黄鑫的经典动作。
如果你想看一部激情视频电影,请点击这里。
永远的“冰川”
——访著名软件“冰川”的开发者黄鑫
摘自《防御黑客》第八期
曾经有一段时间“黑客”在中国被曲解:“黑客就是能用‘冰川’黑别人电脑的人!”随心所欲知道这是外行人的玩笑话,但造成这种误解的是“冰川”,一款在国内网络安全圈知名度和装机量都名列前茅的软件。这款优秀的网络工具自问世以来就饱受争议。争议的核心在于,它既可以作为植入被攻击端的特洛伊木马,又可以作为网络远程管理的合法工具。“冰川”不仅是软件名称,也是其作者黄鑫的笔名。这个名字相当“酷”,容易让人联想到霜雪中寒冰下涌动的寒流。从“起源”开始,无数的“新秀”就在这个奔涌的“冰川”盆地里,踏入了更广阔的网络安全技术世界。平心而论,Glacier及其开发者黄鑫应该在中国网络安全技术发展史上占有一席之地。今天,让我们走近黄鑫,走进“冰川”。
在我的印象中,自然界的“冰川”是冰冷的,但坐在我面前的程序员黄鑫却热情洋溢,谈笑风生。在北京盛夏一个雨后清爽宜人的傍晚,我循着他对往事清晰的记忆,沿着“冰川”逆流而上,追根溯源...
“冰川”的由来
话题从黄鑫第一次与电脑的亲密接触开始。1997年,黄鑫还是西安电子科技大学的一名大三学生。真是难以置信。大一大二的时候,他接触PC不多。用他自己的话说,“有一天,他宿舍最好的同学觉得是时候弄个电脑玩玩了,就凑钱买了个‘486’。”因为电脑受到“晚上十一点断电”的校规限制,两兄弟再次凑钱在校外租了一个小房子。玩电脑的头几天很“爽”。他们经常用一张3英寸的软盘在学校机房和个人机房之间传递信息。但没过几天,“病毒”就开始滋生蔓延,学校成了“病毒天堂”。那时候,黄鑫还是一个不折不扣的大三新秀。他还不知道自己的电脑中了病毒,他煞费苦心地复制《NDD》、《PC Tools》和当时流行的游戏。直到有一天,电脑不正常工作了,他就瞎了,看不懂,就找好的“采购伙伴”帮忙。朋友看到后给他发消息:“你染上了‘秋水’病毒!”。虽然黄鑫现在还无法验证当时朋友们的判断,但“秋水”这个词却永久地储存在了他今天和明天那个时候如白纸般简单的计算机知识“记忆”中。所谓前耻后勇,从此黄鑫从如何使用KV300、KILL等杀毒软件清除病毒开始了全面的电脑知识学习。那辆“486”老爷车只能运行DOS,硬运行Windows95需要足够的耐心,但黄鑫和他的伙伴们还是抵挡不住单机版《红色警戒》的诱惑。为了顺利地玩游戏,并且自己解决问题和病毒,黄鑫决心彻底学习计算机知识!他最早是受到KV300恢复主引导区这个概念的启发,从研究DOS磁盘引导区开始,从文件分配表到55AA扇区,一步步把原来看似神秘的东西搞清楚。回忆起当时的经历,黄鑫说:“是病毒的存在让我觉得电脑有意思!”如果不是这个兴趣,恐怕他也不会把自己所有的才华和精力都投入进去,也不会有一份日后会影响别人自己生活的“工作”。
没过多久,身为“中级菜鸟”的黄鑫不再满足于用现成的软件按一个F'X '功能键就能自动修复系统。他开始使用debug,开始涉及汇编语言,很快就可以不用任何第三方工具手动还原引导扇区。不久之后,这个手动过程被一个自编的组装小程序自动实现,他在最初的补偿中有了一点成就感。至此,黄鑫在短短几个月内完成了从“初级菜鸟”到“初级专家”的质变。此时,走在计算机知识道路上的黄鑫就像一匹脱缰的野马。任何成就都不能减缓他向更高技术水平的进步。正好大三下学期开了C语言课。黄鑫被C语言所能实现的汇编语言无法比拟的强大功能深深吸引。