反病毒产品开发人员必需在实验室运行恶意代码，才能找到并建立恶意代码的识别信息（签名）。如果无法运行恶意代码，将发生什么情况呢？

传统反病毒产品的开发者需要以下前提才能顺利开发反病毒产品：

· 能够在实验室运行恶意代码。

· 能够自动对恶意代码进行分析。

如果没有这样的前提，会怎么样呢?

为什么必需要这两个前提?

传统反病毒软件的客户端需要不断将截获的代码与数据库中保存的恶意代码识别标志进行比对，才能发现恶意代码。建立恶意代码识别标志的数据库需要对恶意代码进行分析。如果无法对恶意代码进行分析，无法获取恶意代码的特征，反病毒软件就没有用武之地了。

另一个问题是，如今网络犯罪分子活动猖獗，每天新出现的恶意代码超过5万个。而对恶意代码进行分析是一个劳动密集型的工作，因此反病毒软件厂商将分析流程进行了自动化设计，以便能够提高分析速度，让恶意代码特征数据库保持最新。

如果无法对恶意代码样本进行自动化分析，新出现的恶意代码数量将会迅速让反病毒软件厂商的恶意代码特征库与时代脱节。

坏消息

“我们经过技术测算，如果恶意代码在地下大范围扩散，将会对自动化恶意代码分析带来致命的打击，恶意代码分析将变得毫无效率和实用性。”

以上言论摘自乔治亚理工学院信息安全中心的Chengyu Song和Paul Royal所作的论文。在论文结尾，他们是这样总结的：“Flashback使用被感染系统的独特硬件特征(UUID)作为密钥的方法，意味着恶意代码编造者已经开始通过本文所述的方法保护自身代码了。”

我想大家可能还记得Flashback。它是苹果Mac系统上第一款真正的恶意代码。更重要的是，它使用了具有开创性的加密技术。

德州大学的Daryl Ashley在自己的文章中解释了Flashback 恶意代码是如何利用被感染电脑硬件UUID(Universally Unique Identifier)将其自身部分加密的细节。虽然加密技术并不新，但是将加密技术与特定电脑的特征结合用来模糊或伪装恶意代码，就很新鲜了。

基于主机标示的加密

这种代码模糊技术被称作基于主机标示加密(Host Identity-based Encryption，HIE)。它与音像行业预防CD拷贝的技术类似，然我们看看它是如何工作的：

首先使用某种手段，让恶意代码下载器(loader)能够成功进入电脑。接下来，下载器会收集该主机的特定硬件信息，利用收集来的信息创建一个加密密钥，并用这个密钥修改和加密远端的恶意代码主程序。

接下来就是下载被加密后的恶意代码主程序。

然后下载器会重新收集相同的硬件信息，并生成相同的密钥。这是该程序的奇怪之处。接下来下载器会用密钥解密恶意代码主程序，进行安装并实施犯罪活动。

开始我觉得先加密再解密有些多余，但是仔细想想，又觉得这是个避免触发任何报警的绝妙方法。更重要的是，在安装过程中，如果恶意代码被任何反病毒程序截获，也没有什么关系。

因为反病毒软件所截获的恶意代码，只是针对该主机的恶意代码，换一台主机，这个代码就失效了，因为代码无法被正确解密。这就意味着，那些依靠逆向工程还原代码的专家，必须先想办法对代码进行正确解密。Song 和 Royal在论文中对HIE的优势进行了总结：

使用了先进的加密技术。就算反病毒专家知道密钥是如何生成的，也不会影响该恶意代码的保护效果。除非专家们能生成同样的密钥，否则无法解密恶意代码样本。

任意两个恶意代码样本使用的是不同的密钥，这意味着就算成功分析了一个代码样本，对于另一个代码样本的分析，也没有任何帮助。

生成密钥需要主机的哪些信息?

研究人员发现，收集主机的哪些信息用来生成密钥，完全是恶意代码开发者决定的。为了验证他们的这一观点，他们使用了一下硬件ID进行测试：

Environment Block: 当信息收集进程创建后，Windows存储环境信息会进入该进程的地址空间。在我们的设计中，我们使用了进程拥有者的用户名，计算机名以及CPU编码。由于代码可以直接读取环境块中的信息，因此这些信息获取起来很容易。

MAC address:网卡的MAC地址可以通过GetAdaptersInfo API函数获取。

Graphics Processing Unit (GPU) 信息： GPU的信息可以通过IDirect3D9Ex接口的GetAdapterIdentifier方法得到。在我们的设计中，我们使用了设备描述。

User Security Identifier (SID): 所使用的进程令牌。通过GetTokenInformation API可以获取当前进程拥有者的SID。在Windows域中，该代码是唯一的。

