2025-12-25 03:10:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文回顾了1988年首款商用反病毒软件VirusScan的诞生。文章详述了Brain病毒催生特征码扫描技术的过程，及迈克菲利用TSR技术实现实时监控的原理。作者剖析了恐慌营销的应用，反思了杀软臃肿化现状，并指出行业已从特征码匹配转向云查杀与AI防御，开启了现代安全产业的新纪元。 综合评分： 81 文章分类： 恶意软件,安全工具,网络安全

cover_image

【第五空间简史】第11节 1988首个反病毒软件VirusScan发布

原创

千里

东方隐侠安全团队

2025年12月22日 23:31 江苏

各位少侠，好久不见！我是千里，又来续《第五空间简史》了。读史可以明智，这个系列主要在聊网络安全发展历程中，那些真正把技术推上新台阶的节点。

这一次的主角是1988年第一款商用反病毒软件VirusScan。

1988年，那是一个什么样的年份？那时候没有Windows 95，没有互联网（只有极少数人在玩ARPANET），大家还在DOS的黑底白字里敲着命令。但就在那一年的某天，硅谷的一个怪胎，坐在一辆塞满了电脑设备的房车里，敲下了改变网络安全历史的几行代码。

这个人叫约翰·迈克菲（John McAfee）。这一年，他发布了全球首款商业反病毒软件—— VirusScan 。

接下来，我们就来聊聊杀毒软件这门生意的起点，聊聊计算机病毒第一次从实验室试管里翻墙出来，把全世界吓得够呛的草莽时代里，英雄又是如何生于“乱世”的。

“脑壳痛”的起点：两兄弟的“正版保护”

讲VirusScan之前，如果不提“Brain”病毒，那这故事就没法写了，其实在前面的文章也有提及，这里简短介绍。

那是1986年，巴基斯坦拉合尔市，有对叫巴斯特（Basit）和阿姆贾德（Amjad）的亲兄弟。这两哥们儿开了家电脑店，辛辛苦苦写了套心脏监测软件，结果转头就被一帮“白嫖党”盗版了。

兄弟俩气坏了：行，不讲武德是吧？那我也给你们整点花活儿。

他们写了一段能在软盘间自我复制的代码，嵌进了软件里。只要你用盗版盘，这段代码就会悄悄挪动到软盘的第0扇区（引导扇区），把真正的引导程序藏到别处，然后把自己的代码印上去。这玩意儿不删你文件，也不格式化硬盘，它只会把软盘的卷标改成“©Brain”，并在屏幕上跳出一行字，大意是：“由于你使用了盗版，你的电脑被感染了，请联系我们（附带电话和地址）以获取解药。”

这其实是世界上第一个PC病毒。兄弟俩本意是想做个“硬核版”的DRM（数字版权管理），结果他们低估了软盘在那个年代的流动速度。当时大家为了传点资料，软盘就像烟头一样在办公楼里四处传递。

不到一年，Brain病毒漂洋过海，传遍了全美国。

当阿姆贾德兄弟在拉合尔接到来自美国的电话时，他们还没意识到，自己打开的是潘多拉的魔盒。而当时在洛克希德（Lockheed）公司工作的约翰·迈克菲，正对着电脑屏幕上的“©Brain”陷入了沉思。

那是他第一次意识到：代码，居然可以像生物病毒一样，在没有人类干预的情况下自我繁衍。

房车里的“赛博猎人”

当时的迈克菲是个典型的狂人：嗑过药、酗过酒、搞过瑜伽，但他骨子里是个极其敏锐的数学家和程序员。他敏锐地察觉到，Brain仅仅是个开始。

1987年，更多的病毒冒了出来。比如大名鼎鼎的“耶路撒冷”（Jerusalem）病毒，每逢13号星期五，它就会把电脑里所有运行的程序全删了。这下性质变了，如果说Brain是个恶作剧，那么后来的这些玩意儿就是纯粹的“数字恐怖主义”。

迈克菲决定辞职。他没租办公室，而是买了一辆巨大的房车，美其名曰“反病毒救护车”。他把房车停在自家后院，里面堆满了各种型号的微型计算机，开始疯狂地收集市面上出现的病毒样本。

那时候没有什么自动化分析工具。迈克菲的做法非常原始且硬核：

拿一张干净的系统盘引导启动。
插入被感染的软盘。
用Debug命令（DOS自带的那个神器）把引导扇区或者文件头部的数据dump出来。
人肉对比正常文件和中毒文件，寻找那段多出来的、具有特定模式的十六进制代码。

这就是后来统治了反病毒界三十年的技术核心—— “ 特征码扫描”（Signature Scanning）。

1988年，迈克菲正式发布了VirusScan v1.0。在那个程序员普遍觉得“代码就该开源分享”的年代，迈克菲展示了他极其“狡黠”的一面：他把VirusScan声明为 Shareware（共享软件）。

