标题: NSFOCUS旧友记--郭大兴《人生是不安定的航海》

作者: 郭大兴
创建: 2022-02-09 22:59

人生是不安定的航海 --莎士比亚

我是08年7月入职的。一开始也不是奔着安全来的，我本科学校计科系很早之前是分
软件和硬件专业的，后面不分了，软硬相关的课程都学过一些，但是没有搞过什么硬
件方面的东西，所以毕业保研时选了嵌入式方向。结果第一年是在中科大修学分，第
二年回所才选导师。结果第一年放羊了，当时没有提前咨询好，随大流修了不少跟硬
件没关系的学分。回所之后搞的是数控系统中的运动控制器，是在红帽上打硬实时补
丁后在内核中开发，还给大师兄写了几个驱动，所以后面都是投的Linux平台上开发
相关的岗位。当时是在一个招聘网上看到绿盟的招聘信息，去公司官网上浏览了一番，
也搜了一下公司相关的信息，找到了一些介绍绿盟里的黑客信息，还有就是四哥的那
篇《你尽力了吗》。我是在沈阳分公司面试的，在分公司里用摄像头跟总部连线视频
面试，邮件里说对面坐的有6个人，都有你未来的同事、领导、总监等，视频面试只
能他们能看见我，我看不见他们。去了之后发现总共只有2个人面试，另外一个是东
北大学的。当时分公司的领导说东北区会招一个人，之后公司年会还见过一次。面试
过程中好像只有1个人在说话，听声音后来感觉这个人是zerg。面试内容已经记不的
了，只记得最后一个问题，大概是问我对绿盟有什么了解。基本上就是把之前收集到
的信息讲一遍，还没等我说完，就跟我说面试结束让我等消息。根据之前被摧残的多
次面试经验，感觉这次也悬了。但还是有点侥幸心理，扔抱有一丝希望。后面就是一
直等消息，期间唯一拿到的offer就是一个上海外包公司的，就在这个offer的截止时
间要到了依然没有收到绿盟的消息，心里认定是挂了，于是就给外包公司邮寄了三方
协议，就在寄出的第二天就收到了绿盟的offer，当时真是激动坏了，第一时间就是
立即赶紧跑邮局去把我的三方协议追回来，否则要交几千块的违约金。当时邮件已经
都到上海了，正在被送到目的地的路上，幸好最后还是让我成功拦截了下来。后面公
司统计希望落户的地点时，反馈希望落到成都，将来去成都生活，结果公司把三个北
京落户指标分给了我一个。之后就跟叶兴和宋宇约着一起租房，开始了北漂生活。

进公司后叶兴去了冰之眼，宋宇去了极光，我分到了通用组件部。当时志旭是部门老
大，第一次接触到Gentoo系统，大概装了2个星期才装好。后面主要都是在熟悉现有
的系统代码，唯一写过的代码就是在内核启动过程中增加一个检测是否在虚拟机环境
中运行的功能，发现跑在虚拟机里就直接panic了，检测方案主要是由研究部提供的，
之后还跑去冰之眼给韩笑演示过，韩笑表示好牛。当时觉得通用组件部从组织架构上
是很有存在的必要性，但是让各产品线把共用的东西交给其它部门可能很难在产品线
推动。后面志旭去了黑洞，本想带我一起的，李总没同意，建鹏和我先后去了极光。

