毒师周军:我如何创造一只“杀毒神兽”(4)
火绒的用户大概在200-300万,这些终端很多都是类似网络管理员这样的“关键人物”。所有这些用户实际上散步了一张非常广泛的信息收集网。在用户的许可下,所有的可疑行为都会被收集,经过本地分析以后,汇总到威胁情报平台。这些数据达到一定的数量,就可以清晰地呈现出哪些新的行为模式正在产生。而我们仅仅需要对可疑的大量的行为进行人工审核,就可以判定这是不是一种新的病毒。 这就是“用威胁情报的方式做终端安全”。使用这个方法,我们发现了很多隐藏极深的木马病毒。 例如一个被我们命名为“Toxik”的病毒。 2016年4月,我们的威胁情报系统发现,一个知名软件的升级程序,居然在很多终端上“不务正业”地下载了许多其他软件,说白了就是软件推广。 经过我们的分析,发现了事情的真相。原来这个升级程序被各大安全软件列入了“信任白名单”,而“Toxik”病毒正是利用这个漏洞,先入侵升级程序,再恶意推广。最终,我们通过人工溯源,成功地定位到了病毒代码源头,直至找到病毒制造者本人。 用威胁情报系统发现的病毒还有:劫持流量的小马激活、能够“攻破” HTTPS 协议的净广大师、专门攻击盗版用户的 Bloom 病毒,等等等等。 【Toxik 病毒感染全流程】 (六) 有两件事让我很纠结。 第一件事,就是现在捆绑安装成为了一种“标配”。但是在“软件免费化”的洪流中,所有的软件几乎都在做这样的事情。 而在我们的观点中,所有静默安装捆绑推广都是对用户的侵害。只是在现阶段,我们没有办法把这些软件标定为病毒。如果按照严格的标准来说,很多日常在使用的,用户上亿的大软件,都可以被定义为流氓软件。 实际上,在我们的威胁情报系统后台,前十位软件侵权行为都是我们日常在用的某些来自 BAT 的流行软件。这让我们无法忽视。 所以,我们的做法是:至少让用户知情。如果一个软件捆绑安装了其他软件,那么在安装进行的时候,火绒会弹出询问框,让用户得知后台在发生什么,然后来决定是不是进行安装。 第二件事就是,在我们心里提供好服务的软件,尤其是杀毒软件,应该是收费的。 火绒的目标就是要用纯净的纯粹的服务,来换取用户合理的费用。从瑞星走出来之后,这些年我看到了杀毒软件市场的免费化带来了巨大的伤害。 本来是“保安”的安全软件不向雇主要公司,反而把雇主的信息泄露出去,用雇主的资源弄钱花,我不认为这是一条好路。 我和朋友们一手创建了火绒,我深知火绒还需要打磨。即使现在火绒仍然免费,但是没关系,我们可以用技术输出、定制开发项目的方法来养它。我不希望看到在火绒上有任何的捆绑,有任何的弹窗。我只希望这是一个纯粹的安全软件。 我期待,有一天这个商业世界允许用户为火绒安全买单,那将是对我这个“毒师”最大的褒奖。 结语·采访手记 埃及法老用一座座金字塔来标榜自己的辉煌。蜉蝣于尘世的我们同样希望创造自己的坚硬城邦。 对于周军来说,他的金字塔就是面前的火绒安全。我们总在焦急地追赶飞驰的岁月,他却站在飞逝的时光中细细雕刻着自己的“杀毒神兽”,任这个世界从平地高楼到大厦倾圮,从高山为谷到深谷为陵。 如果病毒代表了人性当中的恶,那我们至少应该庆幸,因为像周军一样的“毒师”存在,世界并没有想象中那么糟。 我们的岁月静好,来自这些痴人的永不回头。 (编辑:ASP站长网) |