數碼病毒的黑客江湖

丁一鶴

2016年6月，360公司在北京主辦首屆世界黑客大師賽，360公司首席工程師鄭文彬將世界排行前五的黑客戰隊都請到了中國。

鄭文彬曾11秒攻破谷歌、17秒入侵微軟，對戰世界最強間諜級病毒，開創中國網絡安全云時代。

最早揪住了熊貓燒香

2006年12月，在大學讀了4個月的鄭文彬退學后，這個只有18歲的小伙子來到北京奇虎公司應聘，成為奇虎360安全團隊的一名技術員，負責流氓軟件專殺。

從2006年年底到2007年年初，短短的兩個多月時間，憨態可掬的熊貓圖標占領了無數電腦的屏幕，一個名為“熊貓燒香”的病毒不斷入侵個人電腦、感染門戶網站、擊潰數據系統，億萬用戶叫苦連天，殺毒廠商焦頭爛額，病毒作者被黑客追捧，甚至《2006年度中國大陸地區電腦病毒疫情和互聯網安全報告》中，也把熊貓燒香評為“毒王”。

鄭文彬也在追蹤著熊貓燒香的蹤跡，當他滿頭大汗敲擊著鍵盤時，電腦屏幕上一串字符引起他的注意。熊貓燒香病毒的源代碼含有一個whboy字樣的符號。鄭文彬多次與病毒交手，在此之前含有whboy源代碼符號的病毒曾經出現過。但以往與whboy符號相關的病毒出現時，并沒有熊貓頭那樣的明顯標志，所以沒引起注意。

要注冊域名就要填家庭住址電話，沿著whboy這個代碼，鄭文彬竟然找到了注冊人的信息。打開一看，是一個武漢的地址。

whboy，就是武漢男孩兒！

鄭文彬噼里啪啦敲擊了一串兒鍵盤后發現，武漢男孩兒填寫了真實的個人信息，留下了真實名字李俊，還有自己的家庭住址。

李俊這個初出江湖的黑客也許并不知道，對于黑客高手而言，這是暴露身份的致命線索。這個初入黑客江湖的雛兒，因這段代碼暴露了自己。

李俊只是通過制作一個讓人記住的形象，來證明他是網絡世界的熊貓。此時李俊當然不知道，當他把代號whboy寫入病毒的時候，就給自己的犯罪留下了蛛絲馬跡。

遺憾的是，彼時殺毒行業并沒有構建有效報毒規則，各家安全公司發現病毒之后，都到軟件評測網站發布消息，提醒業界注意。追蹤到熊貓燒香的木馬病毒后，鄭文彬把自己的這個發現，發到中文業界資訊網站CnBeta上。

鄭文彬公布熊貓燒香相關信息之后不久，湖北公安廳網監部門一舉偵破了熊貓燒香病毒案，抓獲了25歲的武漢市新洲區人李俊。

2007年9月24日，熊貓燒香計算機病毒制造者及主要傳播者李俊等四人，被湖北省仙桃市人民法院以破壞計算機信息系統罪判刑，李俊被判處有期徒刑四年。

給微軟找漏洞打補丁

2007年4月，360安全團隊突然接到大批網友求救。網友說，進入網站只要點擊一個網頁或者下載軟件，電腦馬上癱瘓。

根據網民的求救信息，鄭文彬進入網站發現，網民無論是通過瀏覽器瀏覽還是用各種看圖軟件打開，或者在即時聊天窗口、電子郵件里查看圖片文檔，只要打開就會中招！鄭文彬發現，這些網站和網頁都掛了木馬，就像人們常常走過的路上掛滿地雷一樣。

這種大面積的掛馬，以前還很少發現。根據經驗，鄭文彬立即作出判斷：這是一種新的病毒攻擊模式！攻擊者將木馬藏在文件中，很可能是瀏覽器存在漏洞！

漏洞是微軟一出生就帶來的缺陷，而且是不可避免的缺陷。所謂漏洞，就好比長江大堤上隱藏在草叢之下的螞蟻洞，平時根本看不到，只要洪水到來，千里之堤毀于蟻穴。黑客就是瞄準漏洞攻擊的那成千上萬的蟻群。

微軟當然知道漏洞的存在，他們每月補一次漏洞。但黑客卻時時刻刻發動攻擊，只要出現一個新漏洞，全國幾億網民都有被攻擊的危險。

衣服破了就要打補丁，鄭文彬針對漏洞設計了臨時補丁。查漏洞打補丁的功能一面世，立即受到普遍歡迎。

查漏洞打補丁的技術含量很高，當時國內只有為數寥寥的頂級高手才能做到。為了不至于讓微軟感到難堪，鄭文彬將之起名為臨時補丁。微軟是每月的第二周固定推出，鄭文彬就在微軟發布之后再推出臨時補丁。

