畢業于哈爾濱工程大學，Windows頂級內核專家，國內反病毒虛擬機技術的開拓者，主導安芯網盾內存保護系統的開發與管理。多款知名軟件作者：PChunter作者，PChunter被國際權威機構評為全球最優秀的AntiRootkit安全軟件。LinxerUnpacker軟件作者，該軟件被評為當時最強的基于反病毒虛擬機技術的通用脫殼機。

　　安全牛：您從2009年開始，一直致力于未知威脅檢測引擎的開發和研究，是什么樣的機緣讓您在2019年選擇以內存保護為創業方向？

　　姚紀衛：2019年的某個下午，我和合伙人聊起近幾年國內的網絡安全市場，發現盡管系統、應用層面的防護手段越來越多元，安全產品與防護功能趨于完善，但是類似使用永恒之藍漏洞這種大規模、高傷亡的網絡攻擊事件還是偶有發生，甚至有逐漸增多的跡象，究其原因，在于傳統的安全軟件是通過傳統的檢測方式對系統做檢測分析，對當前流行的0day攻擊、無文件攻擊缺乏有效防御手段，這就像用上個世紀的雷達去檢測最新一代的隱形戰斗機一樣沒有效果。我們那次聊了很久，最后一拍即合開啟我們的第二次創業，并選擇了內存保護這條路。

　　我們從2006年就一直在做高級威脅防護的研究，發現無論威脅、攻擊怎么變換，惡意代碼最終都將出現在內存上，也終將需要依賴CPU去執行。因而理論上我們守護住內存和CPU就能防御所有的威脅，這也是我們做內存保護的理論基礎，把安全產品的防護能力從應用層、系統層下沉到硬件虛擬化層，從內存方面著手進行應對系統設計缺陷、外部入侵等威脅的檢測和防護，也就是“內存安全”，我們希望借此解決最令行業頭疼的威脅。

　　傳統方法依賴特征、規則匹配檢測無法滿足內存安全類產品的要求，但是通過內存虛擬化等技術手段，可以有效監控內存讀、寫、執行行為，解決了內存訪問行為不可見問題，內存訪問行為不再是一個黑盒。

　　此外，傳統方法也無法實現指令集監控。而我們的內存保護系統是基于硬件虛擬化技術架構設計，在特定的CPU指令執行時結合其執行的上下文能分析出程序發生了什么行為，同時基于硬件虛擬化技術其充分利用CPU層本身的隔離機制，不容易被反檢測機制發現，從而保障自身核心模塊的安全能力。

　　相比其他安全產品來說，內存保護技術的應用需要團隊擁有對操作系統、CPU體系結構、病毒攻擊以及虛擬化技術都十分了解的復合型技術人才。所以我們目前遇到的最大困難就是招聘，我們渴望找到比我們更優秀的伙伴，我們考驗的關鍵點不是是否有漂亮的履歷，手握實力的人才才是我們需要的。

　　安全牛：在您看來，內存安全與傳統端點安全最大的的區別在哪里？

　　姚紀衛：傳統端點安全一般指殺毒軟件、EDR、HIPS等軟件，這些軟件一般由病毒查殺、信息采集分析、管控、監控等功能組成，它們采用的技術方法也較為傳統，對威脅的檢測要么通過特征碼檢測，要么通過Hook監控分析識別等技術。傳統的端點安全軟件也許運行在應用層，也許運行在系統層，但內存保護是運行在系統層、應用層和硬件虛擬化層，超過70%的高級攻擊都是跟內存安全相關的，比如內存破壞型漏洞，對這些攻擊僅僅在應用層、系統層設防是力不從心的。

　　當前很多威脅開發者已經熟知這些檢測手段并能繞過這些檢測機制。內存保護系統除了會采用一些傳統的技術手段外，還有一些獨特的技術手段，比如內存虛擬化技術，它可以解決內存訪問動作不可見問題，對一些內存破壞型漏洞攻擊有很好的效果；腳本解析引擎掛鉤分析技術，它可以很好的識別一些腳本類型的無文件攻擊；基于硬件虛擬化的行為監控，可以很好的解決由系統PatchGuard等導致的無法有效監控、攔截一些系統行為的問題。內存保護系統能有效監控內存訪問行為和識別更多的程序行為動作，這樣對威脅的檢出率會更高，誤報率會更低。

