后英雄时代的AVER与VXER

　　这是以《关于反病毒与病毒---我的一点心里话》为蓝本为《计算机应用文摘》写的，丰
富了一些内容，看过那篇得就不用看这篇了。；-）
　　
　　 文/江海客（seak@163.net）

一、话题的起因
　　做安全焦点的病毒版版主，是前几天到北京时对Xfocus的哥几个应承下的，当时心中
七上八下的，因为感觉几年来，离技术越来越远了。不知道还能否对得起兄弟们的信任。
　　2000年5月，和大家刚出来搞Antiy Labs（当时叫百联，后来发现CSDN那个公司也
叫百联，就改了）。当时的自己曾经象一个朋友发誓，我要完成从一个懂一点点管理和市场
的技术人员向一个懂技术的管理人员的转变。1年多的摸爬滚打过去了，检讨一下这阶段的
邯郸学步，发现自己依然在管理和市场的门外徘徊，而技术则已经基本不懂了。
　　不过还敢硬着头皮应承这个版主的重要一点，是因为和几个同事正在开发一个木马查杀
的工具Antiy Ghostbusters，除了木马外，还要处理那些开后门的worm程序，这个过程中为
此还是分析了一些样本，没有放弃对方向的跟踪和思考。惭愧的是，产品中自己没有写一行
程序，一直在扮演Project Manager的角色，不是说，自己已经成长为有资格提供方案或者
思想的人了，而是真正感觉自己写起程序来不行了。
　　不过说起对病毒还不能说自己完全丧失发言权，毕竟还是跟着反病毒技术和病毒的对抗
与发展学习了几年。而且试图成为一个民间的AVER的努力也一直在延续。但事实上，民
间AVER永远难以摆脱业余的境界，难以摆脱基础和条件的限制，随着商用反病毒产品技
术的不断规范化和成熟化，这种趋势就越来越明显。不是说你写一个killcih你就是很有水
准了，1对1的分析的方法、技巧、编码查杀很多都只对自我提高有些价值，不足以构造商
用反病毒产品。反病毒历史上灵机一动的小聪明都不足以成为主流技术的，什么引导区覆盖
法，什么向量互锁，什么免疫加壳，无一不被抛弃了。
　　而同时商用反病毒产品的底层技术越来越楼台高锁，大家的交流只限于样本交换，而没
有技术交流，对于技术内核外人更难以涉足。民间爱好者逆向工程的角度，剖析现有的大型
反病毒产品，已经有些勉强，仅仅从引擎和库结构的角度，分析起来应该还可以一做，但类
似虚拟机的工作已经不是个人所能为之，而针对企业级解决方案这一层次的软件，对全平台
的支持等等，实际原理都并不复杂，关键在于巨大的编码量并不是单兵作战所能承担的。而
令一些曾梦想做反病毒产品的资深ASM程序员来说，他们觉得生不逢时的原因是，整个反
病毒产业格局已定，各大反病毒企业的整个引擎结构也都已经基本成型，天才的时代已经结
束，剩下的多数只是留给普通工程师的一些经验性的工作。这甚至使大型AV公司的多数程
序员事实上未见得需要付出很多精力，事实上得到的很多样本都在静态分析中基本解决，成
型的虚拟机和样本评估机制，加上强大的知识库，使他们面对病毒居高临下。譬如他们遇到
I-worm.Magistr时根本不用从头分析里面的两个加密引擎。或许你会发现，AV企业的一般
工程师，玩起softice的手法，远没有cracker熟练。

