放假啦！放假啦！憋了這么久，現(xiàn)在終于可以趁暑假在家里好好玩一下黑客技術(shù)了。當(dāng)我打開自己電腦中的“黑洞”木馬客戶端時，發(fā)現(xiàn)以前萬“雞”奔騰的場面已經(jīng)不復(fù)存在。唉！都怪前段時間忙于高考，沒有對自己的“肉雞”進行跟蹤，以至于大量的“肉雞”都丟失了。正好現(xiàn)在有時間，我可以進行新一輪的抓雞操作了。那通過什么方法來捉“肉雞”呢？無意間看到電腦桌面上有一個“豬豬貓”出品的GhostWinXP鏡像文件，靈感來了……

小知識更新

肉雞

這可不是指我們飯桌上吃的那種家禽喲！它是指那些被黑客攻破，被植入遠程控制木馬的電腦。如果這類電腦大量地被一個遠程控制終端所控制，就會形成僵尸網(wǎng)絡(luò)，也被稱為“肉雞軍團”。利用它，黑客就可以任意地對某個網(wǎng)站或論壇發(fā)起攻擊。與以前純粹的技術(shù)炫耀或惡作劇不同，現(xiàn)在“肉雞軍團”的攻擊多用于廣告點擊或流量刷新等灰色商業(yè)服務(wù)。

突發(fā)靈感捉“肉雞”

大家現(xiàn)在都喜歡用Ghost來安裝操作系統(tǒng)，因為安裝速度很快，一個WinXP只需要幾分鐘就能安裝完畢。而目前網(wǎng)上流行的Ghost鏡像文件也很多，如番茄花園、雨林木風(fēng)、深度和豬豬貓等，可謂品種豐富。于是我就設(shè)想，利用小編輯工具對這些Ghost鏡像文件進行修改，比如在其中藏匿木馬，然后再發(fā)布到網(wǎng)上，這樣凡是下載并用它來安裝操作系統(tǒng)的電腦都將成為我手中的一只“肉雞”。哈哈，如果這一招可行，互聯(lián)網(wǎng)上將掀起一陣血雨腥風(fēng)！

著手驗證可行性

首先，找一把用于編輯Ghost鏡像文件的“屠龍刀”。雖然很多軟件都可以對Ghost鏡像文件進行編輯，但我最終還是選擇了其官方推出的GhostExplorer（下載地址：http://www.crsky.com/soft/2790.html），因為我想沒有誰能比官方更加了解Ghost的文件結(jié)構(gòu)。

運行Ghost Explorer后，點擊工具欄中的“打開”按鈕導(dǎo)入需要編輯的Ghost鏡像文件，而我導(dǎo)入的自然就是那個“豬豬貓”的Ghost WinXP鏡像文件。在類似于資源管理器的窗口中，可以清楚地看到Ghost鏡像文件中的內(nèi)容。在Ghost Explorer窗口中點擊鼠標右鍵，在彈出菜單里可以看到“提取”、“加載”、“剪切”和“增加”等命令（如圖1）。如果說前面的設(shè)想只是理論上的，那么現(xiàn)在已經(jīng)證明我的想法具有可行性。

木馬巧妙入鏡像

現(xiàn)在是萬事俱備，只欠“木馬”。其實木馬程序我早就準備好了，就是我以前常用的“黑洞”木馬（如圖2），它可以突破大多數(shù)殺毒軟件的主動防御功能。

可是，新的問題又出現(xiàn)了！Gh o s tExplorer只能對文件進行修改，并不能對系統(tǒng)注冊表進行修改。要知道，注冊表對絕大多數(shù)的木馬程序來說非常重要。因為注冊表的啟動項中有大量的軟件啟動項，而木馬可以利用它們搭“順風(fēng)車”，在電腦啟動時悄悄地自動加載。