个人用户可以免费试用，觉得好用再给钱；但如果你是企业用户，对不起，请乖乖交授权费。

这一手简直是“降维打击”。对于大公司来说，他们被病毒搞得焦头烂额，一看有现成的药，还没多少钱，立刻纷纷下单。VirusScan就像野火一样蔓延开来。

技术解构：VirusScan到底在干什么？

作为业内人，得聊点干货。1988年的VirusScan虽然简陋，但它确立了反病毒软件的三个基本范式：检测（Scanning）、清除（Cleaning）和防御（Shielding）。

扫描原理：简单的暴力美学

VirusScan1.0的核心逻辑极其简单：它维护着一个包含几十个已知病毒特征码的数据库。

当你执行SCAN C:时，程序会逐一读取磁盘上的.COM和.EXE 文件。它会检查文件的开头（文件头）或者结尾（某些病毒会把自己附加在文件尾部并修改入口地址）。

如果它在一个程序里发现了一串像 E9 FD 01 50 53 51 这样的特定字节，而这串字节刚好对应“耶路撒冷”病毒的跳转指令，程序就会报警。

拦截技术：TSR（驻留程序）

为了实现“实时监控”，迈克菲利用了DOS环境下的一个黑科技——TSR(Terminate and Stay Resident)。

软件运行后，虽然退回了命令行界面，但它的一部分代码会依然留在内存里，并Hook了BIOS的中断向量表，尤其是INT 13h（磁盘读写中断）和INT 21h（系统功能调用中断）。

每当系统要运行一个新程序时，VirusScan会先跳出来：“等等，让我先闻闻这玩意儿有没有毒。”这种机制虽然让原本就慢得要命的80286电脑变得更卡，但在安全面前，用户还是能够含泪忍受。

清除逻辑：手术刀式的修复

当时的病毒大多是“寄生型”。它们不是替换文件，而是把自己的代码塞进文件里，然后改写执行流程。

VirusScan的“清除”功能，本质上是把这段寄生代码切掉，并将文件的入口点重置回原来的位置。这种“赛博手术”在病毒发展的早期还是非常有效的。

恐慌营销：迈克菲的“邪门歪道”

如果说迈克菲只是个技术大牛，那他最多也就是个成功的作坊老板。但他真正的天才在于，他发现恐惧比病毒本身传播得更快。

1988年到1992年间，迈克菲不仅卖软件，他还在卖“末日预言”。

每当发现一个新的病毒，他都会通过媒体大肆宣扬：这个病毒可能会毁掉全美国的电脑系统！它会造成数十亿美元的损失！

最典型的例子就是1992年的“米开朗基罗”（Michelangelo）病毒。迈克菲在电视上信誓旦旦地说，3月6日这一天，全球会有500万台电脑彻底瘫痪。

结果呢？那天真正中招的电脑只有几万台，甚至更少。但迈克菲赢了。那一周，由于极度恐慌，VirusScan的销量翻了几番。原本在房车里办公的小公司，一跃成为了纳斯达克上市的巨头。

这种“制造恐慌-售卖解药”的商业模式，在后来的三十年里被无数安全厂商效仿。你甚至可以开个脑洞：到底是因为病毒太多了所以我们需要杀毒软件，还是因为杀毒软件公司需要业绩，所以才“催生”了那么多关于安全威胁的新闻？

当杀毒软件成为另一种“病毒”

写到这里，我不得不停下来吐槽一下。

1988年的VirusScan只有几十KB大小，干脆利落。但随着时间的推移，这款软件（以及它的竞争对手们）变成了一个庞然大物。

它们为了追求绝对的安全，开始深度接管操作系统的每一个角落。它们占用大量的CPU、频繁读写硬盘、拦截每一个网络包。有时候，为了卸载一个杀毒软件，你甚至得专门下载一个“卸载专用工具”。

这种演变很有趣：为了对付病毒，我们不得不安装一个行为模式越来越像病毒的“保镖”。

迈克菲本人在晚年也对这一现象极尽嘲讽。他曾在YouTube上发过一段视频，教大家如何卸载自家公司生产的软件（当时他早已卖掉股份离开了），视频里充满了各种不可描述的画面和粗口，那是他一贯的风格——疯狂、无序、反体制。

但无论他后来如何荒诞（在伯利兹逃亡、涉嫌谋杀、竞选总统、最后在西班牙监狱自缢），1988年那个坐在房车里敲代码的瞬间，依然是神圣的。

那是人类第一次试图用逻辑的防火墙，去对抗逻辑的混乱。

遗产与终局

1988年，VirusScan诞生。

1989年，第一届反病毒研究大会（后来演变为EICAR）召开。

1991年，赛门铁克发布了Norton AntiVirus。

一个价值千亿美元的产业，就此拉开序幕。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队千里《【第五空间简史】第11节 1988首个反病毒软件VirusScan发布》