昨天的心情本来不是很好，后来casper发来个短消息，
说xfocus.net的病毒版开了，当时突然有一种兴奋和紧张
交互的感觉。
　　当时恰好机房里有客人，等送走客人才上来，已经水
慢金山了。
　　前面回贴说到一筹莫展，关键不知如何组织这个版面
，太阳岛站最早的病毒黑客版版主是我，但那时只要勤恳
科普就可以。如果照搬过来，就不免让兄弟们笑话了。
　　来做这个版主，是前几天到北京时对朋友们应承下的
，当时心中七上八下的，因为感觉几年来，离技术越来越
远了。不知道能否对得起兄弟们的信任。
　　从2000年，和哥几个刚出来搞Antiy Labs（当时叫百
联，后来发现CSDN那个公司也叫百联，就改了）。当时，
，我曾经象一个朋友发誓，我要完成从一个懂一点点管理
和市场的技术人员向一个懂技术的管理人员的转变。1年多
的摸爬滚打过去了，检讨一下邯郸学步的自己，发现自己
依然在管理和市场的门外徘徊，而技术则已经基本不懂了。
　　不过还敢应承这个的重要一点，是因为和几个同事正
在开发一个木马查杀的工具Antiy Ghostbusters，除了木
马外，也能处理一些worm程序，这个过程中为此还是分析
了一点样本,没有放弃对方向的跟踪和思考。惭愧的是，产
品自己没有写一行程序，一直在扮演Project Manager的角
色，不是说，自己已经变成有资格作为之提供方案或者思
想的人了，而是真正感觉自己写起程序不行了。
　　不过说起对病毒还不能说自己完全丧失发言权，毕竟
还是跟着学了几年。而且试图成为一个民间的AVER的努力
也一直在延续。但事实上，民间AVER永远难以摆脱业余的
境界，难以摆脱基础和条件的限制，随着，商用反病毒产
品技术的不断规范化和成熟化，这种趋势就越来越明显。
不是说你写一个killcih你就是很有水准了，1对1的分析的
方法、技巧、编码查杀很多都只对自我提高有些价值，不足
以构造商用反病毒产品。反病毒历史上么灵机一动的小聪
明都不会成为主流技术的，什么引导区覆盖法，什么向量
互锁，什么免疫加壳，无一不被抛弃了。
　　而同时商用反病毒产品的技术，越来越楼台高锁，大家
的交流只限于样本交换，而没有技术交流，对于技术内核而
外人更难以涉足。民间爱好者逆向工程的角度，剖析现有的
大型反病毒产品，已经有些勉强,仅仅从引擎和库结构的角度
，分析起来应该还可以一做，但类似虚拟机的工作已经不是
个人所能为之，而针对企业级解决方案层次的软件，对全平
台的支持，实际原理都并不复杂，关键在于巨大的编码量。
而令一些资深的曾梦想做反病毒产品的ASM程序员来说，他们
觉得声不逢时的原因是，整个反病毒产业格局已定，各大反
病毒企业的整个引擎结构也都已经基本成型，天才的时代已
经结束，剩下的多数只是留给普通工程师的一些经验性的工
作。这甚至使大型AV公司的多数程序员事实上未见得需要付
出很多精力，事实上得到的很多样本都在静态分析中基本解
决，成型的虚拟机和样本评估机制，加上强大的知识库，譬
如他们遇到Magistr时根本不用从头分析里面的两个加密引擎。
多数文件型病毒的清除，其实静态分析足可解决。或许你会
发现，AV企业的一般工程师，玩起softice的手法，远没有
cracker熟练。
　　但我依然热爱这个领域，这个领域有我自己的偶像，象
Kaspersky Eugene 和Solomon都是我心中的英雄。
但他们未必很惬意， 在Gabriel出走后，Eugene连avp.com
的域名都失去了，AVP更名KAV仿佛是一种无奈的个人崇拜，
而Solomon则早早被兼并了，不过好在对Mcafee技术人员，
对他的崇拜一点不亚于Solomon的原班人马。
　　至于国内中国的反病毒圈子，我觉得没什么好说的了，
而且说的已经很多了。沉默的重要原因是去年年初的一件事
情，给了我很大打击，由于比较敏感的关系，不再想提了
，何况看起来根本和我没什么关系。不过当时伤心的不是
我一个人，一个哥们打电话给我说他要退出圈子了，他说
“从今后中国反病毒圈子的任何事情和我再没有关系”那
种心情可能就是所谓绝望吧。他的悲哀或者我们的悲哀在
于我们坚信这个领域需要秩序，而事实上这种期待是一种
妄想,而且在于作为民间的AV FANS，我们的工作可能从来
没有被认可过。但这些民间AVER出路呢？自己从头做起，
