下一代安全威胁的内幕故事
当伊朗总统马哈茂德·艾哈迈迪-内贾德在去年11月份宣布该国的核计划遭到软件***后,他证实了许多安全研究人员的猜测:原因是Stuxnet大爆发,篡改了控制处理铀所用的离心机电机的关键系统。
内贾德对这起***造成的影响轻描淡写,但是安全研究人员认为,造成的破坏范围要比他所说的广泛得多。Eric Byres是专门保护制造和控制系统安全的Tofino工业解决方案公司的首席技术官兼联合创始人;他表示,伊朗人访问与保护工业控制系统安全有关的网站的流量稳步增长,这表明该国的IT专家在寻求解决持续性威胁的办法。
Byres表示,伊朗人没有办法清除掉Stuxnet。他称,从一台机器上清除Stuxnet很容易,"但是在网络上,Stuxnet就如同人间炼狱,因为它极具侵略性,能够以各种各样的方式来进行传播。"
Stuxnet在去年7月份首次被确认,它可以***四个之前未知的安全漏洞,通过USB存储棒和网络共享区来传播。它可以感染用来管理工业控制系统的Windows系统,覆盖嵌入式控制器,破灭破坏那些系统。
欢迎进入到未来的网络安全世界:当今最先进、最成功的***会是将来很平常的安全挑战。网络犯罪分子可能会试图同样谋求Stuxnet的这种能力:在网络上持续潜伏,隐藏在嵌入式设备里面。他们势必还会企图仿效其他***采用的手法;比如说,Zeus擅长于操纵浏览器会话,而Conficker可以做到不被关闭。
***者们还在改变运作方式,采用新的方式来开发和传播***手法。网络间谍行动日益利用社交网络来寻找容易下手的目标。就拿网络***行动"极光行动"(Operation Aurora)来说,涉嫌来自中国的***者利用社交网络,锁定了谷歌及其他公司的员工,然后向他们发送针对性的电子邮件,目的是感染那些公司的关键计算机。
此外,软件开发人员社区在支持先进的即插即用恶意软件,比如针对银行的Zeus特洛伊***。像Conficker那样动态生成的域将使得安全人员更难查明僵尸网络的指挥和控制网络。
Stuxnet的遗产
最后,与我们将来要面对的那种网络***造成的长远影响相比,Stuxnet给伊朗核计划造成的影响可能要小得多。赛门铁克公司的全球情报网络主管Dean Turner说,就Stuxnet而言,它变得不太像针对金融和电力等行业的***,而是更像"有的放矢的***"。"Stuxnet针对的是具体目标,即电机的变频部件。"
安全专家长期以来就警告,嵌入式控制系统很容易受***。2007年,美国能源部的测试表明,针对嵌入式系统的***可以控制电力公司的发电机,引起发电机自毁。大多数工厂也由嵌入式系统和可编程逻辑控制器来控制。
在Stuxnet出现之前,这种危险还仅限于理论上的。而现在,凡是能接触到代码的人都有办法来***嵌入式系统。而且Stuxnet代码广泛传播,感染了全球各地的计算机。Tofino公司的Byres说,Stuxnet为编写可编程逻辑控制器的代码提供了一堂"速成课"。我们迟早会开始看到各种各样的"专门蠕虫"伺机***控制系统。
嵌入式系统通常把物理系统和数字系统连接起来,所以一旦***者控制住了它们,也就控制住了关键系统。此外,代码可以隐藏在嵌入式系统里面,让***得以持续存在,因而很难清理干净。
托管安全提供商SecureWorks的首席技术官Jon Ramsey表示,私营公司不大可能长期不受到Stuxnet带来的破坏,他提到"极光行动"就是袭击私营公司的最先进***的第一起事件。***者通过"极光行动"表明:"干嘛不***行业企业……干嘛不***拥有许多知识产权、在全球市场具有高度竞争力的大公司?"Ramsey如是说。
***者专业化
关于这些先进***和所采用技术的知识在迅速传播开来。一个主要原因是,***者创建了自成体系的一整套聊天室、论坛、投件箱和技术刊物,以支持和扩大他们的***行动。***者在那里交流思想,培养特定的专长。某个小组帮助成员磨练***流行软件方面的技能;另一个小组编写恶意脚本,植入到流行的恶意软件里面。还有些小组致力于发展和维护僵尸网络,企图窃取数据。
