校園密碼暗戰(zhàn)，第四回 情敵報(bào)復(fù)設(shè)陷阱，兄弟幫忙齊化解

驚堂木“啪”的一聲響起，話說上回大牛為了了解自己的情敵，通過各種關(guān)系以及兄弟們的幫助，最終取得了情敵在論壇中使用的賬號密碼。于是從那天開始，大牛每天都用一些時間，泡在論壇中查看情敵的最新發(fā)帖和站內(nèi)短消息。總之一句話，為了贏得美女的芳心，大牛已經(jīng)到了“無所不用其極”的地步。

情敵報(bào)復(fù)，險(xiǎn)中木馬

話說這天下午，我正在寢室里玩《魔獸爭霸》，只聽見大牛一聲大叫：“這小子！也太不地道了，居然給我傳了一個病毒。看我不把這小子……”原來，大牛電腦上的《金山毒霸2008》剛剛提示他訪問的網(wǎng)頁含有病毒，所以他不禁破口大罵（如圖1）。這時老大渾厚的聲音傳來：“大牛，這是寢室，要注意素質(zhì)啊！”我感到奇怪，便問：“那小子怎么知道是你啊？”

大牛老老實(shí)實(shí)地交代：“最近我不是在跟蹤這小子嘛！發(fā)現(xiàn)他對我的女神心懷鬼胎，于是就發(fā)短消息警告他，結(jié)果今早他給我發(fā)來一個網(wǎng)頁鏈接，要我按照這個方法和他單挑。我當(dāng)然是二話不說就點(diǎn)擊了鏈接，結(jié)果誰知道打開的網(wǎng)頁上居然有病毒！”“你也太穩(wěn)不住了，這明明就是激將法啊！不過這小子的確不地道。”我也開始為大牛憤憤不平。

撥繭抽絲，找出黑手

這時老大走過來，開口說道：“大牛，不如我們順勢而為，看看那小子到底想干什么。正所謂‘舍不得孩子套不著狼，舍不得媳婦套不著流氓’嘛！我看他放的是個Flash病毒，這病毒會通過Flash漏洞來下載很多木馬病毒到你的電腦中。這種手法最近在網(wǎng)絡(luò)中非常流行！”只見老大坐下后，迅速打開《金山毒霸2008》，點(diǎn)擊“工具”菜單中的“病毒隔離系統(tǒng)”命令，然后在彈出窗口中查看剛剛隔離的Flash病毒（如圖2）。然后，點(diǎn)擊“操作”菜單中的“還原為”命令，這樣就可以將病毒還原到指定的位置。

老大繼續(xù)說：“還原成功以后，就可以對Flash病毒文件進(jìn)行反編譯，從中找出那些木馬病毒的下載地址了。要注意，有的Flash文件中并非含有惡意代碼，它是通過腳本函數(shù)loadMovie()來載入另一個含有惡意代碼的Flash文件，從而實(shí)現(xiàn)掛馬的……”聽了這些，大牛感嘆道：“看來今天的破解和前幾次的不一樣，得先從加密的文件代碼中找到幕后黑手。”

這時只見老大從網(wǎng)上搜索并下載了一款名為Imperator FLA的Flash反編譯軟件。運(yùn)行它后，先點(diǎn)擊“選擇SWF文件”按鈕導(dǎo)入Flash病毒文件，接著點(diǎn)擊“保存FLA文件”按鈕來保存反編譯后的文件（如圖3，按鈕上的LFA字樣可能是漢化者的筆誤），此時程序會自動進(jìn)行Flash病毒文件的反編譯操作。

老大又運(yùn)行了一款十六進(jìn)制工具C32Asm。點(diǎn)擊其菜單“文件→打開十六進(jìn)制文件”，導(dǎo)入反編譯后生成的FLA文件。接著點(diǎn)擊“搜索→搜索”命令，在窗口中的“類型”里選擇“ANSI字符串”，在“搜索”選項(xiàng)中輸入“http”（如圖4）。點(diǎn)擊“下一個”按鈕，我們很快就看到一個網(wǎng)絡(luò)鏈接地址，這就是Flash病毒將要下載的木馬病毒文件（如圖5）。

看了老大這一連串的操作以后，大牛悄悄地向我低聲問道：“老三，這個木馬病毒怎么是一個CSS文件啊？按理說應(yīng)該是EXE可執(zhí)行文件才對嘛！是不是老大搞錯了？”我也低聲回答大牛：“沒錯的，你沒有注意到這段地址上面有個exe文件標(biāo)志嗎？雖然要下載的是CSS文件，但是在下載過程中就另存為EXE文件了。”聽了我的解釋以后，大牛大聲地向老大感嘆道：“老大，我們終于破解了這個Flash病毒的‘密碼’，看來這小子為了用木馬來害我，也真是煞費(fèi)苦心啊！”

