黑客袁哥：以己之矛，守卫网络安全

“ 有个黑客跟我说，黑产给他的一项技术开了一千万。袁哥，黑产来找过你吗？给你开过最高的价是多少？”问。

“肯定有找，国内的黑产，甚至国外的 APT组织都有人找来。实际上我做这些事儿比较早，对于这些能应用来做什么比较清楚，虽然我都有，但他们问过来时，我都说没有。”袁哥（袁仁广）说。

他根本没给黑产开口说价的机会。

袁哥说，人们只看到贼吃肉，没看到贼挨打。做黑产、干坏事风险太高，时刻被人盯着，实在划不来。

【袁哥，真名“袁仁广”，现任腾讯湛泸实验室负责人】

一

在微软找到袁哥前，他们没为外界申报的系统漏洞付过一分钱。

2009年，袁哥找到攻破 DEP 保护的方法，微软表示，35 万美元买下，只要知情权，同时可以卖给别人，但短期内不能公布。

袁哥没同意，因为这不仅是钱的问题。

1998年，袁哥写了两篇技术文章，点明了 DVE技术的关键点——解释执行和计算机汇编代码无本质区别，漏洞可以扩充脚本指令集。这个一般脚本环境已经天然得到任意代码执行权限，并且和目前各种利用缓解措施不在同一个维度空间，根本无任何对抗可言。

因为这种对抗在计算机内混淆了“现实”和“虚拟”的边界，黑客攻击和守方防御根本不在“同一个世界”内。

袁哥把文章贴到论坛时，圈子里几乎没有泛起任何涟漪，在很多人看来，不提具体的利用与攻击方法，楼主有偷换概念，哗众取宠之嫌。

可事实证明，袁哥的确扔下了一记惊雷，只不过响得晚了一些。

利用缓冲区漏洞进行攻击是主流的攻击手段。利用缓冲区溢出可导致程序运行失败、系统宕机、重新启动，更严重的是，可以利用它取得系统特权，执行各种非法操作。

但到 2004 年，微软、英特尔和各芯片厂商联合推出了解决缓冲区溢出的 DEP数据执行保护，如果发现数据在数据区里作为代码执行，芯片就可以检测出来，操作系统便能立即发现有人进行了缓冲区溢出攻击，并停止运行程序，报告给守方。2009年，微软Win7 正式版发布，DEP 联合 ASLR 等比较完善的保护措施也作为默认配置启动。

此举一经推出，黑客圈哀鸿遍野，“转行论”甚嚣尘上。

可袁哥意识到，自己 98 年文章中提到的 DVE 其实是对付 DEP+ASLR+CFG 的绝佳思路。

芯片执行的代码就类似现实社会，其实里面可能跑了很多虚拟机，就像虚拟社会，这两个区域没有被完全区分开来，现实社会和虚拟社会有重叠。

但是，如果不严格区分现实社会和虚拟社会，让攻击代码是在虚拟区执行，而不是在芯片级别，那么“现实社会”就检测不到在芯片上的代码攻击。在“虚拟社会”里，这些代码依然可以操控真实机器的数据，从而在“现实”和“虚拟”之间，将界限模糊，控制真实计算机的执行。

2009年，想出这个方法后，袁哥在浏览器上做了一套漏洞利用方法，并将这套 DVE 数据虚拟执行的工具方法称为“上帝之手”：没有它攻不破的系统。

Win7刚推出来后，这套工具就能在最新的浏览器上开展攻击。不仅如此，原来推出新版本就要重新开发一套漏洞利用方法的老规矩也被打破，这套工具通用性极强，对付新出来的Win10及IE11，不用修改，一样能攻击成功。

这双上帝之手让冷傲的巨头低下了头：你要是不满意，下一年我们再申请更多预算。

袁哥产生了拆分 safemode 作价 10 万美元卖的想法，先保留一些技术，又让微软认识到 DVE 的强大。但是，微软真的能因此认识到 DVE的巨大价值吗？

最后要是讨价还价，袁哥觉得这种场面太难看了，他要的只是“证明价值”而已。

2013 年，TK 向微软提交了一种与拆分出来的工具相似的利用方法，微软发出了 10 万美元的最高奖励。袁哥认为，微软终于意识到 DVE的价值。不过他依然觉得，“那个东西”的价位远远不止 10 万美元。