Zeus就是证明这种专业化的一个典例。这个针对银行的特洛伊***通过网络钓鱼和路过式下载***,从合法网站传播开来,它有一个庞大的生态系统,旗下的地下程序员编写可植入Zeus的垃圾邮件传播活动模板和可以利用特定漏洞的脚本工具包。犯罪分子可以购买一个脚本工具包来***运行Mozilla Firefox浏览器的计算机,购买另一个脚本工具包来***Adobe Acrobat的漏洞。Zeus的开放性更是推动了其普及程度,还大大增强了破坏能力。据赛门铁克声称,现在Zeus的变种超过了9000个。
赛门铁克的Turner表示,Zeus的一整套开发机制让用户可以花更少的钱搞更大的破坏。这是下面这个趋势的一方面:网络犯罪分子正变得更高效,对***行动进行了优化,企图从每次破坏事件中捞到最大的好处。迈克菲公司的全球安全战略和风险管理主管Brian Contos表示,一些先进的恶意软件会将与之竞争的、缺乏效率的程序从它们感染的系统上删除,甚至还会给那些系统打补丁,目的是为了从被感染的机器捞到最大的好处。恶意软件使用一台计算机来从事多种不法勾当,比如窃取数据和获取登录资料。Contos表示,毫无防备的受害者看起来也从中受益,因为他们的机器运行更顺畅了,但其实已经受到了感染。
***者还在利用自动化技术来提高***效率。他们不是***世界上的每个互联网地址,而是侧重***已知属于运行容易受到***的特定软件(如WordPress)的计算机及其他流行博客平台的地址。垃圾邮件发送者购买即开即用的垃圾邮件活动模板。而僵尸网络经营者利用Web界面来监视和控制由受危及系统组成的网络。
网络***软件开发、支持和整个配套机制方面会出现所有这些创新,源动力是钱。许多网络犯罪分子现在不是共享***手法,而是变得更加隐秘,将自己的代码和方法当成知识产权那样来保护。
Contos表示,以前你要是参加DEF CON***大会这样的会议,大家会共享工具。现在不再是这样了。而现在他们忙于开发零日威胁,"因为他们想赚钱。"
明天的***正在形成
事件 | 下一代***的属性 | 描述 |
极光行动 | 侦察社交网络 | ***者使用社交网络和网站,找目标企业内部的关键人员下手。 去年他们***了谷歌及其他公司。 |
Conficker | 动态域 | 这种电脑蠕虫使用计算出来的域名,因而加大了清除的难度。 Conficker.C在5000个计算域名中用了随机选择的一小部分域名,与指挥和控制服务器进行连接。 |
Stuxnet | 针对嵌入式控制器 的恶意软件 | ***危及嵌入式控制器后,控制住物理设备。Stuxnet危及了制造流程和伊朗核计划中的可编程逻辑控制器。 |
维基解密 *** | 分布式拒绝服务 暴民行动 | ***者策划了统一协调的网络抗议。在维基解密网站受到***后,2000名支持者迅速组织起来,利用自愿组建的僵尸网络,***万事达、维萨及其他网站。 |
Zeus | XXX中间人*** | ***者偷偷潜入到浏览器、移动设备或其他信息流当中,以获取和篡改信息量。Zeus危及了浏览器通信,可实时动态地篡改银行交易页面,从而窃取资金。 |
软件开发生态系统 | 开发人员生态系统已围绕Zeus及其他***软件发展起来,可创建新的功能,并不断改进。Zeus的开发人员已开发了恶意脚本包和即开即用的垃圾邮件活动模板。 |
适逢其时的***
网络犯罪分子***手法的改变使得另一种***:网络抗议更容易组织和执行。我们也可以从最近针对万事达、维萨和亚马逊等网站的拒绝服务***中一窥网络犯罪的未来,这些***是为了报复这些网络拒绝与维基解密网站有业务往来。
虽然网络抗议和拒绝服务***不是什么新***,但支持它们的技术变得越来越好,也工具变得越来越先进--这个趋势会继续下去。比如说,一个名为Anonymous的组织实施的维基解密***采用了一种名为低轨道离子加农炮(LOIC)的程序。该程序让任何抗议者只要输入IP地址,都能加入针对目标网络或系统的***大军。
互联网安全公司Renesys的副总裁兼总经理Earl Zmijewski表示,三个因素导致了分布式拒绝服务***屡屡得逞。首先,受到***的系统拥有比以往任何时候都要多的带宽,所以***者只要危及比较少的系统,就能对目标造成相当大的影响。其次,许多用户继续在运行旧软件,因而***者更容易接管他们的计算机,让它们成为僵尸网络的一员。第三,目前还是没有轻松的办法来对付拒绝服务***。虽然内容分发网络能起到帮助,但最有效的防御还是使用一个专门的网络,在恶意流量进入到目标服务器之前先将它们过滤掉。
