从苏宁电器到卡巴斯基(第二部)第06篇:我在卡巴的日子 VI
作者:互联网
目录
办公室搬家
我在之前的内容中曾经提到过,我们病毒分析部在歌华大厦的10楼,但我也说,具体是几楼我有些记不清了。之所以会这样,是因为当时我们的办公室经历了一次搬家。
其实在我实习期的整个三月份,我就发现10楼办公室的人数就很少,也就我们病毒分析部的人比较全,其余的工位总是空着的。我记得很清楚,三月末的时候,有一天下午,IT部的负责人把我们病毒分析部的所有人叫到了12楼,说是让我们看一下新的办公室,然后我们几个就乘电梯,来到了12楼卡巴斯基办公室最里面的一间,说是以后这里就交给我们了,问问我们对于装修有没有什么想法。Rocky和IT负责人主要讨论了一下布线问题,因为这间办公室再早之前是大领导的独立办公室,网线接口以及插座是不足以支持我们5个人的办公的,因此需要重新布线。比如我们四个分析师的四张办公桌下面就需要分别有独立的网口和插座。由于我们的需求很简单,因此也没有在这里待多久,我们几个也就下楼继续工作了。IT负责人和我们说这些需求几天就能完成,清明过后我们就可以搬上来了。
清明的三天假期过后,IT果然完成了所有的布线工作,办公桌也不需要我们自己搬,我们只要将自己的电脑和个人物品搬上来就好,并不麻烦。而办公室的整体布局主要也还是以之前的布置为基础,我们四个分析师依旧呈L型排列,但位于L型短边的我和新来的分析师Yang则是以面对面的形式排列的。这里尽管是面对面排列,但实际上由于我俩之间还隔着几台显示器,因此除非是站起来,否则也看不到对方。Yang的右后方是办公室门,他的正后方有一个类似于书架的大陈列柜,上面摆放着卡巴斯基之前所获得的奖牌之类,陈列柜的后面就是Rocky的办公桌了。这就相当于是,Rocky已经不再是独立的办公室,而是仅仅靠着一个大型陈列柜将他自己的和我们分析师的办公区域隔开。于是至此,我们病毒分析部就正式进驻12楼了,而之前10楼的其它部门的同事,也陆陆续续地搬上来了,10楼就不再使用了。
于是,在接下来的将近一年半的时间里面,我就一直在这里办公。由于我仅仅在之前的办公室工作了不到一个月的时间,所以对当时我们究竟是9楼还是10楼,我也是印象不深了。毕竟这也不重要了,只要知道我们曾经搬过一次家就行了。
一些回忆
大家从我之前的经历中可以知道,曾经我觉得病毒分析师距离我是那么的遥远,那么的遥不可及,甚至一度以为这辈子都不会与反病毒工作有缘了。而这种心理阴影的由来,就是我屡次失败的求职经历。用人单位对我的要求极高,需要知道如何挖漏洞,如何分析网络协议,怎样分析手机病毒,懂得Web安全,还需要了解计算机内核,比如曾经问过我“冰刃”这类工具某一功能的实现原理。这些经历我在小说的第一部以及我的面试经验系列里面都讲过,大家有兴趣的话可以去看一看。现在回想这些失败的经历,让我深刻地感觉到,即便我在卡巴斯基工作十年,也不见得能够通过他们的面试(估计依旧会在第二轮就挂了)。
说到这里,有件事很奇怪,因为根据我一年半在卡巴斯基做病毒分析师的经验,实际工作中并不需要很高深的反病毒知识,很多时候只要懂得基本的逆向分析技术就可以了,更多的东西可以在工作中慢慢学习,也都是很简单,并没有太大的挑战度。但是这些友商为什么要把招聘门槛定得这么高呢?真的需要这么多的大牛来做简单的病毒分析工作吗?还是说名义上是病毒分析,但实际上其实是做安全产品的研发或者其它深层次的安全研究?我觉得应该不能做开发,因为做开发是另外单独招聘的,分析是分析,开发是开发。而且即便是招聘了很多大牛,客观来说,友商安全产品的技术水平并不见得就非常高,许多核心技术还是掌握在一些老牌厂商的手中,论杀毒能力,不同厂商之间的杀软还是有很大的区别的。所以很多时候,一些友商会通过一些新颖的概念来博得普通用户的注意力,让普通用户以为这些所谓的最新的技术都掌握在这些厂商的手中。但事实上,对很多技术来说,我们这一行并没有什么秘密,你用的技术我们全行业都在用,甚至很早就开始用了,这其中最为典型的当属云查杀。在我以前还是个小白的时候,这个概念确实会唬住我,以为这是一个多么高大上,多么了不起的新技术,以为有些厂商的杀毒水平已经有了质的飞跃……直到最后,我才明白,这不过是一个噱头而已。