在一位极具编程天赋的同学的鼓励下,他开始了自己编程研究的重要转型,重点是C语言。可想而知,他熟悉汇编语言,然后学习C语言可谓举一反三,很快就轻松上手了。但每每想到潜心编译的辛苦就要“前功尽弃”,黄鑫的遗憾之情溢于言表,这也让黄鑫深深体会到计算机知识的更新速度之快,让求知者喘不过气来。从大三开始如饥似渴地吸收计算机知识,为黄鑫成为一名出色的程序员打下了坚实的基础,他开发了“冰川”等经典软件。应该说,今天的“冰川”得益于那些年的知识积累,大学里的知识积累是涓涓细流,汇成汹涌的“冰川”源头。
初出茅庐的小规模试验。
从大三下半学期开始,为了丰富自己的实践开发经验,黄鑫和擅长编程的同学联系了咸阳一家公司,做了一份无偿的“兼职”。他们每个周末都从Xi安跑到咸阳,为公司开发一款工业电脑软件。这种发展也充分发挥了他在DOS和汇编方面的专长。两个人连续几天开夜车,效率很高。原开发单位一个月没完成的工作转给了他们。仅仅用了四天时间就搭建了一个运行在DOS下的类似Windows的界面框架,然后只用了两周时间就顺利完成了所有的开发工作。虽然这个小项目不能和黄鑫将来参加的大型研制任务相比,但毕竟是第一次工作实践。人生每一个有意义的“第一次”都是值得纪念的。后来我才知道,这个工业电脑软件在全国卖得很好,但是那两个一分钱都没拿到的大学生却是由衷的自豪和满足。公司想让他们留下来,但长期往返Xi和咸阳之间不方便,于是黄鑫决定在母校“西电”附近的一家软件公司寻找机会。但每一次面试,刚听完他的推荐,对方就主观判断手头这个还没走出校门的年轻人既没有工作经验,也没有特长,甚至怀疑一个学生的责任心,这让黄鑫很不高兴,也很心寒。最后他以无所谓的态度采访了我们学校一个老师开的叫创富的小软件公司的老师。他很明确地对对方说,“如果你试用我一两个月,告诉我不能做什么,我马上就走,但如果你连参观的机会都不给我,那就太主观了。”老师觉得有道理,就拿出一个别人用Delphi编的程序,让他修改。黄鑫不到半小时就轻松修好了,所以他被录用了。正是这份兼职,对他以后的职业发展起到了重要作用。他出色的开发能力很快得到了这位老师的认可,从黄鑫毕业后被推荐到深圳的“中国科技发展研究院”工作。当时黄鑫在学校有和同学打架的记录,毕业评价有些不利。他明明赚了就像西电老校友发展院老板面试他的第一句话:“你现在敢打吗?”而黄鑫的回答还是很有个性的:“有什么不敢的?”老板马上笑了:“好,来找我们!”不久后,黄鑫得知老板曾是原“西电”散打队的成员。原来他们的经历和性格非常相似。老板也在黄鑫看到了自己。谈到他们的友谊,黄鑫谈了很多。两人年龄差了整整一轮,既是校友,也是上下级,更是忘年交的朋友。“他就像一个大哥哥,多次在我有困难的时候无私地帮助过我。”黄鑫真诚地说道。除了感激,黄鑫更多的是发自内心的佩服他,认同他的人格魅力、敬业精神、驾驭企业发展的管理水平、市场行动能力,尤其是他敏锐的看人眼光。大四后半年,已经完成毕业设计的黄鑫开始在开发所工作。在随后的一年多时间里,他的R&D水平不断提高,期间参与了上市公司南宁百货大楼MIS系统招标项目,标底10万,历时9个月。大约一年后,他被借调到广州尤克公司开发USB口令卡。这个项目有三个月的开发周期。第一个周期是在模拟环境中完成产品测试。就在考前考后,面对一家上海公司开出的明显优厚的待遇条件,出于家庭生活的经济困难和个人职业发展的长远考虑,黄鑫第一次做出了跳槽的决定。当时钱对他来说是个很现实的问题。但是公司的现状和他自己的做人原则决定了不可能给公司提任何条件。在和“大哥”谈及此事时,对方觉得很抱歉,表示非常理解。面对公司的挽留,黄鑫反复强调个人原因,对老板本人和公司表达了由衷的感激和不舍。直到今天,这两个忘记了过去一年的朋友仍然保持着真诚的友谊和密切的联系。