暗藏玄機(jī)，柳暗花明

老大回道：“還沒完！我得用下載軟件把這個文件下載到系統(tǒng)里面，再分析分析。”很快文件就下載完成了，老大起身，讓我?guī)退M(jìn)行分析。我坐下后，在網(wǎng)上搜索并下載了《超級巡警虛擬機(jī)自動脫殼機(jī)》。使用這個軟件，我就可以查看這個木馬病毒文件是否進(jìn)行了加殼，如果有加殼就直接用它脫殼。利用鼠標(biāo)拖曳木馬病毒文件在其窗口上釋放，結(jié)果程序檢查結(jié)果為“無法識別或識別錯誤”。看到軟件這樣的提示，大牛在一旁變得比較低落。

我心想這家伙果然厲害，這文件到底是用什么東西進(jìn)行偽裝的呢？突然，我無意間看到桌面上的WinRAR圖標(biāo)，一下子就反應(yīng)了過來——現(xiàn)在很多人喜歡用WinRAR進(jìn)行病毒文件的捆綁加密。于是，我立即在這個文件上點(diǎn)擊鼠標(biāo)右鍵，但并沒有出現(xiàn)預(yù)想中的WinRAR解壓菜單項(xiàng)。這時老大的一句話提醒了我：“聽說加殼程序可以進(jìn)行變異，你說這是不是因?yàn)檫M(jìn)行了變異，所以怎么也檢查不出來啊？”

我知道，如果黑客想變異一個帶病毒的RAR自解壓文件，就必須修改文件中的某些字符串。于是我馬上運(yùn)行編輯工具C32Asm，點(diǎn)擊其菜單“文件→打開十六進(jìn)制文件”，導(dǎo)入這個木馬病毒文件。接著，我點(diǎn)擊“搜索→搜索”命令，在彈出窗口中的“類型”里選擇“十六進(jìn)制”，在“搜索”選項(xiàng)中輸入“807A0160”。果然，很快就搜索到這串代碼，由此可以證明這的確是一個經(jīng)過變異的RAR自解壓文件。于是我在搜索結(jié)果中將60還原成61。按照同樣的方法，再搜索十六進(jìn)制值的“526072211A07”，把其中的60也還原成61。修改完成后，解壓成功！我發(fā)現(xiàn)里面有一個BAT批處理文件和一個EXE可執(zhí)行文件。

用“記事本”打開這個批處理文件，發(fā)現(xiàn)上面寫的是被大家稱為史上最牛的批處理代碼！此代碼可以通過結(jié)束殺毒軟件的啟動服務(wù)或進(jìn)程，來達(dá)到保護(hù)木馬，讓其成功入侵的目的。毋庸置疑，另一個可執(zhí)行文件就是真正的木馬病毒。這到底是什么木馬病毒呢？我又運(yùn)行了一款資源修改軟件Restorator，點(diǎn)擊工具欄中的“打開文件”按鈕導(dǎo)入了木馬病毒文件。很快我就在其資源樹的“RC數(shù)據(jù)”中發(fā)現(xiàn)了一個“HACKER”項(xiàng)，這就說明它是大名鼎鼎的“灰鴿子”木馬病毒（如上圖6）。而在右側(cè)窗口中，還可以看到一串字符信息。這是經(jīng)過加密的木馬服務(wù)端配置信息，即大牛那情敵的電腦IP地址、連接端口和代理服務(wù)等信息。

繼續(xù)追擊，瘋狂報(bào)復(fù)

“想報(bào)復(fù)嗎？”我問大牛。“當(dāng)然，能不嗎？”大牛反問道。首先，我將前面的加密信息復(fù)制出來，用“記事本”整理成每行32個字符，再將前兩行字符復(fù)制（這64個字符中包含了加密的對方IP地址信息）。然后，在電腦中安裝一個“灰鴿子”客戶端，用C32Asm打開它，并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接著，用復(fù)制的那兩行字符去替換搜索到的字符串，并保存。最后，運(yùn)行客戶端，查看標(biāo)題欄，就可以看到解密后的IP地址信息了。有了大牛情敵的IP地址，我就可以展開IP地址攻擊了！只見我運(yùn)行電子炸彈程序，一陣狂轟濫炸……

欲知后事如何，且聽下回——《受提示暗放木馬，美女電腦隨便耍》。