二、我心中的英雄
但我依然热爱这个领域，这个领域有我自己的偶像，象Eugene Kaspersky 和Alan
Solomon都是我心中的英雄。
Alan Solomon博士是反病毒领域为数不多的大师之一，这位剑桥的毕业生1988年投身
反病毒研究，他是最早把偏移量的方法与特征匹配相结合的，现在看起来这个思想很简单，
但在当时确实让AV软件从极度笨拙的全对象特征串搜索中解脱。
他所造就的Dr Solomon's一度是欧洲最大的反病毒厂商。但如今这位技术的巨人却隐
匿在托拉斯的阴影里。1998年，NAI(美国网络安全联盟，由反病毒企业McAfee Associates
与网络安全公司Network General合并而成，是世界十大软件公司之一，编者注)凭借资本的
力量，在全球收购了10家软件公司。Solomon的S&S就是其中之一。Panda能成为欧洲最
大的反病毒软件厂商，也是Dr Solomon's消失后的结果。
但AVER们对NAI的创始人之一的John Mcafee的敬仰之情远远不及Alan Solomon，
尽管前者同样曾经是很优秀的程序员。在他们眼中，这种吞并是一种强取豪夺，而远不是技
术上的优胜劣汰的结果。当然程序员们并不都会从资本和市场的角度去理解问题，否则他们
可能无法潜心的作一名程序员。但确实，与其说这次兼并是为了谋求市场，不如说是寻求技
术，Mcafee的引擎经过一番打造，基本被换成了Dr Solomon's的。在研发小组中，一派 原
Solomon人员带领Mcafee的工程师们高歌猛进的景象，看着Mcafee的弟子对Solomon的门
徒崇拜备至的感觉，大可以使不明真相的人以为，被吃掉的不是Dr Solomon's而是Mcafee。
　　作为AVP（AntiViral Toolkit Pro）的缔造者Eugene Kaspersky同样是传奇一般的人物，
他1989年进入这一领域，这个软件一直是以shareware的姿态，但却一直是业界技术口碑
最好的反病毒产品之一。与NAI、symentec这样的运作性企业不同，Eugene Kaspersky带领
着他的实验室一直默默无闻的在技术的道路上前进。
　　AVP得到高手们众口一词的欣赏首先是因为其在虚拟机和启发式扫描方面所做出的巨
大贡献，有人指出AVP对未知病毒的监测上已经达到了一个极限水准。在对这个软件进行
分析时，我曾深深的被其异常精彩的内部结构震撼，整个引擎和库的构造，可以说不仅是科
学更是一种艺术。
　　一些资深的用户也能感受到AVP整个规划完全无愧于大师水准，与其他的反病毒产品
需要在页面上，指点着用户哪个版本需要用哪个数据库升级不同。AVP只用一套数据文件，
就轻松的完成了从以前DOS版本到For NT Server版本的引擎和数据库的升级。
　　 AVP的反病毒库公认是最出色的，包括他那套严谨的病毒命名，不仅是VXER们，甚
至一些反病毒公司，都使用AVP的LOG来交换样本，成为一种奇异的景观。
　　Kaspersky的路也不是一帆风顺，与Dr Solomon's被兼并不同，AVP在99年底遭遇了
散伙风波，散伙的起因来自一个当初比较草率的组合，做作为后期之秀Gabriel Pislaru一度
率领的反病毒产品AVX加盟AVP旗下。这位罗马尼亚小伙子确实也是一名天才程序员，他
一个人完成了AVX for Proxy Server，AVX for ICQ Plugin等几个软件的开发。对于一直专注
于桌面领域的Kaspersky来说，期待AVX能从Server平台入手，形成完整的产品线的战略
考虑不言而喻。
　　但出乎意料的是，高手之间的冲突，却往往显得更加残忍，99年底罗马尼亚人不仅抛
弃了他的俄罗斯大哥，跑到美国去了。更是对用户宣称，AVX就是AVP的升级版本。此举，
顿时遭到了圈内的一致谴责。一些资深的VXER都站出来对AVX进行了批判。好在，
　　Kaspersky迅速进行了调整，全球统一了Kaspersky Labs的旗帜，而且终于在2001年底拿出
了比较完整的服务器产品线。
　　 与两位当今的业界的老大MCAFEE和Symantec相比，Kaspersky Labs这种学院派企业
并不起眼，而即使是Dr Solomon's在最鼎盛的时候，也不是那种能打出“幸福500家中有
XX%使用我们产品”的广告的。两位大师所耕耘的欧洲的土壤，毕竟不如美国的IT土壤肥
沃，欧式的技术绅士眼中发现的只是病毒，而美国牛仔发现的是市场。很少有大众媒体把光
环套在他们脑袋上，给他们赞誉的都是业内的程序员们，那是一种尊敬和崇拜。地下病毒站
只会讨论如何逃避AVP的检测，而对NAV不屑一顾，当然也有资深工程师说这并不公平：
“在结构和库方面，AVP当然是最好的，但在一些程序细节上，还是NAV更胜一筹”但很
少有人知道Symantec的NAV作者是谁，反正不应该是Norton自己。在技术的视野中，产
业的霸主被忽略在技术巨人的阴影里。
　　 但不知道两位大师如今是否惬意，在AVX出走后，Kasperksy连avp.com的域名都失去
了，AVP更名KAV仿佛是一种无奈的个人崇拜，而Solomon早早失去了自己的公司，不过
好在Mcafee的技术人员，对他崇拜的五体投地。

