畢業(yè)于哈爾濱工程大學，Windows頂級內核專家，國內反病毒虛擬機技術的開拓者，主導安芯網盾內存保護系統(tǒng)的開發(fā)與管理。多款知名軟件作者：PChunter作者，PChunter被國際權威機構評為全球最優(yōu)秀的AntiRootkit安全軟件。LinxerUnpacker軟件作者，該軟件被評為當時最強的基于反病毒虛擬機技術的通用脫殼機。

　　安全牛：您從2009年開始，一直致力于未知威脅檢測引擎的開發(fā)和研究，是什么樣的機緣讓您在2019年選擇以內存保護為創(chuàng)業(yè)方向？

　　姚紀衛(wèi)：2019年的某個下午，我和合伙人聊起近幾年國內的網絡安全市場，發(fā)現(xiàn)盡管系統(tǒng)、應用層面的防護手段越來越多元，安全產品與防護功能趨于完善，但是類似使用永恒之藍漏洞這種大規(guī)模、高傷亡的網絡攻擊事件還是偶有發(fā)生，甚至有逐漸增多的跡象，究其原因，在于傳統(tǒng)的安全軟件是通過傳統(tǒng)的檢測方式對系統(tǒng)做檢測分析，對當前流行的0day攻擊、無文件攻擊缺乏有效防御手段，這就像用上個世紀的雷達去檢測最新一代的隱形戰(zhàn)斗機一樣沒有效果。我們那次聊了很久，最后一拍即合開啟我們的第二次創(chuàng)業(yè)，并選擇了內存保護這條路。

　　我們從2006年就一直在做高級威脅防護的研究，發(fā)現(xiàn)無論威脅、攻擊怎么變換，惡意代碼最終都將出現(xiàn)在內存上，也終將需要依賴CPU去執(zhí)行。因而理論上我們守護住內存和CPU就能防御所有的威脅，這也是我們做內存保護的理論基礎，把安全產品的防護能力從應用層、系統(tǒng)層下沉到硬件虛擬化層，從內存方面著手進行應對系統(tǒng)設計缺陷、外部入侵等威脅的檢測和防護，也就是“內存安全”，我們希望借此解決最令行業(yè)頭疼的威脅。

　　傳統(tǒng)方法依賴特征、規(guī)則匹配檢測無法滿足內存安全類產品的要求，但是通過內存虛擬化等技術手段，可以有效監(jiān)控內存讀、寫、執(zhí)行行為，解決了內存訪問行為不可見問題，內存訪問行為不再是一個黑盒。

　　此外，傳統(tǒng)方法也無法實現(xiàn)指令集監(jiān)控。而我們的內存保護系統(tǒng)是基于硬件虛擬化技術架構設計，在特定的CPU指令執(zhí)行時結合其執(zhí)行的上下文能分析出程序發(fā)生了什么行為，同時基于硬件虛擬化技術其充分利用CPU層本身的隔離機制，不容易被反檢測機制發(fā)現(xiàn)，從而保障自身核心模塊的安全能力。

　　相比其他安全產品來說，內存保護技術的應用需要團隊擁有對操作系統(tǒng)、CPU體系結構、病毒攻擊以及虛擬化技術都十分了解的復合型技術人才。所以我們目前遇到的最大困難就是招聘，我們渴望找到比我們更優(yōu)秀的伙伴，我們考驗的關鍵點不是是否有漂亮的履歷，手握實力的人才才是我們需要的。

　　安全牛：在您看來，內存安全與傳統(tǒng)端點安全最大的的區(qū)別在哪里？

　　姚紀衛(wèi)：傳統(tǒng)端點安全一般指殺毒軟件、EDR、HIPS等軟件，這些軟件一般由病毒查殺、信息采集分析、管控、監(jiān)控等功能組成，它們采用的技術方法也較為傳統(tǒng)，對威脅的檢測要么通過特征碼檢測，要么通過Hook監(jiān)控分析識別等技術。傳統(tǒng)的端點安全軟件也許運行在應用層，也許運行在系統(tǒng)層，但內存保護是運行在系統(tǒng)層、應用層和硬件虛擬化層，超過70%的高級攻擊都是跟內存安全相關的，比如內存破壞型漏洞，對這些攻擊僅僅在應用層、系統(tǒng)層設防是力不從心的。

　　當前很多威脅開發(fā)者已經熟知這些檢測手段并能繞過這些檢測機制。內存保護系統(tǒng)除了會采用一些傳統(tǒng)的技術手段外，還有一些獨特的技術手段，比如內存虛擬化技術，它可以解決內存訪問動作不可見問題，對一些內存破壞型漏洞攻擊有很好的效果；腳本解析引擎掛鉤分析技術，它可以很好的識別一些腳本類型的無文件攻擊；基于硬件虛擬化的行為監(jiān)控，可以很好的解決由系統(tǒng)PatchGuard等導致的無法有效監(jiān)控、攔截一些系統(tǒng)行為的問題。內存保護系統(tǒng)能有效監(jiān)控內存訪問行為和識別更多的程序行為動作，這樣對威脅的檢出率會更高，誤報率會更低。

