Ｇｈｏｓｔ淪為木馬窩黑客用它捉“肉雞”

放假啦！放假啦！憋了這么久，現在終于可以趁暑假在家里好好玩一下黑客技術了。當我打開自己電腦中的“黑洞”木馬客戶端時，發現以前萬“雞”奔騰的場面已經不復存在。唉！都怪前段時間忙于高考，沒有對自己的“肉雞”進行跟蹤，以至于大量的“肉雞”都丟失了。正好現在有時間，我可以進行新一輪的抓雞操作了。那通過什么方法來捉“肉雞”呢？無意間看到電腦桌面上有一個“豬豬貓”出品的GhostWinXP鏡像文件，靈感來了……

小知識更新

肉雞

這可不是指我們飯桌上吃的那種家禽喲！它是指那些被黑客攻破，被植入遠程控制木馬的電腦。如果這類電腦大量地被一個遠程控制終端所控制，就會形成僵尸網絡，也被稱為“肉雞軍團”。利用它，黑客就可以任意地對某個網站或論壇發起攻擊。與以前純粹的技術炫耀或惡作劇不同，現在“肉雞軍團”的攻擊多用于廣告點擊或流量刷新等灰色商業服務。

突發靈感捉“肉雞”

大家現在都喜歡用Ghost來安裝操作系統，因為安裝速度很快，一個WinXP只需要幾分鐘就能安裝完畢。而目前網上流行的Ghost鏡像文件也很多，如番茄花園、雨林木風、深度和豬豬貓等，可謂品種豐富。于是我就設想，利用小編輯工具對這些Ghost鏡像文件進行修改，比如在其中藏匿木馬，然后再發布到網上，這樣凡是下載并用它來安裝操作系統的電腦都將成為我手中的一只“肉雞”。哈哈，如果這一招可行，互聯網上將掀起一陣血雨腥風！

著手驗證可行性

首先，找一把用于編輯Ghost鏡像文件的“屠龍刀”。雖然很多軟件都可以對Ghost鏡像文件進行編輯，但我最終還是選擇了其官方推出的GhostExplorer（下載地址：http://www.crsky.com/soft/2790.html），因為我想沒有誰能比官方更加了解Ghost的文件結構。

運行Ghost Explorer后，點擊工具欄中的“打開”按鈕導入需要編輯的Ghost鏡像文件，而我導入的自然就是那個“豬豬貓”的Ghost WinXP鏡像文件。在類似于資源管理器的窗口中，可以清楚地看到Ghost鏡像文件中的內容。在Ghost Explorer窗口中點擊鼠標右鍵，在彈出菜單里可以看到“提取”、“加載”、“剪切”和“增加”等命令（如圖1）。如果說前面的設想只是理論上的，那么現在已經證明我的想法具有可行性。

木馬巧妙入鏡像

現在是萬事俱備，只欠“木馬”。其實木馬程序我早就準備好了，就是我以前常用的“黑洞”木馬（如圖2），它可以突破大多數殺毒軟件的主動防御功能。

可是，新的問題又出現了！Gh o s tExplorer只能對文件進行修改，并不能對系統注冊表進行修改。要知道，注冊表對絕大多數的木馬程序來說非常重要。因為注冊表的啟動項中有大量的軟件啟動項，而木馬可以利用它們搭“順風車”，在電腦啟動時悄悄地自動加載。

怎么辦呢？好在“條條大路通羅馬”，WinXP系統的開始菜單中，不是有一個啟動文件夾嗎？我今天就利用它。首先，在Ghost Explorer窗口中，展開Ghost鏡像文件里的啟動文件夾所在路徑，即“\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動”（注：“All Users”可換成默認的管理員賬戶）。然后，點擊右鍵菜單中的“添加”命令，在彈出窗口中導入我準備好的“黑洞”木馬程序文件，將之添加到Ghost鏡像文件里（如圖3）。這樣的它，是能夠隨系統啟動而自運行的喲！

現在這個“豬豬貓”的Ghost WinXP鏡像文件就“加工”完畢了，通過BT等方式我可以輕易地將它傳播出去。當不明真相的網友下載并用它安裝系統之后，一旦重啟，其啟動文件夾中的“黑洞”木馬就會自動運行，這樣它就成功地植入到這臺電腦里去了。你說這樣的電腦想不成為我的“肉雞”，行嗎？

再接再厲搞偽裝

看到這里，可能有讀者不以為然，覺得以后在安裝系統前檢查一下鏡像文件里的啟動文件夾，不就萬事大吉了嗎？別高興得太早，來看看我的“殺手锏”吧！

WinXP自帶了很多常用的小工具，比如記事本、注冊表和計算器等。現在我只需要將“黑洞”木馬和這些工具中的一個進行捆綁，然后用捆綁生成的EXE文件去替換鏡像文件中的原文件即可。

首先，運行一個捆綁器軟件（此類軟件很多，大家可以到網上搜索下載，功能和操作方式都大同小異）。因為我打算捆綁的是最常用的記事本文件，所以就點擊捆綁器軟件的“添加文件”按鈕分別導入了“黑洞”木馬的程序文件和記事本文件。然后，“指定釋放路徑”設置為“%windir%”，它代表系統中的Windows目錄。接著，選中窗口里的“刪除自己”選項，這樣捆綁文件運行后就會“自我銷毀”，不在系統中留下任何痕跡。最后，最牛的地方出現了！那就是我可以把記事本文件的版權信息“克隆”到捆綁文件中去。選擇記事本文件，打開右鍵菜單中的“屬性”命令，將其“詳細信息”標簽中的每一項都復制到捆綁器的“文件版本”中（如圖4）。點擊“捆綁合成”按鈕，即可惟妙惟肖地生成一個偽裝成記事本的EXE捆綁文件。現在按照前面介紹過的方法用Ghost Explorer打開Ghost鏡像文件，刪除其Windows目錄中的記事本文件，然后再把捆綁文件同名添加進去即可。這樣當用戶用此Ghost鏡像文件安裝系統后，只要一運行“記事本”，該捆綁文件就會立即分解為木馬和記事本兩個文件。然后，木馬就在后臺悄悄運行并植入用戶系統，而記事本就在前臺用戶的眼前正常地運行，整個過程不會引起用戶的任何懷疑……

認準官方來下載

看了以上的內容，你是不是對用Ghost鏡像文件來安裝操作系統的安全性心存疑慮了呢？這——就對了！因為這就是我寫本文的目的，即不是教你如何去害人，而是通過模擬演示，揭示網上流行的Ghost鏡像文件潛在的危害，幫助大家提高電腦安全意識。

現在我們都喜歡用Ghost鏡像文件來安裝操作系統，這是沒錯的！畢竟它給我們帶來了很多方便，節省了很多安裝時間。但是，當你在下載時，最好從它們各自的官方網站下載，并且下載完成后要檢查其文件的MD5值（如圖5），必須要和其官方公布的一致才行。其他地方下載的、文件MD5值對不上的，建議都不要安裝，因為它們很有可能是被黑客修改過的。