中国杀软套路深：CIA怼遍全世界竟然干不过它

提到CIA，就是一个爱搞事的部门，他们全球范围内的网络间谍活动消息源源不断，甚至连智能电视和汽车都要窃听。不过根据维基解密爆料，CIA虽然拥有庞大的黑客武器库，却在中国碰了一鼻子灰。

维基解密披露的CIA秘密文件显示，专门研究中国网络的CIA特工在Windows操作系统下安装测试程序时，总是弹出中文对话框，这给他的间谍活动带去很大的困扰，试图把中文转化成英语吧，但这名间谍的功夫还不到家，只能靠同事翻译勉强看懂。

“我不懂中文”，最后，他只好在内部文件向上级中反应。你看，中国软件工程师只不过在源码中嵌入了中文，就把外国特供耍得团团转，简直是给四六级考试报了仇了。

更令CIA尴尬的是，他们制作的电脑病毒也不给力。在CIA机密文件一份名为Grasshopper的项目中，CIA特工们专门提出希望绕过5款流行的杀毒软件，包括360、卡巴斯基、MSE、瑞星和赛门铁克，很明显是把攻击目标瞄准了中国。

然而从维基解密公布的病毒样本来看，国内杀毒软件根本不需要更新升级，就可以直接把CIA特种病毒给查杀拦截。

尽管这次维基解密还有所保留，曝光的大多数文件只是CIA黑客项目的描述和技术文档，并没有公开太多黑客工具，有些项目甚至是缺胳膊少腿。但既然事关我国网民的信息安全，360的安全工程师还是对其仔细研究的一番。

经过对维基解密曝光的一个病毒样本深入分析后，再顺藤摸瓜，结合病毒服务器、代码编写特点等线索，挖出了更多还没有被维基解密公开的同源病毒。

结果令人哭笑不得，CIA的病毒样本在去年2月份就已经出现在全球在线杀毒扫描平台VirusTotal上，而且，还被360杀毒和安全卫士当场秒杀。

从VirusTotal上可以查到，这个病毒叫QVM10.1Malware.Gen，也就是通过360的人工智能杀毒引擎QVM检测出来的。

熟悉安全技术的人都知道，人工智能引擎是根据病毒样本训练的，只要经过学习能检测出一个病毒，无论它再怎么变形，都很难再突破QVM的火眼金睛。

被维基解密公开的病毒不给力，CIA制作病毒的技术文档也颇有些过时。在一个名为“Fine Dining”的病毒项目，CIA使用了“DLL劫持”的攻击方法，而这已经是中国木马病毒产业链五年前的常用技术。

什么是“DLL劫持”？通俗地说，就是绑架好人做坏事。

软件的exe程序运行时，会加载dll动态链接库文件。但很多软件加载dll文件时只认文件名，没有校验是不是真的是自己的dll文件。所以CIA的黑客特工们想到一招，用流行软件的exe程序加载由病毒冒充的dll文件，而这些流行软件通常会被杀毒厂商加入白名单，从而穿过杀毒软件的防护阵线。

听起来是不是很可怕？其实不然，“DLL劫持”的攻击方法早已被国内的木马病毒用滥了：在2011年前后，国内流行的网购木马已经普遍采用了“DLL劫持”技术，也就是把正常软件的exe和病毒dll组合在一起，俗称“白+黑”。也就是说，这种攻击手早已过时了。国内的主动防御类软件，早就不是简单的DLL劫持就能攻破的。

中国的网络犯罪黑产恐怕没有想到，在他们搜肠刮肚穷尽发明出各种病毒攻击技术以后，竟无意间加强了国内安全软件的防御力，也算是为抵挡外敌入侵做出了重要贡献。