不可否认,杀毒软件在每个人使用PC的早期都提供了极其重要的帮助。特别是当整个互联网生态都不完整的时候,一道可靠的防火墙更是必不可少。但是,当我们获取资源的渠道逐渐趋于正规,当年的“勇者”自己也向“魔王”转变之时,我们也有必要去审视,那些杀毒软件是否还有存在的必要。
本文为个人电脑主动防御提供了思路,捎带自己的使用经验,所以并不会附上各种杀毒工具的详细测评,但也会提到一些我自己的看法。

前言

我们为什么要抛弃杀软?

理由很简单,正如我在序言中所说,当年的勇者逐渐变成了魔王,而且还是你枕边的魔王。杀软作为一类有理由常驻的应用,暂不提“收集用户信息”这种偏阴谋论的传言,就只论某些杀软的南派传销一样的行径,不断的抓住机会,来推广自己家的产品,亦或是喧宾夺主,帮你“做出选择”,它就有理由被扫地出门了。
诚然,白用人家的产品,你还挑三拣四,着实令人不齿。与其那样苟着,还真不如另寻出路。

停用杀软的感觉如何?

就自己而言,很好。特别是少了一个随时随地都想刷存在感的憨憨杀软,的确感觉更加自由了。况且,在停用杀软一年的时间内,我自己并没有因为杀毒和优化问题带来使用体验的下降。

有必要完全抛弃三方杀软吗?

看限制语,我说的是完全抛弃三方杀软。每个行业之中都有败类,一棒子打死是对那些认认真真的做产品的人的侮辱。如果你认为自己并没有十足的能力去鉴别危害性程序,却也讨厌流氓全家桶的作风。一些口碑比较不错的,或者付费的杀毒/防木马工具,还是有很大的价值的。
写到这里,突然想起来,之前要转战火绒的时候,曾经有人评价火绒“病毒库不全”,现在想来,与其带来的清爽体验相比,少的那些病毒样本并不重要。

如何打造一个安全且舒适的使用环境?

总的来说,因为系统运行对大部分人来说都是黑箱,想要在一个程序未执行(产生影响未浮现在表面之前),去辨别它是否会产生危害基本是不可能的。所以,“开源”“节流”中的“节流”很难做到。所以,我们要考虑的更应该是如何获取更可信的资源。本质上,这已经和计算机无关了。
想想,你上次因为什么中毒?下载破解版软件,亦或是游戏外挂?看吧,问题就出在这里。而很多的恶意软件制作者也是利用了这点。在这里还真的要呼吁大家使用正版,这是一个对双方都有好处的事。
注:其实有的软件本身是免费的,在MicroSoft Store上收费是方便大家支持创作者。

安全获取应用的方法论

Windows8的更新意味着微软开始运营自己的软件生态,但是直到Windows10,Microsoft Store在国人中的普及率仍然很低,各种软件园仍是大家下载软件的主流方式。除此之外,各位仍然对“知识产权保护”仍然没有建立起一个正确的认知,不理解为什么要为软件付费。所以各种破解版层出不穷,恶意软件也潜藏其中,防不胜防。所以,我总结了如何安全获取应用。

一.尽量从官方途径获取应用

讲真,其实困扰人的大多不是“病毒”,而是“恶意软件”,比如各种捆绑安装,推广什么的。虽然有的厂商也会在官方安装包里捆绑全家桶,但也是极少数情况。所以推荐大家去官网下载软件。有必要的话可以备份一些软件的安装包,然后在线升级。我本人就是经常把安装包同步到OneDrive上,对于那些不常更新的软件有奇效。

二.尽量选择整合站

大家也可以去一些“整合站”下载。这些整合站只是提供文件外链,并不储存文件(这点从源文件URL就能看的出来)。这样的网站一般比较可信哦~(比较纯粹的这种网站一般都是国外的,国内的较少。)
注:腾讯软件中心 是个人用过的“收集站”中比较清爽的,直接选择“普通下载”,也不纠缠,所以也是比较推荐的。

