论文部分内容阅读
惊堂木“啪”的一声响起,话说上回大牛为了了解自己的情敌,通过各种关系以及兄弟们的帮助,最终取得了情敌在论坛中使用的账号密码。于是从那天开始,大牛每天都用一些时间,泡在论坛中查看情敌的最新发帖和站内短消息。总之一句话,为了赢得美女的芳心,大牛已经到了“无所不用其极”的地步。
情敌报复,险中木马
话说这天下午,我正在寝室里玩《魔兽争霸》,只听见大牛一声大叫:“这小子!也太不地道了,居然给我传了一个病毒。看我不把这小子……”原来,大牛电脑上的《金山毒霸2008》刚刚提示他访问的网页含有病毒,所以他不禁破口大骂(如图1)。这时老大浑厚的声音传来:“大牛,这是寝室,要注意素质啊!”我感到奇怪,便问:“那小子怎么知道是你啊?”
老大继续说:“还原成功以后,就可以对Flash病毒文件进行反编译,从中找出那些木马病毒的下载地址了。要注意,有的Flash文件中并非含有恶意代码,它是通过脚本函数loadMovie()来载入另一个含有恶意代码的Flash文件,从而实现挂马的……”听了这些,大牛感叹道:“看来今天的破解和前几次的不一样,得先从加密的文件代码中找到幕后黑手。”
这时只见老大从网上搜索并下载了一款名为Imperator FLA的Flash反编译软件。运行它后,先点击“选择SWF文件”按钮导入Flash病毒文件,接着点击“保存FLA文件”按钮来保存反编译后的文件(如图3,按钮上的LFA字样可能是汉化者的笔误),此时程序会自动进行Flash病毒文件的反编译操作。
看了老大这一连串的操作以后,大牛悄悄地向我低声问道:“老三,这个木马病毒怎么是一个CSS文件啊?按理说应该是EXE可执行文件才对嘛!是不是老大搞错了?”我也低声回答大牛:“没错的,你没有注意到这段地址上面有个exe文件标志吗?虽然要下载的是CSS文件,但是在下载过程中就另存为EXE文件了。”听了我的解释以后,大牛大声地向老大感叹道:“老大,我们终于破解了这个Flash病毒的‘密码’,看来这小子为了用木马来害我,也真是煞费苦心啊!”
暗藏玄机,柳暗花明
老大回道:“还没完!我得用下载软件把这个文件下载到系统里面,再分析分析。”很快文件就下载完成了,老大起身,让我帮他进行分析。我坐下后,在网上搜索并下载了《超级巡警虚拟机自动脱壳机》。使用这个软件,我就可以查看这个木马病毒文件是否进行了加壳,如果有加壳就直接用它脱壳。利用鼠标拖曳木马病毒文件在其窗口上释放,结果程序检查结果为“无法识别或识别错误”。看到软件这样的提示,大牛在一旁变得比较低落。
我心想这家伙果然厉害,这文件到底是用什么东西进行伪装的呢?突然,我无意间看到桌面上的WinRAR图标,一下子就反应了过来——现在很多人喜欢用WinRAR进行病毒文件的捆绑加密。于是,我立即在这个文件上点击鼠标右键,但并没有出现预想中的WinRAR解压菜单项。这时老大的一句话提醒了我:“听说加壳程序可以进行变异,你说这是不是因为进行了变异,所以怎么也检查不出来啊?”
我知道,如果黑客想变异一个带病毒的RAR自解压文件,就必须修改文件中的某些字符串。于是我马上运行编辑工具C32Asm,点击其菜单“文件→打开十六进制文件”,导入这个木马病毒文件。接着,我点击“搜索→搜索”命令,在弹出窗口中的“类型”里选择“十六进制”,在“搜索”选项中输入“807A0160”。果然,很快就搜索到这串代码,由此可以证明这的确是一个经过变异的RAR自解压文件。于是我在搜索结果中将60还原成61。按照同样的方法,再搜索十六进制值的“526072211A07”,把其中的60也还原成61。修改完成后,解压成功!我发现里面有一个BAT批处理文件和一个EXE可执行文件。
用“记事本”打开这个批处理文件,发现上面写的是被大家称为史上最牛的批处理代码!此代码可以通过结束杀毒软件的启动服务或进程,来达到保护木马,让其成功入侵的目的。毋庸置疑,另一个可执行文件就是真正的木马病毒。这到底是什么木马病毒呢?我又运行了一款资源修改软件Restorator,点击工具栏中的“打开文件”按钮导入了木马病毒文件。很快我就在其资源树的“RC数据”中发现了一个“HACKER”项,这就说明它是大名鼎鼎的“灰鸽子”木马病毒(如上图6)。而在右侧窗口中,还可以看到一串字符信息。这是经过加密的木马服务端配置信息,即大牛那情敌的电脑IP地址、连接端口和代理服务等信息。
继续追击,疯狂报复
“想报复吗?”我问大牛。“当然,能不吗?”大牛反问道。首先,我将前面的加密信息复制出来,用“记事本”整理成每行32个字符,再将前两行字符复制(这64个字符中包含了加密的对方IP地址信息)。然后,在电脑中安装一个“灰鸽子”客户端,用C32Asm打开它,并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接着,用复制的那两行字符去替换搜索到的字符串,并保存。最后,运行客户端,查看标题栏,就可以看到解密后的IP地址信息了。有了大牛情敌的IP地址,我就可以展开IP地址攻击了!只见我运行电子炸弹程序,一阵狂轰滥炸……
欲知后事如何,且听下回——《受提示暗放木马,美女电脑随便耍》。
情敌报复,险中木马
话说这天下午,我正在寝室里玩《魔兽争霸》,只听见大牛一声大叫:“这小子!也太不地道了,居然给我传了一个病毒。看我不把这小子……”原来,大牛电脑上的《金山毒霸2008》刚刚提示他访问的网页含有病毒,所以他不禁破口大骂(如图1)。这时老大浑厚的声音传来:“大牛,这是寝室,要注意素质啊!”我感到奇怪,便问:“那小子怎么知道是你啊?”
