木馬害人計中計借刀殺人

這天午后劉鼎從茶館經過，看見茶博士懶洋洋地坐在門口曬太陽，便上前問道：“你呆在這兒干什么。不用做生意了啊?”茶博士悠閑地答道：“馬上就要過五·一節了，今年不是沒長假了嘛。所以很多人都提前出門旅游去了。就算沒出門旅游的，這幾天也都跑到郊區的農家樂玩去了……”

初識借刀殺人

劉鼎和茶博士邊聊邊一同進入了茶館。找了張桌子坐下并打開隨身的筆記本電腦后，劉鼎笑嘻嘻地對茶博士說：“哥們兒，前段時間在家是不是經?？雌G照啊?我可是控制了你的電腦的哦!”茶博士摸了摸頭，驚奇道：“額滴神啊!不會吧?我的殺毒軟件可是有主動防御功能的，怎么會一點反應都沒有呢?”

劉鼎大笑：“因為我用了借刀殺人之計，哈哈!”茶博士疑惑地問道：“什么借刀殺人啊?”劉鼎：“借刀殺人之計原文為：敵已明，友未定，引友殺敵，不自出力，以《損》推演。這就是說，敵方已經明確，而盟友的態度還未明朗，要誘使盟友去消滅敵人，不必自己付出代價。這是根據易經中的《損》卦推演出來的。而我就是借微軟的‘刀’，干掉了你系統中的殺毒軟件?！?/p>

劉鼎說計

茶博士聽了后，還是非常不解：“微軟的‘刀’?快說詳細一些。”劉鼎一看他這樣急，擺譜地說：“你知道‘AV終結者’這個病毒嗎?它最大的特色就是利用了映像劫持技術，來禁止各種殺毒軟件的運行。而這項技術可是Windows系統自帶的哦，你說這算不算是微軟的‘刀’呢?”

聽了這番話以后，茶博士好像有些明白了，于是趕緊招呼茶館跑堂的上茶，并且接著就問劉鼎映像劫持是個什么東東。劉鼎喝了一口茶，說：“映像劫持也被稱為IFEO。在Windows NT內核的系統中，映像劫持的本意是為一些在默認系統環境中運行時可能引發錯誤的程序提供特殊的環境設定。微軟之所以這么做，是因為在Windows NT時代，系統使用的是一種早期的堆棧管理機制，使得一些程序的運行機制與現在的不同。后來隨著系統的更新換代，為了兼顧這些出問題的程序，微軟就專門設計了映像劫持技術。它的原意本不是‘劫持’，而是‘映像文件執行參數’?！?/p>

茶博士繼續問道：“那么如何使一個可執行程序被映像劫持控制呢?”劉鼎說道：“這個你放心，很簡單的。微軟在windows NT架構的系統中為用戶預留了一個交互接口，它位于注冊表的[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File ExecutionOptions]中，使用與可執行程序文件名匹配的項目作為程序載入時的控制依據。映像劫持采用忽略路徑的方式來匹配它所要控制的程序文件名，例如指定對一個名為PCD.EXE的可執行程序文件進行控制，那么無論它在哪個目錄下，只要其名字還叫PCD.EXE，那么它就始終能夠被控制?！?/p>

實戰操作

兩人正聊到興頭上，公孫牧不知道從哪兒冒了出來，說道：“劉鼎不錯啊，現在都可以當老師啦!”劉鼎一聽，頓時面紅耳赤，謙虛地回道：“這還不是先生教得好，接下來就由先生講吧?小二，給先生上茶!”公孫牧坐下后，說：“哈哈，恭敬不如從命!首先。我們來配置一個木馬的服務端，這里還是以常見的‘灰鴿子’木馬為例。在用其配置程序生成服務端文件時，‘安裝路徑’中要輸入‘$(WinDir)\\pod.exe’，這里的服務端文件名pcd.exe可以自定義。因為我們是利用映像劫持來進行啟動，所以還得將其‘啟動項設置’中的兩個選項取消勾選，然后再勾選‘高級選項’中的兩個選項?！?/p>

由于“灰鴿子”木馬的服務端配置比較簡單，因而劉鼎和茶博士都沒有插話，而公孫牧在喝了一口茶后，繼續說道：“現在運行《Windows映像劫持利用程序》，按照提示輸入選項1，然后就可以根據向導進行設置了。首先輸入需要劫持的文件名，這里我們輸入《卡巴斯基》的主程序文件名avp.exe。接著輸入木馬服務端文件的絕對路徑，如C：\\windows\\pcd.exe。這樣當《卡巴斯基》啟動時，就會因映像劫持而無法正常運行，而木馬的服務端pcd.exe就乘機得以運行。這也是前面為什么要取消‘啟動項設置’的原因。”

這時，茶博士插話了，“我怎么知道殺毒軟件的主程序文件名啊?”公孫牧回道：“這個在《Windows映像劫持利用程序》中有提示，你只需要點擊其選項2就可以看到相關的列表?！?/p>

說完后，公孫牧又喝了口茶，接著講道：“由于剛才的操作是保存在注冊表中，因而現在打開注冊表編輯器，展開到[HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image FileExecution Options]，然后將avp.exe這項內容選中并導出為zcb.reg注冊表文件。”

未等公孫牧操作完畢，茶博士就問：“這樣就完了啊?”公孫牧說：“沒有!接著用WinRAR壓縮軟件將木馬服務端文件pcd.exe和剛才導出的注冊表文件zcb.reg一起壓縮成一個RAR文件。用WinRAR打開剛剛生成的這個RAR文件，點擊其工具欄上的‘自解壓格式’圖標，在彈出的對話框中依次點擊‘高級自解壓選項’一‘常規’標簽，在‘解壓路徑’中填入系統目錄的地址％windir％。然后，在‘解壓縮之后運行’中輸入命令；regedit.exe/s/i zcb.reg(這是為了在RAR文件自解壓后自動向用戶的系統中寫入zcb.reg注冊表文件)?，F在點擊‘模式’標簽，選中‘全部隱藏’和‘覆蓋所有文件’這兩個選項?！?/p>

此時，劉鼎替公孫牧補充道：“這些操作完成以后，就可以使用網頁木馬或郵件附件等方式，將這個自解壓的RAR病毒文件散布出去了。不明真相的人一旦運行這個自解壓文件，zcb.reg就會寫入他系統的注冊表之中。當其系統重新啟動以后，映像劫持就會先把他的《卡巴斯基》給屏蔽掉，然后再運行‘灰鴿子’木馬服務端pod.exe。只要這木馬一運行，這臺電腦就算被控制住了?！敝链?，茶博士恍然大悟：“哦，原來是這樣!好哇，劉鼎你就是這樣用木馬來控制我的電腦，發現我在看艷照的啊……”

順利出師

天色不早了。最后，公孫牧對劉鼎說道：“劉鼎，經過這幾個月的學習，你在網絡安全方面已經大有進步了，過幾天我就要到外地去上班，以后你自己一定要繼續努力啊!”聽了恩師的教誨，劉鼎不住地點頭。只見他問道：“先生，那我們何時才能再見面啊?”公孫牧想了想，風趣地回答道：“我想大約會是在冬季吧!哈哈……”

(連載完)