由于这三个因素,僵尸网络经营者拥有了巨大威力。迈克菲的Contos表示,比如说,Conficker危及了640万个系统,为它提供了每秒28 TB(注:1TB=1012字节)的聚合带宽。他说:"这超过了亚马逊和谷歌的带宽总和--这实在太大了。"
安全威胁正将自己安插到用户与互联网之间。这种"浏览器中间人"(man-in-the-browser)***--针对银行的Zeus特洛伊***广泛使用这种***--让***者可以控制用户能看到的一切。如果用户依赖被Zeus感染的计算机,他会误以为自己将100美元的电费划到电力公司账户,实际上7000美元被划到了另一个地方属于网络犯罪团队某个成员的账户。用户确认交易后,他看到的只是付款100美元,而实际上银行接到的是转账7000美元的请求。
银行安全公司Trusteer的首席技术官Amit Klein说:"你从来不知道自己受骗上当,等到上银行分行查账后才恍然大悟。这种伎俩最先由其他恶意软件采用;但是拜Zeus所赐,这种伎俩现在变得极其普遍。"
Zeus及其他威胁在避开旨在消除银行诈骗的保护措施,比如双因子验证。由于***是实时进行的,而且从受害者的计算机上发动,所以常规保护措施不管用。
更好的防御
许多公司想当然地以为,仅仅遵守法律要求的安全控制措施就够了。但是单单遵守还不行。SecureWorks的Ramsey表示,先进的威胁会避开众所周知的安全要求。要是每个人都使用同样的技术和控制措施,"那么犯罪分子就会改动***手法,破坏那些类型的防御机制,"他说。
美国联邦存款保险公司要求银行应使用双因子验证和加密技术,正是这一要求促使犯罪分子开发出了Zeus,以避开那些保护措施。恶意广告是表明***者在避开防御机制的另一个例子,这种网上广告把点击广告的用户引到恶意网站。这些***避开防火墙的手段是,通过互联网进入。据SecureWorks声称,许多公司发现互联网是第一大***途径。
Trusteer的Klein表示,像反病毒软件这些常规防御机制对付先进的***效果并不好。Stuxnet在传播了一年多后才被发现;Zeus经常避开基于特征的防御机制。
赛门铁克的Turner表示,公司需要全面的防御,而不是仅仅需要技术。他说:"我们必须开始讨论我们该如何在网上共享信息、如何使用安全系统。政策及实施与技术本身来得一样重要。"
保护网络边界是关键,但由于像iPad和iPhone这些消费级移动设备进入到公司企业,连保护边界这项工作都变得更为复杂。Turner表示,随着个人设备与企业之间的界线日益模糊,"我们已增加了我们的机密数据或企业数据拥有的接触点的数量。"
公司不但要找出潜在威胁,还要找出最宝贵的资产。SecureWorks的Ramsey表示,公司需要了解威胁、这些威胁要***的目标,以及威胁如何***目标。
公司还必须确定有多少用户和系统可以访问重要信息、哪些对象值得保护。Turner表示,它们必须实施一套数据分类系统,确定最宝贵的知识产权,然后将安全经费和人员重点投入到这部分数据上。与试图一视同仁地保护所有数据相比,企业成功保护一小部分数据的可能性要大得多。
IT经理也不能再忽视网络上计算机和路由器之外的其他部件。安全研究人员已证明,越来越像小型服务器的打印机可以作为进入企业网络的跳板,而Stuxnet正是通过嵌入式控制器一路传播的。
Turner说:"我们不得不开始考虑技术的不同部分。阀门归工程师管理,而网络归IT人员管理,"我们必须让它们可以说相同的语言。
公司还必须关注更好的检测和响应机制。Ramsey表示,网络异常检测和情报服务可以识别在企业网络已成功找到立足点的***。但检测并不能有效地防御这些***。他说:"阻止***所需的成本低于清理***所需的成本;***潜伏时间越长,重新控制自己的IT系统所需的成本就越高。"
如果关注一下将来司空见惯的先进***,防范工作显得尤为重要。正如Stuxnet告诉我们的那样,这类程序持续时间越长,造成的破坏就越大。最终,防御人员必须完善防御机制,以便时时比坏人抢先一步。
严加防范,应对将至的威胁
不要单单遵守。法律要求的安全控制措施很少足够安全。
扩大关注范围。技术不是安全工作的全部;还要关注政策及实施。
保护移动用户。所有那些新设备都让你的数据面临风险。
分析你的数据。确定自己的最宝贵信息,然后重点保护这部分信息。
仔细观察一切。数字系统和物理系统的所有部分现在都面临风险。
2011年会是Mac***盛行的一年?
