我是一个杀毒软件线程

前情回顾：我是一个explorer的线程

---

夜深了，我的工作忙完了，准备去sleep一会儿。路过安全分析实验室的门口，看到实验室大牛老周还在埋头研究。
“老周，挺晚了，还忙啥呢”
“哦，是小谢啊，今天从explorer公司揪了一个木马，取了一个很容易掩人耳目的名字：kernerl32.dll”，老周说到。

“这个可有的聊了，我们公司不同于隔壁explorer公司、chrome公司、IE公司，我们的职责是守护国家的安全。我们是一个实行Windows体制的国家，不像那些实行Mac OSX体制的国家管的那么严，我们国家的政策非常松散，随随便便都可以成立公司，谁都可以很容易就访问国家的数据仓库——磁盘文件”，老周一下打开了话匣子。

“在我们公司来到这个国家之前，全国各地特别乱，流氓软件、病毒、木马经常侵扰，对人类造成了很大的损失。所谓时势造英雄，361杀毒公司应运而生！政府自身的安全措施有限，我们需要全方位的守护国土”。

“那我们是怎么保护国家安全的啊”，我打断了老周。

“我们要对抗的就是流氓软件、病毒和木马等这些对咱们国家有害的东西。这些人会偷取国家数据，破坏国家设施，我们要建立重重防线抵御这些行为”。

“其实，政府本身也有很多安全能力。首先就是公司之间是隔离的，一个公司的员工不能随随便便去别的公司。用人类的话说这叫做进程隔离，正常情况下不能执行跨进程的访问。其次，政府工作的地方被划为了禁区，外界公司想要办事都只能通过政府提供的办事处窗口来完成。在人类看来，政府就是操作系统，运行在内核态，就是禁区，一般人进不去的地方，普通公司就是一个个运行在用户态的进程，去窗口办事的过程叫做系统函数调用，也叫系统API调用，简称系统调用”

“HOOK就是钩子的意思，就是说啊，我们一开始就先去政府内部，在外面那些公司去找政府办事的必经之路上安插一个指路的小H，所有人过来办事的时候，小H就给他们指路到我们这里来，我们进行全面的安检，安检不合格的给打回去，安检通过的才能放行让他去办事。在人类看来，我们会给操作系统内核入口的地方修改一条代码指令，函数执行到这里，就跳转到我们的代码，哈哈哈”，老周越说越得意。

“哦，原来如此，这样一来，那些坏蛋想干坏事，我们就能及时知道了。”
“没错！厉害吧”
“厉害是厉害，不过总感觉哪里不对”
“有什么不对的，我讲的你没有听懂吗
“听倒是听懂了，但是有种隐隐的不安。”
“不安，为什么
“你看哈，你说要去政府内部安装HOOK，那也得先通过驱动程序打入政府内部吧，那政府怎么能相信我们和那些坏蛋有什么不同呢
“我们跟他们可不同，我们是有高尚的品德的，不会干坏事”，老周争论到。
“你先别急，还有，我们这样一来进入政府内部以后，还把守了核心的位置，那我们岂不是掌握了所有公司的生杀大权高权重，时间久了，公司内部会不会有人变坏走向邪路心难测，权利容易让人变坏啊”
老周开始眉头紧锁。
“还有啊，如果有别家安全公司也这么做，那咱们是要竞争吗，如果大家恶意竞争，国家没被病毒木马搞坏，都被我们这些安全公司搞乱了”
老周开始额头冒汗了。
就在我准备继续追问时，公司后勤保障部发来广播通知：“收到关机通知，各单位保存好工作，咱们明天再见。”
老周随即告别：“小谢啊，咱们改天再聊，我得回去保存今天的木马分析结果，拜拜”

告别了老周，我也准备撤了，今天一天也是够累的。

未完待续·······

彩蛋1
就在我准备“圆寂”的时候，公司里警报拉起：“发现有目标在关机时刻修改注册表，设置开机自启动项，请紧急处理”

彩蛋2
在遥远的Linux帝国，Web安全防护公司——WAF，此刻也拉响了警报，一个神秘数据包的到来，nginx公司上下乱作一团···

---

本文转载自：公众号【编程技术宇宙】
原文链接：我是一个杀毒软件线程

---

相关文章：

我是一个explorer的线程

来源：夜光小兔纸