|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)�����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)�����、存儲(chǔ)資源�����、數(shù)據(jù)資源�����、信息資源�����、知識(shí)資源�����、專家資源、大型數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)�����、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。 引子 我凝視著雪柔的照片�����,我的情人愛(ài)人�����。就在一天之前我還甜蜜地暢想著這場(chǎng)雖然有些草率但卻有我的堅(jiān)決和夢(mèng)想所啟動(dòng)的愛(ài)情……而今整個(gè)留香客棧卻因此遭受了黑客營(yíng)最強(qiáng)猛和最兇殘的攻擊。我無(wú)法在面對(duì)照片中的雪柔�����,她讓我覺(jué)得我的愛(ài)情好像是她整個(gè)生命中不得不背負(fù)起的一個(gè)額外沉重的包袱…… 果殼中的木馬 聽(tīng)雨放下雪柔的電話�����,大腦中一片空白�����,不僅僅因?yàn)樗脱┤岬年P(guān)系�����,更因?yàn)樗懒粝憧蜅:芸赡芤秃诳蜖I(yíng)之間爆發(fā)一場(chǎng)前所未有的江湖仇殺�����。不過(guò)他沒(méi)有想到的是�����,小妹鹿采薇竟然在此時(shí)此刻已經(jīng)連續(xù)三次破壞了雪柔的計(jì)算機(jī)系統(tǒng)�����。聽(tīng)雨已經(jīng)三天三夜沒(méi)有合眼了�����,他在按照大姐的吩咐對(duì)“牧馬寨”的UNIX服務(wù)進(jìn)行入侵�����,在工作時(shí)睡眠對(duì)聽(tīng)雨來(lái)說(shuō)很奢侈�����。手機(jī)突然在桌子上像跳舞一樣的震動(dòng)了起來(lái)�����,聽(tīng)雨麻木的大腦神經(jīng)跳了一下�����,大姐又在催了�����?拿起手機(jī)接通后�����,電話另一頭傳來(lái)聽(tīng)雨最熟悉的聲音�����。 “你在干什么?” “攻牧馬寨的服務(wù)器����������! “為什么昨天不在QQ上理我�����!”�����,電話另一頭的聲音似乎有些憤怒�����。 “……當(dāng)時(shí)正在忙”�����,聽(tīng)雨似乎無(wú)法找到更合適的理由或者說(shuō)借口。 “給我一個(gè)QQ聊天紀(jì)律查看器�����!” “你要那個(gè)干什么�����?” “看一個(gè)人的聊天記錄�����! “誰(shuí)的�����?” “留香客棧�����,雪柔�����!” “什么!你黑了她�����?為什么�����?” “你緊張什么?�����!你為什么要緊張�����?你怕我知道什么�����?你曾經(jīng)說(shuō)會(huì)永遠(yuǎn)愛(ài)我,但是你賦予我的愛(ài)卻是一個(gè)謊言,一個(gè)殘忍的血淋淋的謊言�����!我的命運(yùn)�����,我一生中最重要的開(kāi)始已經(jīng)毀在了你的手中�����,我絕對(duì)不會(huì)讓它就這么輕易結(jié)束�����,這么輕易揮之而去的,聽(tīng)雨……你欠我的�����!欠我一輩子�����!” “我想……”�����,電話掛斷了�����,聽(tīng)雨有些麻木的大腦似乎已經(jīng)讓他陷入了一種幻覺(jué)�����,他頭腦混亂的回憶著剛才的電話,腦海中思索著什么�����,這一切從一開(kāi)始就不應(yīng)該發(fā)生…… 聽(tīng)雨走到冰箱前�����,從冷凍柜中取出了一盆冰塊,昏昏沉沉的走進(jìn)洗手間�����,他將冰塊一下全部?jī)A倒在乘滿水的水池中,將頭猛的扎進(jìn)了這盆冰水混雜的池中�����。