以微軟睥睨天下的技術實力，其他安全公司提供個臨時補丁，他們并不覺得是多大的事情。他們要做的就是在網上發布一份聲明，對打補丁的高手進行口頭上的獎勵。即便是口頭表揚，對全球所有黑客而言都是天大的榮譽，每一次微軟的致謝都是一枚碩大的勛章。

而在過去的歲月里，鄭文彬帶領的安全團隊向谷歌、微軟、蘋果等全球各大IT巨頭，提交了上百個漏洞報告并獲得公開致謝，發現漏洞數量僅次于谷歌安全團隊，位列世界第二，被譽為“東方最強白帽子軍團”。

幫微軟打補丁，就像幫秦始皇修長城，給長江找蟻穴，這種成就感，是只有站在峰巔的人才會領略的絕佳風景。

開創網絡安全云時代

2008年8月，新款殺毒軟件推出之后沒多久。鄭文彬一腳踩空摔下樓，去醫院一拍片子，腿骨折了！

鄭文彬的工作場地就從辦公室搬到了家里的客廳。董事長周鴻煒安排好公司的事情，就帶著團隊直奔鄭文彬家，幾個人身子往沙發里一摔，就開始爭論上了。

在鄭文彬家的客廳里，周鴻神拋出了一個令人撓頭的問題：“以往殺毒方式是依靠收集病毒特征，被動防御造成防不勝防。我們必須拿出一個新的殺毒模式，變被動為主動。”

“全世界殺毒技術都是被動防御，但最好的防御就是攻擊。從技術上應該能做到。”鄭文彬說。

全世界每小時會產生兩萬多個新病毒，而全球最好的安全殺毒公司要有超過2000個分析員對病毒進行分析甄別。

鄭文彬提出的殺毒途徑是，在病毒進入計算機之前進行攔截。因為病毒進入計算機，需要經過傳輸，而在傳輸過程中，只要發現并提示是否有病毒，并且阻止病毒進入電腦，一切問題迎刃而解。

鄭文彬天生具有一種直覺，能從成千上萬的可能性中挑出最好的路徑。他帶領團隊把病毒的所有特征和指標做出來，就等于做了一個過濾網，無論軟件還是病毒從這里過濾一下，人工智能就能分析判斷是不是病毒。當時360已經有數億個病毒樣本數據，用人工智能調整好對比模型，大大提高了判對判錯的能力。

2008年，“云”成了IT行業最熱門的名詞。所謂“云”，其實指的是后端（服務器端），也就是平時我們很少能夠看到的那一端，正因為平時難得看到，所以有一種虛無縹緲的感覺，也許就是因為這個原因，才被稱為“云”。

云安全思維確定之后，鄭文彬帶領殺毒團隊聯手人工智能專家，很快做出了云查殺安全軟件。

云安全打通了病毒的發現和處理兩個部分的障礙。也就是說，病毒還沒到電腦上，就在云端被識別和查殺了。等于有個孫悟空騰云駕霧，手搭涼棚給所有用戶站崗放哨打妖怪。

互聯網安全技術正在經歷顛覆與重塑，這一思路抓住了這樣的趨勢，實現了技術上的彎道超車。沿著這個思路，云查殺正式登場亮相。這款智能防御安全軟件的優勢在于，在病毒還沒有進行破壞的時候，安全軟件就發現它有問題，把它給攔住。就像大街上萬人之中的一個小偷，他沒下手的時候你不能抓他，但你可以隨時盯著他。只要他把手伸出來，孫悟空就在云端看到這個微小的動作，然后一棍子將妖怪撂倒在地。

這種看似簡單的思維模式，卻開創了東方網絡安全的云時代。剿滅超級火焰

2012年6月2日，全國各大媒體轉載了一則新華社消息：《席卷全球的“超級火焰”病毒已入侵中國》。

由新華社發布消息宣布一種病毒的來襲，是前所未有的，可見這種病毒的猖狂與可怕。這則消息稱，政府機構、大型企業一旦感染，將迅速蔓延，面臨機密信息泄露的風險。國外多家網絡安全團隊指出，超級火焰病毒很可能是由某些國家投入大量資金和技術支持而研制的，用于網絡戰爭。

超級火焰這種用于網絡戰爭級別的病毒，實際上是一種間諜級的戰爭機器，令所有人不寒而栗。在此之前，超級火焰入侵伊朗、以色列、巴勒斯坦等中東國家和地區的大量電腦，收集信息情報，已經查明有幾千臺電腦中招。位于日內瓦的國際電信聯盟稱，超級火焰是一種危險的間諜工具。

鄭文彬研究發現，這種強大無比的病毒，其復雜程度和功能效力，超過已知的任何病毒。從規模上看，超級火焰作為一種網絡間諜戰武器，背后必然是一支看不見的黑客軍團。通俗一點說，超級火焰就像《潛伏》里的余則成，在悄無聲息中完成諜報行動。

