为什么这两年没再听说有什么大规模的电脑病毒爆发？

DOS时代：任何程序无需任何手续即可做任何事，包括修改操作系统内核、直接发指令字操控硬件。

甚至，如直接修改中断向量表，替换操作系统或BIOS提供的中断服务程序（用大白话说，就是篡改运行中的操作系统内核），以使自己的程序代码藏身中断向量区、在条件合适时可以继续执行的TSR技术（即程序终止驻留内存技术），在当时竟然是普通软件的必修技术之一，不然很多功能都做不到。

普通软件都玩的这么high了……那病毒呢？

——有个病毒每3个字节一解密，然后执行解密出来的指令；执行完指令再解密三个字节；而且前面指令解密后的结果，是后面解密流程的密钥，以至于根本不能下断点，因为下断点就破坏了密钥，使得几乎无法分析它。而且这个病毒还可以在每次感染时变形，两个不同副本不会出现连续3个字节相同……

既然完全没有控制，病毒泛滥就是理所当然的了。

——————————————————————————

windows 9x/me时代：

内核置入IA32架构保护模式的ring 0，其它应用隔离到低权限的ring 3，得到了相当的安全性；

DOS以共用硬盘的虚拟机形式，提供给过去的DOS程序使用；为了兼容，仍然在内核中使用了一些16位代码，以及其他很多兼容措施：这种混合导致漏洞多多；

对DOS的兼容导致只能使用不携带权限信息的FAT16/32文件系统，使得恶意程序仍然可以随便访问任何信息。

结果仍然是病毒泛滥；但已经比DOS时代大有好转。

（甚至当windows 95推出时，就有文章预言windows 95将结束病毒时代：这个预言虽然并未实现，但windows 9x下的病毒，无论是数量、花样、涌现速度，比起DOS时代，的确全都有了几个数量级的衰减。所以说效果还是非常显著的）

——————————————————————————

windows XP时代：

个人桌面终于迁移到NT内核上，有了真正的权限限制；

有了携带权限信息的NTFS文件系统，保护私密信息成为可能（但很多人仍然使用不携带权限信息的FAT32）。

这个时代，情况已经很好了，裸奔也成为可能。

我就曾连续裸奔5、6年，直到arp-iframe病毒出现，才不得不装了AVG。

但XP的弱点是：

第一，其上自带的IE太烂，几乎等于不设防，所以只要局域网一台机器中了arp-iframe病毒，整个网络所有装XP的系统只要上网，就必然中招；

第二，它默认使用有管理员权限的帐号登录（也不得不用，不然很多软件根本不能启动），而这种帐号有权动电脑中的一切，这就相当于部分回归到了DOS时代，自然不能阻挡病毒泛滥；

第三，大多个人用户仍然沿用过去的FAT32文件系统，这种系统不携带权限信息，所以仍然无法保护敏感文件。

————————————————————————

windows vista/7 时代：

有了强制性的UAC，任何程序想做点非法活动，就必然惊动用户，用户不同意你就不能继续（除非你照那些三脚猫的教程关了UAC）；

同时，这个时代的主流浏览器（如chrome、ie、firefox等等），全部有了沙箱机制，即便被网络攻击，也很难影响到操作系统。

然后，携带权限信息的NTFS文件系统终于成为大部分人的默认选项（如果你不知道说的是什么，那么就用的就是NTFS文件系统），敏感信息得到妥善保护。

如此一来，自然就没什么病毒了。

———————————————————————

类似的，linux下为何干脆就没杀毒软件呢？因为linux权限管理非常严格。

所谓Windows因为用户太多所以病毒多，完全是厂商的误导宣传。

linux还服务器多呢。攻陷一个热门网站的服务器，给网页挂马，瞬间就能控制一大批的肉鸡，何乐而不为呢？

事实上，正是因为linux权限控制太严，所以哪怕一台很多人用的服务器，一个用户2X感染了病毒，也没法影响同一个系统中的其他人（从病毒破坏到偷窥其它用户私人资料，都办不到）。

