前面已经有同学谈过xcon2008了，简单聊点感想，不枉xcon2008走过一遭。

第一，恶意软件与root-kit技术形影不离。

大家都感觉到最近几年安全技术论坛人气不旺，新东西越来越少，个人感觉除了没有大的病毒或者蠕虫爆发的原因外，还有一个重要的原因在于病毒世界的风向标已经发生了根本改变，纯粹的技术炫耀已经被获取切实的经济利益所取代，真正的技术高手已经越来越隐蔽，病毒也越来越有针对性，像熊猫烧香那种雷声大雨点小，损人不利己的病毒只能成为昨日黄花，真正有技术含量的东西往往都只是在小范围内分享，一般杀毒软件也许检测不到，更不用说普通用户能够觉察到了。

MJ0011这次在安全焦点上讲的Tophnet就是一个能够劫持windows启动过程的Bootkit；关注rootkit的技术青年们应该知道能够劫持系统boot的rootkit已经被提出很久了，但是像MJ0011这样放出一个完整实现的却几乎没有，这绝不是因为别人没有实现，而是因为大家不愿意放到台面上讲罢了；所以我们完全有理由猜测MJ0011同样也没有把压箱底的东西拿出来^_^。

Versign, mj0011 and CardMagic (从左至右)

面对rootkit的挑战，杀毒软件公司也推出了各种对抗技术，像趋势科技就推出了Ageis和AOIFC等技术，这场rootkit和anti-rookit的躲藏和反躲藏的战争才刚刚开始，值得期待。

第二，僵尸网络规模不断扩大

经常在某些安全论坛上看到“杀软无用，裸奔至上，大不了重装”的言论；殊不知病毒已经今非昔比，不再以破坏系统为己任，更多的是窃取敏感信息，控制肉鸡制造僵尸网络。敏感信息的重要性大家心知肚明，尤其是在xx门事件之后，但僵尸网络的危害似乎还不那么广为关注。

这次Xcon2008有白远方和VXK的一篇文章“亡灵巫师的魔法大军：大规模僵尸网络”，有条件的同学们不妨学习一下。有这么多网络小白的存在，再加上所谓“网络高手”的毁人不倦，不得不让人时刻关心

“今天，我的电脑僵尸了么？”

第三，虚拟技术也将会成为安全焦点。

虚拟技术的流行看来已经不可避免，不光是Intel/AMD和MS从软硬件上的大力支持，各种运用也如火如荼，水深火热。Alert7在这次会议上就提到用虚拟技术进行数据流分析；对测试感兴趣的同学们可以借鉴一下。

虚拟技术已经不可避免的加入到了病毒与反病毒的战争中。徐昊在这次会议提出的采用芯片虚拟化技术保护windows内核的想法就是一个典型的双刃剑，同样也适用于病毒开发。穿越虚拟机的技术也已经谈论了很久了，不知道在“有生”之年能不能一睹芳颜（没办法，现在的“技术大牛”越来越不open了）。

最后一个感受，网页病毒真的很黄很暴力。

特别是和0-day漏洞的结合，真是一对天生的“奸夫淫妇”阿。刚在Xcon2008上听完了web threat和windows漏洞的专题，就赶上了IE7的0-day漏洞被利用了，一大堆“马”从网络上浩浩荡荡绵绵不绝的涌来，颇为壮观。

绝大多数AV厂商不能做到未雨绸缪了，纷纷丢盔弃甲败下阵。好在趋势科技成熟的Web Security结合云计算技术，在第一时间见证和发现0-day攻击，及时帮助用户阻断毒源。

感慨一下结尾：你的ＡＶ产品“云计算”了么？

A.T.