今年,网络犯罪分子可能会将注意力转向Mac,这是他们之前基本上没去碰的一种平台。Steve Santorelli以前是伦敦警察厅的一名侦探,现在是安全研究组织Team Cymru Research负责全球对外联系的主管,他表示,俄罗斯***杂志《Xakep》里面的几篇文章着重介绍了如何***Mac OS X操作系统,表示东欧的***们可能已经在开发***技术。
由于很少面临威胁,大多数Mac用户并没有运行反恶意软件程序。Santorelli说:"要是有人在明年推出了浏览器漏洞包,我们会看到许多人会被感染。所以,你最后会遇到针对OS X的Zeus。"
苹果公司严格控制Mac、比较简单的代码以及比较出色的安全模型,这让OS X比Windows来得安全。据Santorelli声称,但OS X并不是从根本上比Windows 7更安全的一款操作系统。针对OS X的恶意软件之所以数量比较少,原因在于面向OS X的应用程序数量少得多。
2008年,计算机科学家Adam O'Donnell利用博弈论推算出:一旦Mac机占到计算机安装总量的大约17%,恶意软件对OS X来说就会开始成问题。据NetMarketshare.com网站声称,如今,Mac机约占美国计算机安装总量的11.5%,约占全球安装总量的5%。
有迹象表明地下犯罪分子对Mac产生了兴趣,这表明苹果用户要小心了。去年10月,Koobface病毒的一个版本***了OS X用户,该病毒在Facebook用户中广泛传播。***者利用了Mac机上Java软件存在的漏洞,将Mac机变成了僵尸网络的指挥和控制服务器。
转载于:https://blog.51cto.com/gamersky/488603
相关文章:
国内少儿眼中的编程:“Coding即是代码”?
作者 | Greg Satell译者 | 刘旭坤责编 | Jane出品 | AI科技大本营(公众号id:rgznai100)【编者按】上一个时代流行从小学奥数,现在“编程要从宝宝抓起”已经开始疯狂流行。随着 2017 年国务院印发《新一代人工智能发展规划》&#…
西门子发布最新版NX软件 助力零件制造的数字化
SiemensPLMSoftware近日发布最新版NXTM软件,集成了用于增材制造、计算机数控(CNC)加工、机器人和质量检测等新一代工具,以实现在统一的、集成的、端到端的系统中实现零件制造的数字化。 其中,用于计算机辅助制造(CAM)的先进自动化功能&#x…
【Qt】Qt国际化
参考博客:https://blog.csdn.net/hebbely/article/details/69388763 Qt官网:http://doc.qt.io/qt-5/linguist-manager.html 使用的工具 lupdate --> linguist --> lrelease 使用步骤 tr 在程序中将需要翻译的文本使用tr()函数来处理 修改pro…
回到未来 – 大胆畅想如何追赶并超越腾讯模式
其实,明天是什么样子,它就会是什么样子。 我总是喜欢幻想,无论是对过去还是对未来,对生活或是对爱情。 不过憧憬多过幻想。 一直比较关注互联网的动态,想象如果某某公司的某件产品如果是自己的&…
Python如何爬取实时变化的WebSocket数据
作者 | 韦世东来源 | 进击的Coder(公众号id:FightingCode)一、前言作为一名爬虫工程师,在工作中常常会遇到爬取实时数据的需求,比如体育赛事实时数据、股市实时数据或币圈实时变化的数据。如下图:Web 领域中…
【Qt】Qt样式表总结(四):CSS盒子模型
官网:http://doc.qt.io/qt-5/stylesheet-customizing.html#box-model 【Qt】Qt样式表总结(一):选择器 【Qt】Qt样式表总结(二):冲突和命名空间 【Qt】Qt样式表总结(三):QObject 属性 盒子模型 先来张图片,引自Qt官网 使用样式表时, 每个小部件都被视为具有四个同…
1.试述大数据对思维方式的重要影响。 2.详细阐述大数据、云计算、物联网之间的区别与联系。 3.简述你对大数据应用与发展的看法,以及你在这次大数据浪潮中想扮演什么角色。...