三.尽量不使用破解软件

就像拔机器人的插销一样,如果恶意软件无法被安装到计算机上,那它自然无法发挥作用。而怎么样才能让人有一个十足的理由去下载它呢?那就是利用人爱占小便宜的心理,让人从不可信来源下载软件的同时下载恶意软件。(大部分人应该都有下载外挂的时候被坑的经历吧。)拒绝使用破解软件,既可以减少被恶意软件坑的几率,也是对创作者的尊重,让他们不仅仅是用爱发电。

主动防御的大秘籍

好了~道理我都懂。我们或多或少的都要运行一些奇奇怪怪的软件,那我们又应该怎样主动筛查恶意软件呢?

一.沙盒/影子系统/虚拟机

通过使用Sandboxie之类的沙盒软件,我们可以构建一个与系统本身相隔绝的环境,用于试验软件,而不会对宿主系统造成影响。想要了解如何使用Sandboxie,请自行百度。
至于影子系统呢,则是通过过滤磁盘读写来模拟一个镜像系统,在适用性上可能比沙盒更强,比较适合重度用户使用。值得注意的是:影子系统暂时不支持Win10。关于影子系统,还有个比较丢脸的来历……

影子系统的开发团队来自中国大陆,但是由于中国用户没有购买正版的习惯,盗版横行 ,如此恶劣的共享软件环境使得开发团队在最初开发的软件面向国外市场,并没有中文版本。在一段时间后,软件渐渐在用户群中树立口碑,中国也开始有人使用该软件,但很多人误以为这是一款非中国团队开发的软件。之后,开发人员开始重视中国市场,开始开发中文版本软件,并进行一系列优惠举措。(摘自维基百科)

虚拟机,这个就不用我多说了吧,就是利用软件来在宿主系统的基础上再运行一个系统,而这个子系统与宿主系统之间的隔绝性很强,可以用来进行各种危险操作。(这里说很强是因为有的程序也可以进行虚拟机穿透…)

二.用VirusTotal筛查病毒

VirusTotal.com是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测,最初由Hispasec维护。它与传统杀毒软件的不同之处是它通过多种杀毒引擎扫描文件。使用多种反病毒引擎可以令用户们通过各杀毒引擎的侦测结果,判断上传的文件是否为恶意软件。(摘自维基百科)

更为独特的是,VT本身并不开发查毒引擎,而是集合了51个(截止2021年)查毒引擎,对用户上传的文件进行扫描,这样可以结合各个引擎的优点(但是,其中收录的部分引擎为OEM贴牌,本质上区别不大,在使用时可能发生集中报毒,应加以鉴别。)来提高可靠性。

2012年9月7日 Google 已经收购了网络安全创业公司VirusTotal,旨在增强针对自身互联网服务的保护措施。(摘自维基百科)

呐,该如何使用VT呢?
拖拽,上传……


这里拿来做实验的,是Resilio-Sync的安装包,没有发现报毒。
眼尖的客官,可能会发现,检测时间是 7 days ago 。这可不是星临忽悠人呐,VT在收到文件的时候,会根据散列算法(SHA256)判断其是否被检测过,如果被检测过,就会直接返回结果,来减少不必要的消耗。想要重新检测的话,直接点右上角的就OK了~
除此之外,VT还可以用来干一些其他的事情,比如查看图片的元数据,用来检测病毒是否合格……各种各样吧,大家请自行搜索。
VT除了网页版之外,也可以使用邮件的方式提交样本,同时也开放了API,也有人根据其制作了三方客户端,如何使用,也请自行斟酌。

结语

说一千,道一万。对恶意软件的防控本质上是个思维问题。或许只有建立起完整的软件生态,以及普及软件付费概念,才能让大家获取软件的源头越来越纯洁,体验越来越舒服吧。