揭不开的面具
地点:某网吧内
事件:她出现了,他终于等到了这一刻。经过了三天四夜的情感长跑,诱惑不断地在他心中加深。他不想等待了,时间对于他来说漫长而没有任何意义。
他在电脑前思索了许久,终于决定动手,他想看清她的脸,那一定是一张具有诱惑力的脸。但是几日下来,他仍然无法通过她的QQ视频聊天请求,他不想等待了,他决定冒险一试。
他早就听说过QQ强行视频聊天工具,据说这个工具可以强行开启对方的摄像头,进行强制性的视频聊天,由不得对方不同意。他找到了这款软件的下载地址。软件界面出现后他点击帮助大致看了一下,使用方法很简单,在软件的绑定昵称处添加上自己的QQ昵称,然后点击“生成视频木马”的按钮,一个QQ强行视频聊天的EXE木马文件就生成了。他知道如果就这样发给她,那么对方一定会对程序产生怀疑,他必须要让木马躲过她的病毒防火墙。
他很了解让木马躲过防火墙的方法——给木马进行压缩加壳加密。他没有选择常用的UPX,他选择了PECompact2这款软件,他觉得这样更加安全。至少这款软件不在大多数公众的视线内。他迅速地将生成的客户端进行了压缩加壳,完成后他打开自己的防火墙进行测试,没有发现病毒!他满意地笑了。不过他还需要在自己的计算机上进行测试,他开启网吧中的另外一台电脑,执行了这个压缩过的木马,这时被绑定的QQ不断地开始接收到另外一个QQ的视频请求,无法停止,他点击接受请求后,被植入程序的木马开始工作了,视频程序启动,他在屏幕上看到了自己的脸。
他将木马发给了她,她问他这是什么,他没有回答她。5分钟之后她的QQ开始向他请求视频连接,他慌忙地通过连接,然而那张脸在屏幕上闪动了一下就消失了,她关闭了QQ……
挥动翅膀的鸽子
时间:2004年8月30日
地点:家中
事件:计划失败了,那个QQ强行视频太过于明显了,当她看到自己QQ上出现的自己的脸时,第一个反应就是关掉QQ。他不会就此罢手,他继续等待着下一次动手的机会。
他知道自己当初选择了错误的决定,竟然用那么一个垃圾软件。他很懊悔,应该选择一个更好的,选择一个更隐蔽的、更不容易被发现的。终于他等到了机会,他看到了刚刚发布不到两天的最新版的灰鸽子,他下载了这个代号为20040826的灰鸽子软件,这是一款真正的远程控制软件,他需要的就是这样的软件。同样具有视频的远程控制,而且它更加强大,并不仅仅局限于视频的开启。不过最关键的是,现在没有任何杀毒软件可以查杀这款刚刚发布的灰鸽子。
这是他第二次使用这款软件。他开始观察这款刚发布的灰鸽子,“视频控制”这个新增的功能,正是可以替代QQ强行视频聊天木马的功能。他显得非常的兴奋,他决定将这款木马作为新的武器,他开始行动了……
首先要配置木马的客户端。客户端自动上线功能是用来控制她的电脑,并且了解她电脑的IP地址的重要选项。他点击打开“自动上线”,这一项中有两个选择,第一个可以选择使用网易免费提供的域名转接,第二项则可以利用自己的网页空间来做对方上线提醒之用。再三权衡下,他选择了使用网易的免费域名转接,这是最快,最方便的,更关键的是他已经没有时间去申请网页空间了,也许15分钟之后她就会退出QQ。他点击“打开网易免费域名更新IP”,迅速点选了“.126.com”这个选项,他决定申请126的域名。在“域名:”的后面随便起了一个复杂的数字串名称,密码一切从简,hacker这六个字符就不错。点击注册之后仅仅过了10秒钟,灰鸽子自动上线对话框的左下角就显示出了“注册域名成功”。这个域名已经是他的了。
他关闭了自动上线设置,开始配置灰鸽子的服务端,要通过服务端来控制她的程序,所以在配置时需格外谨慎。他打开“配置服务器程序”,弹出的窗口告诉他,第一项必须先配置好自动上线的域名转接。时间一分一分地过去了,汗水开始从他的额头上流下,她留给他的时间已经不多了。他迅速看了一下说明,第一行应该是填写刚才申请的126域名,第二行应该是填写密码,这个密码不是126域名的密码,而是客户端在连接服务端时需要用的密码,不过也无所谓,他毅然选择hacker作为密码。
接下来是配置安装选项。他清楚这是木马能否巧妙隐藏的关键。他思索许久,决定将安装名称定为“vcdplay.exe”,伪装成Windows内的VCD播放程序。他发现,新版的灰鸽子中多了一个程序启动后自动记录键盘的功能,太好了,他要知道她的QQ密码,想知道她的QQ里有多少人是他的好友,有多少人是他的仇人。他勾选上这一项后开始配置“启动项”这一页。这一页是进一步做好木马伪装的关键,灰鸽子木马要做到随机启动就必须将自己写入Windows的注册表中,但是如果用灰鸽子默认的注册表启动项目,则很容易被对方发现。他思索了一下决定将“显示名称”改为“3721”这串数字,简单而又具有伪装性。服务名称修改为“Windows Management Instrumentation Driver”,他的理由很简单,在Windows操作系统中,系统会启动Windows Management Instrumentation Driver Extensions这项服务来让操作系统与驱动程序间交换系统管理信息,改称“Windows Management Instrumentation Driver”后既不会与原有的服务重复,又有极强的隐蔽性,最后他在描述中也填写进了“与操作系统之间互相交换驱动服务”,鬼知道这是一个什么服务。完成了这最后的一项设置,他就可以得到一个完整的灰鸽子远程控制程序了。当然,对他而言是远程控制程序,而对她,这个名字应该叫木马程序。
这一次他更加小心,他不敢再贸然采取将木马直接发给对方的办法了。他先找了一个捆绑程序,将木马和一个小游戏捆绑在了一起,然后又加了一层壳。在用杀毒软件检测了几次之后他才放心。这一次一定能够成功。
致命的诱惑
时间:15分钟后
地点:家中
事件:她又出现了……
木马已经完全配置好了,他再一次发给了她,她不断地问他这是一个什么东西,他对她的回答永远只有两个字:游戏。她点了,因为他的灰鸽子中已经显示了有人上线,他迅速地点开灰鸽子的视频控制,他看到了她的脸,那么的清晰,一张缠绕着白色医用纱布的脸……
(参考链接: http://soft.yesky.com/security/hkjj/392/2009892.shtml)
|