自立旗杆，显然是痴心妄想，投入商用反病毒公司的怀抱，
大概还有一种无奈的悲哀，taochen放弃sodu99的升级，
也许是一种明智。
　　其实如果跟不上商用反病毒技术的发展，做一个民间的
AVER可能远比做一个VXER艰难，希冀获取商用反病毒技术的
内幕除了自我分析，很难有更好的便利途径。你网上几乎找
不到任何有价值的资料，至少逆向工程是不受认同的，因此
而且这个结构的公开，对用户的结果可能是个灾难。大家还
记得SAC写的那个KV300扫描到就利用软件bug激活格掉用户
硬盘的小程序么？就连AVP、FSAV都遇到过类似MIRROR等一
些专门钻某个反病毒产品空子的病毒，让他们扫描时停摆。
　　反病毒技术在于在于积累，而VX往往只是局部的，爱虫
的作者可能不懂汇编，甚至连一个C程序员都不是，但却大
面积流行了。其实当今很多流行的病毒，都不是作者有多末
高的编程水准，而是用了类似社交工程或者心理学一类的方
法，比如库娃病毒的作者连编程都不会，但却利用了网民的
窥视心态，比如Messlia作者用一个色情站点list的word文件
作为病毒载体，比如sircam那种取本机文件名的手法。
　　当然，那些资深的VXER对此是不耻的，他们从不已自己
的病毒传播如何广泛为荣誉，这些人的品性有些类似老牌黑
客的绅士风范，这些人中确实也有我很欣赏的，比如ilsy转
来文章所提到的29a的benny，他写的东西，一般永远不会传
播到你机器中，但AVE（avp 病毒百科全书）仍然会给与他
的“作品”以大量篇幅。Benny这样的人，针对一个新的
平台，新的思路，写一个写病毒，并不刻意的去传播，而首
先把它Post给反病毒企业，想象反病毒公司那些呆头呆脑的
样本分析工程师，“我靠，原来病毒也可以这样编”的惊呼
，然后心情紧张的把样本交给公司中的前辈高人寻求指点，
他们已经心满意足。
　　他们更在意行家对他们的欣赏，他们以自己的作品在AVE
中有一席之地而荣幸，他们需要的不是，全球用户对他们的咒
骂，而是象Eugene这种正派高手的惺惺相惜的目光。这些资深
VXER的生态，和那些资深HACKER一样同样是，IT世界中最为扑
朔迷离的地下风景。
　　反病毒本来就应该是安全体系的一部分，但也许是因为
这个市场最先成熟，需求旺盛，其最先完成了资本原始积累的
过程，所以使反病毒领域显得如同松鼠的尾巴足以包裹全身。
不只是否是这个原因，网络安全的各种会议，论坛上，你很难
找到反病毒公司的身影。两个圈子仿佛是隔离的，这在过去，
不会有任何问题。VXER本身就是更隐蔽的，至少，拉斯维加斯
的黑客大会上，不会有他们的身影。他们更很难有自己的聚会。
与对黑客的毁誉参半相比，Benny那种邪中的三分正气，是很难
为人所见的。而大家始终认为HACKER在面对VXER的时候，有足够
的理由不屑的扬头而去。写黑客工具的人可以说，工具是我造的
，使用工具的人应该自行负责，但写病毒的人很难去说，毒药
是我配的，但不是我卖的。
　　但从目前来看，反病毒技术和网络安全技术必须结合，因为
新派的VXER已经越来越缺少那种绅士的遗风，他们毫不犹豫而
贪婪的使用HACKER们的成果，而当今的HACKER们也很难保有前辈
要与VXER划清界限的高洁，究竟是谁向谁靠拢，很难说清，但至少
RedCode 和Nimda的风格断然不象VXER所为，而更像从事网络安全
研究的人的手笔。
　　而同时，若干年以来，AV WARE一直是面对病毒居高临下的，
他们面临的多数只是病毒删除他们资深文件之类的威胁。他们很少
经历过黑客们象寻找OS漏洞那样的严格剖析。而由于企业级反病毒
方案的日趋流行。其自身的安全问题必须得到解决，消息通告、库
的升级分发等环节是否有足够的强度，已经变得非常重要。AV Ware
的Control Center完全可能成为攻击主机的突破口，这也绝非耸
人听闻。
　　VXER更为地下的生活，但他们积累了比估计远为丰富的经验和
远未强大的能量，这种技术储备如果与黑客式的思维结合，可能会
带来灾难性的后果。我过去说过我是不想表现先知的，我现在也不
想。但至少我们能做的，是为这个脆弱的信息社会的肌体增加一点
免疫力。
　　

　　　　　　　　　　　　江海客
　　　　　　　　　　　　于 Antiy Labs