百年中国侦探小说精选_任翔【10卷完结】(580)

阅读记录

  “鬼才知道!”

  一觉醒来,天已经彻底放晴了,阳光照在路边的积雪上,反射出刺眼的光。小区的花园里,几只宠物狗相互追逐嬉戏,早起锻炼的人三五成群地聚集在一起。我正打算开窗通风,电话响了。

  “起来了没有?”秦思伟的声音里夹杂着嗡嗡声,应该是在开车,“丁博士让我们尽快过去一趟。你赶快收拾一下,15分钟以后下楼等我。”

  一个小时以后,我们已经坐在CNCERT的机房里。丁博士看起来很疲惫,但是精神却依然饱满。

  “我们已经知道,彭勃的第一封电子邮件是在丰台区花乡附近一个叫太平洋的网吧发送的,第二封邮件是在距离太平洋不到一公里的一家叫极品速度的网吧发送的。”他递给秦思伟一张打印着数据的活页纸,“不知道对你们有没有帮助。”

  “当然有帮助了。”秦思伟如获至宝似的接过那一页白纸,“实在是太感谢您了。”

  “先别忙着说谢谢。”丁博士起身为自己沏了一杯茶,“两位,听说过‘银行大盗’吗?”

  “一种可以窃取银行账户和密码的木马。”我被他突如其来的问题问得有点糊涂。

  “基本正确。”丁博士喝了一口茶,继续说道,“去年,我是指2004年秋天,我们中心发现了一种危害和隐蔽性都很强的木马,这种木马不仅可以窃取目前国内大多数网络银行的密码,更重要的是它具有反追踪和自我毁灭的功能,所以我们费了九牛二虎的力气也没有截获到完整的木马程序。”

  “这个案子我知道。”秦思伟点点头,“全国有好几百个受害者被人掏空了银行账户,但是我们一直没有找到可以突破的线索。而且犯罪分子在猖獗了三个多月后突然就偃旗息鼓了,从此再也没有任何消息。”

  “关键是我们到现在也不知道这个木马的传播途径和它的来源。”丁博士继续对我们进行网络安全技术教育,“我一直怀疑,它不是传统的利用捆绑或者拼合方式入侵的木马……”

  “不好意思,博士。”我终于忍不住打断了他的滔滔不绝,“这跟凶杀案有关系吗?”

  “我也不知道和谋杀是否有关,但是昨天我们打开的security文件夹里的三个文件夹中有一个是‘魔力彩虹’的源程序,另外两个就是‘银行大盗’的用户端和服务器端程序的代码。”丁博士摘下眼镜,用一块绒布轻轻地擦拭着。

  “您能确定吗?”秦思伟的惊讶溢于言表。

  “我能确定吗?我当然能确定。根据我的分析,木马的开发者把它嵌入了‘魔力彩虹’的代码之中,在用户安装游戏的时候也就自动安装了‘银行大盗’。木马设计了IE关联,当用户启动IE进入网上银行系统的时候,木马会自动运行,记录下用户名和密码,然后发送到服务器端。”

  “目前流行的木马,特别是盗取密码的木马,差不多都是这样的。”我的好奇心又被勾起来了,“这个木马有什么特别之处吗?”

  “这是一个应用了远程线程动态嵌入技术的dll木马,它通过提升权限的方法把interinfo.exe这样的系统进程当成自己的宿主进程。因此发现和查杀都十分的困难。”

  “远程?线程?动态?dll?”秦思伟一下子听到这么多术语,表情一片茫然。

  “动态嵌入是dll木马使用的一种技术,而远程线程技术是实现动态嵌入的一种方式。”我只好用比较通俗的语言解释给他,“理论上来说,每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的。但是实际上,黑客仍然可以利用诸如动态嵌入这些方法进入并操作进程的私有空间,也就拥有了与那个远程进程相当的权限。这样做的目的,是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。”

  “正确。”丁博士颔首微笑,“不过这个木马最让我吃惊的地方是,它还采用了类似三线程的机制实现自我保护。”

  “不是远程线程吗?怎么又三线程了?”秦思伟越听越糊涂了。

  “是这样的。”我继续给他扫盲,“最近一段时间,很多黑客采用了三线程这种技术保护自己的木马。简单地说,就是将想执行的代码放在进程的主线程里,然后再生成两个辅助线程,一个驻留在主进程体内,另一个通过创建远程线程驻留到其他正在运行的进程体内。驻留主进程体内的辅助线程同时观察注册表和远程进程的情况。驻留在远程进程体内的辅助进程则监视主进程的运行情况。如果主进程被kill了,它会确认程序的可执行文件是否也被删除掉了。如果系统目录下的可执行文件不存在了,则用备份的文件恢复可执行文件,然后再重新启动。不过博士,dll木马本身是非进程的木马,怎么会又用到三线程呢?”

  “它使用的是类似的机制。”丁博士推了一下眼镜,“在宿主进程里开启一个监视线程,一旦发现被扫描或者追踪,就启动自我毁灭的机制。然后,他们在‘魔力彩虹’里启动了一个远端线程,作用就是在木马毁灭以后,在适当的时候自我恢复。”

52书库推荐浏览: 任翔