1.大数称巨量资料,指的是需要新处理模式才能具有更强的决策力、洞察力和流程优化能力的海量、高增长率和多样化的信息资产。所以利用大数据的人们思维更加的敏锐,也会对人们的思维方式产生扩大化,通过大量的数据进行分析,从而形成…
有关GetPrivateProfileString的使用方法
函数返回值为string的长度(long型),而从ini文件获得的字符串则保留在目的缓冲器中 DWORD GetPrivateProfileString( LPCTSTR lpAppName, //配置文件的section名 LPCTSTR lpKeyName, //配置文件的key名 LPCTSTR lpDefault, LPTSTR lpReturnedString, DWORD nSize, LPC…
【Qt】QDebug和log4cplus的联合使用
问题描述 项目开始时,只使用QDebug将调试信息打印到终端上。后期添加了日志管理系统,比如log4cplus。如何在不修改打印语句,比如还使用qDebug,就能将日志打印到文件中。 解决方法 使用qInstallMessageHandler将调试消息重定向功…
75道常见AI面试题,看看你的知识盲点在哪?(附解析)
整理 | AI科技大本营出品 | AI科技大本营(公众号id:rgznai100)【导语】正值求职、跳槽季,无论你是换工作还是找实习,没有真本事都是万万不行的,可是如何高效率复习呢?之前我们给大家推荐了一份 …
Flex画流程图
<?xml version"1.0" encoding"utf-8"?><mx:Application xmlns:mx"http://www.adobe.com/2006/mxml" layout"absolute" creationComplete"initApp()"> <mx:Canvas id"paper" x"30" y&q…
【Qt】Qt信号与槽使用不当,使程序崩溃
问题描述 跨线程使用Qt信号和槽,信号发送时间间隔小于槽函数处理时间时,造成程序崩溃。 原因分析 跨线程使用Qt信号和槽时,connect默认是QueuedConnection,队列连接方式。 信号传递给槽函数的参数,分配内存后放入队…
70亿美金!英伟达欲竞购这家以色列芯片公司!
整理 | 琥珀出品 | AI科技大本营(公众号id:rgznai100)近日,据国外财经媒体 Calcalist 报道,英伟达已给出报价,竞购以色列芯片设计公司迈络思(MellanoxTechnologies)。实际上…
Mysql安全配置
zhangsan 2014/06/14 11:550x01 前言很多文章中会说,数据库的权限按最小权限为原则,这句话本身没有错,但是却是一句空话。因为最小权限,这个东西太抽象,很多时候你并弄不清楚具体他需要哪些权限。 现在很多mysql用着r…
【C++】Google C++编码规范(一):作用域
1、文件作用域: 在.cpp文件中,C使用匿名名字空间来表示文件作用域,C使用static来表示; 2、局部变量 局部变量在声明的同时,进行显示初始化;比起隐式初始化再赋值要高效; 局部变量的作用域要尽…
华为 | 人生苦短,码短情长,有场大Party等你来Pick!
上学时,书上说C语言是上帝的语言。我同屋的兄弟不服,他说PHP才是最好的语言。毕业之后,我们Team的老大却坚信:Life is short,只用Python……现在,作为一个真正的开发者,我发现用什么语言一点点都…
设置进程优先级
//取得本进程id HANDLE hProcess GetCurrentProcess(); //设置本进程的优先级 int stat SetPriorityClass(hProcess, NORMAL_PRIORITY_CLASS);
Deep Reading | 从0到1再读注意力机制,此文必收藏!