更多坏消息

如果以上信息还不算坏的话，我们可以看看今年初Dancho Danchev为WebRoot写的一篇博客。其中他指出恶意代码制造者一直在努力隐藏恶意代码，以下是两个例子：

Fully Undetectable cryptors: 设计用来掩盖恶意代码的工具，防止电脑中的安全软件检测到恶意代码。其原理是不断改变cryptor直到恶意代码无法被反病毒程序发现为止。

Server-side polymorphism: 恶意代码每运行一次就改变一些。这种改变是受服务器端控制的，防止被安全软件厂商研究出代码改变方法。

隐藏与反隐藏

在我阅读论文的时候，我想这两个研究人员是不是给我们提供了应对方案呢?果然他们在论文后面提供了两点建议：

直接在被感染的肉鸡上分析恶意代码。

收集主机和网络环境信息，并在受控的实验室环境将这些环境完全复制出来。

总结

我并不想危言耸听，但是我们必须意识到其中的危险信号。基于HIE技术的恶意软件，比如Flashback 正在四处传播。另外我要强调的是，正如我在之前很多文章中提到的，对终端用户进行安全教育，阻断恶意代码进入电脑的第一步，是最关键的。

著名黑客组织Anonymous近日攻击了NBC、LG、ImageShack、赛门铁克等其他网站，以讨伐私人数据被损毁或是出版。而在不久前，阿根廷的储蓄银行网站被另一个黑客组织AntiSec攻破，并扬言要支持在本年度三月份被逮捕的Jeremy Hammond。近日来，黑客组织的活动频繁着实是让上述网站捏了一把冷汗。

Anonymous公布了一份文档，其中包含从ImageShack和赛门铁克服务器得到的数据，该组织声称ImageShack控制了每一个服务器的私人数据。而在另一起黑客事件中，组织成员“UR0B0R0X”公布了从LG网站获得的用户电子邮件地址和密码。

据报道，目前赛门铁克正在进行调查，并表示到目前为止，并没有发现用户信息被曝光或影响。

在互联网发展早期，黑客往往是一些因为兴趣而惹祸上身的天才少年，但随着互联网经济成为世界经济的重要一部分，让很多人对黑客产生了兴趣，因此今天很多黑客入侵电脑通常就是为了钱，而据一些专家表示，世界上一些顶级网络骗子每年收入可达一亿美元。

为此国外网站businessinsider罗列了十位让你生活可以立马变得苦不堪言的黑客，趁这次机会，就让我们一起看下那些年都有哪些黑客在历史上留下了浓重的一笔。

第一位：盗刷金额最大的黑客Albert Gonzalez

作为一名黑客，Albert Gonzalez在2005年到2007年之间涉嫌偷窃和销售超过1.7亿美元的信用卡和ATM账号，据Computerworld报道，这是黑客历史上最大金额的信用卡欺诈案。

另外，他还被指控带领另一群黑客窃取了150万个信用卡和ATM卡号，并从中获利430万美元（幸运的是，Albert Gonzalez没被起诉）。此外，该组织还出售偷来的电子邮件账户，不过当Albert Gonzalez被政府指控时，传闻他帮助政府指控了黑客组织的其他成员。

据连线报道，尽管Albert Gonzalez帮助了政府，但他还是被认为一系列信用卡窃取案的幕后策划者，这起犯罪案的调查也导致了另外一个著名黑客Jonathan James的自杀（详情请见第七位）。

第二位：Melissa蠕虫病毒作者David Smith

David Smith是臭名昭著的Melissa蠕虫病毒作者，他写了第一个能自我复制的邮件病毒，正是这个病毒让世界各地的不少电脑罢工，并发出一种新的恶意软件。

据悉，该技术利用了微软OutLook中的某个漏洞，一旦感染了这种病毒，它就会尝试启动Outlook并将自己发送给邮箱里的收件人。被捕后，David Smith认罪，并认同自己的过错造成了高达8000万美元的损失，为此他被判入狱20个月。

第三位：黑客组织LulaSec的创始人之一的Hector Xavier Monsegur

Hector Xavier Monsegur据说是黑客组织LulaSec（即Lulz Security）的创始人之一，他黑客名为Sabu。

黑客组织LulaSec声称对一系列攻击事件负责，包括2011年盗窃索尼影业的用户账户和拿下中情局网站，此外，它还发布了其他被盗网站的密码。

2012年3月Hector Xavier Monsegur秘密被捕，然后他成了美国联邦调查局的一名线人，帮助联邦调查局逮捕与黑客组织Anonymous、Lulzsec和Antisec有关系的黑客。目前他对12项刑事指控认罪，为此他有可能面临124年的监禁。