他去了上海那家公司后,工作一度还算满意,公司承诺的待遇条件全部兑现。然而,三个月后,公司高层决定放弃黄鑫参与开发的项目。更糟糕的是,该公司不再看好整个行业的前景,决定扭亏为盈,这意味着黄鑫注定要再次跳槽。于是“冰川”第一次来到北京。北京也是他一直想来的地方,拥有全国最好的安全研究环境。不过,他现在工作的北京乐思信息技术公司是深圳乐思公司的分公司。看来黄鑫和深圳还是有缘的。至此,这条躁动不安的“冰川”由西向南再向东,最后流向北方。程序员黄鑫在北京相对稳定。
“‘特洛伊马’和‘冰川梦’
大四提前完成毕业设计,有编程绝技。我不担心我的工作。黄鑫似乎比我的同学更放松。所以我经常能在学校附近的网吧看到他。他已经在单台电脑上掌握了加密和解密,有一天他在网上萌发了“隐形欺骗”的想法。通过接触当时非常流行的“博”“网谍”等后门程序,他更加受到启发,将这个想法付诸实践。因为他发现这些程序在功能实现上有局限性,比如当时的“netspy”只是一个扩展的FTP客户端/服务器程序,比较容易防范。相比之下,“博”要强大得多,但毕竟是舶来品。黄鑫觉得自己完全有能力开发功能更强大的工具,这也是提高自己网络编程水平的好机会。Winsock之前并没有提到缺乏必要的网络测试环境,只是在这上面做了“补觉”。这时候,Delphi强大的控制功能就派上了用场,在开发建立网络连接模块时,大大节省了时间,提高了效率。前期发展比较顺利。网络编程对于精通汇编和C语言的他来说自然不难。当他遇到一个不熟悉的、令人费解的问题时,他就去请教编程水平高的同学。很快,一个作为“冰川”雏形的可执行文件终于出来了,还没等他说出名字,就在宿舍同学中测试。事情至此告一段落,软件只是在学生中玩玩。当时,黄鑫从未想过以简单的名利开发动机发布这款软件,但事情在一次偶然的机会中发生了变化。我去做“南宁百货大楼”招标项目的时候,开发团队里一个南宁本地的技术人员用了这个“冰川Beta”,大加赞赏。因为他接触互联网较早,对互联网的广泛影响有着深刻的认识,所以他强烈建议黄鑫在网上发布这个软件。相比网上很多“* * *享受软件”,这个软件会很受欢迎。黄鑫被一些话说服了,决定试一试。这时才想起软件还没有正式命名。大家一起帮忙想想。后来的办法是打开金山词霸,随机输入一个拼音字母,看看有哪些单词和联想。最后在“流沙”和“冰川”这两个词中选出了“冰川”这个词。这个后来广为流传的“酷名”就是这么随意的。但黄鑫现在感觉有点“手忙脚乱”:“冰封之下暗流仍在涌动”,这与《特洛伊马》的特点颇为重合,也颇有些文学韵味。接下来的问题是上传发布到哪个网站。南宁的同事先推荐了一个叫“PCHOME”的网站,黄鑫自己在网上找了一个“中国程序员网站”,于是两个网站都挂出来了。
《冰川》上映后,反响热烈。北方工业大学的两个研究生先给黄鑫发了邮件。在称赞“冰川”的同时,他们也希望结交朋友,以增进交流。当时,他们正在为电信部门进行一个“远程监控”项目。经过对比,他们认为“冰河”是同类软件中综合性能最好的。后来,一大批企业网络管理人员给他写信,咨询和讨论技术细节,黄鑫无意中结交了许多朋友。“冰川”从在黄鑫的学校开发到1.0测试版正式发布都是英文的。他一心想要尽快做出这个软件,但是一旦对外发布,问题就来了。一位英语不好的网友给他来信指出:“作为‘冰川’的开发者,你来自中国,主要针对中国用户,为什么不写一个‘中国版’呢?