在进入腾讯之前，刘钊和木马病毒并没有什么“交情”。他印象中唯一一次和病毒亲密接触就是1998年，他的电脑突然无法开机。“现在回想起来应该是中了 CIH 病毒，因为那天正好是26号。”如今已经成为反病毒安全专家的他对雷锋网(公众号：雷锋网)回忆。（作者注：CIH 病毒是一种能够破坏计算机系统硬件的恶性病毒，曾在1998年广为流传，作者为陈盈豪。）

2010年，研究生学习信息地质学的刘钊加入了腾讯，负责电脑管家的界面开发。然而没过多久他就发现，在电脑管家里有着一种远比设计界面更加有趣的工种，那就是为电脑管家提供“炮弹”——用各种姿势绞杀木马。

而一旦亲手摸到病毒和木马，这个汉子的天赋异禀便喷薄而出，从此义无反顾地踏上了反病毒木马这条“不归路”。

【腾讯电脑管家 安全专家 刘钊】

木马“收割机”

木马和恐怖片里的僵尸有着一个共同的特点，那就是：如果你选择一对一的徒手搏击，对方在数量级的优势绝对会让你死相凄惨。

每天全世界的黑客都会如细胞分裂般地制造出无数木马。而“优秀”的木马又会产生成百上千的变种。面对木马的海洋，安全研究员需要一个“联合收割机”。

刘钊参与研发的这台“木马收割机”名为哈勃分析系统，是腾讯电脑管家的后方“火力支援”。如同天文望远镜哈勃一样，这个哈勃也拥有无数的镜组，这些镜组就是判定恶意程序的“规则”。每天，全世界的全量样本都会经过系统自动筛查，那些已知的木马和完全无害的程序通过无数条已知的规则筛查，会被瞬间分进“黑”“白”两个名单。而少数系统无法判断的灰色程序，就是刘钊们的任务。

他必须使用各种姿势对其中典型程序的行为进行研究，直到明确了这些程序的真实身份——非黑即白。针对这些恶意程序添加新的识别规则之后，系统就完成了一次升级。

说到底，刘钊和同事们用来驱动哈勃的无数条“规则”才是对抗木马的“终极大杀器”。

做软件界面开发的时候，你是在和电脑交流，是严谨而精准的。

 

做一般产品的时候，你是在和用户交流，就像是在和朋友聊天。

 

而对抗木马的时候，你是在和木马的作者——一个活生生的黑客打交道。我的对手在千方百计地逃过追踪，而我是要千方百计地抓住他。这不是在聊天，而是在斗争。

这项工作在刘钊心中的魅力正在于此。

代码背后的“黑影”

借助手上各种自动化工具，一个简单的新型木马只需要几分钟就可以被识别出来；然而对于“高手”的作品，也许要花上刘钊几天时间。

在刘钊眼里，这些病毒木马背后的黑客们的水平可谓参差不齐，有些欺骗用户的方法甚至很“质朴”。他举了几个例子：