第四位：黑客组织Anonymous的发言人Barrett Brown

Barrett Brown据说是黑客组织Anonymous的发言人，由于任何人都可以声称自己是黑客组织Anonymous的成员，再加上Anonymous组织也没有正式的等级制度，所以这一真实性还有待证实。

不过有一点倒是真的，Barrett Brown在Twitter和YouTube上威胁了美国联邦调查局特工Robert Smith，为此Barrett Brown受到了来自政府的指控。上个月，调查人员突袭了他的住处并逮捕了他，由于当时他恰巧和网友视频聊天，他大声尖叫并被带上手铐的视频因而在网上广为流传。在Barrett Brown被捕几个小时后，自称是黑客组织Anonymous的人进行了报复，公布了政府公务人员的信用卡号码。

第五位：最大的垃圾邮件制造者之一的Robert Soloway

Robert Soloway被称为世界上最大的垃圾邮件发送者之一，他于2007年被捕，2008年他因逃税、电报和电子邮件欺诈罪而入狱四年。

值得一提的是，这并不是他第一次触犯法律。早些年，他曾被微软起诉过，并被判处赔偿微软700万美元的损失赔偿金，另外他还在另一桩案件中判处一千万美元的损失。即便如此，传闻为了继续发送垃圾邮件，他还将IP地址修改成某家中国网站IP。

第六位：黑客组织Lulzsec最后名成员Raynaldo Rivera

Raynaldo Rivera被怀疑是黑客组织Lulzsec的最后名成员。据路透社报道，他于8月份被捕，原因是参加了该组织最大的一次行动：盗取索尼公司信息。

在这次入侵后，该黑客组织公布了成千上万人的姓名、出生日期、地址、电子邮件和电话等，据CNet报道，大约有100万人受此影响，同时也造成了索尼超过60万美元的损失。

第七位：历史上最著名五大黑客之一的Jonathan James

Jonathan James又名c0mrade（网名），是历史上最著名的五大黑客之一。据当时的《纽约时报》报道，年仅16岁的Jonathan James因入侵南方贝尔电话公司和美国政府计算机系统而被判有罪，成为世界上第一个因黑客行为而被捕的未成年人。

1999年，Jonathan James涉嫌入侵美国宇航局，并偷了控制国际空间站生命维持系统软件的源代码，为此美国宇航局不得不关闭系统数周，花费4万美元来升级系统的安全。之后Jonathan James被判六个月的软禁和直到18岁的缓刑。期间与FBI合作，找出了梅丽莎病毒和爱虫病毒的来源，而名声大振。但最后因卷入一系列信用卡黑客事件，Jonathan James在当局调查期间自杀身亡，他在遗书中声称自己是无辜的。

第八位：堪称基地恐怖分子的Gary McKinnon

Gary McKinnon是名英国黑客，据路透社报道，由于入侵美国军事系统，美国官员指控称，他给美国军事系统造成了超过70万美元的损失，因此他也被称为世界上头号军事黑客。

这名患有自闭症的电脑黑客，只是为了寻找有关外星人和UFO的保密信息，自称技术并不高超的他入侵了美国五角大楼、美宇航局、美陆、海、空三军网络系统和某处航天中心。由于给美国军事系统造成很大损失，Gary McKinnon面临着高达60年的监禁，但庆幸的是由于他是在英国作案，本月早些时候，英国拒绝了美国的引渡请求。

第九位：历史上最著名五大黑客之一的Adrian Lamo

Adrian Lamo是历史上最著名的五大黑客之一，据美国连线报道，他曾入侵了《纽约时报》、雅虎、微软和美国第二大长途电话公司MCI Worldcom。

Adrian Lamo能够经常发现安全漏洞，由于他比较喜欢使用咖啡店和图书馆的网络来进行攻击，为此他还得了一个绰号“不回家的黑客”，因为不是一名白帽黑客，所以侵犯法律的Adrian Lamo最终于2003年被捕，他被法院判处6个月家庭拘留和两年缓刑，并处罚金6.5万美元。

第十位：最具传奇色彩的Kevin Mitnick

Kevin Mitnick是名少年天才黑客，他在15岁时就成功破解了北美空中防务指挥系统，有评论称他为“世界头号黑客”。据《纽约时报》报道，Kevin Mitnick在1995年被捕之前，他被认为是美国最渴望逮捕的计算机罪犯。

Kevin Mitnick在他黑客生涯中侵入了IBM、摩托罗拉、NEC、诺基亚、Sun Microsystems、富士通和西门子等公司，甚至他还成功入侵了世界上最具实力的网络系统公司Novell、美国联邦调查局和五角大楼。

Kevin Mitnick在监狱里待了5年后，成功转型为一个专业的网络安全咨询师，他帮助人们如何去构建他的安全系统，同时他还写了几本书。