古迹疑云之防不胜防
新实力
初到云冈,又失前蹄
飞机已经停落在陕西大同的机场之上,一路太平也让东子和王教授放松了警惕,他们在大同市找了一家宾馆入住。获得第一张地图的两人,带着愉快的心情出门散步去了。但让两人万万没有想到的是,东子那台号称设置了14位超级复杂密码的电脑,居然被人在短短的15分钟内就破解了。
是谁在那么短的时间内,就轻松破解了密码呢?
原来盗墓者已经跟着他们来到了云冈,他们扮成宾馆服务生,进入了两人入住的房间。在找到东子的电脑后,其中一名盗墓者拿出了带来的“神秘光盘”,轻易地就破解了东子的系统登录密码。
侦探解密:如何绕过系统登录密码?
说来好笑,这张神秘光盘其实一点都不神秘,光盘里面存储的不是别的软件,正是咱们非常熟悉的,带有WinPE的安装盘。可别小看这平时随处都可以买到的WinPE盘,它居然能非常方便地修改登录密码,并且还可以随心所欲地创建登录账号密码。此时的你,或许还不知道它其中的奥秘吧!
盗墓者将WinPE盘放到光驱里面,启动电脑后按住键盘中的Del键进入计算机的BIOS,并将第一启动设置为光驱启动,按F10键保存后退出。重新启动后,就进入到了WinPE盘的功能选择界面。盗墓者此时选择了菜单中的“启动WinPE”项,并在出现的模拟Windows系统中,选择“开始”菜单“程序”选项中的“Windows系统维护”子菜单。这里面就有盗墓者想要的“Windows用户密码修复”功能。
在“NT系统用户密码恢复工具”窗口里(图1),设置一下系统Windows目录的所在路径。接着点击左侧的“新建一个管理员用户”,重新设置一个用户名和密码,取出光盘,重新启动电脑,盗墓者利用新设的用户名,成功地进入了东子的电脑。接着盗墓者使用LC5这款破解程序,破解出Windows系统中所有的账号密码。然后用破解的账号,来登录王教授的电脑,并删除了破解程序,以及先前创建的系统管理员账号。
道高一尺 魔高一丈
成功进入东子电脑的盗墓者开始寻找自己的猎物,经验老道的他们首先开始扫荡各个用户名下的桌面文件,不出所料,有一个加了密的压缩文件引起了盗墓者的注意,那里面只存有一个图像文件,盗墓者赶紧把这个文件拷贝到闪存,准备拿回自己的房中开始破解。
侦探解密:如何破解压缩文件的密码?
盗墓者使用是一款叫做ARPR的RAR密码破解工具。盗墓者启动该软件后(图2),在界面上点击“已加密的RAR文件”选项后的图标,在对话框内选择要破解的RAR文件。接着要选择破解方式,软件提供了三种破解方式,包括暴力破解、掩码破解、字典破解,而盗墓者这里就在“破解方式”中选择“暴力破解”。
侦探小提示:“暴力破解”就是程序通过对可能的密码进行组合猜疑,来进行破解。“字典破解”则是利用字典文件中已知的常用密码内容,来进行破解操作。而“掩码破解”这种方法在实际操作中并不常见。
接着在界面的标签中设置密码破解所需要的选项信息。首先在“范围”标签中设置破解需要的信息,包括数字、大写字母和小写字母,也可以多选几种特殊的字符。由于盗墓者根本不知道东子的密码是多少位数,所以在“长度”标签中把密码长度设置得比较大。接下来点击界面中的“选项”标签,在“选择优先级”中设置为“前台”。这样盗墓者就可以更快地进行破解。
接着盗墓者在选择“高级”标签时,在“为其所用代码优化”选项中,设置自己电脑的CPU型号,这样在破解的时候可以得到优化。设置完成以后,点击界面上方的“开始”按钮开始了破解。
当初拿到第一块地图后兴奋的东子,将密码设置为当时的日期。而纯数字的密码,很容易被破解。不出10分钟,密码果真就被盗墓者用ARPR破解了。
谍影重重,无孔不入
诡计多端的盗墓者还在东子的电脑里面又留了一手,他们给东子的电脑安装了一种神秘的木马。当网络连通的时候,这种木马会自动联系守候在电脑另一端的盗墓者,而盗墓者可以随时轻松地进入到东子的电脑,把一切资料情报收获,而且一切发生起来是那么的悄然无息。而盗墓者使用的这款神秘的木马,就是大名鼎鼎的DRAT 2009。
侦探小提示:DRAT 2009——反弹连接木马原理
DRAT 2009属于反弹式木马。同样情况下,反弹连接可以分为“域名反弹”和“FTP反弹”两种。“FTP反弹”链接的原理是客户端程序首先远程登录到FTP服务器,而在主页空间上的文件中写入客户端电脑当前的IP地址及打开的端口,服务端程序定时用HTTP协议读取网页空间的这个文件的内容,当发现有连接时就进行主动连接。“域名反弹”的原理相对简单,服务端程序运行后主动连接一个网络域名,而本地用户通过客户端程序,及时将电脑当前的IP地址及打开的端口更新到网络域名,这样服务端程序就可以成功连接到客户端从而完成连接。
盗墓者首先运行DRAT 2009的客户端,点击工具栏中的“自动上线”按钮,在弹出的窗口选择一种反弹连接的方式。DRAT 2009提供了三种反弹连接的方法,除了上面介绍的两种方法以外,还包括一种“暗组上线通”的反弹连接方法。该方法其实是一种特殊的“FTP反弹”,只不过“FTP反弹”使用的是自己的网络空间,而“暗组上线通”使用的是暗组提供的免费网络空间。
盗墓者出于尽量少预留线索的目的,选择的是“暗组上线通”。输入“用户名”和“密码”后,点击“点击注册”按钮,盗墓者就成功地注册了一个上线通的账号(图3)。
接着盗墓者点击工具栏中的“配置服务端”按钮,在弹出窗口的“基本选项”中(图4),DRAT 2009已经设置好反弹连接的地址、端口等信息。在“高级选项”中主要设置木马的启动方式,包括替换BITS服务和新建服务两种。点击“生成”按钮,盗墓者便创建了一个服务端程序。
侦探小提示:BITS服务是系统本身自带的一个服务,本来用于随机启动系统的功能。但是被木马服务端替换以后,就会用于木马服务端的启动。新建服务,顾名思义就是新建一个全新的系统服务,用于木马服务端程序的随机启动。
在给东子电脑安装了木马后,盗墓者是如何暗中监视王教授的电脑的呢?原来这款木马,配备有强大的监控端。一旦东子的电脑连接网络,木马便会自动联系监控端,这时盗墓者在上线列表中便会出现王教授的主机信息(图5),选中后单击右键菜单就可以看到所有的控制命令,其最重要的控制命令都包括在“管理主机”命令里面,包括进程管理、超级终端、文件管理、屏幕监视等。由于他们是为了获取远程系统中的文件,所以直接点击窗口中的“文件管理”命令来进行操作。
