数码病毒的黑客江湖

2016年6月，360公司在北京主办首届世界黑客大师赛，360公司首席工程师郑文彬将世界排行前五的黑客战队都请到了中国。

郑文彬曾11秒攻破谷歌、17秒入侵微软，对战世界最强间谍级病毒，开创了中国网络安全云时代。

最早揪住了熊猫烧香

2006年12月，在大学读了4个月的郑文彬退学后，这个只有18岁的小伙子来到北京奇虎公司应聘，成为奇虎360安全团队的一名技术员，负责流氓软件专杀。

从2006年年底到2007年年初，短短的两个多月时间，憨态可掬的熊猫图标占领了无数电脑的屏幕，一个名为“熊猫烧香”的病毒不断入侵个人电脑、感染门户网站、击溃数据系统，亿万用户叫苦连天，杀毒厂商焦头烂额，病毒作者被黑客追捧，甚至《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》中，也把熊猫烧香评为“毒王”。

郑文彬也在追踪着熊猫烧香的踪迹，当他满头大汗敲击着键盘时，电脑屏幕上一串字符引起他的注意。熊猫烧香病毒的源代码含有一个whboy字样的符号。郑文彬多次与病毒交手，在此之前含有whboy源代码符号的病毒曾经出现过。但以往与whboy符号相关的病毒出现时，并没有熊猫头那样的明显标志，所以没引起注意。

要注册域名就要填家庭住址电话，沿着whboy这个代码，郑文彬竟然找到了注册人的信息。打开一看，是一个武汉的地址。

whboy，就是武汉男孩儿!

郑文彬噼里啪啦敲击了一串儿键盘后发现，武汉男孩儿填写了真实的个人信息，留下了真实名字李俊，还有自己的家庭住址。

李俊这个初出江湖的黑客也许并不知道，对于黑客高手而言，这是暴露身份的致命线索。这个初入黑客江湖的雏儿，因这段代码暴露了自己。

李俊只是通过制作一个让人记住的形象，来证明他是网络世界的熊猫。此时李俊当然不知道，当他把代号whboy写入病毒的时候，就给自己的犯罪留下了蛛丝马迹。

遗憾的是，彼时杀毒行业并没有构建有效报毒规则，各家安全公司发现病毒之后，都到软件评测网站发布消息，提醒业界注意。追踪到熊猫烧香的木马病毒后，郑文彬把自己的这个发现，发到中文业界资讯网站CnBeta上。

郑文彬公布熊猫烧香相关信息之后不久，湖北公安厅网监部门一举侦破了熊猫烧香病毒案，抓获了25岁的武汉市新洲区人李俊。

2007年9月24日，熊猫烧香计算机病毒制造者及主要传播者李俊等四人，被湖北省仙桃市人民法院以破坏计算机信息系统罪判刑，李俊被判处有期徒刑四年。

给微软找漏洞打补丁

2007年4月，360安全团队突然接到大批网友求救。网友说，进入网站只要点击一个网页或者下载软件，电脑马上瘫痪。

根据网民的求救信息，郑文彬进入网站发现，网民无论是通过浏览器浏览还是用各种看图软件打开，或者在即时聊天窗口、电子邮件里查看图片文档，只要打开就会中招!郑文彬发现，这些网站和网页都挂了木马，就像人们常常走过的路上挂满地雷一样。

这种大面积的挂马，以前还很少发现。根据经验，郑文彬立即作出判断：这是一种新的病毒攻击模式!攻击者将木马藏在文件中，很可能是浏览器存在漏洞!

漏洞是微软一出生就带来的缺陷，而且是不可避免的缺陷。所谓漏洞，就好比长江大堤上隐藏在草丛之下的蚂蚁洞，平时根本看不到，只要洪水到来，千里之堤毁于蚁穴。黑客就是瞄准漏洞攻击的那成千上万的蚁群。

微软当然知道漏洞的存在，他们每月补一次漏洞。但黑客却时时刻刻发动攻击，只要出现一个新漏洞，全国几亿网民都有被攻击的危险。

衣服破了就要打补丁，郑文彬针对漏洞设计了临时补丁。查漏洞打补丁的功能一面世，立即受到普遍欢迎。

查漏洞打补丁的技术含量很高，当时国内只有为数寥寥的顶级高手才能做到。为了不至于让微软感到难堪，郑文彬将之起名为临时补丁。微软是每月的第二周固定推出，郑文彬就在微软发布之后再推出临时补丁。

