2003年,刘韧在《我们相信互联网》一文中写道,如果互联网没有平台支撑,我们可能还是身无分文的傻孩子。 因为互联网不属于任何人,包括精英,所以属于我们每一个人。
在过去的30年里,没有一个网络普遍繁荣的具有非凡力量的变化。 对30年来参与网络快速发展的人们来说,网络变革就像一条宏伟的冰川,连接着旧时代和新时代的脉络,大刀阔斧地砍下通常影响了时代的轨迹。
过去,我们采访了很多网络安全技术人员。 他们大多在中国互联网萌芽阶段长大,带有古老技术时代的魅影,将开放、平等、交流的气质融入到当今的技术市场。 正是由于这些因素,这些旧式技术人员反而成为了当今互联网安全技术创新的中流砥柱。
陈述这样稍微复杂的观点有助于我们了解这些人的成长轨迹。 事实上,唯一明显的是,对技术的信心和热情几乎勾结了他们整个技术生涯。
姚纪卫和他的工具们
距离上次姚纪卫( linxer )出现在xcon的演讲台上已经过去了13年。 2007年,他创作并制作了linxerunpacker软件。 该软件是世界上第一个基于反病毒虚拟机的通用脱壳软件,有人邀请我在xcon上演讲技术议题。
另外,论坛表示,即使到了2010年,也会有一些技术爱好者催促更新这个软件。
那时的姚纪卫刚毕业,是个纯粹的工程师,最大的爱好是深夜伏案写代码,处理各种bug。 继linxerunpacker软件之后,2008年,姚先生创作的pchunter工具更广为人知,至今仍在维护更新。 在pchunter最近的更新发布会上,他这样想起:
2008年,初学者主导写作,将当时写的几个粗糙的功能合并成一个工具( xuetr )发布到网上,出乎意料地有人喜欢。 之后,在大家的支持、鼓励下,今天的pchunter软件逐渐形成。
直到今天,pchunter的无偿更新持续了12年,姚纪卫的身份也从技术研究者变成了共同创业者。
创业是连续剧
2000年前后,互联网的高速普及带来了大规模的网络病毒爆发,杀毒引擎和无杀工具的竞争也趋于白热化。
这一时期,姚纪卫和大学同窗生姜上前,开始了他们的创业之路。
2009年,姚纪卫与姜前一起成立了百锐新闻安全实验室,致力于未知威胁检测引擎的开发与研究。
他们开发的未知威胁检测引擎在当年的vb100评价(有名的独立病毒测试)中取得了世界软件第二名、国内第一的好成绩。 与主流病毒检测引擎马上就有几十、百兆的软件卷相比,这个软件只有几兆的大小,可以通过访问谷歌虚拟工具提供服务。
有趣的是,为谷歌虚拟化提供服务的供应商还可以获得虚拟化数据库中的所有病毒样本。 但是,商业市场迅速变化,360个免费杀毒模式吸引的3辆马车打碎了许多杀毒行业创业者的梦想,百锐实验室也不得已打上了标志。
那时的姜、姚两人一定没想到,10年后会再次相聚,挥舞新的创业之旗。
从pchunter到未知威胁检测引擎,再到内存保护,一些工具代表了姚纪卫所实践的迷你清单的创作风格。 在笔者看来,这是他自己中最鲜明的个性。
十年磨一剑
2019年,距离两人首次创业已经过去了10年。 一个游泳馆的下午,两个穿着泳裤的男人再次碰撞了创业的想法。
关于两人的存储器安全,创业的想法如下。
纵观近几年的国内互联网安全市场,安全产品和防护功能趋于完善,但系统、应用水平的防护手段更多,但‘ 像永恒之蓝这样的大规模高死伤网络攻击依然偶尔发生,也有逐渐增加的迹象。
说实话,在之前流传下来的防护行业中我们没有很大的特点,所以用别的方法,将安全产品的防护能力从APP层、系统层沉入硬件虚拟化层,从内存方面来应对系统设计缺陷、外部入侵等威胁的检测和防护 即,‘ 内存的安全性。
内存的安全性是什么?
