专访killer：计算机病毒大多没有技术含量

“十步杀一人，千里不留行；事了拂衣去，深藏功与名。”诗人李白笔下的侠客，武术超强，淡泊名利。想必，面对这些侠客的人，会不由自主的两股战战，心生寒气，但这些侠客，却也不是只顾私利，冷血残忍的杀手。

如果硬要为这些侠客找个现代参照，让·雷诺饰演的杀手莱昂，或许有几分神似，他“友善”、“沉默”，心地善良，这样的“killer”，自然不会让人觉得太冷。恰好，在腾讯，也有一位像莱昂的“killer”：除病毒于千里之外，隐名声于市井之中。

Killer，本名董志强，汉语言文学专业出身，从长相上看，一点“杀手”风范也没有，但面对计算机病毒时，他是不折不扣的“Killer”，“熊猫烧香”的覆灭便是明证。但是，在他看来，“熊猫烧香”一点技术含量也没有，而且，当下的大部分计算机病毒，包括肆虐全球的wannacry，也一样没有技术含量。

2016年，Killer加入腾讯，担任云鼎实验室总监。他为自己取了一个“毫无特色”的英文名：kkdong，大概相当于“王小二”吧。

曾靠给计算机杂志投稿挣网费

你大学专业是汉语言文学，在这方面有过什么发展或研究吗？

Killer：只能说在学校学得比较认真，一度认为将来会靠文字吃饭，做过一些规划，尝试写过小说、散文和诗歌，也在杂志上发表过豆腐块文章，喜欢上计算机后，就不大写了。

中途也曾捡起来过，因为当时拨号上网非常贵，每小时要5.6元，即便严格控制，一个月也要1500块钱。这什么概念呢？当时哈尔滨市中心的商品房一平方米大概就这个价。开销这么大，我不得不重拾写作，我以多个笔名给计算机杂志投稿，每个月大概写10篇左右，保持了两年时间，这样我的稿费就能覆盖网费了。

稿费很高吧？

Killer：计算机类杂志稿费当时确实比较高，一篇几百块的样子，而且图片也算钱，比如截图、流程图，这比写文学作品挣钱多了。

文科生转做安全也要系统性学习

你从文学转到安全领域，据说和焦点论坛有关，是这样吗？

Killer：焦点论坛全名网络安全焦点论坛，是国内比较早的计算机安全社区。我最初接触计算机时做的是逆向工程相关内容，学了很多逆向工程相关知识后，才把兴趣转到网络安全上，开始学习使用黑客工具，了解其中的原理。

为此，我去谷歌搜索相关知识，发现很多知识的链接都定位到焦点论坛，于是也注册了一个ID，后来才知道安全焦点是当时国内最好的中文安全资源站，有许多优质的原创和翻译文章，论坛汇集国内安全领域最早一批从业者。

这个论坛对我帮助很大，让我得以了解圈子内同行的想法，并且知悉外部研究动态。注册账号后，很荣幸得到论坛早期创始成员的认可，成为其中一员。TKyu也是其中一员。

从文学转到安全，感觉比Tkyu跨度还大，你怎么做转换的？

Killer：我也梳理过，文科生能否从事计算机行业，我发现，计算机行业不单需要理性思维，还需要跳跃性思维，很多问题循规蹈矩去解决可能遇到困难，而运用跳跃性思维就迎刃而解。恰好我有写诗歌散文的经历，跳跃思维很发达，经常压抑不住，所以针对一个问题，我会想到好几种不同的思路，最终反倒把问题解决了。

不会遇到数学上的困难吗？

Killer：最初有困扰，因为没有系统性学习，但网络安全本身实践性很强，需要通过实践积累经验。当然，也不能放弃系统性学习，我最初接触计算机时，通过自学完成了系统化学习，自我衡量的话，如果考计算机类考试，比如算法、密码学、汇编语言、计算机程序设计，考60-80分问题不大。