　　大家開始關注到內存安全，因為內存安全問題也是Android、Java、Windows 10和Chrome等各類平臺的頭號安全問題。比如近幾年的攻防演練中備受關注的內存馬攻擊，也是一種典型的無文件攻擊手段，它可以有效地躲避傳統(tǒng)安全軟件的檢測，在系統(tǒng)的內存中遠程加載執(zhí)行、駐留在注冊表中或濫用常用的白名單工具，例如PowerShell、Windows Management Instrumentation（WMI）和PsExec等。傳統(tǒng)的端點安全軟件就很難去檢測到它，更別提實時防御了。而通過對內存數(shù)據訪問行為細粒度的檢測以及對數(shù)據狀態(tài)、數(shù)據流動狀態(tài)與內存中行為動作的觀察，內存馬就會在內存保護系統(tǒng)的檢測下暴露無遺。

　　安全牛：因為內存安全防護技術直接監(jiān)控一些內存訪問狀態(tài)，那么產品對系統(tǒng)的穩(wěn)定性會不會產生嚴重的影響？在威脅的檢測技術上，跟傳統(tǒng)的防護產品相比，有什么先進性。

　　姚紀衛(wèi)：對系統(tǒng)穩(wěn)定性不會有特別的影響。傳統(tǒng)的端點安全軟件也會有驅動程序，內存保護也會有驅動程序，它們的作用都是差不多的。區(qū)別之處在于，內存保護系統(tǒng)是基于硬件虛擬化技術架構設計的，現(xiàn)在的硬件虛擬化技術已經很成熟了，CPU硬件也提供了比較好的支持，只要考慮周全不會對系統(tǒng)穩(wěn)定性有特殊的影響。

　　利用硬件虛擬化技術后，可以監(jiān)控更多的內存行為和程序行為，這樣對威脅的檢出率會更高，誤報率會更低。另外，也能解決一些傳統(tǒng)防護手段無法解決的問題，比如能跟蹤內存的訪問狀態(tài)，通過這些訪問跟蹤能識別發(fā)現(xiàn)無文件攻擊、0day攻擊、內存代碼片段攻擊。

　　安全牛：請您談談內存安全技術的發(fā)展趨勢。

　　姚紀衛(wèi)：使用內存保護技術能細粒度跟蹤、監(jiān)控系統(tǒng)的各類行為動作，這有利于在低誤報率的情況下，發(fā)現(xiàn)更多的威脅；內存保護技術還能有效繞開當前操作系統(tǒng)的一些限制（比如PatchGuard等），實現(xiàn)對系統(tǒng)中各類行為的有效監(jiān)控，正是因為這些優(yōu)點，相較于傳統(tǒng)端點防護技術，內存保護技術會有更廣闊的應用場景。

　　當然內存保護技術也有局限性，就是對開發(fā)者的要求會比較高，既要懂安全，又要懂操作系統(tǒng)，還需要對CPU硬件特性特別了解，本身這一塊的技術人員就很少，所以開發(fā)難度會更大些。

　　內存保護如果與其他技術結合會有很多場景，比如當前內存保護可以檢測內存的一些訪問狀態(tài)，因此除了可以檢測0day攻擊外，也可用于漏洞挖掘，可以結合測試技術來檢測軟件內存使用方面的bug，提高軟件健壯性。

　　過去的一年，我們服務了很多大型客戶。舉個例子，國內某頭部電商平臺，它有200多條產品線，開放的API有數(shù)百個，這種業(yè)務復雜度高的客戶面臨的問題是操作系統(tǒng)和業(yè)務系統(tǒng)很難進行打補丁升級，并且也無法去確定它的每一條業(yè)務線是否完成了升級，這個時候內存保護就可以幫助客戶解決這個問題，使用內存保護雖然無法阻止漏洞的產生，但是可以讓漏洞無法被利用，可以讓客戶帶傷上陣，保障業(yè)務和數(shù)據，這個需求場景也是很多其他客戶的痛點。另外內存保護可以幫助解決了域控場景的防護，企業(yè)AD域服務器的攻擊事件層出不窮，一旦擁有域控管理權限的域控服務器被攻破，所有加入域的終端和服務器都將被控制，存在全網淪陷的可能，而客戶的數(shù)據又與我們很多人的生活息息相關的，而內存保護給客戶提供的漏洞防御、內存數(shù)據保護及未知威脅防御等能力，幫助客戶對抗PTH攻擊、黃金票據攻擊、白銀票據攻擊、lsass進程讀取明文密碼，以及最新的NetLogon特權提升漏洞攻擊等攻擊，保護他們的高價值數(shù)據不被竊取，核心業(yè)務不被阻斷。