|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 引子 我凝視著雪柔的照片,我的情人愛人。就在一天之前我還甜蜜地暢想著這場雖然有些草率但卻有我的堅決和夢想所啟動的愛情……而今整個留香客棧卻因此遭受了黑客營最強猛和最兇殘的攻擊。我無法在面對照片中的雪柔,她讓我覺得我的愛情好像是她整個生命中不得不背負(fù)起的一個額外沉重的包袱…… 果殼中的木馬 聽雨放下雪柔的電話,大腦中一片空白,不僅僅因為他和雪柔的關(guān)系,更因為他知道留香客棧很可能要和黑客營之間爆發(fā)一場前所未有的江湖仇殺。不過他沒有想到的是,小妹鹿采薇竟然在此時此刻已經(jīng)連續(xù)三次破壞了雪柔的計算機系統(tǒng)。聽雨已經(jīng)三天三夜沒有合眼了,他在按照大姐的吩咐對“牧馬寨”的UNIX服務(wù)進行入侵,在工作時睡眠對聽雨來說很奢侈。手機突然在桌子上像跳舞一樣的震動了起來,聽雨麻木的大腦神經(jīng)跳了一下,大姐又在催了?拿起手機接通后,電話另一頭傳來聽雨最熟悉的聲音。 “你在干什么?” “攻牧馬寨的服務(wù)器。” “為什么昨天不在QQ上理我!”,電話另一頭的聲音似乎有些憤怒。 “……當(dāng)時正在忙”,聽雨似乎無法找到更合適的理由或者說借口。 “給我一個QQ聊天紀(jì)律查看器!” “你要那個干什么?” “看一個人的聊天記錄。” “誰的?” “留香客棧,雪柔!” “什么!你黑了她?為什么?” “你緊張什么?!你為什么要緊張?你怕我知道什么?你曾經(jīng)說會永遠愛我,但是你賦予我的愛卻是一個謊言,一個殘忍的血淋淋的謊言!我的命運,我一生中最重要的開始已經(jīng)毀在了你的手中,我絕對不會讓它就這么輕易結(jié)束,這么輕易揮之而去的,聽雨……你欠我的!欠我一輩子!” “我想……”,電話掛斷了,聽雨有些麻木的大腦似乎已經(jīng)讓他陷入了一種幻覺,他頭腦混亂的回憶著剛才的電話,腦海中思索著什么,這一切從一開始就不應(yīng)該發(fā)生…… 聽雨走到冰箱前,從冷凍柜中取出了一盆冰塊,昏昏沉沉的走進洗手間,他將冰塊一下全部傾倒在乘滿水的水池中,將頭猛的扎進了這盆冰水混雜的池中。冰涼刺骨的水刺激著他頭上每一個細(xì)胞,他回想著鹿采薇的電話,回想起初識鹿采薇的每一個細(xì)節(jié),回想起和她在黑客營一起跟大姐學(xué)習(xí)修改木馬的一幕一幕。 兩年前黑客營中…… 大姐對著還略顯稚嫩的聽雨和鹿采薇:“你們現(xiàn)在都會用木馬了,但是為什么讓你們?nèi)ス魟e人的時候你們無法成功,你們直到原因嗎?其實原因很簡單,你們用的木馬都能夠被殺毒軟件查殺,這樣的木馬自然會被人家發(fā)現(xiàn),你們的成功率當(dāng)然就很低了。而提高成功率的方法只有一個,躲過病毒防火墻的追殺,讓他們無法察覺出你的木馬。”鹿采薇似乎對這一部分很感興趣,“大姐,快教教我們這一部分吧,我植入木馬的時候總失敗,現(xiàn)在都沒有信心了。”大姐就是在那一次講起了木馬加殼。