中国人有必要在中国本地化自己的软件吗?不会是为了炫耀你的英语吧?”这句话提醒了黄鑫,他完全忽略了这个重要的问题。他一点也不在乎网友的过激言论,一周后就发布了《冰川》中文版1.1。但就在中文版发布没几天,又发生了一件让他觉得可笑的事情:他又收到一封网友来信:“我用的是英文操作系统,没有中文环境。可以出英文版吗?”黄鑫不得不回信并耐心地告诉他之前有一个英文版本。后来有人指出“冰川”的操作界面比较简单,应该改进。这些信让黄鑫觉得《冰川》同时也很受欢迎。为此他计划在《冰川》中实现多语言环境支持,彻底“改头换面”。当时正忙着“济南百货大楼MIS系统”的开发,不影响工作进度。他在业余时间将《冰川》升级到1.2版本,这里需要特别提一下。后来“冰川”直接从1.2升级到了2.0,而不是1.3、1.4、1.5等等,因为黄鑫发现他原来的软件结构设计思路非常有限。除了增加了“键盘录音”和“加载CACH密码”等少数新功能,“冰川”2.0相比1原版最大的改进。x是整个程序结构的变化,尤其是操作界面,不再是上一个版本的简单升级,然后还有“冰川”2.1和2.2的改进版本。
作为这个著名的“特洛伊马”软件的开发者,黄鑫本人从来没有用它“搞”过别人的电脑。从最初的开发到每次升级测试,都是在他学习或工作的网络环境中进行的。然而,只有不到65,438+00次互联网测试是通过OICQ在他的电脑上进行的。事实上,黄鑫本质上是一个技术高超的程序员。他关注的是技术本身。当他看到自己纯动机开发的软件被别人用来达到不良目的时,只能感到无奈。在这里,我自然会谈到“冰川”停止升级和发展的话题,这是黄鑫本人不想过多提及的。《冰川》最终版本此时为2.2B,《冰川》已经“风靡全国”。“当时我突然觉得‘冰川’把大家引入歧途。我在技术论坛上发现,很多网友,尤其是刚刚迷上互联网的很小的孩子,都深信‘用冰川就是黑客!’我敢说,使用‘冰川’的人,90%都是为了给别人种‘木马’,或者是为了满足虚荣心。其中只有不到65,438+00%是真正用于个人合法远程控制或者对网络编程技术本身感兴趣,这让我觉得‘冰川’已经失去了升级的意义,做下去也没有意义,所以在2.2B终止了开发”这是黄鑫对这件事的叙述。其实他知道一个真正优秀的程序员应该具备的第一准则和社会责任感是什么。然而,“冰川现象”的发展并不受其开发者自尊自律行为的影响。在朋友做的“特洛伊冰川”黄鑫个人主页的技术论坛上,到处都是“冰川的黑机解决方案”的教学帖,有的帖子直奔“冰川的主密码”主题。黄鑫看到,他怀着改进技术的良好愿望建立的网站正在变成一个。
在停止“冰川”的开发后,2000年底,黄鑫加入了知名网络安全网站“安全焦点”(www.xfocus.org)。他把公司工作之外的全部精力都投入到了知名扫描仪“XSCAN”的开发升级和“安全焦点”的建设维护上。或许XSCAN的知名度没有“冰川”高,但用过扫描仪软件的人都会很熟悉。开发这种优秀扫描仪的最初想法是在2000年Tianji.com组织的黑客会议上提出的。几个技术圈的朋友对他说:“冰川已经不订婚了,你得做点什么?”一个朋友建议他做一个扫描仪,黄鑫觉得无论从自己的技术特长还是应用前景来看都是一个好主意,于是回来就开始做,很快就做了一个框架。在“安全焦点”几个朋友提供的大量漏洞和编程资料的帮助下,开发进展顺利。XSCAN的第一个版本将很快在“安全焦点”网站上发布。下载量一路攀升。后来随着版本升级,支持插件、远程操作系统识别等重要功能也逐渐实现。