译者 | forencegan编辑 | 琥珀出品 | AI科技大本营(ID: rgznai100)【AI科技大本营导语】注意力机制(Attention)已经成为深度学习必学内容之一,无论是计算机视觉还是自然语言处理都可以看到各种各样注意力机制的方法。之…
【C++】Google C++编码规范(二):类
1、构造函数 不要在构造函数中进行复杂的初始化 (尤其是那些有可能失败或者需要调用虚函数的初始化). 构造函数不得调用虚函数, 或尝试报告一个非致命错误. 如果对象需要进行有意义的 初始化, 考虑使用明确的 Init() 方法或使用工厂模式. 2、初始化 第一种方法:构…
Flask与Django对比
Flask与Django对比 Django vs FlaskFlask框架之间的差别 Django功能大而全,Flask只包含基本的配置 Django的一站式解决的思路,能让开发者不用在开发之前就在选择应用的基础设施上花费大量时间。Django有模板,表单,路由,…
windows下apache配置虚拟主机的两个方法
windows下apache配置虚拟主机方法一: 对httpd.conf进行设置:1.注释以下三行#ServerAdmin#ServerName#DocumentRoot2.去掉mod_proxy.so和mod_proxy_ajp.so的注释3.#Virtual hosts#Include conf/extra/httpd-vhosts.conf ࿰…
大疆、港科大联手!双目3D目标检测实验效果大放送 | CVPR 2019
作者 | heryms责编 | JaneCVPR 2019的文章出来了,今天聊聊双目的 3D object detection。这是一篇来自 DJI (大疆)与港科大合作的文章《Stereo R-CNN based 3D Object Detection for Autonomous Driving》,作者分别是 Peiliang Li&…
【C++】Google C++编码规范(三):智能指针
【C】Google C编码规范(一):作用域 【C】Google C编码规范(二):类 std::unique_ptr std::unique_ptr是C11标准里新推出的智能指针,用来表示动态分配出的对象的「独一无二」所有权;…
Django restful-framework初步学习
urls.py from django.conf.urls import include, url from django.contrib import admin from rest_framework import routers # 导入api路由 from app01 import apirouter routers.DefaultRouter() # 获取api路由对象 router.register(rusers, api.UserViewSet) # 注册路由到…
植树节,程序员要爬哪些“树”?
作者 | 程序猿小吴、进击的Hello_World转载自五分钟学算法(ID: CXYxiaowu)公历 3 月 12 日是一年一度的植树节。旨在宣传保护森林,并动员群众参加植树造林活动。说到树,程序猿们肯定不陌生,趁着这个植树节,…
把JS 脚本嵌入CS运行
下面这段视频,是让您知道怎样把播放器的javascript放入C#类别中。在调用这个类别时,只传入相关的参数,即可运行。一时类别封装了,在前台xxx.aspx或xxx.aspx.cs看不到播放器的代码。 另一个就是在CS内怎样运行Javascript脚本。此工…
【C++】Google C++编码规范(四):其他C++
引用参数 所有按引用传递的参数必须加上const; 这在Google Code上是一个硬性约定:输入参数是值参或const的引用参数,输出参数为指针,输入参数可以是const指针,但决不能是非const的引用参数,除非用于交换,比…
使用Ceph集群作为Kubernetes的动态分配持久化存储
2019独角兽企业重金招聘Python工程师标准>>> 使用Docker快速部署Ceph集群 , 然后使用这个Ceph集群作为Kubernetes的动态分配持久化存储。 Kubernetes集群要使用Ceph集群需要在每个Kubernetes节点上安装ceph-common 1. 为kubernetes创建一个存储池 1 2 #…
Cosmos的基石:IL2CPU编译器--.net/C#开源操作系统学习系列三
本文的代码包以cosmos-12304.zip为例(从这个包开始,COSMOS的内核算是有了个基本的雏形,就像是一颗大树在出芽前会先长出庞大的根系,现在就要破土长出第一颗芽了) IL2CPU之于COSMOS就相当与GCC之于LINUX,查看…
【面试 多线程】【第九篇】多线程的问题
1.多线程有什么用 发挥多核CPU优势,防止阻塞,更快的处理数据 2.多线程的实现方式有哪几种,分别的特点优势是什么样的 1》继承Thread类,重写run方法,start启动多线程 2》实现Runnable接口,重写run方法&…