三、民间的衰落
　　至于国内中国的反病毒圈子，我觉得没什么好说的了，而且说的已经很多了。沉默的重
要原因是去年年初的一件事情，给了我很大打击，由于比较敏感的关系，不再想提了，何况
看起来根本和我没什么关系。不过当时伤心的不是我一个人，一个哥们打电话给我说他要退
出圈子了，他说“从今后中国反病毒圈子的任何事情和我再没有关系”那种心情可能就是所
谓绝望吧。他的悲哀或者我们的悲哀在于我们坚信这个领域需要秩序，而事实上这种期待是
一种妄想，而且在于作为民间的AV FANS，我们的工作可能从来没有被认可过。但这些民
间AVER出路呢？自己从头做起，自立旗杆，显然是痴心妄想，如果投入商用反病毒公司
的怀抱，大概还有一种难以名状的悲哀。也许放弃这个领域，虽然无奈，却不失为最好的选
择。
　　 说到这里突然想起了陶辰，2000年初，他的sodu99还是国内硕果仅存的唯一民间反病
毒产品，而他自己的正式工作是某外资电信企业的工程师。也是年初的一天夜里，在一家小
店和他对饮之后，看着他消失在街头的背影，我突然感到，如果有一天他放弃sodu99的升
级，也许是一种明智。结果我不幸言中。
前水木清华BBS Virus 版斑竹bluesea，曾经是民间AVER的一面旗帜。告别了网易
副总的位置后，他担任着一家软件公司的CTO，尽管回归了技术，但领域和反病毒没有任
何关系。
　　 AV98是从企业到民间的，公安部通过检测名单上已经没有这个软件的名字了，在运作
的巨大挫折后，AV98仍然作为一个免费的产品在继续升级。虽然凭借着与国外厂商紧密的
联系和比较丰富的技术储备，维持升级并不是问题。但作者刘杰还是声明将在1个月内关闭
网站，他是不是也不想撑下去了？
　　 其实如果跟不上商用反病毒技术的发展，做一个民间的AVER可能远比做一个VXER
艰难，希冀获取商用反病毒技术的内幕除了自我分析，很难有更好的便利途径。在网上几乎
很难找到有价值的资料，至少公布逆向工程的结果是不受鼓励的，AV企业的程序员，也不
会自己来学习雷锋，从商业竞争的角度不说，这个结构的公开，对用户的结果本身就可能是
个灾难。就连AVP、FSAV这样杰出的反病毒产品，都遇到过类似MIRROR等一些专门钻
某个反病毒产品空子的病毒，让他们扫描时进入死循环。更不要说其他产品了。大家还记得
SAC写的那个KV300扫描到就利用软件bug激活格掉用户硬盘的小程序么？