　　大家開始關注到內存安全，因為內存安全問題也是Android、Java、Windows 10和Chrome等各類平臺的頭號安全問題。比如近幾年的攻防演練中備受關注的內存馬攻擊，也是一種典型的無文件攻擊手段，它可以有效地躲避傳統安全軟件的檢測，在系統的內存中遠程加載執行、駐留在注冊表中或濫用常用的白名單工具，例如PowerShell、Windows Management Instrumentation（WMI）和PsExec等。傳統的端點安全軟件就很難去檢測到它，更別提實時防御了。而通過對內存數據訪問行為細粒度的檢測以及對數據狀態、數據流動狀態與內存中行為動作的觀察，內存馬就會在內存保護系統的檢測下暴露無遺。

　　安全牛：因為內存安全防護技術直接監控一些內存訪問狀態，那么產品對系統的穩定性會不會產生嚴重的影響？在威脅的檢測技術上，跟傳統的防護產品相比，有什么先進性。

　　姚紀衛：對系統穩定性不會有特別的影響。傳統的端點安全軟件也會有驅動程序，內存保護也會有驅動程序，它們的作用都是差不多的。區別之處在于，內存保護系統是基于硬件虛擬化技術架構設計的，現在的硬件虛擬化技術已經很成熟了，CPU硬件也提供了比較好的支持，只要考慮周全不會對系統穩定性有特殊的影響。

　　利用硬件虛擬化技術后，可以監控更多的內存行為和程序行為，這樣對威脅的檢出率會更高，誤報率會更低。另外，也能解決一些傳統防護手段無法解決的問題，比如能跟蹤內存的訪問狀態，通過這些訪問跟蹤能識別發現無文件攻擊、0day攻擊、內存代碼片段攻擊。

　　安全牛：請您談談內存安全技術的發展趨勢。

　　姚紀衛：使用內存保護技術能細粒度跟蹤、監控系統的各類行為動作，這有利于在低誤報率的情況下，發現更多的威脅；內存保護技術還能有效繞開當前操作系統的一些限制（比如PatchGuard等），實現對系統中各類行為的有效監控，正是因為這些優點，相較于傳統端點防護技術，內存保護技術會有更廣闊的應用場景。

　　當然內存保護技術也有局限性，就是對開發者的要求會比較高，既要懂安全，又要懂操作系統，還需要對CPU硬件特性特別了解，本身這一塊的技術人員就很少，所以開發難度會更大些。

　　內存保護如果與其他技術結合會有很多場景，比如當前內存保護可以檢測內存的一些訪問狀態，因此除了可以檢測0day攻擊外，也可用于漏洞挖掘，可以結合測試技術來檢測軟件內存使用方面的bug，提高軟件健壯性。

　　過去的一年，我們服務了很多大型客戶。舉個例子，國內某頭部電商平臺，它有200多條產品線，開放的API有數百個，這種業務復雜度高的客戶面臨的問題是操作系統和業務系統很難進行打補丁升級，并且也無法去確定它的每一條業務線是否完成了升級，這個時候內存保護就可以幫助客戶解決這個問題，使用內存保護雖然無法阻止漏洞的產生，但是可以讓漏洞無法被利用，可以讓客戶帶傷上陣，保障業務和數據，這個需求場景也是很多其他客戶的痛點。另外內存保護可以幫助解決了域控場景的防護，企業AD域服務器的攻擊事件層出不窮，一旦擁有域控管理權限的域控服務器被攻破，所有加入域的終端和服務器都將被控制，存在全網淪陷的可能，而客戶的數據又與我們很多人的生活息息相關的，而內存保護給客戶提供的漏洞防御、內存數據保護及未知威脅防御等能力，幫助客戶對抗PTH攻擊、黃金票據攻擊、白銀票據攻擊、lsass進程讀取明文密碼，以及最新的NetLogon特權提升漏洞攻擊等攻擊，保護他們的高價值數據不被竊取，核心業務不被阻斷。