2009年2月18日 星期三

風之曲1-2





進入QQ的綠色安全源資訊聯盟的幹部聊天室時
天涯書生和幾位幹部都已經在商討事情
[SIN來了...不如這事問問他的意見]
[....]我還沒講話就被丟了一個問題
[你看看這段程式碼]
螢幕上秀出一段由VC++編成win32 函數



[這事蠕蟲,針對windows編成的usb蠕蟲,是怎麼了嗎?]
天涯書生說道:[是沒錯,但有被重新編譯過,現在正在網路上四處流竄,已經有不少的受害者]
[你有查過這些大約聚集在哪裡比較多嗎?]
[嗯~~這我就不清楚,可能要問一下江海不悔,由他那裏傳來]
江海不悔打了個無奈的表情符號
說道:[唉呦,我也是受災戶,哪知道這種東西居然繞過我的防火牆]
[這段我去研究一下,等等給你們回覆]
說完我退出QQ,開啟影子系統完全防禦模式後就開始研究這段核心,畢竟對於不清楚代碼,還是小心為妙.
重新編譯過的影子系統,對於系統可以達到百分之九十的效果
當然缺陷還是有,如果直接攻擊記憶體,還是會造成無法挽回的情況
用編譯器直接打開蠕蟲代碼,確定過這事vc++的語法後
從隨身碟中挑選出專門破解vc++的編譯器
run下去後就把注意力轉移到IBM這台NB上
畢竟那樣的工作是我晚上該做的
現在白天我還是專心在我的工作上
雖然這段蠕蟲我還不陌生
原因就在前幾天就曾在別人電腦中遇過
自己也差點中毒,還好被防火牆檔下
事後上網查過資料,才發現這事在四川地震後留串出來
針對隨身碟設計是重新變種過的新的隨身碟病毒
正確名稱為Autorun.SF
當SF運行後會感染系統指定的資料夾,並修改登入檔
並在各槽區中創建autorun.inf文件
點擊隨身碟後,會惡意跳出廣告網頁,並自動下載作者指定程式並自動運行
還具備我複製功能,這是針對隨身碟的特性寫成
真是所謂一機中標,萬機皆死.
走道樓梯間抽了菸 醒醒神後
回到辦公桌,HP的NB中不斷傳來MSN的訊息通知
[吵死了]
看看都是一些蒼蠅傳來的訊息,不外乎都是要MP3,問東問西打聽情報
這裡可不是慈善之家,關閉掉MSN讓自己安靜些
開始專心寫java sip程式,畢竟這才是我的工作
[疑..]遲疑一生,發覺網路流量似乎不太對勁,速度異常慢
對於每天都在網路上,遊蕩的我,有點不對勁似乎都可以察覺,我往IT部門那裏望去,發現JACK似乎面有難色,並且在四處走動
這是他的習慣,應該說是焦慮症,遇到棘手的事情時他都會這樣
我用IBM這台登入公司的內部網路,直接闖到機房,內部我從隨身碟的工具中調出流量查看裝置,偷偷安裝在機房伺服器中
悄悄退出後,不動聲色觀察JACK行動,大約十分鐘後我開始調閱剛剛安插的程式,從中可以知道網路為何異常
[大量封包....這事怎麼回事?]
心神一轉,剛始查閱這些封包流向
[難道被攻擊...?這種初步入門的小手段,也敢在這撒野...把你抓出來]
從這些大量封包中我必須分秒必爭,找出線索
不然按照JACK的個性,沒辦法解決的問題他一定會直接重開機房伺服器
到時候線索就會斷掉....到時候想抓到對方沒那麼容易
從IP中可以得知對方從proxy list的國外伺服器跳進來
還有一點偽裝手法,但要抓出你並不難
我先把對方的跳躍伺服器的IP列入防火牆的黑名單中
讓對方拒絕訪問,從proxy list的OS是搭載LINUX如果要闖入並不容易
守在網路端口開始仔細看IP的進出
這時發現有個不斷在PING公司伺服器的IP
機不可失 逮到這個機會,開始對他反攻擊回去
該死的事情似乎要發生...
JACK居然在這時候起身往機房走去....
[SHIT!]心中開始不斷問候他家祖宗
[是不會在等一下喔....]
Share:

0 意見: