设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

毒师周军:我如何创造一只“杀毒神兽”(4)

发布时间:2017-03-03 19:11 所属栏目:53 来源:雷锋网
导读:火绒的用户大概在200-300万,这些终端很多都是类似网络管理员这样的“关键人物”。所有这些用户实际上散步了一张非常广泛的信息收集网。在用户的许可下,所有的可疑行为都会被收集,经过本地分析以后,汇总到威胁情

火绒的用户大概在200-300万,这些终端很多都是类似网络管理员这样的“关键人物”。所有这些用户实际上散步了一张非常广泛的信息收集网。在用户的许可下,所有的可疑行为都会被收集,经过本地分析以后,汇总到威胁情报平台。这些数据达到一定的数量,就可以清晰地呈现出哪些新的行为模式正在产生。而我们仅仅需要对可疑的大量的行为进行人工审核,就可以判定这是不是一种新的病毒。

这就是“用威胁情报的方式做终端安全”。使用这个方法,我们发现了很多隐藏极深的木马病毒。

例如一个被我们命名为“Toxik”的病毒。

2016年4月,我们的威胁情报系统发现,一个知名软件的升级程序,居然在很多终端上“不务正业”地下载了许多其他软件,说白了就是软件推广。

经过我们的分析,发现了事情的真相。原来这个升级程序被各大安全软件列入了“信任白名单”,而“Toxik”病毒正是利用这个漏洞,先入侵升级程序,再恶意推广。最终,我们通过人工溯源,成功地定位到了病毒代码源头,直至找到病毒制造者本人。

用威胁情报系统发现的病毒还有:劫持流量的小马激活、能够“攻破” HTTPS 协议的净广大师、专门攻击盗版用户的 Bloom 病毒,等等等等。

毒师周军:我如何创造一只“杀毒神兽”

【Toxik 病毒感染全流程】

(六)

有两件事让我很纠结。

第一件事,就是现在捆绑安装成为了一种“标配”。但是在“软件免费化”的洪流中,所有的软件几乎都在做这样的事情。

而在我们的观点中,所有静默安装捆绑推广都是对用户的侵害。只是在现阶段,我们没有办法把这些软件标定为病毒。如果按照严格的标准来说,很多日常在使用的,用户上亿的大软件,都可以被定义为流氓软件。

实际上,在我们的威胁情报系统后台,前十位软件侵权行为都是我们日常在用的某些来自 BAT 的流行软件。这让我们无法忽视。

所以,我们的做法是:至少让用户知情。如果一个软件捆绑安装了其他软件,那么在安装进行的时候,火绒会弹出询问框,让用户得知后台在发生什么,然后来决定是不是进行安装。

第二件事就是,在我们心里提供好服务的软件,尤其是杀毒软件,应该是收费的。

火绒的目标就是要用纯净的纯粹的服务,来换取用户合理的费用。从瑞星走出来之后,这些年我看到了杀毒软件市场的免费化带来了巨大的伤害。

本来是“保安”的安全软件不向雇主要公司,反而把雇主的信息泄露出去,用雇主的资源弄钱花,我不认为这是一条好路。

我和朋友们一手创建了火绒,我深知火绒还需要打磨。即使现在火绒仍然免费,但是没关系,我们可以用技术输出、定制开发项目的方法来养它。我不希望看到在火绒上有任何的捆绑,有任何的弹窗。我只希望这是一个纯粹的安全软件。

我期待,有一天这个商业世界允许用户为火绒安全买单,那将是对我这个“毒师”最大的褒奖。

毒师周军:我如何创造一只“杀毒神兽”

结语·采访手记

埃及法老用一座座金字塔来标榜自己的辉煌。蜉蝣于尘世的我们同样希望创造自己的坚硬城邦。

对于周军来说,他的金字塔就是面前的火绒安全。我们总在焦急地追赶飞驰的岁月,他却站在飞逝的时光中细细雕刻着自己的“杀毒神兽”,任这个世界从平地高楼到大厦倾圮,从高山为谷到深谷为陵。

如果病毒代表了人性当中的恶,那我们至少应该庆幸,因为像周军一样的“毒师”存在,世界并没有想象中那么糟。

我们的岁月静好,来自这些痴人的永不回头。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读