放假啦！放假啦！憋了這么久，現(xiàn)在終于可以趁暑假在家里好好玩一下黑客技術(shù)了。當(dāng)我打開(kāi)自己電腦中的“黑洞”木馬客戶端時(shí)，發(fā)現(xiàn)以前萬(wàn)“雞”奔騰的場(chǎng)面已經(jīng)不復(fù)存在。唉！都怪前段時(shí)間忙于高考，沒(méi)有對(duì)自己的“肉雞”進(jìn)行跟蹤，以至于大量的“肉雞”都丟失了。正好現(xiàn)在有時(shí)間，我可以進(jìn)行新一輪的抓雞操作了。那通過(guò)什么方法來(lái)捉“肉雞”呢？無(wú)意間看到電腦桌面上有一個(gè)“豬豬貓”出品的GhostWinXP鏡像文件，靈感來(lái)了……

小知識(shí)更新

肉雞

這可不是指我們飯桌上吃的那種家禽喲！它是指那些被黑客攻破，被植入遠(yuǎn)程控制木馬的電腦。如果這類電腦大量地被一個(gè)遠(yuǎn)程控制終端所控制，就會(huì)形成僵尸網(wǎng)絡(luò)，也被稱為“肉雞軍團(tuán)”。利用它，黑客就可以任意地對(duì)某個(gè)網(wǎng)站或論壇發(fā)起攻擊。與以前純粹的技術(shù)炫耀或惡作劇不同，現(xiàn)在“肉雞軍團(tuán)”的攻擊多用于廣告點(diǎn)擊或流量刷新等灰色商業(yè)服務(wù)。

突發(fā)靈感捉“肉雞”

大家現(xiàn)在都喜歡用Ghost來(lái)安裝操作系統(tǒng)，因?yàn)榘惭b速度很快，一個(gè)WinXP只需要幾分鐘就能安裝完畢。而目前網(wǎng)上流行的Ghost鏡像文件也很多，如番茄花園、雨林木風(fēng)、深度和豬豬貓等，可謂品種豐富。于是我就設(shè)想，利用小編輯工具對(duì)這些Ghost鏡像文件進(jìn)行修改，比如在其中藏匿木馬，然后再發(fā)布到網(wǎng)上，這樣凡是下載并用它來(lái)安裝操作系統(tǒng)的電腦都將成為我手中的一只“肉雞”。哈哈，如果這一招可行，互聯(lián)網(wǎng)上將掀起一陣血雨腥風(fēng)！

著手驗(yàn)證可行性

首先，找一把用于編輯Ghost鏡像文件的“屠龍刀”。雖然很多軟件都可以對(duì)Ghost鏡像文件進(jìn)行編輯，但我最終還是選擇了其官方推出的GhostExplorer（下載地址：http://www.crsky.com/soft/2790.html），因?yàn)槲蚁霙](méi)有誰(shuí)能比官方更加了解Ghost的文件結(jié)構(gòu)。

運(yùn)行Ghost Explorer后，點(diǎn)擊工具欄中的“打開(kāi)”按鈕導(dǎo)入需要編輯的Ghost鏡像文件，而我導(dǎo)入的自然就是那個(gè)“豬豬貓”的Ghost WinXP鏡像文件。在類似于資源管理器的窗口中，可以清楚地看到Ghost鏡像文件中的內(nèi)容。在Ghost Explorer窗口中點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單里可以看到“提取”、“加載”、“剪切”和“增加”等命令（如圖1）。如果說(shuō)前面的設(shè)想只是理論上的，那么現(xiàn)在已經(jīng)證明我的想法具有可行性。

木馬巧妙入鏡像

現(xiàn)在是萬(wàn)事俱備，只欠“木馬”。其實(shí)木馬程序我早就準(zhǔn)備好了，就是我以前常用的“黑洞”木馬（如圖2），它可以突破大多數(shù)殺毒軟件的主動(dòng)防御功能。

可是，新的問(wèn)題又出現(xiàn)了！Gh o s tExplorer只能對(duì)文件進(jìn)行修改，并不能對(duì)系統(tǒng)注冊(cè)表進(jìn)行修改。要知道，注冊(cè)表對(duì)絕大多數(shù)的木馬程序來(lái)說(shuō)非常重要。因?yàn)樽?cè)表的啟動(dòng)項(xiàng)中有大量的軟件啟動(dòng)項(xiàng)，而木馬可以利用它們搭“順風(fēng)車”，在電腦啟動(dòng)時(shí)悄悄地自動(dòng)加載。

