驚堂木“啪”的一聲響起，話說(shuō)上回大牛為了了解自己的情敵，通過(guò)各種關(guān)系以及兄弟們的幫助，最終取得了情敵在論壇中使用的賬號(hào)密碼。于是從那天開始，大牛每天都用一些時(shí)間，泡在論壇中查看情敵的最新發(fā)帖和站內(nèi)短消息。總之一句話，為了贏得美女的芳心，大牛已經(jīng)到了“無(wú)所不用其極”的地步。

情敵報(bào)復(fù)，險(xiǎn)中木馬

話說(shuō)這天下午，我正在寢室里玩《魔獸爭(zhēng)霸》，只聽見大牛一聲大叫：“這小子！也太不地道了，居然給我傳了一個(gè)病毒?？次也话堰@小子……”原來(lái)，大牛電腦上的《金山毒霸2008》剛剛提示他訪問的網(wǎng)頁(yè)含有病毒，所以他不禁破口大罵（如圖1）。這時(shí)老大渾厚的聲音傳來(lái)：“大牛，這是寢室，要注意素質(zhì)?。　蔽腋械狡婀?，便問：“那小子怎么知道是你啊？”

大牛老老實(shí)實(shí)地交代：“最近我不是在跟蹤這小子嘛！發(fā)現(xiàn)他對(duì)我的女神心懷鬼胎，于是就發(fā)短消息警告他，結(jié)果今早他給我發(fā)來(lái)一個(gè)網(wǎng)頁(yè)鏈接，要我按照這個(gè)方法和他單挑。我當(dāng)然是二話不說(shuō)就點(diǎn)擊了鏈接，結(jié)果誰(shuí)知道打開的網(wǎng)頁(yè)上居然有病毒！”“你也太穩(wěn)不住了，這明明就是激將法啊！不過(guò)這小子的確不地道?！蔽乙查_始為大牛憤憤不平。

撥繭抽絲，找出黑手

這時(shí)老大走過(guò)來(lái)，開口說(shuō)道：“大牛，不如我們順勢(shì)而為，看看那小子到底想干什么。正所謂‘舍不得孩子套不著狼，舍不得媳婦套不著流氓’嘛！我看他放的是個(gè)Flash病毒，這病毒會(huì)通過(guò)Flash漏洞來(lái)下載很多木馬病毒到你的電腦中。這種手法最近在網(wǎng)絡(luò)中非常流行！”只見老大坐下后，迅速打開《金山毒霸2008》，點(diǎn)擊“工具”菜單中的“病毒隔離系統(tǒng)”命令，然后在彈出窗口中查看剛剛隔離的Flash病毒（如圖2）。然后，點(diǎn)擊“操作”菜單中的“還原為”命令，這樣就可以將病毒還原到指定的位置。

老大繼續(xù)說(shuō)：“還原成功以后，就可以對(duì)Flash病毒文件進(jìn)行反編譯，從中找出那些木馬病毒的下載地址了。要注意，有的Flash文件中并非含有惡意代碼，它是通過(guò)腳本函數(shù)loadMovie()來(lái)載入另一個(gè)含有惡意代碼的Flash文件，從而實(shí)現(xiàn)掛馬的……”聽了這些，大牛感嘆道：“看來(lái)今天的破解和前幾次的不一樣，得先從加密的文件代碼中找到幕后黑手。”

這時(shí)只見老大從網(wǎng)上搜索并下載了一款名為Imperator FLA的Flash反編譯軟件。運(yùn)行它后，先點(diǎn)擊“選擇SWF文件”按鈕導(dǎo)入Flash病毒文件，接著點(diǎn)擊“保存FLA文件”按鈕來(lái)保存反編譯后的文件（如圖3，按鈕上的LFA字樣可能是漢化者的筆誤），此時(shí)程序會(huì)自動(dòng)進(jìn)行Flash病毒文件的反編譯操作。

老大又運(yùn)行了一款十六進(jìn)制工具C32Asm。點(diǎn)擊其菜單“文件→打開十六進(jìn)制文件”，導(dǎo)入反編譯后生成的FLA文件。接著點(diǎn)擊“搜索→搜索”命令，在窗口中的“類型”里選擇“ANSI字符串”，在“搜索”選項(xiàng)中輸入“http”（如圖4）。點(diǎn)擊“下一個(gè)”按鈕，我們很快就看到一個(gè)網(wǎng)絡(luò)鏈接地址，這就是Flash病毒將要下載的木馬病毒文件（如圖5）。

看了老大這一連串的操作以后，大牛悄悄地向我低聲問道：“老三，這個(gè)木馬病毒怎么是一個(gè)CSS文件??？按理說(shuō)應(yīng)該是EXE可執(zhí)行文件才對(duì)嘛！是不是老大搞錯(cuò)了？”我也低聲回答大牛：“沒錯(cuò)的，你沒有注意到這段地址上面有個(gè)exe文件標(biāo)志嗎？雖然要下載的是CSS文件，但是在下載過(guò)程中就另存為EXE文件了?！甭犃宋业慕忉屢院?，大牛大聲地向老大感嘆道：“老大，我們終于破解了這個(gè)Flash病毒的‘密碼’，看來(lái)這小子為了用木馬來(lái)害我，也真是煞費(fèi)苦心?。　?/p>