現(xiàn)如今很多黑客營的人都在用加殼作為木馬的掩護,甚至有個別新手跟我說,加了殼就能夠成功的躲過江湖中任何殺毒軟件。他只對了一半,因為在沒有脫殼之前,的確很少有那一款殺毒軟件能夠發(fā)現(xiàn)木馬,但是一旦加殼的木馬被執(zhí)行之后,完成了脫殼的過程,那么跟蹤內(nèi)存的殺毒軟件會很快的發(fā)現(xiàn)內(nèi)存中正在運行中的木馬,最后將之殺掉。其實按照黑客營多數(shù)人的說法,大姐當(dāng)時的加殼對很多已經(jīng)成為高手的人來說已經(jīng)沒有任何意義了,但是鹿采薇卻不這樣認(rèn)為,在她看來,加殼的手段方式不一樣仍然可以有效的躲過殺毒軟件。 木馬加殼的原理很簡單,在黑客營中提供的多數(shù)木馬中,很多都是經(jīng)過處理的,而這些處理就是所謂的加殼。大姐說,當(dāng)一個EXE的程序生成好后,很輕松的就可以利用諸如資源工具和反匯編工具對它進行修改,但如果程序員給EXE程序加一個殼的話,那么至少這個加了殼的EXE程序就不是那么好修改了,如果想修改就必須先脫殼。聽雨了解鹿采薇很清楚每一個木馬的加殼手段,冰河用ASPack,而灰鴿子則是UPX Shell進行加殼的。 聽雨恍恍惚惚記得鹿采薇曾經(jīng)跟他得意的演示過給灰鴿子加殼躲過殺毒軟件的過程,鹿采薇通過用Pe-scan進行外殼的查看,發(fā)現(xiàn)這一款灰鴿子是用UPXShell進行加殼的。于是這個時候就可以采用UPX附帶的UPXUnpack程序?qū)银澴由沙鰜淼哪抉REXE程序進行脫殼,脫殼后的灰鴿子猛然間有300多K增大到900多K,這時聽雨知道她已經(jīng)脫殼成功了。鹿采薇接著向聽雨展示了用ExeScope對脫了殼后的灰鴿子客戶端木馬程序的圖標(biāo)進行修改。 鹿采薇告訴聽雨說,她自己摸索出來的方法是先對脫殼并修改完圖標(biāo)的木馬程序進行再加殼,不過再用UPXShell進行壓縮加殼時不同以往,此時她不是像大姐告訴她的那樣直接進行加殼過程,而是在UPXShell的選項中的高級中先進行Scrambler加密,再點擊加密完成加密過程之后,再用ASPack對這個已經(jīng)加過殼的EXE文件再加一次殼。鹿采薇說這個時候殺毒軟件就無法查殺出來了。 聽雨很清楚,鹿采薇這個加殼方法只是一個思路,其實運作起來很靈活,就是用兩種不同的加殼工具對木馬進行雙重加殼,這樣就等于將木馬程序進行了兩次壓縮計算,自然就會逃脫殺毒軟件防火墻的第一層過濾。不過加了再多的殼,壓了再多次程序,最終的程序還是要被脫離出來的。如何讓解壓縮后的木馬真正躲過殺毒軟件這才是關(guān)鍵的步驟。 改頭換面的木馬 聽雨很了解殺毒軟件是如何跟蹤木馬和病毒的,多數(shù)殺毒軟件都會在木馬與病毒程序中挑選幾段特征碼,然后當(dāng)這些程序在系統(tǒng)中運行的時候,殺毒軟件會檢查這些加載進內(nèi)存的程序,查看程序中是否有特征碼符合自己的查殺要求。 他相信自己的直覺,鹿采薇一定學(xué)會了如何修改木馬特征碼這項關(guān)鍵的技術(shù),如果鹿采薇真的掌握這個方法,那么鹿采薇的木馬想要繞過雪柔那幾個零零散散的殺毒軟件根本不在話下。聽雨真的無法相信鹿采薇學(xué)會了修改木馬特征碼的技術(shù),因為他認(rèn)為這對于鹿采薇來說是在是一項難度系數(shù)比較高的技術(shù)。而且作修改代碼的活兒必須要掌握匯編語言的一些技巧。聽雨百思不得其解,難道有人背后指點她?不對,鹿采薇不是那種讓別人控制的女孩兒,似乎除了對大姐懷有敬畏之外,聽雨沒有看出她有求于任何人,采薇是個太執(zhí)著的女孩兒了。不過聽雨忽略了,對于一個被感情激怒的女人來說,執(zhí)著往往能夠帶動驚人的爆發(fā)力。 鹿采薇作在電腦面前,這已經(jīng)是她進行的第20多次修改木馬特征碼的試驗了,前幾十次的結(jié)果,不是修改后程序無法運行就是仍然被殺毒軟件殺掉。修改特征碼對她來說太難了,這需要掌握高超的匯編語言,而鹿采薇對此一竅不通。她所擁有的全部只不過是大姐給她打印的一本薄的只有5張A4紙的教程。