超級火焰引發了各國的恐慌，也引起國與國之間的口水戰。對此，頂級密碼專家認為，這種間諜級的病毒，用正確的方法開發出來需要八到十年，而破解它也需要八到十年！

顯然沒有十年時間去破解它。唯一可行的辦法就是找到它入侵的漏洞打補丁，阻止超級火焰的入侵！

這是一場事關國家安全、命運攸關的阻擊戰。更令人膽戰心驚的是，這個病毒早已啟動人侵程序！利用微軟數字簽名欺騙漏洞，偽裝為微軟簽名的文件。也就是說，即便被火焰病毒入侵并盜走了文件，幾乎所有用戶都茫然不知！

鄭文彬立即根據病毒特征找到漏洞，在第一時間為全體用戶推送了補丁，保護中國網民的電腦有效“滅火”。

與此同時，微軟也已針對漏洞發布了補丁。國內瑞星、金山等多家殺毒廠商同仇敵愾，紛紛推出了自己針對超級火焰的專殺工具。

超級火焰從中國的計算機用戶中盜竊了什么，對中國造成的損害有多大，目前沒有任何機構做出確切統計，實際上也難以統計。因為超級火焰來去無蹤，誰也不知道自己丟過什么。

而在對超級火焰的阻擊戰中，國內各大安全廠商群情激奮、合力阻擊，在第一時間內御敵于國門之外，卻是罕見的同氣連枝。

人機大戰中的東方白帽子軍團

黑客是一個不具有任何褒貶意味的中性詞，特指計算機編程專家。好奇心，探索欲，挑戰性，是黑客存在的三個原始驅動力。就像江湖高手的巔峰對決，網絡安全的本質就是攻防，在攻防中，黑客分出了正邪。

隨著對網絡安全問題研究的深入，鄭文彬開始把視野拓展到國際黑客大賽上。自從2013年360公司組建以鄭文彬為核心的攻防實驗室之后，這支陣容豪華的戰隊躍躍欲試，準備到國際擂臺上一展身手。

Pwn20wn是全世界最著名、獎金最豐厚的黑客大賽，由美國五角大樓網絡安全服務商、惠普旗下的項目組ZDI主辦，谷歌、微軟、蘋果等互聯網和軟件巨頭都對比賽提供支持，通過黑客攻擊挑戰來完善自身產品。

這是全球最頂級的黑客大賽！在2015年3月的Pwn20wn大賽上，鄭文彬率領團隊首次參賽，僅用17秒就成功攻破了Win8，1系統和64位IEll瀏覽器，成-為賽事歷史上首支拿下IE最高級別瀏覽器的亞洲團隊。

沒有經久不息的掌聲，因為黑客們都是一群極端自負的家伙。面對這匹東方黑馬，西方黑客們只有久久合不攏的驚愕下巴。鄭文彬戰隊也因此被外媒稱為“東方最強白帽子軍團”！

2015年11月6日，在韓國首爾舉行的POC網絡安全大會上，鄭文彬帶領他的安全戰隊再次出戰，利用一個遠程代碼執行漏}同，通過對Edge瀏覽器的沙箱逃逸操作，成功攻破了Windowslo。鄭文彬因此獲得“最重磅黑客獎”。

2016年3月9日至15日，在韓國首爾進行的韓國圍棋九段棋手李世石與人工智能圍棋程序“阿爾法狗”之間，進行了五番比賽。在這次人機大戰中，谷歌完虐李世石。

兩天之后的3月17日，另一場大賽悄無聲息地進行著。新的一場世界黑客大賽在加拿大溫哥華舉辦。鄭文彬帶領的戰隊用時11秒，攻破了本屆賽事難度最大的谷歌瀏覽器，并成功獲得系統最高權限，控制了瀏覽器。

谷歌瀏覽器代表著谷歌安全防御技術的最高水平。除了全球聞名的“黑客天團”以外，谷歌還擁有上千臺服務器以深度挖掘技術對谷歌瀏覽器等產品進行漏洞測試，其計算能力完全不亞于剛剛在圍棋“人機大戰”中戰勝李世石的“阿爾法狗”。

攻破谷歌瀏覽器并獲得系統控制權，幾乎被認為是“不可能完成的任務”。而中國黑客戰隊，攻破谷歌瀏覽器只用了11秒。鄭文彬當然有他與眾不同的絕招，他發現使用單一的漏洞攻擊很難攻破谷歌瀏覽器，這次攻擊他使用了四個漏洞的組合攻擊。就像韓信圍住了項羽，玩了一場四面楚歌。

如今，中國國家信息安全漏洞庫中有14位特聘專家，鄭文彬是其中最年輕的一位。

責任編輯：阮瑩