代码遗梦
网络通信
《黑客营传奇》大结局
其实他们都是性情中人,他们中的多数又并不够聪明,特别是在感情这方面。他们希望借助网络,利用手中的技术所赋予他们的无限权力来补偿自己失落的爱情,然而其结果必定是迟到的灭亡……
后门的秘密
再过几天就是圣诞节了,她清楚地感觉到离目标越发接近了。她也开始在心中感念父亲的辅佑,那段遗失了多年的代码,那段让她父亲为之献出生命的代码马上就可以浮现在她的面前。为了这段权力与罪恶的代码,她付出了太多太多,听雨几乎与她分道扬镳,雪柔被人误刺重伤,生死未卜,就连平时最听她话的鹿采薇也已经三天没有给她来电话了。此时此刻连夏如兰自己都不知道,她为这段代码所做的牺牲值不值得。
他是她的最后一个目标,不过他很幸运,他清楚自己已经被鹿采薇那个小丫头种了木马,他已经杀掉了第一个木马;不过他也知道鹿采薇种第一个木马是为了进行大姐第二个木马的隐藏工作,藏得深不可测。他一直在寻找那个后门被隐藏在什么地方,他知道现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动的。但是这种自启动模式不是很隐蔽,稍微懂点安全的人都会通过各种手段和途径来查看RUN的键值。不过对于注册表的搜寻让他一无所获……
雷轨不是那么容易对付的,鹿采薇很清楚,所以她使用了连环计。她并没有用传统的注册表启动键,而是启动了隐秘的系统服务,通过自启动的服务让自己的后门神不知鬼不觉地开启着。她已经修改了注册表中跟系统服务所关联的关键键值,她的思路很清晰,Windows中的很多东西都是跟注册表息息相关的,自然系统服务也不例外。无论是Windows用来进行Update的Automatic Updates还是杀毒软件中的自动升级,很多都是依靠系统后台的服务来进行操作的,而这一切都隐藏在注册表的以下几个项目中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
在这几个项目中,她早对这些键值的情况了然于胸,她在其中的一个键值新添加了一个名为Heikeying的新项,这一项添加完成之后会成为系统服务的名称。她随后在Heikeying这个新建项中又新建了一个字符串的键值,将键值命名为Displayname的默认值,数值数据依然为Heikeying。只要详细修改注册表的每一个步骤就可以将任何一个木马做成系统服务所能够启动的木马,当然也包括一些DLL之类的后门。
系统服务并不是很难修改,其实她可以用更加简单的Netservice这款工具来进行傻瓜化的修改,但是她并不屑于用那样一种方式进行服务的修改。她固执地认为,那样就玷污了Hacker神圣的精神含义。她翻开自己找到的关于注册表修改的详细步骤,开始一项一项地详细修改起来(见表)。
对抗Windows 2000
他用的并非Windows XP,显然是Windows 2000的系统。在这种情况下直接添加这个键值就需要写一个新的Reg文件来直接运行注册系统服务,虽然整个过程比较繁琐复杂,但是这毕竟是最后的胜利了。在Reg文件中,ImagePath这一项必须用HEX的16进制来填写,她调出WinHEX这个软件,在里面输入了木马的路经c:\winnt\system32\heikeying.exe,进行了以下转换:63,3A,5C,77,69,6E,6E,74,5C,73,79,73,74,
65,6D,33,32,5C,68,65,69,6B,65,
79,69,6E,67,2E,65,78,65(所有数字需要用逗号隔开)。
随后她打开记事本,敲入了Reg文件需要的内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SRVTEST]
“Type”=dword:00000010
“Start”=dword:00000002
“ErrorControl”=dword:00000001
“ImagePath”=hex(2):63,3A,5C,77,69,6E,6E,74,5C,73,79,73,74,65,6D,33,32,5C,68,65,69,6B,65,79,69,6E,67,2E,65,78,65
“DisplayName”=“SRVTEST”
“ObjectName”=“LocalSystem”
“Description”=“黑客营传奇”
输入完成后,她将这些信息另存为heikying.reg,一个以REG为后缀的注册表文件,然后通过第一个木马的DOS模仿功能(灰鸽子等很多木马均有此功能),输入regedit /s heikeying.reg命令,将注册表信息成功地添加到了注册表中,服务添加成功了,此时大姐已经不再担心他重新启动并把木马查杀掉了。
提示:对于Windows 98,注册表结构是不一样的,但是Windows 98仍然可以通过注册表来实现添加系统服务,而且还要更简单一些。在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。如果程序的名字叫做“Heikeying”,就建立一个名为“Heikeying”的字符串数值,然后在数据域中输入执行程序的完整路径。
万能钥匙
雷轨坐在机场的VIP候机室焦急地等待着送雪柔的急救车,突然,夏如兰推门而入,游魂般一语不发地坐在他对面,与他面面相觑,谁都不知道该如何开口。
“你真的要走吗?”夏如兰打破了沉默,控制住自己的泪水,准备迎接那最坏的答案。
“……你还记得那段代码吗?”雷轨望着夏如兰
“怎么会忘记呢!”
“那段代码的主人是我的恩师,他在临死之时让我将代码秘密地打碎,为的就是让他的这段代码不至于造成更大的危害。恩师最后嘱托我照顾她惟一的女儿──夏如兰。”雷轨看着窗外的机场,接送雪柔的飞机已经来了,听雨在飞机前向候机室拼命地向他挥着手。
夏如兰眼中充满了泪水,“你为什么不早说,我以为你是……”
“不要说了,代码的合并程序就在这台笔记本电脑中,你拿去吧。”雷轨将一台笔记本电脑扔在了候机室的沙发上,头也不回地走进了安检通道向飞机走去。
夏如兰凝视着桌子上的笔记本电脑,她坐到桌前打开了它。操作系统是Windows XP,设了系统密码,雷轨就是雷轨,最后一次相见也不忘考验夏如兰,给她开了这样一个玩笑。Windows 2000下,可以用删除SAM文件的方法进入,不过眼下的系统是Windows XP,如果贸然删除SAM文件会造成系统完全崩溃,但是这个难题显然无法难倒夏如兰,她取出随身携带的CD包,将一张系统启动盘拿出,这张盘中包含有一个名为ERD2003的迷你操作系统。
她用ERD2003将系统引导起来,进入了这个界面与Windows XP很相像的系统中,一路点击Yes以后ERD2003弹出窗口提示要求她选择从硬盘中搜索出的Windows系统,夏如兰选择了Windows XP进入了ERD2003的界面,接下来,她点击Start下的Administrative Tools选项,选中Locksmith,进入了强行修改密码的界面,在弹出的界面中提示了可以修改的用户名,夏如兰强行修改了新的密码,轻轻点击Next结束修改,在重新启动系统之后,再一次回到了Windows XP的界面,输入了密码之后,她成功地进入了Windows XP……
“现在播报新闻,29日9点20分左右,一架由中国飞往美国旧金山的小型客机起飞后在太平洋坠毁,机上9名成员全部遇难……”
魂断太平洋
“听雨……过来,把手给我!爱上你是我一生最大的幸福,也是一个巨大的……错误。”我早就知道,可我不愿承认也不敢承认。现在懂了,我们根本不可能,这么些年支撑我的只有盼望中的美好生活。因为我爱你,而且是真诚的,听雨,请相信我……听雨,我们如果活下去,我们有……希望吗?”
“……有!”
“真的?”
……