教程一開頭就直入話題,談到了如何追綜木馬程序中的程序入口,可是鹿采薇試用OllyDbg怎么也無法找到程序木馬的程序入口,直到試驗了三次之后她才明白過來,這個木馬必須先脫殼后才能夠進行程序分析。脫殼對于鹿采薇來說不在話下,因為她太熟悉Pe-Scan和Wollf之類的工具了。在簡單的分析并脫殼木馬之后,鹿采薇終于可以用OllyDbg對木馬源程序進行調(diào)試了。 按照大姐的教程上說,使用OllyDbg對程序進行分析調(diào)試時,打開的分析界面的第一行就應(yīng)該是程序的入口,004BDF68這段內(nèi)存的虛擬地址符號被分析是程序的入口。鹿采薇按照大姐標(biāo)注的說明,使用LordPE Deluxe這款工具打開已經(jīng)脫殼的木馬,再用“PE編輯器”一項中文件地址計算器計算出程序文件的相對偏移地址“000DBF68”。鹿采薇決定向一步步按照大姐的標(biāo)注作。 計算出程序的相對偏移地址,下面一步就是使用Hex Workshop打開脫殼的木馬,鹿采薇看到了打串的字符,此時她已經(jīng)一頭霧水了,不過她能夠感覺到自己要成功了,點擊右鍵,查找十六位的偏移地址頭,這里是關(guān)鍵了,鹿采薇一字一行的看這大姐寫下的批注。批注中說,由頭至尾大概150個文字塊中肯定包含著殺毒軟件進行查殺的特征碼,你需要作的僅僅是一步一步的淘汰這些代碼,可以先選擇150或者100塊字段,然后將這些字段規(guī)零,另存程序后,使用殺毒軟件進行查殺,當(dāng)然一部來說選擇的段數(shù)越大,能夠查殺到的機率也就越小。不過最終要把程序的字段確定到最精確的位置,這要反復(fù)的測試,縮小字塊的范圍。 30分鐘過去了,鹿采薇按照大姐的批注將字段范圍縮小到了塊DB367,這應(yīng)該就是殺毒軟件所分析到的那段特征碼。鹿采薇將這段代碼牢牢的記住,按照下一步打開反匯編工具W32Dasm對木馬進行反匯編操作,通過找到的DB367的字段,鹿采薇在W32Dasm反匯編的文件也趙到了相應(yīng)的代碼字段: mov dword ptr [ebp-18],eax mov dword ptr [ebp-14],eax 這時遇到了鹿采薇最頭疼的事情,她必須明白這段反匯編程序的意思才能對程序進行修改,否則錯誤的修改很可能導(dǎo)致程序不能夠正常運行。教程中并沒有解釋這些反匯編的字段的意思。還好,互聯(lián)網(wǎng)發(fā)達的今天,沒有什么找不到的,搜索! 鹿采薇開始一段一段的搜索每一個代碼的意思,并并翻查相關(guān)的文檔進行標(biāo)注解釋。在明白了程序大概是在這里清零之后,她開始嘗試性的修改變換程序代碼的先后順序,替換完畢之后,并沒有向預(yù)想的那樣成功,程序甚至無法打開,的確這里才是最關(guān)鍵的地方,前面的一切之不是找尋到了寶藏的地圖,但是要看懂地圖并找到寶藏的埋藏位置才是關(guān)鍵中的關(guān)鍵。 何去何從?對照這反匯編的手冊,鹿采薇開始一步一步的嘗試…… 尾聲 聽雨感到異常的悲傷與恐懼,他一直將采薇當(dāng)作妹妹一樣看待,然而沒有想到今天他卻要在此選擇愛人還是親人……他不知道雪柔和鹿采薇只見誰流淌更多善良的血液,難道黑客真的要不斷的征服才能面遭時刻被淘汰的厄運嗎?聽雨迷盲的看著前方…… 不過他只看到故事開頭,卻永遠沒有猜透那個結(jié)尾…… 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機站 關(guān)于本站
