腾讯电脑管家刘钊:如何手撕一个木马
在进入腾讯之前,刘钊和木马病毒并没有什么“交情”。他印象中唯一一次和病毒亲密接触就是1998年,他的电脑突然无法开机。“现在回想起来应该是中了 CIH 病毒,因为那天正好是26号。”如今已经成为反病毒安全专家的他对雷锋网回忆。(作者注:CIH 病毒是一种能够破坏计算机系统硬件的恶性病毒,曾在1998年广为流传,作者为陈盈豪。) 2010年,研究生学习信息地质学的刘钊加入了腾讯,负责电脑管家的界面开发。然而没过多久他就发现,在电脑管家里有着一种远比设计界面更加有趣的工种,那就是为电脑管家提供“炮弹”——用各种姿势绞杀木马。 而一旦亲手摸到病毒和木马,这个汉子的天赋异禀便喷薄而出,从此义无反顾地踏上了反病毒木马这条“不归路”。 【腾讯电脑管家 安全专家 刘钊】 木马“收割机”木马和恐怖片里的僵尸有着一个共同的特点,那就是:如果你选择一对一的徒手搏击,对方在数量级的优势绝对会让你死相凄惨。 每天全世界的黑客都会如细胞分裂般地制造出无数木马。而“优秀”的木马又会产生成百上千的变种。面对木马的海洋,安全研究员需要一个“联合收割机”。 刘钊参与研发的这台“木马收割机”名为哈勃分析系统,是腾讯电脑管家的后方“火力支援”。如同天文望远镜哈勃一样,这个哈勃也拥有无数的镜组,这些镜组就是判定恶意程序的“规则”。每天,全世界的全量样本都会经过系统自动筛查,那些已知的木马和完全无害的程序通过无数条已知的规则筛查,会被瞬间分进“黑”“白”两个名单。而少数系统无法判断的灰色程序,就是刘钊们的任务。
说到底,刘钊和同事们用来驱动哈勃的无数条“规则”才是对抗木马的“终极大杀器”。
这项工作在刘钊心中的魅力正在于此。 代码背后的“黑影”借助手上各种自动化工具,一个简单的新型木马只需要几分钟就可以被识别出来;然而对于“高手”的作品,也许要花上刘钊几天时间。 在刘钊眼里,这些病毒木马背后的黑客们的水平可谓参差不齐,有些欺骗用户的方法甚至很“质朴”。他举了几个例子:
在办公室里,经常传来刘钊的惋惜。
【黑客袭击乌克兰电站的内藏宏病毒的 Excel 文件】 然而,刘钊所代表的安全研究队伍正在迅速壮大,他们的专业技术可以迅速赋能管家类软件,用户利用防护软件可以轻易查杀这些“简易木马”。这种情况反而倒逼黑客不断升级自己的“武器”。这两年,黑客和安全研究员之间的“神魔斗法”突然变得白热化,开发木马的黑客们已经把欺骗的对象从用户转移到安全研究员身上。
很多木马会被作者隐藏在正常的应用程序之中,他们仅仅改动程序中的几行代码,就能达到恶意的目的。而对于这种“带病的”程序,其中恶意代码只占非常小的比例。当那些“不说人话”的指令夹杂在数万行正常程序的代码中的时候,手动找到这些“李鬼”就只有理论上的可能性了。这个时候,最有效的办法是把木马放在沙箱中执行,在动态中观察木马究竟会做出哪些行为。 简单说来,沙箱就是一个封闭的虚拟环境,恶意的程序会以为自己成功感染了用户的系统,从而开始恶意行动。这样就让它们瞬间露出马脚,现出原形。 然而,神魔斗法还远没有停息。很多木马“进化”出了一项功能,那就是检测自己是否在沙箱之中,或者检测自己是否被安全研究员用动态调试器所控制。
|