极棒：腾讯“白帽们”的猎杀传奇

点开PDF仅一秒，

攻击者接管了整台电脑的权限

有了Pwn2Own的锤炼，踏上GeekPwn的征程时，腾讯电脑管家攻防小组的底气变得更足了，期待也更强烈了:“一方面，长久以来积累的研究成果，需要有个平台进行展示;另一方面，也想看看业界高手的技术实力，和他们切磋一下。”对技术人来说，遇到传奇黑客凯文·米特尼克的任意TCP劫持这样的技术，怎会不想一睹真容呢?

GeekPwn与他们此前参加过的Pwn2Own存在着一些区别:Pwn2Own更关注pc的安全，比如浏览器这样大型的软件;GeekPwn关注智能硬件，范围更广一些。

对于腾讯电脑管家攻防小组来说，这一点算不上什么障碍。小组的每一位成员都是漏洞挖掘的高手:尹亮曾多次向微软报告漏洞并获得致谢;洪伟收到Adobe官方致谢多达20次;毛老师是漏洞攻防领域的资深专家;黑总曾多次发现Adobe Reader漏洞，经验丰富;而郑文选精通软硬件的逆向破解，个人也有过参加GeekPwn的经验。云集了一众高手，他们自觉有实力笑傲GeekPwn江湖。

“Pwn2Own主要看的是技术，而GeekPwn还需要项目足够创新，演示效果也要力求震撼。”郑文选最后总结，“总体来看，GeekPwn更接地气一点，展示的项目离我们每一个普通人都很近。所以，我们必须玩出一些新花样才行。”

基于这样的认识，腾讯电脑管家攻防小组选择了一个熟悉的厂商作为目标:Adobe。他们巧妙地设置了这样一个场景:用户在网站上下载了一个PDF格式的文件——这样的操作在生活中太过平常。但是，当用户打开这个文件时，仅仅一秒钟内，电脑的控制权就在不知不觉间转移到了攻击者的手里。在GeekPwn现场，腾讯电脑管家团队直接打开了用户的摄像头，用户电脑上显示的信息，一点不漏地被全场观众看了个满眼。但事实上，不仅仅是摄像头，整台电脑的权限都已经被攻击者完全掌控了:“就像操作我们自己的电脑一样”。

看到这里，有的人背后已经冒出了冷汗:简历、文件、电子书……每天打开的PDF文件不知道有多少，可是谁能想到，这些不起眼的文件竟然也可以成为攻击的入口?

“这样的攻击方式隐蔽性很强，它并不是一个.exe后缀的应用程序，一般人不会想到这一点，也就不会提起警觉。你根本就不会想到，这些普通的PDF文件也会成为精心构建的陷阱。”郑文选说。

凭借惊人的展示效果，腾讯电脑管家攻防小组夺得了比赛设置的特别奖项:“最霸技术奖”。他们认为，此类比赛有极大的现实意义:“一方面，GeekPwn对推动智能硬件的发展起到了很大作用:把漏洞暴露给厂商，才能促使他们解决问题;另一方面，GeekPwn上展示了许多我们生活中常见的产品，把它们的漏洞展示出来，能够让大家提高安全意识，意识到我们生活中的很多产品还不够安全。这也是为大家提个醒。”

“其实在生活中需要注意的安全问题也很多。”毛松旭接过了话头，“对于安全，我们自己还是比较重视的。比如，我们不会把钱比较多的卡关联到网上支付软件上，也不会随便连公共场合的WiFi。下载东西的时候也会仔细检查一遍，就像刚才展示的PDF。”

团队的传奇还将继续

“理论上说，我们可以入侵一栋大厦，用灯光玩俄罗斯方块。但在实际工作中我们不太会做这样的事情，”说到日常工作，邓欣变得严肃起来。

腾讯电脑管家攻防小组的成员都是纯粹的技术出身。“我们有计算机安全的，也有软件开发转过来的，各有千秋。”邓欣用“学院派”和“江湖派”为团队的成员做了区分，“‘学院派’专业基础更好，对于安全的敏锐程度更高一些，‘江湖派’的写代码能力则更加出色;‘学院派’更专注安全，‘江湖派’视角独特，能从其它方面予以补充。大家互为补充，互相促进。”

当然，即使是邓欣所谓的“江湖派”，也少有完全“野蛮生长”的:“像是医生转行做安全的，我们这还真比较少。”不知道TK教主会不会在背后突然打个喷嚏?

邓欣用“团结、紧张、严肃、活泼”这“八字校风”形容团队的氛围:“平时大家喝喝酒，唱唱K，也一起玩玩游戏。但是一旦面临技术攻关或者比赛，大家都会进入很严肃的‘加班模式’。”

“那工作的状态会不会影响到个人生活?”

“家属都是比较理解的。腾讯是弹性工作制，平时没事不加班，有工作有比赛必须加班，家里人也都明白。”

说着，他指了指身边的伙伴:“这不，今年最后一个也结婚了。”

邓欣笑言，做安全的人会不自觉地把安全带到日常生活中，也会潜移默化地影响着家里人。“我们常常提醒家里人，碰到中奖了、提示充值成功了、兑换礼品之类的事情，一定要跟我们咨询一下——天上不会掉馅饼，掉下来的都是陷阱。另外，借钱转账，一定打电话确认。”

借着安全的东风和腾讯的巨翼，腾讯电脑管家攻防小组也要向着更广阔的天地进发了:面对星辰大海，他们可做的事情还有很多。

“若把腾讯比作一个国家，安全对腾讯来说就相当于国防。我们的安全布局还是比较多的，比如在PC有电脑管家，手机有手机管家，最近还有防短信诈骗，反诈骗守护者计划，这些都是我们可以施展手脚的地方，”邓欣说，“在业务上，我们也一直在做新的突破，除了传统的信息安全，在泛安全比如移动医疗这块也有探索，腾讯就做了糖大夫。”

采访结束，看着眼前活力四射的小伙子们，我们突然生出一种期待:不知道在今年10月的GeekPwn上，是否还能见到他们的身影?到了那时，他们又会留下怎样的传奇呢?

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!