老大继续说:“还原成功以后,就可以对Flash病毒文件进行反编译,从中找出那些木马病毒的下载地址了。要注意,有的Flash文件中并非含有恶意代码,它是通过脚本函数loadMovie()来载入另一个含有恶意代码的Flash文件,从而实现挂马的……”听了这些,大牛感叹道:“看来今天的破解和前几次的不一样,得先从加密的文件代码中找到幕后黑手。”
这时只见老大从网上搜索并下载了一款名为Imperator FLA的Flash反编译软件。运行它后,先点击“选择SWF文件”按钮导入Flash病毒文件,接着点击“保存FLA文件”按钮来保存反编译后的文件(如图3,按钮上的LFA字样可能是汉化者的笔误),此时程序会自动进行Flash病毒文件的反编译操作。
看了老大这一连串的操作以后,大牛悄悄地向我低声问道:“老三,这个木马病毒怎么是一个CSS文件啊?按理说应该是EXE可执行文件才对嘛!是不是老大搞错了?”我也低声回答大牛:“没错的,你没有注意到这段地址上面有个exe文件标志吗?虽然要下载的是CSS文件,但是在下载过程中就另存为EXE文件了。”听了我的解释以后,大牛大声地向老大感叹道:“老大,我们终于破解了这个Flash病毒的‘密码’,看来这小子为了用木马来害我,也真是煞费苦心啊!”
暗藏玄机,柳暗花明
老大回道:“还没完!我得用下载软件把这个文件下载到系统里面,再分析分析。”很快文件就下载完成了,老大起身,让我帮他进行分析。我坐下后,在网上搜索并下载了《超级巡警虚拟机自动脱壳机》。使用这个软件,我就可以查看这个木马病毒文件是否进行了加壳,如果有加壳就直接用它脱壳。利用鼠标拖曳木马病毒文件在其窗口上释放,结果程序检查结果为“无法识别或识别错误”。看到软件这样的提示,大牛在一旁变得比较低落。
我心想这家伙果然厉害,这文件到底是用什么东西进行伪装的呢?突然,我无意间看到桌面上的WinRAR图标,一下子就反应了过来——现在很多人喜欢用WinRAR进行病毒文件的捆绑加密。于是,我立即在这个文件上点击鼠标右键,但并没有出现预想中的WinRAR解压菜单项。这时老大的一句话提醒了我:“听说加壳程序可以进行变异,你说这是不是因为进行了变异,所以怎么也检查不出来啊?”
我知道,如果黑客想变异一个带病毒的RAR自解压文件,就必须修改文件中的某些字符串。于是我马上运行编辑工具C32Asm,点击其菜单“文件→打开十六进制文件”,导入这个木马病毒文件。接着,我点击“搜索→搜索”命令,在弹出窗口中的“类型”里选择“十六进制”,在“搜索”选项中输入“807A0160”。果然,很快就搜索到这串代码,由此可以证明这的确是一个经过变异的RAR自解压文件。于是我在搜索结果中将60还原成61。按照同样的方法,再搜索十六进制值的“526072211A07”,把其中的60也还原成61。修改完成后,解压成功!我发现里面有一个BAT批处理文件和一个EXE可执行文件。
用“记事本”打开这个批处理文件,发现上面写的是被大家称为史上最牛的批处理代码!此代码可以通过结束杀毒软件的启动服务或进程,来达到保护木马,让其成功入侵的目的。毋庸置疑,另一个可执行文件就是真正的木马病毒。这到底是什么木马病毒呢?我又运行了一款资源修改软件Restorator,点击工具栏中的“打开文件”按钮导入了木马病毒文件。很快我就在其资源树的“RC数据”中发现了一个“HACKER”项,这就说明它是大名鼎鼎的“灰鸽子”木马病毒(如上图6)。而在右侧窗口中,还可以看到一串字符信息。这是经过加密的木马服务端配置信息,即大牛那情敌的电脑IP地址、连接端口和代理服务等信息。
继续追击,疯狂报复
“想报复吗?”我问大牛。“当然,能不吗?”大牛反问道。首先,我将前面的加密信息复制出来,用“记事本”整理成每行32个字符,再将前两行字符复制(这64个字符中包含了加密的对方IP地址信息)。然后,在电脑中安装一个“灰鸽子”客户端,用C32Asm打开它,并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接着,用复制的那两行字符去替换搜索到的字符串,并保存。最后,运行客户端,查看标题栏,就可以看到解密后的IP地址信息了。有了大牛情敌的IP地址,我就可以展开IP地址攻击了!只见我运行电子炸弹程序,一阵狂轰滥炸……
欲知后事如何,且听下回——《受提示暗放木马,美女电脑随便耍》。