暗藏玄機(jī)，柳暗花明

老大回道：“還沒完！我得用下載軟件把這個(gè)文件下載到系統(tǒng)里面，再分析分析?！焙芸煳募拖螺d完成了，老大起身，讓我?guī)退M(jìn)行分析。我坐下后，在網(wǎng)上搜索并下載了《超級(jí)巡警虛擬機(jī)自動(dòng)脫殼機(jī)》。使用這個(gè)軟件，我就可以查看這個(gè)木馬病毒文件是否進(jìn)行了加殼，如果有加殼就直接用它脫殼。利用鼠標(biāo)拖曳木馬病毒文件在其窗口上釋放，結(jié)果程序檢查結(jié)果為“無(wú)法識(shí)別或識(shí)別錯(cuò)誤”?？吹杰浖@樣的提示，大牛在一旁變得比較低落。

我心想這家伙果然厲害，這文件到底是用什么東西進(jìn)行偽裝的呢？突然，我無(wú)意間看到桌面上的WinRAR圖標(biāo)，一下子就反應(yīng)了過(guò)來(lái)——現(xiàn)在很多人喜歡用WinRAR進(jìn)行病毒文件的捆綁加密。于是，我立即在這個(gè)文件上點(diǎn)擊鼠標(biāo)右鍵，但并沒有出現(xiàn)預(yù)想中的WinRAR解壓菜單項(xiàng)。這時(shí)老大的一句話提醒了我：“聽說(shuō)加殼程序可以進(jìn)行變異，你說(shuō)這是不是因?yàn)檫M(jìn)行了變異，所以怎么也檢查不出來(lái)??？”

我知道，如果黑客想變異一個(gè)帶病毒的RAR自解壓文件，就必須修改文件中的某些字符串。于是我馬上運(yùn)行編輯工具C32Asm，點(diǎn)擊其菜單“文件→打開十六進(jìn)制文件”，導(dǎo)入這個(gè)木馬病毒文件。接著，我點(diǎn)擊“搜索→搜索”命令，在彈出窗口中的“類型”里選擇“十六進(jìn)制”，在“搜索”選項(xiàng)中輸入“807A0160”。果然，很快就搜索到這串代碼，由此可以證明這的確是一個(gè)經(jīng)過(guò)變異的RAR自解壓文件。于是我在搜索結(jié)果中將60還原成61。按照同樣的方法，再搜索十六進(jìn)制值的“526072211A07”，把其中的60也還原成61。修改完成后，解壓成功！我發(fā)現(xiàn)里面有一個(gè)BAT批處理文件和一個(gè)EXE可執(zhí)行文件。

用“記事本”打開這個(gè)批處理文件，發(fā)現(xiàn)上面寫的是被大家稱為史上最牛的批處理代碼！此代碼可以通過(guò)結(jié)束殺毒軟件的啟動(dòng)服務(wù)或進(jìn)程，來(lái)達(dá)到保護(hù)木馬，讓其成功入侵的目的。毋庸置疑，另一個(gè)可執(zhí)行文件就是真正的木馬病毒。這到底是什么木馬病毒呢？我又運(yùn)行了一款資源修改軟件Restorator，點(diǎn)擊工具欄中的“打開文件”按鈕導(dǎo)入了木馬病毒文件。很快我就在其資源樹的“RC數(shù)據(jù)”中發(fā)現(xiàn)了一個(gè)“HACKER”項(xiàng)，這就說(shuō)明它是大名鼎鼎的“灰鴿子”木馬病毒（如上圖6）。而在右側(cè)窗口中，還可以看到一串字符信息。這是經(jīng)過(guò)加密的木馬服務(wù)端配置信息，即大牛那情敵的電腦IP地址、連接端口和代理服務(wù)等信息。

繼續(xù)追擊，瘋狂報(bào)復(fù)

“想報(bào)復(fù)嗎？”我問大牛?！爱?dāng)然，能不嗎？”大牛反問道。首先，我將前面的加密信息復(fù)制出來(lái)，用“記事本”整理成每行32個(gè)字符，再將前兩行字符復(fù)制（這64個(gè)字符中包含了加密的對(duì)方IP地址信息）。然后，在電腦中安裝一個(gè)“灰鴿子”客戶端，用C32Asm打開它，并搜索“D8E23CF3EA4CDCF3546D13F8A2F874599FB28763F6A790F7ABCB95BA6E213F32”字符串。接著，用復(fù)制的那兩行字符去替換搜索到的字符串，并保存。最后，運(yùn)行客戶端，查看標(biāo)題欄，就可以看到解密后的IP地址信息了。有了大牛情敵的IP地址，我就可以展開IP地址攻擊了！只見我運(yùn)行電子炸彈程序，一陣狂轟濫炸……

欲知后事如何，且聽下回——《受提示暗放木馬，美女電腦隨便?！?。