计算机病毒大多没有技术含量

您因为杀灭熊猫烧香病毒一战成名，但很多安全从业者说，熊猫烧香并不算很高级的病毒，你怎么评价？

Killer：这个要说清楚有点复杂，我多谈几句。

在过去，病毒往往是黑客一种炫技的形式，病毒作者主要研究高级感染技巧，在二进制层面做非常精确的控制，追求代码凝练精悍。国外一些地下病毒论坛中，基于这样的判断条件，许多人会分析病毒的优劣，写出很酷的病毒会受到大家的尊重，他们也会关注反病毒厂商在引擎层面如何处理，从而得出引擎优劣的评价。

这个时候许多病毒作者不以传播病毒为目的，他们往往将自己写好的病毒直接发给杀毒厂商，然后看他们如何处理，多久能处理。曾有病毒作者跟我吐槽，说他写了那么酷的病毒，却被卡巴斯基起了很挫的名字。这个时期，一方面病毒数量少，以破坏为目的的不多，杀毒厂商可以针对性的精细化处理。

但是，当流量变现兴起后，存在于灰色地带的流氓软件突然有了很高的获利空间，也刺激了新生代的病毒的功利性。熊猫烧香就是典型案例，以前病毒将自身隐藏在宿主文件的空隙中，甚至不改变宿主文件大小。熊猫烧香直接采用将自身与宿主文件捆绑的方式，不需要很高的汇编技巧却简单有效，同时删除电脑中Ghost备份，破坏用户通过还原方式修复系统，并对磁盘中的html文件都插入感染链接，确保在删除病毒文件后，用户访问网页时还能死灰复燃，等等。

对有研发经验的人来说，这些套路不需要专门的技术研究，就可以很快实现。这种病毒不是技术上的创新，而是思路的转变。但这些技巧，在当时国内的互联网非常有效，很接地气。这就像两个人打架，观众都期望看到行云流水的对打拆招，没想到他一块板砖结束战斗。

熊猫烧香的一些感染手法，一方面为传统厂商所不齿，一方面无声的嘲讽了传统厂商的应对和处理能力。熊猫烧香捕获很容易，被感染后的图标辨识度极高，对付它的难点在于：一是传播渠道很难被遏制，病毒通过挂马，利用ie和各种第三方ocx漏洞传播，进入用户电脑，当时的杀毒产品对网页挂马的检测能力几近于无。二是很难被全面检测和清理，病毒作者通过代码贩卖使得产生大量免杀的新变种。一个典型的事实是在对抗的过程中，我了解到有几家反病毒厂商在逆向我们的产品，试图分析我们是如何解决这一问题的。仅凭这一点能看出，这是一个反病毒领域的新课题，反病毒厂商总是试图用归一化引擎架构来处理所有问题，熊猫烧香是对这种传统引擎修复方法的穿透。原来的修复逻辑无法适应新生代病毒套路：仅仅针对感染文件提取特征去检测还不够，还要同时修复磁盘中的html，甚至浏览器的首页，U盘等等。

当一个病毒大范围爆发，而安全厂商又无力应对时，我们一定不能只关注技术细节，还要思考其背后的深层次原因，这样才能有效应对变化，解决用户面临的问题。

网上有人纠结病毒的技术含量，大概是因为个别媒体把病毒作者比喻为天才，通过技术含量的评判实现对其的否定。这种主观评判很容易让人忽视问题本身，事实上，从专业技术角度分析，最近被热炒的wannacry，甚至手机版wannacry，一样没有技术含量，连危害面都没有那么大。

产品不能为了KPI透支用户信任

你在一次采访里提到，做产品就是做人心，这句话怎么理解？

Killer：我过去十余年，更倾向于产品负责人角色，做过很多产品，所谓人心，就是用户心里对我们提供的服务的认知、定位、和评价。产品的一切，都要围绕着用户的认知和评价来进行。比如有人说要研发一个管理系统，这个管理系统应该具备功能123等等，在研发的过程中大家往往忽略了目标，我们并不是要做管理系统，而是为了运营，我们应该围绕如何快速改善不足进行，管理系统只是运营的辅助工具之一。

