安全产品、覆盖系统组件、破坏操作系统。这两个漏洞分别被编号为 CVE-2022-26522 和 CVE-2022-26523,并在 2021 年 12 月 20 日由 SentinelLabs 首次披露。[1]直到 2022 年 2 月 8 日,Avast 才在其论坛上发布了修复公告 [2]
所以说如果一个技术高超的病毒作者下定决心要突破这些杀毒软件的防御,肯定能找到突破的方式。而且杀毒软件如果被针对也会出现无法安装、无法启动的情况。
此外,杀毒软件在保护系统安全的同时,还需要在检测率和性能之间找到平衡。过于严苛的检测会导致系统性能下降[3],所以杀毒软件必须在检测精度和系统性能之间进行权衡。
如果有一款杀毒软件能够拦截所有病毒,但是代价是电脑变得极其卡顿——我相信没有人会选择它。
现在的大多数杀毒软件使用启发式分析、行为检测和机器学习等先进技术来对抗多态病毒。这虽然提高了防护效果,但也带来了更多的误报,即将正常程序误认为病毒,极大影响用户体验。[4]为了减少误报,杀毒软件厂家通常需要不断调整引擎或利用白名单。然而,这些做法也可能给病毒提供可乘之机,例如“白加黑(利用白文件加载恶意的动态链接库(DLL) )”免杀技术[5]。
综合上述问题,杀毒软件无法达成 100%的防护率。
为什么不能同时安装多个完整的杀毒软件
杀毒软件之间除非经过特殊设计,官网以极为显眼的标语写明兼容大多数杀毒软件,否则默认互不兼容。
多个杀毒软件同时安装就好像各位在一个屋子里面雇了很多互不认识的保镖(多个杀毒软件之间不兼容),哪个保镖都带着武器(杀毒功能)谁看谁都可疑,在杀病毒之前会打内战互相拖累。
此外,杀毒软件在运行时会使用多种高级技术对程序行为进行检测。当系统中仅安装一个杀毒软件时,这些检测已经会对系统性能产生一定影响。随着杀毒软件数量的增加,多余的检测也会成倍增加,最终导致系统运行缓慢。同时,各个杀毒软件的隔离技术和检测机制之间可能存在冲突,甚至可能因为这些冲突导致它们无法有效拦截恶意行为。
驱动冲突问题也是不可忽视的。比如老生长谈的火绒卡巴冲突问题[6]
至于为什么有些人在安装多个杀毒软件后依然没有遇到问题,这其实是因为每个人的电脑环境都不同。硬件配置、驱动版本、软件安装情况等因素都可能影响杀毒软件的兼容性。例如,有的人可能没有开启某些杀毒功能,或者某些电脑中的游戏没有安装反作弊驱动。这些细微的差异都可能使得同样的配置在不同的环境下表现不同。
种种原因之下,导致了一种“别人能用不代表你能用”的情况。
顺带一提,Windows 安全中心(Windows Defender)是一个“例外”。这并不意味着它可以打破“一台电脑不能同时安装多个杀毒软件”这一规则——这只是因为它在检测到第三方杀毒软件安装时会自动禁用自身罢了。这是微软官方的设计。如果安装多个杀毒软件是个正确的选择的话,微软为什么要做出这种设计呢?
因此,为了保证系统的稳定性和性能,在选择杀毒软件时,选择一个可靠的即可。怕保护不全面的话,可以加辅助工具,但不能同时安装多个杀毒软件。
上网习惯与杀毒软件的相辅相成
某些人看到了杀毒软件对于系统性能的影响,以及近日 CrowdStrike 导致 Windows 操作系统大规模蓝屏事件的出现[7]。认为杀毒软件是导致电脑卡顿以及系统不稳定的元凶,甚至在网上出现了这类抛弃杀毒软件使用单纯的扫描器的观点。这种观点和上一条属于两个极端。
不可否认,杀毒软件在运行时会占用系统资源,尤其是在后台执行全盘扫描或实时监控时,可能对系统性能产生一定影响。在某些极端情况下,杀毒软件也可能引发系统不稳定。
但是,把所有性能问题和系统不稳定性归咎于杀毒软件是过于简单化的观点。
首先,杀毒软件在性能及稳定性方面的优化并非停滞不前。虽然偶尔出现的蓝屏事件引发了广泛关注,但这并不能代表所有杀毒软件的常态表现。
如果仅依赖如NPE等轻量级扫描器,确实可以在短时间内快速扫描系统,并且占用资源较少。不过,这种选择仅适用于非常特定的用户群体——那些有着极高的安全意识和自律能力,能够确保自己在日常使用中严格遵守网络安全最佳实践的人群。
如果各位能够严格遵守包括但不限于以下所有行为,那就证明各位有遵守网络安全最佳实践的能力:
- 绝对不下载非官方软件
- 绝对不使用破解软件
- 不点击任何陌生邮件
- 只访问绝对可信的网站且绝对不会出现看错了或打字打错了的情况
- 不下载使用即便是官方但是使用人数少的非开源小众软件
- 任何软件尽可能使用开源代替品
- 任何软件下载后经过约一周后使用NPE等扫描器扫描无病毒后再使用
一旦出现任何疏忽,系统就可能暴露在风险之中,而轻量级扫描器无法提供实时防护,对于未知威胁,尤其是零日攻击,基本无能为力。杀毒软件对于各位来说属于是必需品。
杀毒软件是系统安全的一道"保险",可以实时监控系统活动,防止恶意软件、网络攻击、钓鱼攻击等威胁的入侵。放弃杀毒软件而仅依赖扫描器,虽然提升了系统性能,但从长远来看,这种做法的风险远远大于收益,系统的安全性和稳定性可能会大大降低。
如果实在是在意性能,可以选择诸如ESET这类轻量级杀毒软件,而非直接使用扫描器。上网习惯与杀毒软件是一种相辅相成的关系,不是对立的两种观念。
为什么电脑病毒不会传播给手机(反之亦然)
我们先来讲个笑话。实际上,各位的手机和电脑很可能已经被大量的 Chromium 浏览器占领了——因为原生软件跨平台成本太高了。想要跨平台要么针对每个平台单独开发,要么使用跨平台框架或技术。
而病毒由于需要挖掘系统漏洞、绕过防病毒软件,用统一的“转译器”的方式只能提供有限的跨平台能力——但这不可能是手机跨越到电脑,也不是电脑跨越到手机。没有“转译器”,病毒就得自适应各个平台内核不同、硬件架构不同、系统权限管理机制不同,甚至利用漏洞的方式都不同,想传播过去还得给分析情况伺机而动——而这是不可能的。
至于高级持续性威胁(APT)等复杂攻击可能具备针对多个平台的能力,但是 我只能说,只要各位不是在涉密单位工作的人,就没人乐意这么攻击各位。毕竟攻击的成本过高,入不敷出。
退一万步讲,病毒作者与其花大把的精力用在病毒怎么跨平台上,不如专心制造一个平台的病毒,多感染几台同平台设备。跨平台软件本身就很难,跨平台病毒更是难上加难。
为什么手机轻易不会感染病毒
参见为某些宣传后遗症的患者手机病毒木马提供一下参考,永久存档
为什么手机不需要安装第三方杀毒软件?
先不提手机轻易不会感染病毒。由于现在手机大多数没有 root(即获取最高权限),第三方杀毒软件也不可能像在电脑上那样获得极高的权限。没有权限又谈何拦截?一般来说,手机厂商自带的杀毒软件(手机管家)都被授予了最高权限,系统漏洞手机厂家也会提供修复,只用手机自带的杀毒软件并注意授权就已经可以了。