之后只要删掉这个中毒的用户，一切就恢复了。

举例来说，当初Windows有个输入法帮助漏洞：在登录界面切换中文或其它输入法，点帮助，然后在帮助界面导航栏输入c:，就能以管理员权限浏览硬盘、启动任意程序。

这权限管理何其烂也。这么烂的权限管理，怎么可能阻止病毒入侵呢？

更可笑的是，这居然被认为是输入法软件公司的bug：它们本该检查是不是登录状态，不是登录状态就应该灰掉帮助按钮的！

可要是这个软件公司本身就是个流氓呢？你也让它随随便便就能执行本来必需管理员权限才能执行的危险操作而不需要任何用户凭据？

而在linux下呢，未登录就是nobody，除了极少几个在登录时必须能接触的东西（passwd、shadow文件），其它任何东西都不允许你接触。

至于输入法？它必须以当前用户（未登录就是nobody）身份启动，没有哪个管理员能脑残到给它设置setuid，让任何人使用它时，都能临时切换成root身份的。

所以，只要不给权限，任何程序根本就没能力在硬盘上写入任何不良信息（除了设置为nobody可写的文件），也不可能去“启动任意程序”“读取任意信息”，更不可能居然还能得到管理员权限为所欲为——有些部署于互联网的linux服务器，甚至允许任何人以guest登录，都不可能影响到系统安全。原因就是权限控制得好。

————————————————————

最后，说说0 day——因为一说这个，很多半桶水都喜欢跳出来说有0 day，0 day可牛比了，啥都能干。

先解释下，0 day其实是操作系统里面的、能够非法得到高权限的、暂时未能修复的漏洞。

打个比方的话，权限是无法逾越的高墙，而0 day是高墙上无意留下的狗洞——不封住，坏人就可能从狗洞里钻进去。

任何系统都无法避免0 day。在0 day被厂商修复之前，的确是可以用来写“能够一传一大片”的病毒的。

但是，0 day问题和权限问题有一点根本上的不同。

比如，Windows xp的权限设置，普通用户的使用方式和默认权限设置下，到处都是漏洞。

但，对较为专业的用户，他们就可以控制好权限（比如，大企业都有自己的安全策略，所有机器都必须应用这个安全策略）：在他们手里，即便是xp，也是相当安全的。

这点和linux以及后来的win7等系统不同，后者默认就有极高安全性。

因此，权限问题，外行急，普通百姓急，因为他们正被病毒困扰；而有专家的大企业、国家要害部门，不急。

而0 day呢，它不仅威胁大众，同样也可能威胁诸如金融、国防等要害部门。这些部门可比你着急得多。

所以，一旦这类漏洞一旦发现，一般都会被火速修复。

那么，如果你是黑客，好不容易发现了一个别人没发现的0 day；你舍得用这样一个珍贵的0 day随便攻击无确切价值的普通用户，导致杀手锏过早暴露吗？注意，一旦0 day暴露，可是会被厂商用紧急补丁修复的哦。

（一个0 day，国外黑市报价数万美元，而且可以卖给多个买主，所以“珍贵”绝不是空口白话）

————————————————————————

换句话说，攻击XP及之前的windows/DOS系统，无需任何特殊技术，因为它们要么根本没权限概念、要么权限形同虚设；而攻击windows vista/7之后的系统，就必须先找个未修复的0 day漏洞，绕过权限机制。

更形象点说：一个半吊子程序员，在以管理员身份登录的xp用户那里，轻松就能写一个程序肆意破坏；但想去攻击被权限严密保护的windows vista/7、unix用户，就必须先挖出一个0 day……这可不是一般半吊子能做到的；能做到的，也不会再屑于做过于“小儿科”的病毒了。

综上，所以一旦权限控制好，病毒自然就销声匿迹了。

PS：科普一下，啥叫病毒呢？在xp及以前的系统里，你只要搞一个autorun.ini，在ini里面指定运行当前目录下的 病毒.bat，而这个 病毒.bat 内容是一个死循环，这个死循环每5秒把autorun.ini、病毒.bat两个文件复制到C:、D:、E:……等分区根目录，如果出错，忽略出错信息：这就是个可传染的U盘病毒。

嗯？你还想要破坏？写一行脚本统计下启动次数，达到1000次就执行format c: /y就行了。

其它无论多高大上的病毒，核心机制都是这几板斧。至多启动、传播机制略有不同而已，但都是些通用机制，学过几天编程的都知道。

显然，病毒没啥大不了的，更不是什么高科技。一个合格的、计算机专业一年级学生，都有足够写出一个病毒的能力。只是不合格的计科学生太多、非计科专业出身的人也太多，这才给了那些半瓶子咣当、想吸引MM眼球的家伙成名的机会。

所以，不同于197x～198x年代，那时计算机才刚刚出现，计算机病毒也还是个刚刚被理论预言出来后、出炉没几天的新鲜玩意儿；但现在嘛，写病毒在行内人眼里叫“掉价”，是些正路子走不通才铤而走险的家伙才会去玩的无聊东西：而这些人呢，写病毒又很难赚钱，不如木马能来钱。