作为噱头(卖点),确实在营销方面可以起到很大的作用,有些厂商的产品也确实需要在营销的问题上下功夫。毕竟不论是国内还是国外的杀软,我觉得已经不太可能出现大洗牌的情况,老牌名企依托自己的江湖地位以及多年深厚的积累,总会有坚定的支持者,支持者们也能够通过口口相传的方式,将自己的使用体验传给更多的新用户。而一些后起之秀,可能在某些方面利用独创的营销手段占据了不少市场空间,但是很多事情其实都是具有两面性的,有时为了弥补营收的不足,于是也就只能牺牲用户的某些体验了。当然了,这些事情要是认真讨论的话,完全可以写一篇论文了,在这里我就不再多讲,也许以后我会根据我营销出身的背景,来好好讨论一下这件事。
想起来当初我在求职的时候,我在H公司的论坛提问应该怎么提取病毒特征,其中的一个管理员是这样回复我的:
1 算整个文件的MD5、Hash:这个一般在病毒爆发的最快时间类 出pattern的应急之方法 等以后通过分析,将采用下面的pattern的分析结果。
2 静态分析文件的结构:如PE(关于结构有很多资料的),寻找里面的代码段、入口点等等信息,一般提取2个以上的点,中间用通配符号。
3 特征的提取:通知需要结合动态的分析(也就是让病毒在运行中分析),当然基本还是以静态分析为主。至于位置的选取,有什么特别显著的规律你不必要知道。
看到这个我有点疑惑,其中的一些语句存在不通顺的情况,比如第一个方法中的“最快时间类 出pattern”这句话,就写得很迷惑,而且不知为何还多出了几个空格。于是我当时就好奇地搜索了一下这句话,发现这三条至少早在2012年就已经有网友总结过了,而且当时网友的总结也是这种语句不通还有多余空格的情况。也就是说,H公司论坛的管理员是直接照搬网上的答案了。我本以为这个管理员本身就是H公司的技术,或者他认识H公司的技术,能帮我找到第一手的信息,没想到竟然也是直接照搬网上,就让我很是失望了。
我们的工作模式
三个月的训练期结束以后,Rocky就让我正式接手我们卡巴斯基的日常工作了,这个时候我才了解到我们的日常工作模式是怎样的。
不知道大家之前是否产生过疑惑,那就是一般来讲,很多企业的上班时间是朝九晚六,或者有些忙一点的企业,会遵循996之类的工作时间制度,但是为什么我们病毒分析部采用的却是“朝十晚六”这种正好八小时这么人性化的工作模式呢?这个疑问,直到我训练期结束才真正了解。
之前也跟大家说过,在当时,卡巴斯基的病毒分析部只设置在了在全世界范围内的三个国家,即俄罗斯,中国和美国,每个地方都有大约四名专职的分析师。我们知道,一天是24个小时,而卡巴斯基作为全球顶尖的安全企业,自然是要采用365×24这样的模式来实时地监控全球的安全威胁,以第一时间做出响应的。因此,全世界三个国家的分析师就采用了轮班制,每个国家分别监控并处理8小时的业务,这样就保证了每时每刻都会有分析师在线值班。我们中国这边,监控的是北京时间上午10:00到晚上6:00这个区段;接下来会由莫斯科的分析师接手8小时,直到北京时间的凌晨2:00;最后再由西雅图的分析师负责8小时,到北京时间的上午10:00,此时他们就可以下线,由我们再度接手了。上线和下线是需要通知对方一声的,比如我在上午接手美国的业务时,我会给那边在线的分析师发一句“Hi, I’m working”。晚上交班,俄罗斯那边也会给我发类似的消息,但有时他们可能会不记得发,这个时候我只要在系统中看到他们上线了,那么我也就直接下线了,算是用“意念”来交班了。
