校園密碼暗戰，第四回 情敵報復設陷阱，兄弟幫忙齊化解

驚堂木“啪”的一聲響起，話說上回大牛為了了解自己的情敵，通過各種關系以及兄弟們的幫助，最終取得了情敵在論壇中使用的賬號密碼。于是從那天開始，大牛每天都用一些時間，泡在論壇中查看情敵的最新發帖和站內短消息。總之一句話，為了贏得美女的芳心，大牛已經到了“無所不用其極”的地步。

情敵報復，險中木馬

話說這天下午，我正在寢室里玩《魔獸爭霸》，只聽見大牛一聲大叫：“這小子！也太不地道了，居然給我傳了一個病毒。看我不把這小子……”原來，大牛電腦上的《金山毒霸2008》剛剛提示他訪問的網頁含有病毒，所以他不禁破口大罵（如圖1）。這時老大渾厚的聲音傳來：“大牛，這是寢室，要注意素質啊！”我感到奇怪，便問：“那小子怎么知道是你啊？”

大牛老老實實地交代：“最近我不是在跟蹤這小子嘛！發現他對我的女神心懷鬼胎，于是就發短消息警告他，結果今早他給我發來一個網頁鏈接，要我按照這個方法和他單挑。我當然是二話不說就點擊了鏈接，結果誰知道打開的網頁上居然有病毒！”“你也太穩不住了，這明明就是激將法啊！不過這小子的確不地道。”我也開始為大牛憤憤不平。

撥繭抽絲，找出黑手

這時老大走過來，開口說道：“大牛，不如我們順勢而為，看看那小子到底想干什么。正所謂‘舍不得孩子套不著狼，舍不得媳婦套不著流氓’嘛！我看他放的是個Flash病毒，這病毒會通過Flash漏洞來下載很多木馬病毒到你的電腦中。這種手法最近在網絡中非常流行！”只見老大坐下后，迅速打開《金山毒霸2008》，點擊“工具”菜單中的“病毒隔離系統”命令，然后在彈出窗口中查看剛剛隔離的Flash病毒（如圖2）。然后，點擊“操作”菜單中的“還原為”命令，這樣就可以將病毒還原到指定的位置。

老大繼續說：“還原成功以后，就可以對Flash病毒文件進行反編譯，從中找出那些木馬病毒的下載地址了。要注意，有的Flash文件中并非含有惡意代碼，它是通過腳本函數loadMovie()來載入另一個含有惡意代碼的Flash文件，從而實現掛馬的……”聽了這些，大牛感嘆道：“看來今天的破解和前幾次的不一樣，得先從加密的文件代碼中找到幕后黑手。”

這時只見老大從網上搜索并下載了一款名為Imperator FLA的Flash反編譯軟件。運行它后，先點擊“選擇SWF文件”按鈕導入Flash病毒文件，接著點擊“保存FLA文件”按鈕來保存反編譯后的文件（如圖3，按鈕上的LFA字樣可能是漢化者的筆誤），此時程序會自動進行Flash病毒文件的反編譯操作。

老大又運行了一款十六進制工具C32Asm。點擊其菜單“文件→打開十六進制文件”，導入反編譯后生成的FLA文件。接著點擊“搜索→搜索”命令，在窗口中的“類型”里選擇“ANSI字符串”，在“搜索”選項中輸入“http”（如圖4）。點擊“下一個”按鈕，我們很快就看到一個網絡鏈接地址，這就是Flash病毒將要下載的木馬病毒文件（如圖5）。

看了老大這一連串的操作以后，大牛悄悄地向我低聲問道：“老三，這個木馬病毒怎么是一個CSS文件啊？按理說應該是EXE可執行文件才對嘛！是不是老大搞錯了？”我也低聲回答大牛：“沒錯的，你沒有注意到這段地址上面有個exe文件標志嗎？雖然要下載的是CSS文件，但是在下載過程中就另存為EXE文件了。”聽了我的解釋以后，大牛大聲地向老大感嘆道：“老大，我們終于破解了這個Flash病毒的‘密碼’，看來這小子為了用木馬來害我，也真是煞費苦心啊！”

暗藏玄機，柳暗花明

老大回道：“還沒完！我得用下載軟件把這個文件下載到系統里面，再分析分析。”很快文件就下載完成了，老大起身，讓我幫他進行分析。我坐下后，在網上搜索并下載了《超級巡警虛擬機自動脫殼機》。使用這個軟件，我就可以查看這個木馬病毒文件是否進行了加殼，如果有加殼就直接用它脫殼。利用鼠標拖曳木馬病毒文件在其窗口上釋放，結果程序檢查結果為“無法識別或識別錯誤”。看到軟件這樣的提示，大牛在一旁變得比較低落。

我心想這家伙果然厲害，這文件到底是用什么東西進行偽裝的呢？突然，我無意間看到桌面上的WinRAR圖標，一下子就反應了過來——現在很多人喜歡用WinRAR進行病毒文件的捆綁加密。于是，我立即在這個文件上點擊鼠標右鍵，但并沒有出現預想中的WinRAR解壓菜單項。這時老大的一句話提醒了我：“聽說加殼程序可以進行變異，你說這是不是因為進行了變異，所以怎么也檢查不出來啊？”

我知道，如果黑客想變異一個帶病毒的RAR自解壓文件，就必須修改文件中的某些字符串。于是我馬上運行編輯工具C32Asm，點擊其菜單“文件→打開十六進制文件”，導入這個木馬病毒文件。接著，我點擊“搜索→搜索”命令，在彈出窗口中的“類型”里選擇“十六進制”，在“搜索”選項中輸入“807A0160”。果然，很快就搜索到這串代碼，由此可以證明這的確是一個經過變異的RAR自解壓文件。于是我在搜索結果中將60還原成61。按照同樣的方法，再搜索十六進制值的“526072211A07”，把其中的60也還原成61。修改完成后，解壓成功！我發現里面有一個BAT批處理文件和一個EXE可執行文件。

用“記事本”打開這個批處理文件，發現上面寫的是被大家稱為史上最牛的批處理代碼！此代碼可以通過結束殺毒軟件的啟動服務或進程，來達到保護木馬，讓其成功入侵的目的。毋庸置疑，另一個可執行文件就是真正的木馬病毒。這到底是什么木馬病毒呢？我又運行了一款資源修改軟件Restorator，點擊工具欄中的“打開文件”按鈕導入了木馬病毒文件。很快我就在其資源樹的“RC數據”中發現了一個“HACKER”項，這就說明它是大名鼎鼎的“灰鴿子”木馬病毒（如上圖6）。而在右側窗口中，還可以看到一串字符信息。這是經過加密的木馬服務端配置信息，即大牛那情敵的電腦IP地址、連接端口和代理服務等信息。

繼續追擊，瘋狂報復

“想報復嗎？”我問大牛。“當然，能不嗎？”大牛反問道。首先，我將前面的加密信息復制出來，用“記事本”整理成每行32個字符，再將前兩行字符復制（這64個字符中包含了加密的對方IP地址信息）。然后，在電腦中安裝一個“灰鴿子”客戶端，用C32Asm打開它，并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接著，用復制的那兩行字符去替換搜索到的字符串，并保存。最后，運行客戶端，查看標題欄，就可以看到解密后的IP地址信息了。有了大牛情敵的IP地址，我就可以展開IP地址攻擊了！只見我運行電子炸彈程序，一陣狂轟濫炸……

欲知后事如何，且聽下回——《受提示暗放木馬，美女電腦隨便耍》。