而木马靠什么来钱呢？当然是偷盗用户隐私信息。

但安木马偷用户隐私信息可不容易啊，又得想办法骗用户点击又得找浏览器的0 day从沙箱逃逸、然后可能还得找操作系统的0 day从浏览器默认的极低权限提权，而且没多久木马用的那个0 day又失效了，还得重新来……


那么，真正绝妙的好主意是什么呢？

你猜对了。
写个流氓软件，光明正大要系统权限。用户一看，这种软件有用啊，又不要钱，当然要装啊。装上人家就监控你在电脑上的所有举动，然后上传到服务器——咦？这不就是木马吗？

谁说的？木马是偷偷摸摸藏自己、偷信息，人家光明正大搬。这怎么能叫木马呢？

嗯，反正无论如何，用户信息都拿到了，后者你还没法说他。那么，又何必写木马呢？
然后，嗯，反正大家都是流氓，就谁也别揭发谁了。事情大概就是这样子的。
当然，仅限于国内。

PS2：随便再扯扯“隐私”。

这年头，国外天天沸沸扬扬，反对软件公司监控用户隐私；国内也说流氓软件上传用户隐私，这两个隐私可是截然不同的。

国外说的隐私，是诸如“你在亚马逊曾经买过什么、看过什么”这类信息、或者是某个软件启动过多少次、在每个功能上耗费了多少时间这类信息（这类信息可用于改进软件，但无法用来分析用户习惯；相关软件的用户协议会明确向你说明，他们会采集这类信息——但是，注意了，他们还会着重告诉你，他不会采集任何和用户输入内容等相关的隐私信息，也不会识别信息来自哪个用户：因为这种做法是高度敏感的，没人敢放到用户协议里面，放进去他就可以去坐牢了）。

像亚马逊得到哪些信息，得到的途径是完全合法的——多新鲜，你去看过人家网站、买人家东西，人家能不知道？

但，如果对这种信息做深入分析（也就是现在风头正劲的“大数据”），是可以挖到很多潜在信息的。比如，根据你的登录ip或者手机上的gps位置信息，可以知道你是不是出门旅行了，所以给你推销旅游产品、推荐当地的著名餐馆、旅馆；根据你最近看的书、买的药，知道你可能出现了心理问题，给你推荐心理咨询师；最恶劣的，甚至根据你的消费记录，发现你财大气粗，所以同样的商品，故意给你显示一个更高的价格，等等。

有些人会说，这多好啊，贴心服务，除了高价，都能接受。
但另一些人可不喜欢被别人知道这些。
所以，老外反对“识别、分析特定顾客”，并把这个叫“侵犯用户隐私”。

但，亚马逊不可能不盘点自己的仓库，不可能不分析自己的商品销售情况、适应人群。这和那种“侵犯隐私”的分析，又如何区分呢？

所以，“隐私”就这样在国外成了一个热门话题。


而国内呢，那些监控用户在机器上的活动等行为，本质上就是非法的，和潜入别人家里翻阅人家的日记、偷偷在主人卧室装摄像头等行为没什么区别，是不折不扣的犯罪。
显然，两个隐私截然不同。胡扯八道什么“国外也有隐私问题”的，完全是在偷换概念。

电脑病毒实际上还是有很多的，只是其中大部分商业化和军事化比较显著，攻击目标单一明确，目的性极强，例如：

2003年的骤雨计划，一系列专门针对美国政府、军火商、科学研究室的电脑进行攻击的行动；

2009年的极光计划，遭受攻击的包括google在内的一系列公司；

2010年的震网计划，专门针对并破坏伊朗纳坦兹的核设施，这里推荐一部关于震网病毒的纪录片：

2014年，OpenSSL被曝出的“心脏出血”漏洞，导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据，获取内存中的敏感信息。

2016年，孟加拉银行遭黑客入侵，其向环球银行金融电信协会网络（SWIFT）发出35条欺诈性指令，计划将纽约联邦储备银行近10亿美元的资金非法转移至隶属于孟加拉央行孟加拉银行的账户。

但是，大规模的电脑病毒爆发，并没有完全消亡，例如：

2017年，一个名叫 WannaCry，中文名为「永恒之蓝」的病毒，在全球范围内的 Windows 设备上肆无忌惮的横行，并且无差别地敲诈勒索所有被其所攻击的设备。

从政府网络到关键信息基础设施，从个人到企业，从电脑设备到移动设备和服务器，没有一个能够逃脱这场灾难，给整个社会带来了巨大的威胁。

2017年5月12日晚，国内部分高校的学生反映电脑被病毒攻击，电脑内的文件被加密，且病毒疑似正在透过教育网向更大范围进行传播。尽管微软于2017年3月14日已经发布过Microsoft Windows补丁修补了这个漏洞，然而，在5月12日WannaCry勒索软件利用这个漏洞传播时，很多用户仍然因为没有安装补丁而受害，数量众多。