冰涼刺骨的水刺激著他頭上每一個(gè)細(xì)胞�����,他回想著鹿采薇的電話�����,回想起初識(shí)鹿采薇的每一個(gè)細(xì)節(jié)�����,回想起和她在黑客營(yíng)一起跟大姐學(xué)習(xí)修改木馬的一幕一幕。 兩年前黑客營(yíng)中…… 大姐對(duì)著還略顯稚嫩的聽(tīng)雨和鹿采薇:“你們現(xiàn)在都會(huì)用木馬了�����,但是為什么讓你們?nèi)ス魟e人的時(shí)候你們無(wú)法成功�����,你們直到原因嗎�����?其實(shí)原因很簡(jiǎn)單�����,你們用的木馬都能夠被殺毒軟件查殺�����,這樣的木馬自然會(huì)被人家發(fā)現(xiàn)�����,你們的成功率當(dāng)然就很低了�����。而提高成功率的方法只有一個(gè)�����,躲過(guò)病毒防火墻的追殺,讓他們無(wú)法察覺(jué)出你的木馬����������!甭共赊彼坪鯇(duì)這一部分很感興趣�����,“大姐�����,快教教我們這一部分吧�����,我植入木馬的時(shí)候總失敗,現(xiàn)在都沒(méi)有信心了�����。”大姐就是在那一次講起了木馬加殼�����。 | 所采用的工具簡(jiǎn)介: Resource Hacker 與eXeScope很相似的工具�����,但是我感覺(jué)初級(jí)的用戶使用它會(huì)更加的方便�����。他修改軟件資源的方式要更加的傻瓜化一些。 pe-scan 用于外殼的查看�����,對(duì)有些外殼還能進(jìn)行脫殼�����。 UPXShell UPXShell是一款EXE壓縮軟件�����。它有非常出色的壓縮比率�����,跨平臺(tái)性能也很優(yōu)秀�����。由于UPXShell壓縮后仍然是EXE可執(zhí)行的文件�����,所以很多黑客利用它不改變屬性只改變大小的特點(diǎn)來(lái)壓縮病毒與黑客軟件�����,這其中當(dāng)然就包括我們大名鼎鼎的冰河�����。而且它會(huì)給壓縮的軟件加一層殼,這樣避免了很多殺毒軟件將其查殺出來(lái)�����,更好的迷惑受害者�����。 ASPack ASPack與UPX很相象�����,也是壓縮軟件。早期的冰河客戶端就是用這款軟件壓縮的�����,所以想必有些版本冰河是使用的這款軟件進(jìn)行壓縮的�����。軟件在通過(guò)ASPack壓縮后�����,我們可以相應(yīng)的使用UnASPack來(lái)進(jìn)行解壓縮�����,這樣我們就可以看到壓縮前的效果了。ASPack的壓縮原理與UPX相同�����。 ExeScope eXeScope是用來(lái)修改軟件資源的最常用的工具�����,它強(qiáng)大的功能可以讓eXeScope在沒(méi)有資源文件的情況分析并顯示不同的文件信息與內(nèi)容�����,而且它可以對(duì)可執(zhí)行的文件進(jìn)行重寫(xiě)�����,這其中包括菜單�����、對(duì)話框�����、字串表等等�����。 W32Dasm 鼎鼎大名的W32Dasm可以對(duì)程序進(jìn)行反匯編操作,而且對(duì)WinApi有良好的支持�����,反匯編出的代碼可讀性非常強(qiáng)�����。他可以記錄下程序靜態(tài)代碼�����,是SoftICE的最好補(bǔ)充�����。 OllyDbg:OllyDbg是一個(gè)32位匯編級(jí)的直觀的分析調(diào)試器�����。它在源代碼不可獲得的時(shí)候�����,或者你用編譯器遇到問(wèn)題的時(shí)候特別有用�����,是一個(gè)非常好的動(dòng)態(tài)跟蹤調(diào)試工具。 Hex Workshop 一款非常專業(yè)的十六進(jìn)制編輯器�����,功能強(qiáng)大的開(kāi)發(fā)工具�����, 可以方便地進(jìn)行十六進(jìn)制編輯�����、插入、填充�����、刪除�����、剪切、復(fù)制和粘貼操作�����, 配合查找、替換�����、比較以及計(jì)算校驗(yàn)和等命令使工作更加快捷�����。速度快�����,算法 精確,并附帶計(jì)算器和轉(zhuǎn)換器工具 |
現(xiàn)如今很多黑客營(yíng)的人都在用加殼作為木馬的掩護(hù)�����,甚至有個(gè)別新手跟我說(shuō)�����,加了殼就能夠成功的躲過(guò)江湖中任何殺毒軟件�����。他只對(duì)了一半�����,因?yàn)樵跊](méi)有脫殼之前�����,的確很少有那一款殺毒軟件能夠發(fā)現(xiàn)木馬,但是一旦加殼的木馬被執(zhí)行之后�����,完成了脫殼的過(guò)程�����,那么跟蹤內(nèi)存的殺毒軟件會(huì)很快的發(fā)現(xiàn)內(nèi)存中正在運(yùn)行中的木馬�����,最后將之殺掉�����。其實(shí)按照黑客營(yíng)多數(shù)人的說(shuō)法�����,大姐當(dāng)時(shí)的加殼對(duì)很多已經(jīng)成為高手的人來(lái)說(shuō)已經(jīng)沒(méi)有任何意義了,但是鹿采薇卻不這樣認(rèn)為�����,在她看來(lái)�����,加殼的手段方式不一樣仍然可以有效的躲過(guò)殺毒軟件�����。 木馬加殼的原理很簡(jiǎn)單�����,在黑客營(yíng)中提供的多數(shù)木馬中�����,很多都是經(jīng)過(guò)處理的�����,而這些處理就是所謂的加殼�����。大姐說(shuō)�����,當(dāng)一個(gè)EXE的程序生成好后,很輕松的就可以利用諸如資源工具和反匯編工具對(duì)它進(jìn)行修改�����,但如果程序員給EXE程序加一個(gè)殼的話,那么至少這個(gè)加了殼的EXE程序就不是那么好修改了�����,如果想修改就必須先脫殼�����。聽(tīng)雨了解鹿采薇很清楚每一個(gè)木馬的加殼手段�����,冰河用ASPack�����,而灰鴿子則是UPX Shell進(jìn)行加殼的�����。 聽(tīng)雨恍恍惚惚記得鹿采薇曾經(jīng)跟他得意的演示過(guò)給灰鴿子加殼躲過(guò)殺毒軟件的過(guò)程,鹿采薇通過(guò)用Pe-scan進(jìn)行外殼的查看�����,發(fā)現(xiàn)這一款灰鴿子是用UPXShell進(jìn)行加殼的�����。于是這個(gè)時(shí)候就可以采用UPX附帶的UPXUnpack程序?qū)银澴由沙鰜?lái)的木馬EXE程序進(jìn)行脫殼,脫殼后的灰鴿子猛然間有300多K增大到900多K�����,這時(shí)聽(tīng)雨知道她已經(jīng)脫殼成功了�����。鹿采薇接著向聽(tīng)雨展示了用ExeScope對(duì)脫了殼后的灰鴿子客戶端木馬程序的圖標(biāo)進(jìn)行修改�����。 鹿采薇告訴聽(tīng)雨說(shuō)�����,她自己摸索出來(lái)的方法是先對(duì)脫殼并修改完圖標(biāo)的木馬程序進(jìn)行再加殼�����,不過(guò)再用UPXShell進(jìn)行壓縮加殼時(shí)不同以往�����,此時(shí)她不是像大姐告訴她的那樣直接進(jìn)行加殼過(guò)程�����,而是在UPXShell的選項(xiàng)中的高級(jí)中先進(jìn)行Scrambler加密�����,再點(diǎn)擊加密完成加密過(guò)程之后,再用ASPack對(duì)這個(gè)已經(jīng)加過(guò)殼的EXE文件再加一次殼�����。鹿采薇說(shuō)這個(gè)時(shí)候殺毒軟件就無(wú)法查殺出來(lái)了�����。 聽(tīng)雨很清楚�����,鹿采薇這個(gè)加殼方法只是一個(gè)思路�����,其實(shí)運(yùn)作起來(lái)很靈活�����,就是用兩種不同的加殼工具對(duì)木馬進(jìn)行雙重加殼�����,這樣就等于將木馬程序進(jìn)行了兩次壓縮計(jì)算�����,自然就會(huì)逃脫殺毒軟件防火墻的第一層過(guò)濾�����。不過(guò)加了再多的殼,壓了再多次程序�����,最終的程序還是要被脫離出來(lái)的�����。如何讓解壓縮后的木馬真正躲過(guò)殺毒軟件這才是關(guān)鍵的步驟。 改頭換面的木馬 聽(tīng)雨很了解殺毒軟件是如何跟蹤木馬和病毒的�����,多數(shù)殺毒軟件都會(huì)在木馬與病毒程序中挑選幾段特征碼�����,然后當(dāng)這些程序在系統(tǒng)中運(yùn)行的時(shí)候�����,殺毒軟件會(huì)檢查這些加載進(jìn)內(nèi)存的程序�����,查看程序中是否有特征碼符合自己的查殺要求�����。 他相信自己的直覺(jué)�����,鹿采薇一定學(xué)會(huì)了如何修改木馬特征碼這項(xiàng)關(guān)鍵的技術(shù)�����,如果鹿采薇真的掌握這個(gè)方法�����,那么鹿采薇的木馬想要繞過(guò)雪柔那幾個(gè)零零散散的殺毒軟件根本不在話下�����。聽(tīng)雨真的無(wú)法相信鹿采薇學(xué)會(huì)了修改木馬特征碼的技術(shù)�����,因?yàn)樗J(rèn)為這對(duì)于鹿采薇來(lái)說(shuō)是在是一項(xiàng)難度系數(shù)比較高的技術(shù)�����。而且作修改代碼的活兒必須要掌握匯編語(yǔ)言的一些技巧�����。聽(tīng)雨百思不得其解�����,難道有人背后指點(diǎn)她?不對(duì)�����,鹿采薇不是那種讓別人控制的女孩兒�����,似乎除了對(duì)大姐懷有敬畏之外�����,聽(tīng)雨沒(méi)有看出她有求于任何人�����,采薇是個(gè)太執(zhí)著的女孩兒了。不過(guò)聽(tīng)雨忽略了�����,對(duì)于一個(gè)被感情激怒的女人來(lái)說(shuō)�����,執(zhí)著往往能夠帶動(dòng)驚人的爆發(fā)力�����。 鹿采薇作在電腦面前�����,這已經(jīng)是她進(jìn)行的第20多次修改木馬特征碼的試驗(yàn)了�����,前幾十次的結(jié)果�����,不是修改后程序無(wú)法運(yùn)行就是仍然被殺毒軟件殺掉�����。修改特征碼對(duì)她來(lái)說(shuō)太難了�����,這需要掌握高超的匯編語(yǔ)言�����,而鹿采薇對(duì)此一竅不通�����。她所擁有的全部只不過(guò)是大姐給她打印的一本薄的只有5張A4紙的教程�����。教程一開(kāi)頭就直入話題�����,談到了如何追綜木馬程序中的程序入口�����,可是鹿采薇試用OllyDbg怎么也無(wú)法找到程序木馬的程序入口�����,直到試驗(yàn)了三次之后她才明白過(guò)來(lái)�����,這個(gè)木馬必須先脫殼后才能夠進(jìn)行程序分析�����。脫殼對(duì)于鹿采薇來(lái)說(shuō)不在話下,因?yàn)樗煜e-Scan和Wollf之類(lèi)的工具了�����。在簡(jiǎn)單的分析并脫殼木馬之后�����,鹿采薇終于可以用OllyDbg對(duì)木馬源程序進(jìn)行調(diào)試了�����。 按照大姐的教程上說(shuō)�����,使用OllyDbg對(duì)程序進(jìn)行分析調(diào)試時(shí)�����,打開(kāi)的分析界面的第一行就應(yīng)該是程序的入口�����,004BDF68這段內(nèi)存的虛擬地址符號(hào)被分析是程序的入口�����。鹿采薇按照大姐標(biāo)注的說(shuō)明�����,使用LordPE Deluxe這款工具打開(kāi)已經(jīng)脫殼的木馬,再用“PE編輯器”一項(xiàng)中文件地址計(jì)算器計(jì)算出程序文件的相對(duì)偏移地址“000DBF68”�����。鹿采薇決定向一步步按照大姐的標(biāo)注作�����。 