简单来说,在发生0日攻击或未知威胁时,未知威胁必须绕过互联网或系统级的防护手段进入主机内部,在主机上依赖cpu执行,以达到盗窃或夺取权力等目的。 另外,由于这些威胁也一定存在于存储器中,所以存储器安全的核心是监视存储器和cpu指令的动作,在威胁发生破坏之前的最后阶段进行阻止,从而实现威胁的检测和防护。
姚纪卫说内存安全是纵深防御系统的最后一环,但内存安全防护不能代替传统的系统防护手段,两者之间应该有相互合作的关系。
在真实的APP场景中,内存安全在应对0日、无文件攻击等攻击时尤为有效。
以目前流行的无文件攻击为例。
首先,说明无文件攻击。
在传统的网络攻击中,攻击者使用恶意软件访问受害者的电脑,然后利用软件漏洞、欺骗受害者下载文件等,安装破坏性的执行文件实施攻击 但是,这种方法的问题是,病毒防护程序很容易检测到。 也就是说,如果不安装恶意的可执行文件,攻击者可以轻松绕过这些安全措施,劫持其他合法的系统工具和可信的APP进行非法活动。 例如,下载和执行远程脚本文件等。 实施攻击的恶意代码往往不会落地磁盘。 也就是说,是无文件攻击。
值得注意的是,无文件攻击并不是与文件无关,而是文件不落地到磁盘,恶意代码只存在于内存中,或者以内存代码片段的方式存在。 例如,如果使用powershell下载并运行远程脚本文件,脚本文件不会落地到磁盘上。 一些无文件技术利用有缺陷的系统和APP,将代码嵌入到系统中,在不被发现的情况下获得控制权。
了解无文件攻击的原理后,在以往流传的防护措施中,无文件攻击不具有恶意的执行文件,因此容易发生遗漏和遗漏,但在内存安全的情况下,恶意的程序仍然会让cpu执行代码
当然,内存安全概念并非首次出现,同期企业也在海外推出内存防火墙等产品。 网盾目前的技术理念是在硬件虚拟化的基础上进行实时程序行为监控和内存操作监控,实现实时攻击检测、抵御核心业务的中断、防止核心数据资产被盗。
该产品基于代理体系结构,只要启动相关服务和脚本即可运行,运行时cpu利用率不超过5%,内存利用率不超过100米。
从技术人员到企业家[/s2/]
再次高举创业的大旗,对姚纪卫来说,他的身份也在创业中发生着变化。 其中最大的变化是从沉默到发言。
在pchunter创作、更新的十多年里,姚纪卫的名字不记得了,人们从他的三两个朋友和pchunter的顾客嘴里只听到了linxer的名字。
安芯网盾的业务上线后,市场部经常就被采访的事件和他进行斡旋,但比起露面,他总是习惯在深夜敲代码。
在再次创业的一年多里,他印象最深的是两件事。 一是自己领导的团队帮助顾客处理了其他企业技术牛不能处理的问题。 另一个是,我经常在周末遇到在企业积极研究代码的同事,觉得他们是同类。
他说话速度很快,同时也不太习惯在陌生的地方接触陌生人。 但是,从幕后到前台的身份转换并没有给他带来太多麻烦。 例如在采访中,我认为通过让更多的人认识自己,可以找到越来越多有志的人,从而处理招聘难的问题。
在8月的xcon技术峰会上,笔者再次见到了他,并开了玩笑。 据悉,为了以他的迅速完成主办者50分钟的演讲,需要准备两倍的原稿,为此准备了50页以上的ppt。
听着台下他滔滔不绝地分享了近一个小时的技术经验,其中大半的技术点似乎很难理解,但却隐约给人留下了那一代技术人员所拥有的自由、平等、交流的技术基础即使经过一段时间也切合实际的印象。
标题:“专访安芯网盾姚纪卫:“从技术人到创业者””
地址:http://www.sdsxywx.com/sdss/1766.html
心灵鸡汤: