在Windows的早期年代，病毒游走于系统之间，偶尔删除文件（但被删除的文件几乎都是可恢复的），并弹出一些显示费解内容的对话框。现今，Windows恶意软件锁住你的数据，劫持它索要赎金。它控制你的PC发动攻击，寻找保护信用卡号码和口令的文件，更可怕的是，这些病毒还能够让核浓缩离心机疯狂地旋转—这真是令人讨厌的东西。

20年间，Windows恶意软件造就了许多价值数几十亿美元的杀毒公司，赋予足以装满亚历山大大图书馆的文章以灵感，为成千上万的安全专业人士创造了职位，并给人们带来无穷无尽的烦恼。

这些讨厌的程序不是一夜之间从初学走路的孩子变成打遍天下无敌手的恶棍的。恶意软件的成长有着清晰的继承性，其手段、方法和目标随着时间的发展而不断变化。如同任何技术一样，创新的思想指引着恶意软件的前进道路。让我们看一看为达到邪恶目的的创造力是如何将Windows黑客技术变成价值数十亿美元的产业的，以及Windows恶意软件的成长足迹指向了未来的何处。

早期病毒展示

一些最具创新性的并且（仍）广泛使用的恶意软件技术在Windows诞生之际就出现了，经过Windows 3.0面市之前几年时间的发展，为未来针对Windows的恶意软件打下了牢固的基础。

以第一个感染可执行文件的病毒VirDem为例。Ralf Burger于1986年在德国发明了这种病毒，他将一个自复制程序粘在COM文件的前面，把文件原始的指令移动至文件尾部。随后不久出现了Cascade恶意软件。这种出现在1987年的恶意软件是第一种采用加密技术来伪装自己的病毒。不幸的是，加密程序在所有被感染的文件中都是相同的，因此扫描程序很容易发现它。该病毒并不成功。

GhostBalls集两种感染技术于一体，创造出第一种多技术或混合型威胁病毒。GhostBalls把自己附着在COM文件上，通过将自己复制到其它COM文件上来进行传播，但它还寻找“A：”驱动器中的软盘，如果找到，就将修改后的启动磁盘病毒复制到软盘上。

为克服Cascade病毒先天的不足，1990年Mark Washburn推出了1260病毒，第一种多形态病毒。多形态病毒每一次被加密时就会变身—常常改变加密程序本身—从而大大增加了检测病毒的困难。

在雷达盲区飞行是1990年出笼的另两种病毒—Frodo和Whale--的犯罪手法。这两种病毒因千方百计隐藏自己而被称为“stealth”病毒。Frodo让Windows在被感染的COM文件的大小上说谎，使这些文件看起来像没有被感染一样。Whale—长度9KB，是当时长度最大的病毒—利用Frodo技术隐藏自己的长度，并利用1260的独门绝技来变身。这两种程序都没有感染太多的东西，但它们在隐身方面技压“群毒”。

二十年后，Windows恶意软件的万神殿塞满了被感染的可执行程序、多技术、变形和stealth技术。

Microsoft宏病毒的兴起

Windows 3.0于1990年5月22日上市，这种平台很快就火了起来。除了Michelangelo（一种摧毁Windows机器、将“计算机病毒”一词注入到地球上几乎所有语言中、帮助维持利润丰厚的杀毒产业的普通引导区病毒）之外，病毒创新停滞不前了。一直到1995年夏天，新的魔鬼出现了：有人——我们现在仍不知道是谁——利用WordBasic（MicrosoftWord背后的宏语言）编写了一种非常简单的宏病毒。

当使用Word 6打开文档时，被这种病毒感染的文档就向Word缺省模板NORMAL.DOT添加4个宏。随后，NORMAL.DOT会感染你随后保存的任何Word文档。这个宏携带无害的有效载荷，只是显示一个古怪的对话框。宏代码中包含“That's enough to prove my point”的正文--因此这种病毒被取名为Concept。

水闸打开了。1995年8月，多位Microsoft雇员告诉我，Microsoft的Redmond园区中所有PC中的80%以上都被Concept感染了。Concept在几周内传遍全世界。杀毒公司忙作一团，试图防止这种全新的攻击向量，而病毒编写者在1996年广为传播的宏病毒构建工具的帮助下大显身手。Word遭受到了最初的打击，但以后Excel电子报表也受到攻击，第一次是Laroux，随后是1,000多种宏病毒的攻击。

Microsoft在Office 97中加强了安全性，但是病毒编写者迅速找到了如何绕过安全控制机制的办法，许多老病毒利用Microsoft的自动升级工具，自动变身转移到新系统。直到杀毒厂商开始占据上风，但主要是靠蛮力。最终，Microsoft在Office 2000中让感染变得更加困难后，这股病毒浪潮的势头才缓下来。即使这样，Word和Excel宏攻击仍是恶意软件世界中的主力军，直到Microsoft在Office 2007改变了缺省文件格式之后才有所缓解。