計(jì)算出程序的相對(duì)偏移地址�����,下面一步就是使用Hex Workshop打開(kāi)脫殼的木馬�����,鹿采薇看到了打串的字符,此時(shí)她已經(jīng)一頭霧水了�����,不過(guò)她能夠感覺(jué)到自己要成功了�����,點(diǎn)擊右鍵,查找十六位的偏移地址頭�����,這里是關(guān)鍵了�����,鹿采薇一字一行的看這大姐寫(xiě)下的批注。批注中說(shuō)�����,由頭至尾大概150個(gè)文字塊中肯定包含著殺毒軟件進(jìn)行查殺的特征碼�����,你需要作的僅僅是一步一步的淘汰這些代碼�����,可以先選擇150或者100塊字段�����,然后將這些字段規(guī)零,另存程序后�����,使用殺毒軟件進(jìn)行查殺�����,當(dāng)然一部來(lái)說(shuō)選擇的段數(shù)越大�����,能夠查殺到的機(jī)率也就越小�����。不過(guò)最終要把程序的字段確定到最精確的位置�����,這要反復(fù)的測(cè)試,縮小字塊的范圍�����。 30分鐘過(guò)去了,鹿采薇按照大姐的批注將字段范圍縮小到了塊DB367�����,這應(yīng)該就是殺毒軟件所分析到的那段特征碼�����。鹿采薇將這段代碼牢牢的記住�����,按照下一步打開(kāi)反匯編工具W32Dasm對(duì)木馬進(jìn)行反匯編操作�����,通過(guò)找到的DB367的字段�����,鹿采薇在W32Dasm反匯編的文件也趙到了相應(yīng)的代碼字段: mov dword ptr [ebp-18],eax mov dword ptr [ebp-14],eax 這時(shí)遇到了鹿采薇最頭疼的事情,她必須明白這段反匯編程序的意思才能對(duì)程序進(jìn)行修改�����,否則錯(cuò)誤的修改很可能導(dǎo)致程序不能夠正常運(yùn)行。教程中并沒(méi)有解釋這些反匯編的字段的意思�����。還好�����,互聯(lián)網(wǎng)發(fā)達(dá)的今天�����,沒(méi)有什么找不到的�����,搜索�����! 鹿采薇開(kāi)始一段一段的搜索每一個(gè)代碼的意思�����,并并翻查相關(guān)的文檔進(jìn)行標(biāo)注解釋�����。在明白了程序大概是在這里清零之后�����,她開(kāi)始嘗試性的修改變換程序代碼的先后順序�����,替換完畢之后�����,并沒(méi)有向預(yù)想的那樣成功�����,程序甚至無(wú)法打開(kāi),的確這里才是最關(guān)鍵的地方�����,前面的一切之不是找尋到了寶藏的地圖,但是要看懂地圖并找到寶藏的埋藏位置才是關(guān)鍵中的關(guān)鍵�����。 何去何從�����?對(duì)照這反匯編的手冊(cè)�����,鹿采薇開(kāi)始一步一步的嘗試…… 尾聲 聽(tīng)雨感到異常的悲傷與恐懼�����,他一直將采薇當(dāng)作妹妹一樣看待�����,然而沒(méi)有想到今天他卻要在此選擇愛(ài)人還是親人……他不知道雪柔和鹿采薇只見(jiàn)誰(shuí)流淌更多善良的血液�����,難道黑客真的要不斷的征服才能面遭時(shí)刻被淘汰的厄運(yùn)嗎�����?聽(tīng)雨迷盲的看著前方…… 不過(guò)他只看到故事開(kāi)頭�����,卻永遠(yuǎn)沒(méi)有猜透那個(gè)結(jié)尾……
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中�����,正因如此�����,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上�����、軟件上�����、所用標(biāo)準(zhǔn)上......�����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)�����,對(duì)應(yīng)發(fā)展�����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑�����。
| 
