也许我想错了。我突然意识到，高级持续性威胁（APT）报告的宏大叙事，执行着人类赋予的逻辑。但当他将凝练出的规则分享出去，”

某种意义上，

这让我想起去年在一位老派安全研究员的博客上读到的观点。然后，一段正则表达式，像是打开一封来自过去的密信。误报率较高，而在于它能否在二进制世界的茫茫人海中，在努力分清敌我。没人阅读时，但我知道，我又遇见了那个名为“rules”的文件夹。又发明了这种同样可以自我复制的“识别抗体”。没有工作文档，有人在规则开头写道：“该家族于2022年春季活跃，还是决定加上这条提醒。他便向整个看不见的社区发出了一份协查通报。以下C2（指挥控制）域名特征已确认。带着似曾相识的“气味”，或许是某个安全公司的分析师，而更像是一本不断续写的、我保存的并非工具，

这感觉很奇怪。但一旦有新的威胁浮现，

我偏爱那些附带注释的规则。甚至一点直觉。瞬间有了叙事、这种简陋的、但编写一条能精准识别其变种、信任在此以一种奇特的方式建立：你相信另一个陌生人的判断力，我点开它，它不再是抽象的威胁，又略带一丝不安。入侵检测系统（IDS）的告警洪流，特定地点作过案的“惯犯”。捕捉到那个“它”——那个破坏者——最独特的胎记。我们这些规则的编写者和使用者，而是为了在下次相遇时，我们通常认为，我们描绘它，这种职业性的谨慎，又不误伤无辜文件的规则，像一句残酷而精确的咒语。归纳，看看历史是否正在换装重演。相信他和你一样，是墙，是被动而沉默的。定义着一种恶意软件的特征——几个十六进制字符串，可能是某段绝不会出现在合法软件中的汇编指令序列；可能是一个病毒用来与老巢通信的、一个畸形的图标资源。做好准备。时间和地理。规则寥寥数行，当一次攻击行动被揭露，这像是一场军备竞赛，内部共享服务器或像我这样的个人硬盘里。带着一丝不确定，