这8小时的工作内容很简单,我们有一个类似于收发邮件的系统,我们的技术支持或用户如果遇到新的样本或者不知道怎么解决的安全问题,就可以给我们发邮件,这些邮件会自动分配给在线的病毒分析师进行处理。比如我们如果认为技术支持给我们发送的样本属于恶意程序,我们就会在样本上提取特征,归类入库,这样等病毒库更新以后,我们的产品就可以实现对这个样本的查杀了,然后再回复一封邮件,说这个样本已经被处理,属于恶意程序。相对的,如果分析师不认为这是恶意程序,则要把这个样本放在白名单里面,通知发件人说这个样本是干净的。也就是说,我们的日常工作类似于客服+病毒分析。
另外,这些发送给我们的任务是有优先级的。其中优先级最高的是病毒库更新问题,这种邮件是系统自动发给我们的。假如我们分析师在提取了一条新的病毒特征以后,系统发现这条特征能够匹配到白名单的文件,就会给我们发送这样一条紧急通知,让分析师看看究竟是之前的样本判断有误,还是说特征没有选取好,从而匹配到了白名单的文件。当然也有可能是白名单文件在最初归类时就出现了错误,这样的话,我们需要把它移入到灰名单或者黑名单。像是这种紧急的任务,需要我们大约15分钟内做出判断并处理。
优先级别第二高的是我们卡巴斯基的VIP客户,比如我们所服务的世界500强企业,我们管这类用户的业务叫做MSA任务。由于这些用户购买的是我们查杀能力最强的企业版软件,因此他们就有特权来直接给我们分析师发邮件。这些企业都非常有礼貌、有素质,一般都会彬彬有礼地提出需求,比如发现了一个疑似恶意程序,让我们确认一下。对于这样的重要任务,要求我们分析师在半小时之内做出处理。时间看似很紧,但对于我们这些训练有素的技术人员来说,快的在三五分钟就能做出判断并提取特征归类入库了。毕竟是VIP客户,按道理来说,他们不论是提出任何技术需求,我们也都是要在规定的时间内完成的。即便是给我们样本,让我们做详细分析并写出分析报告,再写一个专杀工具,我们也是得做的,不过我在卡巴的这段时间,并没有VIP客户提出这样的需求。反而是一些不知道什么身份的用户,时不时语气很强硬地让我做一些详细分析,对于这样超出我们业务范围的需求,我自然只能回复抱歉,而这样的用户竟然还威胁我说要去投诉,与真正的VIP客户产生了鲜明的对比,这就让我很不理解了。
上述就是两种优先级别最高的业务,如果我们没有在规定时间内完成并回复,系统就会直接给Rocky发邮件,让Rocky来催我们解决了。而除了这两种任务以外,我们接触最多的其实是我们的技术支持发给我们的任务,一般是误报处理和样本鉴定。有时也会转达客户对于我们杀毒软件产品自身的疑问。这样的任务一般优先级不高,我们只要在4小时内处理完成就好。但我多多少少有点强迫症,在收到这样的任务之后,往往也会按照VIP的时间标准进行处理,而不想让它们积压在我这边。
这里有一种叫做解除误报的任务。客户如果发现我们的产品将客户自认为干净的文件报了毒,就要求我们分析一下原因,想让我们解除掉。这个时候,不能因为客户提出诉求就去解除所谓的误报,因为很多的用户其实是别有用心的,他们编写了一款流氓软件,从而被我们报毒,于是想通过这种提出异议的手段让我们屈服。这个时候就是体现我们分析师技术水平和专业素养的时候了,只要有确凿的证据证明这个软件有问题,无论这个客户再怎么说,甚至拿出合法的营业执照,我们也不能因此而解除报毒。当然了,也确实存在一些企业开发的程序,其写法和病毒的写法高度相似,这个时候我们是可以解除报毒,并将其加入白名单的。特别是有些国家的公司,非常钟情于在Excel表格中加入宏代码,一不小心就触碰到了我们的查杀机制。这就让我着实无奈,因为至少在我以及周边人这么多年使用 Excel的经验来看,就没有人会写宏代码,只有恶意程序的作者才喜欢这么做,也是我们的产品重点查杀的对象。而我们的这种查杀机制又不可能因为个别的用户而做修改,就使得每次出现这样的问题,我们都得手动添加白名单了。
下一篇
标签:卡巴斯基,分析,06,VI,样本,分析师,我们,病毒 来源: https://blog.csdn.net/ioio_jy/article/details/115345318