校园密码暗战,第四回 情敌报复设陷阱,兄弟帮忙齐化解

惊堂木“啪”的一声响起，话说上回大牛为了了解自己的情敌，通过各种关系以及兄弟们的帮助，最终取得了情敌在论坛中使用的账号密码。于是从那天开始，大牛每天都用一些时间，泡在论坛中查看情敌的最新发帖和站内短消息。总之一句话，为了赢得美女的芳心，大牛已经到了“无所不用其极”的地步。

情敌报复，险中木马

话说这天下午，我正在寝室里玩《魔兽争霸》，只听见大牛一声大叫：“这小子！也太不地道了，居然给我传了一个病毒。看我不把这小子……”原来，大牛电脑上的《金山毒霸2008》刚刚提示他访问的网页含有病毒，所以他不禁破口大骂（如图1）。这时老大浑厚的声音传来：“大牛，这是寝室，要注意素质啊！”我感到奇怪，便问：“那小子怎么知道是你啊？”

大牛老老实实地交代：“最近我不是在跟踪这小子嘛！发现他对我的女神心怀鬼胎，于是就发短消息警告他，结果今早他给我发来一个网页链接，要我按照这个方法和他单挑。我当然是二话不说就点击了链接，结果谁知道打开的网页上居然有病毒！”“你也太稳不住了，这明明就是激将法啊！不过这小子的确不地道。”我也开始为大牛愤愤不平。

拨茧抽丝，找出黑手

这时老大走过来，开口说道：“大牛，不如我们顺势而为，看看那小子到底想干什么。正所谓‘舍不得孩子套不着狼，舍不得媳妇套不着流氓’嘛！我看他放的是个Flash病毒，这病毒会通过Flash漏洞来下载很多木马病毒到你的电脑中。这种手法最近在网络中非常流行！”只见老大坐下后，迅速打开《金山毒霸2008》，点击“工具”菜单中的“病毒隔离系统”命令，然后在弹出窗口中查看刚刚隔离的Flash病毒（如图2）。然后，点击“操作”菜单中的“还原为”命令，这样就可以将病毒还原到指定的位置。

老大继续说：“还原成功以后，就可以对Flash病毒文件进行反编译，从中找出那些木马病毒的下载地址了。要注意，有的Flash文件中并非含有恶意代码，它是通过脚本函数loadMovie()来载入另一个含有恶意代码的Flash文件，从而实现挂马的……”听了这些，大牛感叹道：“看来今天的破解和前几次的不一样，得先从加密的文件代码中找到幕后黑手。”

这时只见老大从网上搜索并下载了一款名为Imperator FLA的Flash反编译软件。运行它后，先点击“选择SWF文件”按钮导入Flash病毒文件，接着点击“保存FLA文件”按钮来保存反编译后的文件（如图3，按钮上的LFA字样可能是汉化者的笔误），此时程序会自动进行Flash病毒文件的反编译操作。

老大又运行了一款十六进制工具C32Asm。点击其菜单“文件打开十六进制文件”，导入反编译后生成的FLA文件。接着点击“搜索搜索”命令，在窗口中的“类型”里选择“ANSI字符串”，在“搜索”选项中输入“http”（如图4）。点击“下一个”按钮，我们很快就看到一个网络链接地址，这就是Flash病毒将要下载的木马病毒文件（如图5）。

看了老大这一连串的操作以后，大牛悄悄地向我低声问道：“老三，这个木马病毒怎么是一个CSS文件啊？按理说应该是EXE可执行文件才对嘛！是不是老大搞错了？”我也低声回答大牛：“没错的，你没有注意到这段地址上面有个exe文件标志吗？虽然要下载的是CSS文件，但是在下载过程中就另存为EXE文件了。”听了我的解释以后，大牛大声地向老大感叹道：“老大，我们终于破解了这个Flash病毒的‘密码’，看来这小子为了用木马来害我，也真是煞费苦心啊！”

暗藏玄机，柳暗花明

老大回道：“还没完！我得用下载软件把这个文件下载到系统里面，再分析分析。”很快文件就下载完成了，老大起身，让我帮他进行分析。我坐下后，在网上搜索并下载了《超级巡警虚拟机自动脱壳机》。使用这个软件，我就可以查看这个木马病毒文件是否进行了加壳，如果有加壳就直接用它脱壳。利用鼠标拖曳木马病毒文件在其窗口上释放，结果程序检查结果为“无法识别或识别错误”。看到软件这样的提示，大牛在一旁变得比较低落。

我心想这家伙果然厉害，这文件到底是用什么东西进行伪装的呢？突然，我无意间看到桌面上的WinRAR图标，一下子就反应了过来――现在很多人喜欢用WinRAR进行病毒文件的捆绑加密。于是，我立即在这个文件上点击鼠标右键，但并没有出现预想中的WinRAR解压菜单项。这时老大的一句话提醒了我：“听说加壳程序可以进行变异，你说这是不是因为进行了变异，所以怎么也检查不出来啊？”

我知道，如果黑客想变异一个带病毒的RAR自解压文件，就必须修改文件中的某些字符串。于是我马上运行编辑工具C32Asm，点击其菜单“文件打开十六进制文件”，导入这个木马病毒文件。接着，我点击“搜索搜索”命令，在弹出窗口中的“类型”里选择“十六进制”，在“搜索”选项中输入“807A0160”。果然，很快就搜索到这串代码，由此可以证明这的确是一个经过变异的RAR自解压文件。于是我在搜索结果中将60还原成61。按照同样的方法，再搜索十六进制值的“526072211A07”，把其中的60也还原成61。修改完成后，解压成功！我发现里面有一个BAT批处理文件和一个EXE可执行文件。

用“记事本”打开这个批处理文件，发现上面写的是被大家称为史上最牛的批处理代码！此代码可以通过结束杀毒软件的启动服务或进程，来达到保护木马，让其成功入侵的目的。毋庸置疑，另一个可执行文件就是真正的木马病毒。这到底是什么木马病毒呢？我又运行了一款资源修改软件Restorator，点击工具栏中的“打开文件”按钮导入了木马病毒文件。很快我就在其资源树的“RC数据”中发现了一个“HACKER”项，这就说明它是大名鼎鼎的“灰鸽子”木马病毒（如上图6）。而在右侧窗口中，还可以看到一串字符信息。这是经过加密的木马服务端配置信息，即大牛那情敌的电脑IP地址、连接端口和服务等信息。

继续追击，疯狂报复

“想报复吗？”我问大牛。“当然，能不吗？”大牛反问道。首先，我将前面的加密信息复制出来，用“记事本”整理成每行32个字符，再将前两行字符复制（这64个字符中包含了加密的对方IP地址信息）。然后，在电脑中安装一个“灰鸽子”客户端，用C32Asm打开它，并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接着，用复制的那两行字符去替换搜索到的字符串，并保存。最后，运行客户端，查看标题栏，就可以看到解密后的IP地址信息了。有了大牛情敌的IP地址，我就可以展开IP地址攻击了！只见我运行电子炸弹程序，一阵狂轰滥炸……

欲知后事如何，且听下回――《受提示暗放木马，美女电脑随便耍》。