有推车，甚至有汽车，为什么还要手递手人传人地运物资呢？

这一方面固然是“自残自虐->尽心尽力->效果较佳”的传统思路，另一方面也不得不承认，人传人的视觉效果确实好，拍出视频来就比拿车运强的多。玩摄影的老头们到村里也愿意拍牛耕田，不愿意拍拖拉机。

人列计算机，大型团体操，物资人传人。

#BlackHat2016# 展会上比较另类的是微软。他们每年都在最核心位置包下一大块地，却只用来给大家休息聊天。因为他们不是来卖货的，纯为搞社区关系。所以微软展台没有任何公司的内容，整个展台背景是一大块2016年度微软安全贡献榜。我们实验室有 4 人上榜，另外实验室本身也作为一个整体名列其上。

文件名为空的文件可被 LoadLibrary 加载这个问题的危害我 2012 年就报告微软了。当时我举了 Office 里的一个例子。2014 年微软头痛医头地在 Office 里把相关地方补了（CVE-2014-1756）。但 LoadLibrary 可以加载文件名为空的文件这个问题他们不认为是漏洞，没补。我 2015 年公开这个技术后，有人又报给了微软。这次微软就认了（CVE-2015-1758）。

2017 年我想出利用 IE 处理本地文件时的竞争条件来执行任意程序的办法，在 Pwn2Own 上还用了，现场让他们看了效果。当时微软认为这是一个功能设计，不需要修复。上个月 Lokihardt 把这个问题报给微软，结果他们修复了，就是 CVE-2018-8469。

鲍尔默欠我一个 CVE，纳德拉又欠我一个 CVE。娘希匹。