之前去极光组那边溜达时曾见过WaterCloud的那张大躺椅，那时他还没走，我去极光
的时候，他已经离职创业去了。周大带着晓明、晓霞、樊志甲和小虎在搞扫描器，周
振带着蒋辉、建鹏、宋宇和徐东在搞BVS。周大后面带着晓明去搞Web漏洞扫描器了，
把主机漏扫的插件交给我了。写插件的日常工作主要都是去过滤每天新出的漏洞，增
加插件，测试插件，出升级包，处理bug。偶尔需要去出个台支撑一下销售、售后的
工作。印象比较深的是有次运营商客户使用扫描器扫描之后导致他们机群重启，办事
处要求我们去客户现场支撑一下，由于都是在线的业务，运营商只给了我们在特定时
间一次扫描的机会。出发前把之前的扫描报告中的信息仔细分析，在脑子里一遍又一
遍的模拟扫描过程，心里大致有数了，到了南宁之后，跟两个当地办事处的兄弟姐妹
们晚上一起去客户现场来一把搞定，圆满解决。有时出现严重漏洞，是需要出紧急升
级包，此时会找上研究部的翻译增加一下漏洞信息，在帆姐来之前，我都是找的童广
静，不知道她是不是专职的翻译。第一次去找四哥，好像是因为某个插件的事，不确
定是不是DNS 缓存中毒的了，好像是跟向荣一起去请教四哥，后面还在绿盟技术杂志
上介绍过这个插件实现。有次在公交上，偶遇四哥，竟然主动过来跟我聊天了，可能
是因为之前请教过他，对我有点印象。后面四哥兼职RCM线总监时，有机会经常来给
我们搞培训，四哥的培训常常是撸起袖子饱含激情。有次把四哥给惹怒了，有一次
SSL出现了新的弱加密算法，有个紧急需求提到四哥那里了，四哥把完整扫描方案都
发过来了，就只差代码实现了，当时迟迟没有发布升级包，给四哥一个答复，结果四
哥直接从研究部跑到开发部来质问了，刚解释了一句，就只听一声巨响，四哥使劲拍
了下桌子，发出雷霆之怒，咆哮着说了一些“前线都火烧眉毛了。。。”之后就回去
了，当面愣住了，估计整个益泰大厦四层研发部的应该都听见了。同一台机器，连续
2次扫描，扫描结果出现不一致，这个问题经常被客户提出来，当年曾想深入研究下
引擎调度，尝试修改下引擎看看，李总绩效面谈的时候提出了这个想法，为了求稳被
拒绝了。每次遇到这个问题QC都会提bug到我这里，都认为是插件的问题，但是我搞
不定，在bugzilla上几经解释后就这么回复回去了，没有沟通技巧的年轻人陷入了一
次危机，这也导致我第一次有了离职的想法，当时也跟四哥大倒了苦水。还一度去
WaterCloud那里混了顿饭吃，最后还是放了他鸽子，在临门一脚的时候最终还是选择
了留下来。先后带着向荣、振环、王岩等人搞插件，插件工作交接给他们了，之后去
搞IPS了。在极光我还维护了另一个产品RVS，定期会发邮件给star去骚扰一下他，问
他最近有啥新增的漏洞利用没有。有时候遇上有些漏洞不能成功利用的时候也会去找
TK和hume，数据库的一般是hume写的，Windows的一般是TK写的。有次，有个Windows
的在一个测试环境中没有利用成功，TK过来坐下弄了一会之后成功了，拍了一下大腿
说：“我就说没有问题嘛”。后来的利用程序大都是黄伟和赵亮提供的，伟哥说有啥
不懂的都可以找他。

newchess带着水生、陈利君、段宇旋、建坡在搞IPS，后面我加入跟陈利君学习搞规
则。韩boss带货能力非凡，自从他买了一台mbp后，常常在组内给大家介绍他使用mbp
后的各种体验，我也跟着入手了一台。四哥说newchess是个敢想敢干的人，他不仅安
全技术好，搞产品也很牛。组内带着大家学习安全技术就不必说了，他给我们群发了
一本讲虚拟机技术的书，后面他自己就手撕代码开发了新一代IPS引擎的原型，设计
实现了全套加规则的语言，用虚拟机加载编译的字节码执行。还AI技术应用到了IPS
中。水生的破解技术相当牛，破解分分钟的事，让我有机会学习到别人基于V8进行扩
展用js写规则。后面成立了规则组，nesschess带着崔晨、秦用尽继续开发新的IPS引
擎，Star从研究部过来带着我、建坡、振环、加水、老丁等继续搞规则，Star也群发
了一堆安全相关的电子书，SQL注入的那本我反复看了好几遍，接到SQL注入漏报和误
报比较多，重新搞了一个状态机来解析参数，不是简单基于正则匹配，后面就很少收
到bug了，但，还是会有，真有人直接把SQL语句放参数里，后面又加了个黑白名单。
有段时间Star带着大家疯狂加规则，晚上蹭Star的车回家，后来Star得了一个油车指
标，可惜当时没有需求，且还欠着四哥的钱，正如Star所说，错过之后根本摇不中。

在威胁响应中心待了短暂的一段时间，过完15年的元旦就离开了绿盟，当时手误好像
给Backend发了2次邮件，跟Backend提离职的时候心理充满了内疚感，给了我锻炼管
理能力的机会。当时还没有挖过洞，拿过CVE，组里不仅有拿Google浏览器漏洞奖金
到手软demi6od，还有会讲相声的Web漏洞挖掘高手。四哥说走的时候一起吃个饭，没
有提前预约，需要四嫂批假，结果没吃成。

离开的时间有点长了，好多事都已经模糊、忘记了，感谢四哥邀约，借此机会回忆记
录下那段在绿盟走过的青葱岁月里的那些人和那些事。

(两枚纪念金牌)

--------------------------------------------------------------------------

scz:

大兴是个老实孩子，所以写的东西很朴实。文中多位人名有误，幸亏我让他写这篇，
再过几年，他啥也不记得了。

当年我给包括大兴在内的很多同事审过某些文档，语句的逻辑递进就不提了，单说错
别字、错误的标点符号满天飞舞，我替TA们改过很多次。

这次，我不再替TA们改了，我要保持原貌，以供TA们老后回来看自己。