现在SXCAN的2.0版本即将推出。可以说,XSCAN是黄鑫继《冰川》之后的又一力作,从技术含量上来说,甚至超过了他的成名作《冰川》!现在,黄鑫在继续升级XSCAN版本的同时,正专注于他在“安全焦点”中的一项重要研发任务,即被形象地称为“黑客陷阱”然后进行跟踪分析的“蜜罐”(HONEYPOT)系统。攻击者一扫“蜜罐”,就会认为是没有防备的“肉鸡”。攻击一旦发起,其攻击行为和手段的每一个步骤和细节都是由单机版的“蜜罐”模拟的。“蜜罐”的发展意义在于扩大国内技术领域的认知度,从而吸引更多的人加入这项技术的研究。
从“冰川”到“XSCAN”,再到“蜜罐”,黄鑫一步步探索程序开发的技术,积累了宝贵的经验。现在,黄鑫正处于一个优秀程序员的黄金时代,他充满了朝气和成熟。人们有理由期待他超越当年“冰河”的辉煌。
程序员黄鑫
黄鑫是广东人,从他的外表很容易找到答案。因为父母长期在太原工作,黄鑫在太原出生,并在太原上高中。除了在南方短暂的几年学习和工作经历,26岁的他在北方生活了20多年。生活中,黄鑫喜欢交忠诚的朋友,初次接触就很容易消除陌生感。不知他长期在北方的生活是否潜移默化地影响了他直爽、热情、健谈的气质。
父母都是知识分子。严格的家庭教育使黄鑫从小学到高一都是听话的好学生,学习成绩也总是名列前茅。但他父母的严厉教育也有些偏颇,要求黄鑫把所有的时间和精力都花在学校的书本上,课后所有正当的爱好都不鼓励尝试黄鑫。曾经有一段时间,黄鑫迷上了书法和篆刻,但现在许多父母反对。用黄鑫自己的话说,他的父母担心这些爱好会分散他的学习注意力。即便如此,充满灵气的黄鑫还是练就了书法和篆刻的基本功。后来,他按照父母的命令继续努力学习,但他仍然不愿意放弃自己的爱好,担心自己不能有和同学一样多的课余时间。终于在我高一的时候,父母因为工作调动回了湛江。被暂时“忽视”了很长时间的黄鑫,在几个同学的带动下,从调皮捣蛋的天性中释放出来。在学校体育场和校外花鸟市场随处可见他尽情玩耍的身影,打架成了家常便饭。放纵的结果是高一第一学期考试全班倒数第三。还好这种低落的状态只持续到我回到湛江读高三的时候。在父母的严格管理和高考的压力下,我的学习成绩很快上来,顺利考上了大学。
在高考中,黄鑫的第一选择是报警。他从小就想当警察,年轻时喜欢戴“警察帽”。这是典型的、常见的男生心理特征的理想。高考和体检成绩都过了录取线,无奈报名过线的人数远远多于录取名额,没有特殊关系,最终与这个理想失之交臂。但黄鑫仍然认为,如果他当年被录取,他会是一名优秀的警察,至少不会成为现在的程序员。也许在那个年代,黄鑫注定是一名优秀的程序员,而不是一名警察。现实中,这种“因错而错”的人生经历比比皆是。今天的黄鑫不应该再有遗憾。他现在取得的成就足以说明他的大脑是为计算机技术而生的。其实一切早已注定。
黄鑫因“冰川”而出名。他承认“冰川”给他的生活带来了很多改变,他出名以及名气间接带来的物质利益。但最吸引他的是以“冰川”为媒介所打造的圈子内外的一大批志同道合的朋友,他视之为一生所能享受的最大财富。喜爱金庸作品的黄鑫认同“网络安全圈”和“武林圈”的诸多相似之处。同样的主人就像森林和山脉。同样的艺术是无止境的,学无止境的;同样的人在江湖和从前在美国。
《冰川》也给黄鑫的生活带来了许多意想不到的麻烦和幽默。网友们因为“冰川”而佩服他,甚至有人视他为“神仙”。在QQ上,他和一位网友有过这样的对话:
网友:“你是‘冰川’吗?”黄鑫:“是的。”网友:“你现在能接入我的电脑吗?”黄鑫看完之后差点晕倒!