除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等公安网和政企专网、以及大量的公共基础设施也都遭遇了病毒袭击，许多公安机关和政府部门由于勒索软件的影响被迫停止工作。

近年来，勒索软件成为全球范围内增长最快的威胁之一，并且被认为是全球网络攻击的领导者，因为它能导致许多组织和个人面临一些安全问题和巨大损失。

中国国家互联网应急中心发布关于防范WannaCry的情况通报，称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试，发起攻击尝试的IP地址数量9300余个。^[1]z

加密勒索软件，顾名思义，就是通过加密算法来加密受攻击电脑上的数据，将其文件加密锁死，以此向受害者勒索赎金的恶意软件。

加密勒索软件的核心是加密算法，比如2017年的WannaCry使用的就是安全度极高的RSA非对称加密算法和AES对称加密算法。

RSA是基于「大整数分解」这一数学困难问题的公钥密码体制，也就是说，对两个质数相乘容易，而将其合数分解很难，基于未被解决的「大整数分解」这一数学困难问题，被攻击者便只能乖乖上交赎金，以此保得数据安全恢复。

WannaCry主要通过网络和电子邮件进行传播，其利用了美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播，具有自我复制和传播迅速等特点。

从2017年的全民式爆发，到2021年，勒索攻击目前呈现愈发明显的APT化，主要针对于高价值企业，目前的勒索软件攻击开始供应链化，攻击低成本高回报则更加助长了勒索软件的盛行。

WannaCry的第一波攻击似乎渐渐平息，但此类攻击“一波未平一波又起”，将呈常态化也并非不可。

此外，由于目前勒索软件都是使用诸如RAS等无法被暴力破解的非对称算法做加密，且会多次写入硬盘，因此数据恢复和还原的可能性并不大。

有一个很重要的防护手段，那就是及时更新安全补丁。

从前面的叙述中可以看到，WannaCry所利用的其实并非0day漏洞，但中招者依然不在少数，原因何在？主要是很多人不重视系统的安全补丁更新，才导致了后续被攻击的事情发生。

最后，多啰嗦一句，现在加密算法实在是太成熟了，如果某公司声称一个勒索软件能够被破解，那只能说明某公司就是勒索软件的制作者，或者是勒索软件制作者的合作者。你交的钱，安全公司和黑客早就谈好三七分成罢了。

参考

1. ^ https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

这两年，到底是哪两年？

因为病毒已经不再是恶意软件的研发主流。恶意软件的主要研发力量没有放到病毒上。

恶意软件目前大致可以分为四类：

1. 病毒。复制自身，感染其他文件，在文件间进行传播，然后潜伏，在适当的时机爆发，主要危害单机。
2. 蠕虫。复制自身，不感染其他文件，在网络间进行传播，消耗网络带宽，主要危害网络。
3. 木马。复制自身，驻留目标机，为目标机提供远程控制功能，主要目的为远程控制或借用肉鸡。
4. 间谍。复制自身，潜伏目标并且搜集目标机信息，并不断传播信息出去，主要目的为搜集用户隐私。

目前的恶意软件主要是以木马与间谍为主。他们从特性上就不可能产生大规模爆发。因为爆发完他们就不能继续产生效益了。

只有病毒才会爆发，因为病毒只有爆发才能产生效益，比如某病毒爆发后勒索用户。但病毒早就不是恶意软件的主体了，毕竟，爆发后才能赚钱，这种收益效率实在太低。

恶意软件的主体已经不再是病毒，因此自然我们看不到病毒爆发，而蠕虫，木马，间谍这些种类的恶意软件，都在「闷声发大财」呢。

所以我也一再强调我们现在并不需要杀毒软件，但我们需要安全软件，我们主要需要防住的是木马与间谍，而不是病毒。

以前的病毒:欢乐时光、求职信、redlof、爱情后门、熊猫烧香…

蠕虫病毒，可能在熊猫烧香之后就很难见到了。

现在的病毒:

它们偶尔帮你抓个无关痛痒的玩意儿，在你打开公司/学校发的安装包、某些软件时大呼有毒并瞬间删除。

它们广告遍地，悄悄吸引你安装全家桶，给你的右下角、网页、屏保插播广告，全不顾你的设备越来越慢。

领导和越来越多的人迫使你必须在手机中安装它们的产品，举行会议、打卡、甚至渗入了日常活动、X情管控。

它们扫描你的相册，窥探你的隐私，并把一切敢反对它的力量击败于法庭。

贼篡了，便不叫贼了。