我是一个杀毒软件线程

前情回顾:我是一个explorer的线程


夜深了,我的工作忙完了,准备去sleep一会儿。路过安全分析实验室的门口,看到实验室大牛老周还在埋头研究。
“老周,挺晚了,还忙啥呢”
“哦,是小谢啊,今天从explorer公司揪了一个木马,取了一个很容易掩人耳目的名字:kernerl32.dll”,老周说到。
在这里插入图片描述
“哦,这木马很难分析吗”
“这倒不难分析,我疑惑的是它是怎么进来的,我们公司守护的严严实实的”
“休息一会儿吧,说不定就有思路了,要不我陪您走走?”
“也好,眼睛都看痛了,走”。
我俩边走边聊。“对了,小谢你是公司做哪块业务的啊”,老周突然问我,我倒紧张起来了。
“我的岗位很简单,是负责UI交互的线程,没啥技术含量,比不上你们安全事业部啊”。
“可不要小看自己的工作岗位,你可是公司的门面,我们公司花了多少力气才稳住今天的局面,你们门面要是不做好,随时可能被别的公司抢了市场的”
“惭愧惭愧,还是老周想的长远。对了,要不你给我讲讲公司的故事吧,咱们是怎么守护国家安全的”,我尴尬的转移话题。
在这里插入图片描述
“这个可有的聊了,我们公司不同于隔壁explorer公司、chrome公司、IE公司,我们的职责是守护国家的安全。我们是一个实行Windows体制的国家,不像那些实行Mac OSX体制的国家管的那么严,我们国家的政策非常松散,随随便便都可以成立公司,谁都可以很容易就访问国家的数据仓库——磁盘文件”,老周一下打开了话匣子。

“在我们公司来到这个国家之前,全国各地特别乱,流氓软件、病毒、木马经常侵扰,对人类造成了很大的损失。所谓时势造英雄,361杀毒公司应运而生!政府自身的安全措施有限,我们需要全方位的守护国土”。

“那我们是怎么保护国家安全的啊”,我打断了老周。

“我们要对抗的就是流氓软件、病毒和木马等这些对咱们国家有害的东西。这些人会偷取国家数据,破坏国家设施,我们要建立重重防线抵御这些行为”。

“其实,政府本身也有很多安全能力。首先就是公司之间是隔离的,一个公司的员工不能随随便便去别的公司。用人类的话说这叫做进程隔离,正常情况下不能执行跨进程的访问。其次,政府工作的地方被划为了禁区,外界公司想要办事都只能通过政府提供的办事处窗口来完成。在人类看来,政府就是操作系统,运行在内核态,就是禁区,一般人进不去的地方,普通公司就是一个个运行在用户态的进程,去窗口办事的过程叫做系统函数调用,也叫系统API调用,简称系统调用”

在这里插入图片描述
“这个我知道,我经常去这些部门办事,但是因为我只是一个普通的用户态的线程,所以进去之后发生了啥我都不知道,每次出来都给我抹除了记忆。”

“那是自然,不过咱们公司不一样,在政府内部有人,找机会安排一下,不给你消除记忆,下次去政府内部,好好看看精彩的内核世界,不要舍不得回来哦”

“真的,好期待!额,刚才说到哪里了,哦对,政府本身的安全能力已经很强大了啊,那些坏蛋也干不了啥事了嘛,政府部门守着这些入口,他们能翻出多大浪花”。
“哎,此言差矣!光有这样是不够的,很多坏蛋冒充好人去政府窗口办事,办事处人员是分辨不出来的。更为要命的是,国家为了扩展一些新的部门,经常要招一些公务员进去,这些公务员进去后就打入政府内部了。要是不怀好意的人进去了,那就完蛋了。”

“额,什么意思,我咋听不懂啊······”
“用人类的语言跟你解释,就是说啊,操作系统允许应用程序加载驱动程序,本意是用来‘驱动’电脑扩展的硬件设备,比如显卡驱动啊,声卡驱动啊,网卡驱动等等。可是注意啊,这个驱动程序可是直接进入系统内部,运行在内核态啊,就拥有至高无上的权限了,想干嘛干嘛。”

“哦,这样啊,你刚才说的咱们公司在政府内部有人,是不是也是这样进去的?”
“嘿嘿”,老周一声阴笑
“这也太可怕了,我们可以这样进去,那别人也可以啊,那咱们怎么保护啊?”
“秘籍在于HOOK!”老周得意的一笑。
“HOOK是什么?”

在这里插入图片描述
“HOOK就是钩子的意思,就是说啊,我们一开始就先去政府内部,在外面那些公司去找政府办事的必经之路上安插一个指路的小H,所有人过来办事的时候,小H就给他们指路到我们这里来,我们进行全面的安检,安检不合格的给打回去,安检通过的才能放行让他去办事。在人类看来,我们会给操作系统内核入口的地方修改一条代码指令,函数执行到这里,就跳转到我们的代码,哈哈哈”,老周越说越得意。

“哦,原来如此,这样一来,那些坏蛋想干坏事,我们就能及时知道了。”
“没错!厉害吧”
“厉害是厉害,不过总感觉哪里不对”
“有什么不对的,我讲的你没有听懂吗?”
“听倒是听懂了,但是有种隐隐的不安。”
“不安,为什么?”
“你看哈,你说要去政府内部安装HOOK,那也得先通过驱动程序打入政府内部吧,那政府怎么能相信我们和那些坏蛋有什么不同呢?”
“我们跟他们可不同,我们是有高尚的品德的,不会干坏事”,老周争论到。
“你先别急,还有,我们这样一来进入政府内部以后,还把守了核心的位置,那我们岂不是掌握了所有公司的生杀大权?位高权重,时间久了,公司内部会不会有人变坏走向邪路?人心难测,权利容易让人变坏啊”
老周开始眉头紧锁。
“还有啊,如果有别家安全公司也这么做,那咱们是要竞争吗,如果大家恶意竞争,国家没被病毒木马搞坏,都被我们这些安全公司搞乱了”
老周开始额头冒汗了。
就在我准备继续追问时,公司后勤保障部发来广播通知:“收到关机通知,各单位保存好工作,咱们明天再见。”
老周随即告别:“小谢啊,咱们改天再聊,我得回去保存今天的木马分析结果,拜拜”

告别了老周,我也准备撤了,今天一天也是够累的。

未完待续·······

彩蛋1
就在我准备“圆寂”的时候,公司里警报拉起:“发现有目标在关机时刻修改注册表,设置开机自启动项,请紧急处理”

彩蛋2
在遥远的Linux帝国,Web安全防护公司——WAF,此刻也拉响了警报,一个神秘数据包的到来,nginx公司上下乱作一团···


本文转载自:公众号【编程技术宇宙】
原文链接:我是一个杀毒软件线程


相关文章:

我是一个explorer的线程

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值