还有一次,黄鑫的个人防火墙经常发出警报,显示有人在扫描它。起初,端口是“冰川”的默认端口7626。一开始他并不太介意,但时间长了难免会烦,于是黄鑫就编了一个伪“冰川”服务器,对方可以连续显示自己的IP。然后他用消息回复功能告诉对方:“我是‘冰川’的开发者,请不要再打扰我了。对方可能不信,效果也不大。无奈之下,他打开了一个简单的telnet服务器程序,然后对对方说:“请telnet到XXX。XXX。XXX。我们谈谈吧!”这一次,对方终于知道自己遇到了一个“真人”,没人敢回答。
如今,黄鑫很少谈论“冰川”,甚至不喜欢谈论“冰川”,因为在他看来,谈论一切与“冰川”有关的话题,是“英雄不提当年勇”的大忌,无异于“躺着吃旧书”。这是他无法忍受的,对于一个程序员来说意味着创造力和想象力的枯竭。他现在最希望的是人们忘记“冰川”,或者忘记”。提起黄鑫这个名字,人们只会记住它是一座“冰川”,就像作家不希望人们记住他的名著一样,不上进不创新,无法超越自己是他们最大的失败。古希腊哲学家赫拉克利特认为世界上的一切都处于不断的变化之中,所以他说:“人不能两次卷入同一条河流”。在瞬息万变的IT界,年轻的黄鑫不可能只开发一个“冰川”。所以,谁也不知道“金”黄鑫“夏”什么时候会“收剑淡出江湖”。
附:黄鑫关于“声明‘冰川’开发已全面停止,‘特洛伊冰川’网站已正式关闭”的特别启示;
声明
非常感谢你的关心。2000年4月17日“冰川”计划开发全面停止,“特洛伊冰川”网站于2000年5月正式关闭。
《冰川》最终版本为2.2B版,其他高级版本未经本人同意,由他人用32位编辑器修改。所做的改动主要局限于版本号或作者等明文信息,并没有增加功能。其实都是基于2.2之前的版本,但我不敢保证改版者没有做过别的。
从2000年5月到现在,所有以“特洛伊冰河”“冰川”为名恶意修改他人页面的人,以及2000年9月3日以后在任何一个聊天室吹嘘自己是“冰河”的人,都不是自己。
我个人认为技术研究的最终目的不是为了搞鬼,而是在自由开放的环境下发挥大家的特长,进一步完善我们的系统和网络,同时实现安全技术和安全意识的广泛普及,让大家在相互交流的过程中得到提高。这种充分沟通的结果会使系统更加完善,网络更加安全。简单的打个比方,魔术的魅力在于,除了魔术师本人,几乎没有人知道它的细节,魔术师和观众的乐趣也就在于此。当大多数人都能解开谜团的时候,作为一个魔术师,你还会表演这个小把戏吗?
我很少开QQ。如果你有什么事情,可以发邮件给我:hunxin @ 21cn.com或glacier@xfocus.org。欢迎随时关注我们的“安全焦点”。是位于mand "\notepad.exe %1 "(指你的Windows所在的目录,如" c:\windows ")的键值。
④检查HKEY _本地_机器\软件\类\ EXFILE \ shell \ open \ command处的键值是否为" " %1" %* ",如果不是,请更正;
⑤删除上面发现的可疑程序(默认文件名为目录中的“kernel32.exe”和“sysexplr.exe”。如果“sysexplr.exe”因为正在运行而无法删除,可以在步骤6)完成后立即删除;
⑥如果是Windows 98系统,直接按两下重启电脑;对于NT系统,按激活任务管理器并结束kernel32.exe进程,然后重新启动计算机。需要注意的是,修改注册表后要删除可疑程序,否则如果对方将“Glacier”设置为与EXE文件关联,你连运行REGEDIT的机会都没有。另外,在修改注册表的时候,你可能已经启动了与EXE文件关联的“冰川”,而“冰川”在正常关闭的时候会再次修改注册表,所以在Windows 98系统下重启电脑是至关重要的一步。