我是一个杀毒软件线程

前情回顾：我是一个explorer的线程

 

夜深了，我的工作忙完了，准备去sleep一会儿。路过安全分析实验室的门口，看到实验室大牛老周还在埋头研究。

“老周，挺晚了，还忙啥呢”

“哦，是小谢啊，今天从explorer公司揪了一个木马，取了一个很容易掩人耳目的名字：kernerl32.dll”，老周说到。

“哦，这木马很难分析吗”

“这倒不难分析，我疑惑的是它是怎么进来的，我们公司守护的严严实实的”

“休息一会儿吧，说不定就有思路了，要不我陪您走走？”

“也好，眼睛都看痛了，走”。

我俩边走边聊。“对了，小谢你是公司做哪块业务的啊”，老周突然问我，我倒紧张起来了。

“我的岗位很简单，是负责UI交互的线程，没啥技术含量，比不上你们安全事业部啊”。

“可不要小看自己的工作岗位，你可是公司的门面，我们公司花了多少力气才稳住今天的局面，你们门面要是不做好，随时可能被别的公司抢了市场的”

“惭愧惭愧，还是老周想的长远。对了，要不你给我讲讲公司的故事吧，咱们是怎么守护国家安全的”，我尴尬的转移话题。

“这个可有的聊了，我们公司不同于隔壁explorer公司、chrome公司、IE公司，我们的职责是守护国家的安全。我们是一个实行Windows体制的国家，不像那些实行Mac OSX体制的国家管的那么严，我们国家的政策非常松散，随随便便都可以成立公司，谁都可以很容易就访问国家的数据仓库——磁盘文件”，老周一下打开了话匣子。

 

“在我们公司来到这个国家之前，全国各地特别乱，流氓软件、病毒、木马经常侵扰，对人类造成了很大的损失。所谓时势造英雄，361杀毒公司应运而生！政府自身的安全措施有限，我们需要全方位的守护国土”。

 

“那我们是怎么保护国家安全的啊”，我打断了老周。

 

“我们要对抗的就是流氓软件、病毒和木马等这些对咱们国家有害的东西。这些人会偷取国家数据，破坏国家设施，我们要建立重重防线抵御这些行为”。

 

“其实，政府本身也有很多安全能力。首先就是公司之间是隔离的，一个公司的员工不能随随便便去别的公司。用人类的话说这叫做进程隔离，正常情况下不能执行跨进程的访问。其次，政府工作的地方被划为了禁区，外界公司想要办事都只能通过政府提供的办事处窗口来完成。在人类看来，政府就是操作系统，运行在内核态，就是禁区，一般人进不去的地方，普通公司就是一个个运行在用户态的进程，去窗口办事的过程叫做系统函数调用，也叫系统API调用，简称系统调用”

 

 

“这个我知道，我经常去这些部门办事，但是因为我只是一个普通的用户态的线程，所以进去之后发生了啥我都不知道，每次出来都给我抹除了记忆。”

 

“那是自然，不过咱们公司不一样，在政府内部有人，找机会安排一下，不给你消除记忆，下次去政府内部，好好看看精彩的内核世界，不要舍不得回来哦”

 

“真的，好期待！额，刚才说到哪里了，哦对，政府本身的安全能力已经很强大了啊，那些坏蛋也干不了啥事了嘛，政府部门守着这些入口，他们能翻出多大浪花”。

“哎，此言差矣！光有这样是不够的，很多坏蛋冒充好人去政府窗口办事，办事处人员是分辨不出来的。更为要命的是，国家为了扩展一些新的部门，经常要招一些公务员进去，这些公务员进去后就打入政府内部了。要是不怀好意的人进去了，那就完蛋了。”

 

“额，什么意思，我咋听不懂啊······”

“用人类的语言跟你解释，就是说啊，操作系统允许应用程序加载驱动程序，本意是用来‘驱动’电脑扩展的硬件设备，比如显卡驱动啊，声卡驱动啊，网卡驱动等等。可是注意啊，这个驱动程序可是直接进入系统内部，运行在内核态啊，就拥有至高无上的权限了，想干嘛干嘛。”

 

“哦，这样啊，你刚才说的咱们公司在政府内部有人，是不是也是这样进去的？”

“嘿嘿”，老周一声阴笑

“这也太可怕了，我们可以这样进去，那别人也可以啊，那咱们怎么保护啊？”

“秘籍在于HOOK！”老周得意的一笑。

“HOOK是什么？”

“HOOK就是钩子的意思，就是说啊，我们一开始就先去政府内部，在外面那些公司去找政府办事的必经之路上安插一个指路的小H，所有人过来办事的时候，小H就给他们指路到我们这里来，我们进行全面的安检，安检不合格的给打回去，安检通过的才能放行让他去办事。在人类看来，我们会给操作系统内核入口的地方修改一条代码指令，函数执行到这里，就跳转到我们的代码，哈哈哈”，老周越说越得意。

 

“哦，原来如此，这样一来，那些坏蛋想干坏事，我们就能及时知道了。”

“没错！厉害吧”

“厉害是厉害，不过总感觉哪里不对”

“有什么不对的，我讲的你没有听懂吗？”

“听倒是听懂了，但是有种隐隐的不安。”

“不安，为什么？”

“你看哈，你说要去政府内部安装HOOK，那也得先通过驱动程序打入政府内部吧，那政府怎么能相信我们和那些坏蛋有什么不同呢？”

“我们跟他们可不同，我们是有高尚的品德的，不会干坏事”，老周争论到。

“你先别急，还有，我们这样一来进入政府内部以后，还把守了核心的位置，那我们岂不是掌握了所有公司的生杀大权？位高权重，时间久了，公司内部会不会有人变坏走向邪路？人心难测，权利容易让人变坏啊”

老周开始眉头紧锁。

“还有啊，如果有别家安全公司也这么做，那咱们是要竞争吗，如果大家恶意竞争，国家没被病毒木马搞坏，都被我们这些安全公司搞乱了”

老周开始额头冒汗了。

就在我准备继续追问时，公司后勤保障部发来广播通知：“收到关机通知，各单位保存好工作，咱们明天再见。”

老周随即告别：“小谢啊，咱们改天再聊，我得回去保存今天的木马分析结果，拜拜”

 

告别了老周，我也准备撤了，今天一天也是够累的。

 

未完待续·······

 

 

彩蛋1

就在我准备“圆寂”的时候，公司里警报拉起：“发现有目标在关机时刻修改注册表，设置开机自启动项，请紧急处理”

 

彩蛋2

在遥远的Linux帝国，Web安全防护公司——WAF，此刻也拉响了警报，一个神秘数据包的到来，nginx公司上下乱作一团···

 

 

 

 

扫码关注，更多精彩