以微软睥睨天下的技术实力，其他安全公司提供个临时补丁，他们并不觉得是多大的事情。他们要做的就是在网上发布一份声明，对打补丁的高手进行口头上的奖励。即便是口头表扬，对全球所有黑客而言都是天大的荣誉，每一次微软的致谢都是一枚硕大的勋章。

而在过去的岁月里，郑文彬带领的安全团队向谷歌、微软、苹果等全球各大IT巨头，提交了上百个漏洞报告并获得公开致谢，发现漏洞数量仅次于谷歌安全团队，位列世界第二，被誉为“东方最强白帽子军团”。

帮微软打补丁，就像帮秦始皇修长城，给长江找蚁穴，这种成就感，是只有站在峰巅的人才会领略的绝佳风景。

开创网络安全云时代

2008年8月，新款杀毒软件推出之后没多久。郑文彬一脚踩空摔下楼，去医院一拍片子，腿骨折了!

郑文彬的工作场地就从办公室搬到了家里的客厅。董事长周鸿祎安排好公司的事情，就带着团队直奔郑文彬家，几个人身子往沙发里一摔，就开始争论上了。

在郑文彬家的客厅里，周鸿祎抛出了一个令人挠头的问题：“以往杀毒方式是依靠收集病毒特征，被动防御造成防不胜防。我们必须拿出一个新的杀毒模式，变被动为主动。”

“全世界杀毒技术都是被动防御，但最好的防御就是攻击。从技术上应该能做到。”郑文彬说。

全世界每小时会产生两万多个新病毒，而全球最好的安全杀毒公司要有超过2000个分析员对病毒进行分析甄别。

郑文彬提出的杀毒途径是，在病毒进入计算机之前进行拦截。因为病毒进入计算机，需要经过传输，而在传输过程中，只要发现并提示是否有病毒，并且阻止病毒进入电脑，一切问题迎刃而解。

郑文彬天生具有一种直觉，能从成千上万的可能性中挑出最好的路径。他带领团队把病毒的所有特征和指标做出来，就等于做了一个过滤网，无论软件还是病毒从这里过滤一下，人工智能就能分析判断是不是病毒。当时360已经有数亿个病毒样本数据，用人工智能调整好对比模型，大大提高了判对判错的能力。

2008年，“云”成了IT行业最热门的名词。所谓“云”，其实指的是后端(服务器端)，也就是平时我们很少能够看到的那一端，正因为平时难得看到，所以有一种虚无缥缈的感觉，也许就是因为这个原因，才被称为“云”。

云安全思维确定之后，郑文彬带领杀毒团队联手人工智能专家，很快做出了云查杀安全软件。

云安全打通了病毒的发现和处理两个部分的障碍。也就是说，病毒还没到电脑上，就在云端被识别和查杀了。等于有个孙悟空腾云驾雾，手搭凉棚给所有用户站岗放哨打妖怪。

互联网安全技术正在经历颠覆与重塑，这一思路抓住了这样的趋势，实现了技术上的弯道超车。沿着这个思路，云查杀正式登场亮相。这款智能防御安全软件的优势在于，在病毒还没有进行破坏的时候，安全软件就发现它有问题，把它给拦住。就像大街上万人之中的一个小偷，他没下手的时候你不能抓他，但你可以随时盯着他。只要他把手伸出来，孙悟空就在云端看到这个微小的动作，然后一棍子将妖怪撂倒在地。

这种看似简单的思维模式，却开创了东方网络安全的云时代。

剿灭超级火焰

2012年6月2日，全国各大媒体转载了一则新华社消息：《席卷全球的“超级火焰”病毒已入侵中国》。

由新华社发布消息宣布一种病毒的来袭，是前所未有的，可见这种病毒的猖狂与可怕。这则消息称，政府机构、大型企业一旦感染，将迅速蔓延，面临机密信息泄露的风险。国外多家网络安全团队指出，超级火焰病毒很可能是由某些国家投入大量资金和技术支持而研制的，用于网络战争。

超级火焰这种用于网络战争级别的病毒，实际上是一种间谍级的战争机器，令所有人不寒而栗。在此之前，超级火焰入侵伊朗、以色列、巴勒斯坦等中东国家和地区的大量电脑，收集信息情报，已经查明有几千台电脑中招。位于日内瓦的国际电信联盟称，超级火焰是一种危险的间谍工具。

郑文彬研究发现，这种强大无比的病毒，其复杂程度和功能效力，超过已知的任何病毒。从规模上看，超级火焰作为一种网络间谍战武器，背后必然是一支看不见的黑客军团。通俗一点说，超级火焰就像《潜伏》里的余则成，在悄无声息中完成谍报行动。

超级火焰引发了各国的恐慌，也引起国与国之间的口水战。对此，顶级密码专家认为，这种间谍级的病毒，用正确的方法开发出来需要八到十年，而破解它也需要八到十年!

