李围通过初中三年的自学,已经有了成为黑客的特质。同时现在进入了职中的生活,有着更系统、更专业的学校教学,李围更有机会从野路子踏入正规军。
前面我们说到,脚本小子时怎样的一群人。但是以前或许他们的破坏力只是很薄弱,但是因为一些人不小心的一个发明和改进,形成了后期很多脚本小子疯狂侵占互联网。
《远程控制》这一个名字可能很多网友,特别是现在的90后不一定知道是怎么回事。有很多的人会认为,远程控制就是QQ客户端上那个,可以远程控制别人的桌面,帮对方处理一些操作。没错,这是远程控制前期开发者的初衷,但是由于开发者“一根筋”,没有想到如果被人恶意使用的话,就会出现特别严重的情况。
“叮咚叮咚叮咚.”正在逛某个国外论坛的时候,他的防火墙突然急促响起了警报声,他马上停止了正在浏览的网页,从而关注起防火墙拦截的信息。防火墙内显示某个进程正在链接这一个国内的IP地址。此刻李围马上感觉到可能自己刚刚浏览或者下载的某个源代码被挂马了。
李围马上进行物理断开网络,从刚刚自动进行链接的进程开始查。李围发现这个主动链接国内IP的进程,应该是用了《反弹链接技术》,李围什么怎么发现的?主要是刚刚李围在看的就是一个远程控制软件的思路和分析。所以他就立马想到了这个赫赫有名的技术。
《反弹链接技术》的原理其实很简单,服务端程序运行后,主动连接一个网络域名或IP地址,而本地用户通过客户端程序及时将电脑当前的IP地址及打开的端口更新到网络域名,这样服务端程序就可以成功连接到客户端,从而完成连接。因此通过反弹连接技术就可以在互联网上轻松访问到局域网里通过NAT(透明代理)代理上网的电脑,并且可以穿过防火墙。这次这项技术没有通过李围的防火墙,只是因为李围对于自己电脑的网络链接有着非常严格的监控,因为常在河边走哪有不湿鞋的道理李围是非常明白的。
李围马上迅速地开始查找电脑开放端口的情况。DOS命令行下用netstat-na发现了一个可疑端口被占用“8225”,李围发现这个端口后骂了一下“我艹,老子刚想研究这远控呢,你就来了?”李围马上打开了点开始--运行,输入msconfig,点确定。在系统配置实用程序里面选启动项,然后把SVCHOST前面的勾去了,点确定后退出,然后再在运行里面输regedit进入注册表,点编辑---查找--在里面输SVCHOST,把查找到的SVCHOST,SVchost。ini,mapis32a。dll,%systemroot%,F4。Jpg全删了,操作完成后,李围重启了一下电脑,然后再用刚刚的方法查询了一下端口占用情况以及SVCHOST。EXE这个进程已经没有了。
李围继续对这个远控进行了研究,这个远控其实就是一个木马,此木马为内嵌式木马,运行后会在SYSTEM32。DLL内生成一个和系统文件C:WINDOWSsystem32vschost。exe很像的文件SVCHOST。EXE,每次开机后这个文件被自动加载,通过用IDA反汇编,发现它还偷窃系统密码并建立%systemroot%systemmapis32a。dll,实际上这个木马多是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作,所以说虽然你可以看到VSCHOST。EXE的路C:WINDOWSsystem32VSCHOST。EXE,但你在这个木录下是跟本查找不到,该木马自带文件捆绑工具,真是很恐怖。
在李围研究透彻该款软控以后,发现这个正是大名鼎鼎的脚本小子的宝——“灰鸽子”,李围马上编写了名为《鸽子坟场》的灰鸽子专杀工具。由于李围对于远控这一类的软件还是比较敢兴趣的,因为毕竟远控如果正确使用起来,对于很多企业或者网吧以及机房的管理者来说都是有很大的用处的。因此,李围就开始着手开始自己编写一个远控软件。