四、VXER风景线

　　反病毒技术在于在于积累，而VX往往只是局部的，I-worm.loverletter（就是所谓爱虫
病毒，编者注）的作者可能不懂汇编，甚至连一个C程序员都不是，但它却大面积流行了。
其实当今很多流行的病毒，都不是作者有多么高的编程水准，而是用了类似社交工程或者心
理学一类的方法，比如库娃病毒的作者连编程都不会，但却利用了网民的窥视心态，比如
Word97.Messlia作者用一个色情站点list的word文件作为病毒载体，比如I-worm.sircam那
种取本机文件名的手法。
　　 当然，那些资深的VXER对此是不耻的，他们从不以自己的病毒传播如何广泛为荣誉，
这些人的品性有些类似老牌黑客的绅士风范，这些人中确实也有我很欣赏的，比如对win32
的内核有很深了解的29a的benny，事实上，他写的东西，一般永远不会传播到你机器中，
但AVE（avp 病毒百科全书）仍然会给与他的“作品”以大量篇幅。Benny这样的人，针对
一个新的平台，新的思路，写一个新病毒，并不刻意的去传播，而首先把它Post给反病毒
企业，想象反病毒公司那些呆头呆脑的样本分析工程师，“我靠，原来病毒也可以这样编”
的惊呼，然后心情紧张的把样本交给公司中的前辈高人寻求指点他们已经心满意足。
　　 据说benny只有20岁，但他却秉承了很多前辈的气质，在法律的边缘地带生存的十分
理智，始终以研究为宗旨，不超越雷池一步。在13岁的时候，他拥有了自己的电脑，在同
龄人专注于游戏的时候，他就开始了Pascal的学习，1年后，他在感觉已经很了解结构化的
方法之后，开始了他的汇编程序员之路。有几种技术上颇有创意的病毒都出自他之手，比如
去年被AV企业广泛关注的第一种跨WIN32和LINUX平台的病毒。
　　类似Benny这样的人并不是很多，但也构成了若干部落，他们更在意行家对他们的欣
赏，他们以自己的作品在AVE中有一席之地而荣幸，他们需要的不是全球用户对他们的咒
骂，而是象Eugene这种正派高手的惺惺相惜的目光。这些资深VXER的生态，和那些资深
HACKER一样同样是IT世界中最为扑朔迷离的地下风景。
　　 我是断然反对程序员编写病毒的，但反病毒企业是绝不能只站在自己的角度，而不去
揣摩VXER可能使用的手法，否则就会陷入极度被动的境地。反病毒本身也不该是孤立技
术，本来就应该是安全体系的一部分，但也许是因为这个市场最先成熟，需求旺盛，其最先
完成了资本原始积累的过程，所以使反病毒领域显得如同松鼠的尾巴足以包裹全身。不知是
否是这个原因，网络安全的各种会议，论坛上，你很难找到反病毒公司的身影。两个圈子仿
佛是隔离的。这在过去，不会有任何问题。因为过去HACKER与VXER是泾渭分明的，不
会“勾结”在一起。因为VXER本身就是更隐蔽的，至少，拉斯维加斯的黑客大会上，不
会有他们的身影。他们更很难有自己的聚会。与对黑客的毁誉参半相比，Benny那种邪中的
三分正气，是很难为人所见的。而大家始终认为HACKER在面对VXER的时候，有足够的
理由不屑的扬头而去。写黑客工具的人可以说，工具是我造的，使用工具的人应该自行负责，
但写病毒的人很难去说，毒药是我配的，但不是我卖的。原因很简单，一般情况下，攻击行
为是定向的，可控制的，而病毒的传播是一种“散射”，如同潘多拉盒子里的魔鬼，一旦放
出去，就难以预料传播多远，何时才能查杀干净。
　　 但从目前来看，反病毒技术和网络安全技术必须结合，VXER圈子本身就是良莠不齐，
而多数新派的VXER更是越来越缺少那种绅士的遗风。他们毫不犹豫而贪婪的使用H acker
们的成果，而当今的HACKER们也很难保有前辈要与VXER划清界限的高洁，究竟是谁向
谁靠拢，很难说清，但至少RedCode 和Nimda的风格断然不象VXER所为，而更像从事网
络安全研究的人的手笔。许多Hacker手中都留一个自己写的小木马作为“秘密武器”，也早
是公开的秘密。
　　而同时，若干年以来，AV WARE一直是面对病毒居高临下的，他们面临的最多只是病
毒删除他们自身文件之类的威胁。他们很少经历过黑客们象寻找OS漏洞那样的严格剖析。
而由于企业级反病毒方案的日趋流行。其自身的安全问题必须得到解决，消息通告、库的升
级分发等环节是否有足够的强度，已经变得非常重要。AV Ware的Control Center完全可能
成为攻击主机的突破口，这也绝非耸人听闻。

尾声
　　VXER更为地下的生活，却使他们积累了比估计远为丰富的经验和远为强大的能量，这
种技术储备如果与黑客式的思维结合，可能会带来灾难性的后果。我过去说过我是不想表现
先知的，否则就是给VXER们提示思路。对此，我现在也不想，我们能做的和该做的，是
为这个脆弱的信息社会的肌体增加一点免疫力。
　　

　　　　　　　　　　　　2002年1月14日再稿于 Antiy Labs