我是一個殺毒軟件線程_風聞

夜深了，我的工作忙完了，準備去sleep一會兒。路過安全分析實驗室的門口，看到實驗室大牛老周還在埋頭研究。

“老周，挺晚了，還忙啥呢”

“哦，是小謝啊，今天從explorer公司揪了一個木馬，取了一個很容易掩人耳目的名字：kernerl32.dll”，老周説到。

“哦，這木馬很難分析嗎”

“這倒不難分析，我疑惑的是它是怎麼進來的，我們公司守護的嚴嚴實實的”

“休息一會兒吧，説不定就有思路了，要不我陪您走走？”

“也好，眼睛都看痛了，走”。

我倆邊走邊聊。“對了，小謝你是公司做哪塊業務的啊”，老周突然問我，我倒緊張起來了。

“我的崗位很簡單，是負責UI交互的線程，沒啥技術含量，比不上你們安全事業部啊”。

“可不要小看自己的工作崗位，你可是公司的門面，我們公司花了多少力氣才穩住今天的局面，你們門面要是不做好，隨時可能被別的公司搶了市場的”

“慚愧慚愧，還是老周想的長遠。對了，要不你給我講講公司的故事吧，咱們是怎麼守護國家安全的”，我尷尬的轉移話題。

“這個可有的聊了，我們公司不同於隔壁explorer公司、chrome公司、IE公司，我們的職責是守護國家的安全。我們是一個實行Windows體制的國家，不像那些實行Mac OSX體制的國家管的那麼嚴，我們國家的政策非常鬆散，隨隨便便都可以成立公司，誰都可以很容易就訪問國家的數據倉庫——磁盤文件”，老週一下打開了話匣子。

“在我們公司來到這個國家之前，全國各地特別亂，流氓軟件、病毒、木馬經常侵擾，對人類造成了很大的損失。所謂時勢造英雄，361殺毒公司應運而生！政府自身的安全措施有限，我們需要全方位的守護國土”。

“那我們是怎麼保護國家安全的啊”，我打斷了老周。

“我們要對抗的就是流氓軟件、病毒和木馬等這些對咱們國家有害的東西。這些人會偷取國家數據，破壞國家設施，我們要建立重重防線抵禦這些行為”。

“其實，政府本身也有很多安全能力。首先就是公司之間是隔離的，一個公司的員工不能隨隨便便去別的公司。用人類的話説這叫做進程隔離，正常情況下不能執行跨進程的訪問。其次，政府工作的地方被劃為了禁區，外界公司想要辦事都只能通過政府提供的辦事處窗口來完成。在人類看來，政府就是操作系統，運行在內核態，就是禁區，一般人進不去的地方，普通公司就是一個個運行在用户態的進程，去窗口辦事的過程叫做系統函數調用，也叫系統API調用，簡稱系統調用”

“這個我知道，我經常去這些部門辦事，但是因為我只是一個普通的用户態的線程，所以進去之後發生了啥我都不知道，每次出來都給我抹除了記憶。”

“那是自然，不過咱們公司不一樣，在政府內部有人，找機會安排一下，不給你消除記憶，下次去政府內部，好好看看精彩的內核世界，不要捨不得回來哦”

“真的，好期待！額，剛才説到哪裏了，哦對，政府本身的安全能力已經很強大了啊，那些壞蛋也幹不了啥事了嘛，政府部門守着這些入口，他們能翻出多大浪花”。

“哎，此言差矣！光有這樣是不夠的，很多壞蛋冒充好人去政府窗口辦事，辦事處人員是分辨不出來的。更為要命的是，國家為了擴展一些新的部門，經常要招一些公務員進去，這些公務員進去後就打入政府內部了。要是不懷好意的人進去了，那就完蛋了。”

“額，什麼意思，我咋聽不懂啊······”

“用人類的語言跟你解釋，就是説啊，操作系統允許應用程序加載驅動程序，本意是用來‘驅動’電腦擴展的硬件設備，比如顯卡驅動啊，聲卡驅動啊，網卡驅動等等。可是注意啊，這個驅動程序可是直接進入系統內部，運行在內核態啊，就擁有至高無上的權限了，想幹嘛幹嘛。”

“哦，這樣啊，你剛才説的咱們公司在政府內部有人，是不是也是這樣進去的？”

“嘿嘿”，老週一聲陰笑

“這也太可怕了，我們可以這樣進去，那別人也可以啊，那咱們怎麼保護啊？”

“秘籍在於HOOK！”老周得意的一笑。

“HOOK是什麼？”

“HOOK就是鈎子的意思，就是説啊，我們一開始就先去政府內部，在外面那些公司去找政府辦事的必經之路上安插一個指路的小H，所有人過來辦事的時候，小H就給他們指路到我們這裏來，我們進行全面的安檢，安檢不合格的給打回去，安檢通過的才能放行讓他去辦事。在人類看來，我們會給操作系統內核入口的地方修改一條代碼指令，函數執行到這裏，就跳轉到我們的代碼，哈哈哈”，老周越説越得意。

“哦，原來如此，這樣一來，那些壞蛋想幹壞事，我們就能及時知道了。”

“沒錯！厲害吧”

“厲害是厲害，不過總感覺哪裏不對”

“有什麼不對的，我講的你沒有聽懂嗎？”

“聽倒是聽懂了，但是有種隱隱的不安。”

“不安，為什麼？”

“你看哈，你説要去政府內部安裝HOOK，那也得先通過驅動程序打入政府內部吧，那政府怎麼能相信我們和那些壞蛋有什麼不同呢？”

“我們跟他們可不同，我們是有高尚的品德的，不會幹壞事”，老周爭論到。

“你先別急，還有，我們這樣一來進入政府內部以後，還把守了核心的位置，那我們豈不是掌握了所有公司的生殺大權？位高權重，時間久了，公司內部會不會有人變壞走向邪路？人心難測，權利容易讓人變壞啊”

老周開始眉頭緊鎖。

“還有啊，如果有別家安全公司也這麼做，那咱們是要競爭嗎，如果大家惡意競爭，國家沒被病毒木馬搞壞，都被我們這些安全公司搞亂了”

老周開始額頭冒汗了。

就在我準備繼續追問時，公司後勤保障部發來廣播通知：“收到關機通知，各單位保存好工作，咱們明天再見。”

老周隨即告別：“小謝啊，咱們改天再聊，我得回去保存今天的木馬分析結果，拜拜”

告別了老周，我也準備撤了，今天一天也是夠累的。

未完待續·······

彩蛋1

就在我準備“圓寂”的時候，公司裏警報拉起：“發現有目標在關機時刻修改註冊表，設置開機自啓動項，請緊急處理”

彩蛋2

在遙遠的Linux帝國，Web安全防護公司——WAF，此刻也拉響了警報，一個神秘數據包的到來，nginx公司上下亂作一團···