怎么辦呢？好在“條條大路通羅馬”，WinXP系統(tǒng)的開始菜單中，不是有一個啟動文件夾嗎？我今天就利用它。首先，在Ghost Explorer窗口中，展開Ghost鏡像文件里的啟動文件夾所在路徑，即“\\Documents and Settings\\All Users\\「開始」菜單\\程序\\啟動”（注：“All Users”可換成默認的管理員賬戶）。然后，點擊右鍵菜單中的“添加”命令，在彈出窗口中導(dǎo)入我準備好的“黑洞”木馬程序文件，將之添加到Ghost鏡像文件里（如圖3）。這樣的它，是能夠隨系統(tǒng)啟動而自運行的喲！

現(xiàn)在這個“豬豬貓”的Ghost WinXP鏡像文件就“加工”完畢了，通過BT等方式我可以輕易地將它傳播出去。當(dāng)不明真相的網(wǎng)友下載并用它安裝系統(tǒng)之后，一旦重啟，其啟動文件夾中的“黑洞”木馬就會自動運行，這樣它就成功地植入到這臺電腦里去了。你說這樣的電腦想不成為我的“肉雞”，行嗎？

再接再厲搞偽裝

看到這里，可能有讀者不以為然，覺得以后在安裝系統(tǒng)前檢查一下鏡像文件里的啟動文件夾，不就萬事大吉了嗎？別高興得太早，來看看我的“殺手锏”吧！

WinXP自帶了很多常用的小工具，比如記事本、注冊表和計算器等?，F(xiàn)在我只需要將“黑洞”木馬和這些工具中的一個進行捆綁，然后用捆綁生成的EXE文件去替換鏡像文件中的原文件即可。

首先，運行一個捆綁器軟件（此類軟件很多，大家可以到網(wǎng)上搜索下載，功能和操作方式都大同小異）。因為我打算捆綁的是最常用的記事本文件，所以就點擊捆綁器軟件的“添加文件”按鈕分別導(dǎo)入了“黑洞”木馬的程序文件和記事本文件。然后，“指定釋放路徑”設(shè)置為“%windir%”，它代表系統(tǒng)中的Windows目錄。接著，選中窗口里的“刪除自己”選項，這樣捆綁文件運行后就會“自我銷毀”，不在系統(tǒng)中留下任何痕跡。最后，最牛的地方出現(xiàn)了！那就是我可以把記事本文件的版權(quán)信息“克隆”到捆綁文件中去。選擇記事本文件，打開右鍵菜單中的“屬性”命令，將其“詳細信息”標簽中的每一項都復(fù)制到捆綁器的“文件版本”中（如圖4）。點擊“捆綁合成”按鈕，即可惟妙惟肖地生成一個偽裝成記事本的EXE捆綁文件?，F(xiàn)在按照前面介紹過的方法用Ghost Explorer打開Ghost鏡像文件，刪除其Windows目錄中的記事本文件，然后再把捆綁文件同名添加進去即可。這樣當(dāng)用戶用此Ghost鏡像文件安裝系統(tǒng)后，只要一運行“記事本”，該捆綁文件就會立即分解為木馬和記事本兩個文件。然后，木馬就在后臺悄悄運行并植入用戶系統(tǒng)，而記事本就在前臺用戶的眼前正常地運行，整個過程不會引起用戶的任何懷疑……

認準官方來下載

看了以上的內(nèi)容，你是不是對用Ghost鏡像文件來安裝操作系統(tǒng)的安全性心存疑慮了呢？這——就對了！因為這就是我寫本文的目的，即不是教你如何去害人，而是通過模擬演示，揭示網(wǎng)上流行的Ghost鏡像文件潛在的危害，幫助大家提高電腦安全意識。

現(xiàn)在我們都喜歡用Ghost鏡像文件來安裝操作系統(tǒng)，這是沒錯的！畢竟它給我們帶來了很多方便，節(jié)省了很多安裝時間。但是，當(dāng)你在下載時，最好從它們各自的官方網(wǎng)站下載，并且下載完成后要檢查其文件的MD5值（如圖5），必須要和其官方公布的一致才行。其他地方下載的、文件MD5值對不上的，建議都不要安裝，因為它們很有可能是被黑客修改過的。