腾讯和百度经常被人吐槽，我们做错什么了吗？

Killer：互联网行业的几家大公司，基本上都被吐槽过，我觉得吐槽分两个层面：一是公司内部员工吐槽，包括觉得流程太慢，跨部门合作太难，我经历过的几家公司都未能避免这类问题。

另一个层面，我觉得是被网友吐槽，这比较严重。我看到最多的例子是产品可用性被透支。任何一款产品，商业化空间都有限，市场就那么大，展示位就那么多，在KPI导向下，大多数所谓的变现上的创新都是试探用户底线的擦边球，这点每个产品负责人都要慎重。

这可能很难解决。

Killer：最简单是对事情的态度，我认为在市场没有很大增长规模的条件下，要保持每年一定增长比例不现实，应该在公司上下级间达成一致，不能要求产品在市场饱和的情况下，还每年保持百分之二三十的利润增长。我过去也遇到过这样的例子，我的建议是做不一样的产品，去寻找新的增长点。

云鼎实验室的名字源于Tk建议

目前你在腾讯负责云鼎实验室，这个实验室与其他实验室有什么不同？

Killer：最大的区别还是业务上不一样，云鼎实验室倾向于云安全，另外我们的侧重点在防御，像玄武、湛卢有很强的进攻能力，这样我们能有比较好的互动。在过去一年里，玄武实验室帮我们发现了许多漏洞，我们第一时间跟进修补，现在和其他实验室也在开展类似合作。

据说云鼎实验室的名字来自于Tkyu建议？

Killer：是的，tk也在朋友圈解释过。其实我最开始想了十多个名字，最后定了两个，去找Tk讨论，他觉得“顶”锋芒太盛，而且容易让人联想到马来西亚那个赌场，不如用“鼎”，一方面可以引起安全、稳当的联想，同时鼎作为古代炊具，又有调和众味的意象，和云计算广纳各行各业的特点相吻合。

你如何评价Tkyu？

Killer：他在安全圈子里是非常博学的人，而且非常聪明。

Tkyu阅读极为广泛，是不是做安全，也需要博览群书？

Killer：做安全，最开始只是掌握方法，比如如何分析样本、挖掘漏洞，但后面必须总结出方法论，将经验和技巧沉淀下来，博览群书可以带给我们跨界思路，帮助比较大。

云鼎实验室会让腾讯云更安全

企业客户在选择云计算平台时，安全往往是首要因素，那么云计算领域的安全与传统互联网领域的安全有什么不同？腾讯云目前在云安全层面上属于什么档次？

Killer：从解决方案上说，云计算领域的安全可以闭环。从产品上讲，互联网安全产品容易柔性地解决问题，可以快速迭代，云计算产品直接面对业务系统，用户服务的稳定性排第一，我们内部会反复测试，跑得比较成熟后才会给用户升级。我们对技术方案持谨慎态度，一些流行的、高精尖的技术路线要有成熟的实践才能采用。

腾讯云起步稍晚，目前发展比较快，云安全也在快速跟进竞争对手，对手比我们早做三年、人数也是我们两倍多，腾讯云安全在基础建设、产品功能、运营闭环等方面最近一年在加快追赶。

你们通过什么方式验证新技术新方案？

Killer：一般我们这么做：第一，观察公司产品或竞品有没有采用这种技术，使用情况如何；第二，开发Demo，在我们自己的平台上测试，腾讯云上有几百台测试机器，我们会从性能、质量等多方面进行评估，评估达标后才会推荐给用户，然后看用户愿不愿意接受。

如果用户愿意接受，我们就让他们用。我们会在产品中配套这种技术方案，但默认是关闭的，只有用户愿意使用才会打开。外界看起来会觉得流程比较长，产品更新周期慢，但企业市场就要这么做。

企业客户是不是比较难沟通？

Killer：和企业客户沟通，其实是立场问题，我觉得企业客户不难沟通，我最近接触几个证券类客户，他们表示希望有某种技术方案，但从我的角度看，可能会不稳定，我直白建议不推荐这样做，但我们具备这样的能力。实际上他们非常主动，表示哪怕导致部分机器蓝屏也能接受，有问题会反馈给我们。