怎么辦呢？好在“條條大路通羅馬”，WinXP系統(tǒng)的開(kāi)始菜單中，不是有一個(gè)啟動(dòng)文件夾嗎？我今天就利用它。首先，在Ghost Explorer窗口中，展開(kāi)Ghost鏡像文件里的啟動(dòng)文件夾所在路徑，即“\\Documents and Settings\\All Users\\「開(kāi)始」菜單\\程序\\啟動(dòng)”（注：“All Users”可換成默認(rèn)的管理員賬戶）。然后，點(diǎn)擊右鍵菜單中的“添加”命令，在彈出窗口中導(dǎo)入我準(zhǔn)備好的“黑洞”木馬程序文件，將之添加到Ghost鏡像文件里（如圖3）。這樣的它，是能夠隨系統(tǒng)啟動(dòng)而自運(yùn)行的喲！

現(xiàn)在這個(gè)“豬豬貓”的Ghost WinXP鏡像文件就“加工”完畢了，通過(guò)BT等方式我可以輕易地將它傳播出去。當(dāng)不明真相的網(wǎng)友下載并用它安裝系統(tǒng)之后，一旦重啟，其啟動(dòng)文件夾中的“黑洞”木馬就會(huì)自動(dòng)運(yùn)行，這樣它就成功地植入到這臺(tái)電腦里去了。你說(shuō)這樣的電腦想不成為我的“肉雞”，行嗎？

再接再厲搞偽裝

看到這里，可能有讀者不以為然，覺(jué)得以后在安裝系統(tǒng)前檢查一下鏡像文件里的啟動(dòng)文件夾，不就萬(wàn)事大吉了嗎？別高興得太早，來(lái)看看我的“殺手锏”吧！

WinXP自帶了很多常用的小工具，比如記事本、注冊(cè)表和計(jì)算器等?，F(xiàn)在我只需要將“黑洞”木馬和這些工具中的一個(gè)進(jìn)行捆綁，然后用捆綁生成的EXE文件去替換鏡像文件中的原文件即可。

首先，運(yùn)行一個(gè)捆綁器軟件（此類軟件很多，大家可以到網(wǎng)上搜索下載，功能和操作方式都大同小異）。因?yàn)槲掖蛩憷壍氖亲畛Ｓ玫挠浭卤疚募跃忘c(diǎn)擊捆綁器軟件的“添加文件”按鈕分別導(dǎo)入了“黑洞”木馬的程序文件和記事本文件。然后，“指定釋放路徑”設(shè)置為“%windir%”，它代表系統(tǒng)中的Windows目錄。接著，選中窗口里的“刪除自己”選項(xiàng)，這樣捆綁文件運(yùn)行后就會(huì)“自我銷毀”，不在系統(tǒng)中留下任何痕跡。最后，最牛的地方出現(xiàn)了！那就是我可以把記事本文件的版權(quán)信息“克隆”到捆綁文件中去。選擇記事本文件，打開(kāi)右鍵菜單中的“屬性”命令，將其“詳細(xì)信息”標(biāo)簽中的每一項(xiàng)都復(fù)制到捆綁器的“文件版本”中（如圖4）。點(diǎn)擊“捆綁合成”按鈕，即可惟妙惟肖地生成一個(gè)偽裝成記事本的EXE捆綁文件?，F(xiàn)在按照前面介紹過(guò)的方法用Ghost Explorer打開(kāi)Ghost鏡像文件，刪除其Windows目錄中的記事本文件，然后再把捆綁文件同名添加進(jìn)去即可。這樣當(dāng)用戶用此Ghost鏡像文件安裝系統(tǒng)后，只要一運(yùn)行“記事本”，該捆綁文件就會(huì)立即分解為木馬和記事本兩個(gè)文件。然后，木馬就在后臺(tái)悄悄運(yùn)行并植入用戶系統(tǒng)，而記事本就在前臺(tái)用戶的眼前正常地運(yùn)行，整個(gè)過(guò)程不會(huì)引起用戶的任何懷疑……

認(rèn)準(zhǔn)官方來(lái)下載

看了以上的內(nèi)容，你是不是對(duì)用Ghost鏡像文件來(lái)安裝操作系統(tǒng)的安全性心存疑慮了呢？這——就對(duì)了！因?yàn)檫@就是我寫(xiě)本文的目的，即不是教你如何去害人，而是通過(guò)模擬演示，揭示網(wǎng)上流行的Ghost鏡像文件潛在的危害，幫助大家提高電腦安全意識(shí)。

現(xiàn)在我們都喜歡用Ghost鏡像文件來(lái)安裝操作系統(tǒng)，這是沒(méi)錯(cuò)的！畢竟它給我們帶來(lái)了很多方便，節(jié)省了很多安裝時(shí)間。但是，當(dāng)你在下載時(shí)，最好從它們各自的官方網(wǎng)站下載，并且下載完成后要檢查其文件的MD5值（如圖5），必須要和其官方公布的一致才行。其他地方下載的、文件MD5值對(duì)不上的，建議都不要安裝，因?yàn)樗鼈兒苡锌赡苁潜缓诳托薷倪^(guò)的。