显然没有十年时间去破解它。唯一可行的办法就是找到它入侵的漏洞打补丁，阻止超级火焰的入侵!

这是一场事关国家安全、命运攸关的阻击战。更令人胆战心惊的是，这个病毒早已启动入侵程序!利用微软数字签名欺骗漏洞，伪装为微软签名的文件。也就是说，即便被火焰病毒入侵并盗走了文件，几乎所有用户都茫然不知!

郑文彬立即根据病毒特征找到漏洞，在第一时间为全体用户推送了补丁，保护中国网民的电脑有效“灭火”。

与此同时，微软也已针对漏洞发布了补丁。国内瑞星、金山等多家杀毒厂商同仇敌忾，纷纷推出了自己针对超级火焰的专杀工具。

超级火焰从中国的计算机用户中盗窃了什么，对中国造成的损害有多大，目前没有任何机构做出确切统计，实际上也难以统计。因为超级火焰来去无踪，谁也不知道自己丢过什么。

而在对超级火焰的阻击战中，国内各大安全厂商群情激奋、合力阻击，在第一时间内御敌于国门之外，却是罕见的同气连枝。

人机大战中的东方白帽子军团

黑客是一个不具有任何褒贬意味的中性词，特指计算机编程专家。好奇心，探索欲，挑战性，是黑客存在的三个原始驱动力。就像江湖高手的巅峰对决，网络安全的本质就是攻防，在攻防中，黑客分出了正邪。

随着对网络安全问题研究的深入，郑文彬开始把视野拓展到国际黑客大赛上。自从2013年360公司组建以郑文彬为核心的攻防实验室之后，这支阵容豪华的战队跃跃欲试，准备到国际擂台上一展身手。

Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下的项目组ZDI主办，谷歌、微软、苹果等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。

这是全球最顶级的黑客大赛!在2015年3月的Pwn2Own大赛上，郑文彬率领团队首次参赛，仅用17秒就成功攻破了Win8.1系统和64位IE11浏览器，成为赛事历史上首支拿下IE最高级别浏览器的亚洲团队。

没有经久不息的掌声，因为黑客们都是一群极端自负的家伙。面对这匹东方黑马，西方黑客们只有久久合不拢的惊愕下巴。郑文彬战队也因此被外媒称为“东方最强白帽子军团”!

2015年11月6日，在韩国首尔举行的POC网络安全大会上，郑文彬带领他的安全战队再次出战，利用一个远程代码执行漏洞，通过对Edge浏览器的沙箱逃逸操作，成功攻破了Windows10。郑文彬因此获得“最重磅黑客奖”。

2016年3月9日至15日，在韩国首尔进行的韩国围棋九段棋手李世石与人工智能围棋程序“阿尔法狗”之间，进行了五番比赛。在这次人机大战中，谷歌完虐李世石。

两天之后的3月17日，另一场大赛悄无声息地进行着。新的一场世界黑客大赛在加拿大温哥华举办。郑文彬带领的战队用时11秒，攻破了本届赛事难度最大的谷歌浏览器，并成功获得系统最高权限，控制了浏览器。

谷歌浏览器代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”以外，谷歌还拥有上千台服务器以深度挖掘技术对谷歌浏览器等产品进行漏洞测试，其计算能力完全不亚于刚刚在围棋“人机大战”中战胜李世石的“阿尔法狗”。

攻破谷歌浏览器并获得系统控制权，几乎被认为是“不可能完成的任务”。而中国黑客战队，攻破谷歌浏览器只用了11秒。郑文彬当然有他与众不同的绝招，他发现使用单一的漏洞攻击很难攻破谷歌浏览器，这次攻击他使用了四个漏洞的组合攻击。就像韩信围住了项羽，玩了一场四面楚歌。

如今，中国国家信息安全漏洞库中有14位特聘专家，郑文彬是其中最年轻的一位。