其实不同客户诉求不一样，金融客户更重视安全，那么能解决安全问题的技术手段，出现一些错误可以容忍。所以，与客户沟通时，要找到各自的诉求。

卢山接受「读家」采访时说，可以将人工智能应用到安全领域，你接受采访时也曾有过类似表态，那么这种结合会是什么样的形式？

Killer：人工智能这两年比较火，但落地case并不多，去年云+会议上我的议题是《发现决定一切》，就是指解决安全问题我们需要很强的“内视”能力，基于这一能力建立起来的联动体系才能有效闭环。这里面人工经验虽然有效，但是一个相当粗的指标，当信息粒度降低到一定程度时，就会影响人工判断。

机器学习可以帮助我们解决这个问题，机器学习背后是威胁建模、数据分析，以及我们的攻防经验，目前国内外人工智能的案例，大多处在初级阶段，在安全应用上最成熟的案例体现在异常发现和风险识别上，这能帮助我们在海量数据中发现更多的异常线索。

过去这些年，我们也做了一些实践，我们发布了主机安全产品云镜，通过机器学习判断异常节省了分析人力，是人工智能在云端的典型应用。

目前，国际上人工智能在安全领域的应用，也大多集中在检测和发现异常上。整体来说，人工智能最大的亮点是节省人力，其实是发现更多线索，但还没发做到科幻小说中那样，机器完全自动化。

我选人才更关心他能否沉下心

你曾说云安全领域可以建立红蓝军，形成闭环，实现攻防一体，这怎么理解？

Killer：攻防一体其实说得比较久了，所谓闭环，往小了说就是要形成从应用侧到流量侧，从端点到网关一体的监测与响应体系，在这个盘子里我们可以快速的检测与响应。这样一个体系需要实战磨练它，就要有作为攻击的红军出现，目前我们已经有一些基本的实践，一方面考验产品的响应能力，一方面锻炼团队的应急能力。

在这个闭环中，红军扮演的是攻击者角色，我们希望他能主动发现体系的问题，检验我们的防御体系，这样我们才知道如何去应对。所以，红军不一定要我们防御团队来做，我们欢迎大量红军来一起推动攻防落地。

您怎么评价云鼎实验室这个团队？您挑选人才的时候会关注他们哪些特质？

Killer：云鼎实验室团队成员目前比较少，我挑选人才时，会关注两点：第一，对安全是否有强烈兴趣？如果有兴趣，就算经验欠缺，也可以带进来培养。第二，是否能沉下心来，现在大家普遍比较浮躁，所以我很在意一个人能否沉淀下来做事。

过去一段时间看，团队成员都比较有责任感，应急事件响应很快。团队内部，我们倡导直接沟通，坚持事实，鼓励每个人都勇于实践。

腾讯应该把产品做得更安全

现在智能化已经成为一种不可逆的趋势，但我们大部分人缺乏相应的安全意识，我们应该如何保护自身的信息安全呢？

Killer：今天的我们已经是数字化生存的状态，离开手机/电脑一天就有度日如年的感觉。建议每个人都掌握一些基本的安全常识，在网络上提升自我保护意识。不要事无巨细的泄露自己和家人的行踪，容易被骗，遇事慌乱的家人他们与信息时代有点远，遇事多方核实一下信息比较好。自己和家人的电脑上要安装防护软件，尽可能用最新的系统升级到最新的版本。重要的数据和信息定期备份，即使有损失也在可控的范围内。

公司的产品覆盖了海量用户，可以说是社会基础设施一部分。提升自身产品安全性，加强业务安全运营，对公司和社会都有很大的价值，也是负责任的表现。

公司内多个安全团队可以加强合作，优化投入，像最近的暗云事件，我们在跟进过程中与电脑管家有很好的联动、安管的同事也参与其中，大家信息共享，在云管端多个层面联合打击，一起为净化互联网贡献力量，这样就能更好的保护我们的家人。

公司层面要把产品做得更安全一些？

Killer：对，这也是腾讯社会责任感的体现。