“确实是一个价值很高的东西，就不想把它以那个价格弄出去。再一个，从黑客原力的角度出发，也想有一些杀手锏，本身我就不太看中奖金，不拿这个东西挣钱。”袁哥说。

2014 年，袁哥在互联网上公布了 DVE 的技术细节。

二

袁哥对“原力”有执念。

他曾在微博上说——“黑客有几种层面，第一种是挑战、突破、控制，控制真正的网路，我还是最喜欢这种最真实的最原力的黑客，如黑客帝国里表达的一样，通过一根电话线就可以在网络里自由穿梭……”

【袁哥最爱的电影《黑客帝国》中有“电话线”的场景】

这与以破坏为目的的炫技完全不同。

2007年1月，袁哥一朋友找到他，一种强大的病毒感染了机场的货运网络，货进不了，也出不了。原来，这就是著名的“熊猫烧香”病毒。

袁哥觉得，其实“熊猫烧香”的技巧很拙劣，作者李俊还在里面留下了致命的错误——自己的个人信息。但没什么技巧的“熊猫烧香”影响却很大，大到事发时让北京某机场的整个货运网路瘫掉。

“实际漏洞更严重、蠕虫传播更广泛，也比今年5月的‘想哭’病毒可怕多了，但因为‘想哭’加了破坏措施。原来好多写病毒的人，都抱着一种炫技的想法。”袁哥说。

袁哥不赞同“炫技”，黑客精神是要人在计算机系统里突破挑战和限制，现实中进不去的地方要能通过网络要进去，并不是让别人的电脑用不了，技术好的人往往明白这个道理。

他在微博上写道：“一人之力十几年前独立打造了类似 NSA被泄漏的平台‘潜入者’，并且很多方面现在都比这平台领先。这个平台可以在隔离的军网、全世界的各大武器制造商、海陆空天潜系统、全球大公司里面自由穿梭。还有网络战的试验品等，现在大家都知道针对伊朗核设施的震网病毒是网络战产品，其实早在十几年前就有精巧的网络战试验品，可是没人真能明白这些。”

第一次微软围堵措施出来后，就有“黑客不行了、漏洞没有了”的论调出来。

袁哥觉得，漏洞并没有减少。发现一个漏洞，还要想到如何利用它。就算对方把利用的路堵上，或者虽然没有完全堵上，堵掉了大路，但条条大路通罗马。有些技术高的人分析得更透彻，对系统了解更多，依然有路可走。

在安全这座金字塔上，就算把原来普通大众都能攻击的下面堵了，塔尖的人却可能还能攻击。

袁哥站在塔尖说，不可能有人永远处于上风。

在他的经验里，安全对抗是一种螺旋式上升，很难说哪一方领先。但正是不能用同一套方案解决所有的安全问题，黑客才不会失业。正因为永远不知谁先到达终点，安全行业才能形成产业链。

三

顶尖黑客平常都聊什么？问。

袁哥说：“八卦、热点、新闻，跟平常人没什么不一样。”

不过，袁哥向提到，最近他和 TK看到一则银行劫犯被捕的新闻，讨论了一下抢银行的投入产出比，“其实抢银行根本抢不了多少现金，你抢的钱还有号码标记，不能马上花，如果放着，这个钱就是贬值的。你还要冒着犯重罪的风险，时刻被通缉。”

他们最后得出结论，抢银行收益风险比极低。

事实上，中国史上的最大银行劫案被劫 1500 万元，追回 1123 万元，六个主犯被判死刑。最后一名案犯逃了 21 年，然后被捕。

“假如从网上抢呢？去年有黑客破掉了 SWIFT 系统，从孟加拉国央行偷走了 8100万美元。”问。“你只看到他挣钱，没看到背后的风险，这被多少人盯着。我讲课、教人知识也能挣，睡觉比较安稳。”他说。

袁哥经常将黑客比作网络军火商，并认为——在国家利益面前，如果没有情报和网络军火武器，一个国家将不堪一击。作为顶尖黑客，他手持赛博世界最厉害的武器，可以攻入每一个角落，但他最终选择，“以己之矛，守卫网络安全。”

这种选择倒不奇怪。毕竟，在现实世界里，没有人开着轰炸机和坦克去抢银行。