校园密码暗战,第四回 情敌报复设陷阱,兄弟帮忙齐化解.docVIP

校园密码暗战,第四回 情敌报复设陷阱,兄弟帮忙齐化解 　　惊堂木“啪”的一声响起，话说上回大牛为了了解自己的情敌，通过各种关系以及兄弟们的帮助，最终取得了情敌在论坛中使用的账号密码。于是从那天开始，大牛每天都用一些时间，泡在论坛中查看情敌的最新发帖和站内短消息。总之一句话，为了赢得美女的芳心，大牛已经到了“无所不用其极”的地步。 　　 　　情敌报复，险中木马 　　 　　话说这天下午，我正在寝室里玩《魔兽争霸》，只听见大牛一声大叫：“这小子！也太不地道了，居然给我传了一个病毒。看我不把这小子……”原来，大牛电脑上的《金山毒霸2008》刚刚提示他访问的网页含有病毒，所以他不禁破口大骂（如图1）。这时老大浑厚的声音传来：“大牛，这是寝室，要注意素质啊！”我感到奇怪，便问：“那小子怎么知道是你啊？” 　　 　　大牛老老实实地交代：“最近我不是在跟踪这小子嘛！发现他对我的女神心怀鬼胎，于是就发短消息警告他，结果今早他给我发来一个网页链接，要我按照这个方法和他单挑。我当然是二话不说就点击了链接，结果谁知道打开的网页上居然有病毒！”“你也太稳不住了，这明明就是激将法啊！不过这小子的确不地道。”我也开始为大牛愤愤不平。 　　 　　拨茧抽丝，找出黑手 　　 　　这时老大走过来，开口说道：“大牛，不如我们顺势而为，看看那小子到底想干什么。正所谓‘舍不得孩子套不着狼，舍不得媳妇套不着流氓’嘛！我看他放的是个Flash病毒，这病毒会通过Flash漏洞来下载很多木马病毒到你的电脑中。这种手法最近在网络中非常流行！”只见老大坐下后，迅速打开《金山毒霸2008》，点击“工具”菜单中的“病毒隔离系统”命令，然后在弹出窗口中查看刚刚隔离的Flash病毒（如图2）。然后，点击“操作”菜单中的“还原为”命令，这样就可以将病毒还原到指定的位置。 　　 　　老大继续说：“还原成功以后，就可以对Flash病毒文件进行反编译，从中找出那些木马病毒的下载地址了。要注意，有的Flash文件中并非含有恶意代码，它是通过脚本函数loadMovie()来载入另一个含有恶意代码的Flash文件，从而实现挂马的……”听了这些，大牛感叹道：“看来今天的破解和前几次的不一样，得先从加密的文件代码中找到幕后黑手。” 　　这时只见老大从网上搜索并下载了一款名为Imperator FLA的Flash反编译软件。运行它后，先点击“选择SWF文件”按钮导入Flash病毒文件，接着点击“保存FLA文件”按钮来保存反编译后的文件（如图3，按钮上的LFA字样可能是汉化者的笔误），此时程序会自动进行Flash病毒文件的反编译操作。 　　 　　老大又运行了一款十六进制工具C32Asm。点击其菜单“文件→打开十六进制文件”，导入反编译后生成的FLA文件。接着点击“搜索→搜索”命令，在窗口中的“类型”里选择“ANSI字符串”，在“搜索”选项中输入“http”（如图4）。点击“下一个”按钮，我们很快就看到一个网络链接地址，这就是Flash病毒将要下载的木马病毒文件（如图5）。 　　 　　 　　看了老大这一连串的操作以后，大牛悄悄地向我低声问道：“老三，这个木马病毒怎么是一个CSS文件啊？按理说应该是EXE可执行文件才对嘛！是不是老大搞错了？”我也低声回答大牛：“没错的，你没有注意到这段地址上面有个exe文件标志吗？虽然要下载的是CSS文件，但是在下载过程中就另存为EXE文件了。”听了我的解释以后，大牛大声地向老大感叹道：“老大，我们终于破解了这个Flash病毒的‘密码’，看来这小子为了用木马来害我，也真是煞费苦心啊！” 　　 　　暗藏玄机，柳暗花明 　　 　　老大回道：“还没完！我得用下载软件把这个文件下载到系统里面，再分析分析。”很快文件就下载完成了，老大起身，让我帮他进行分析。我坐下后，在网上搜索并下载了《超级巡警虚拟机自动脱壳机》。使用这个软件，我就可以查看这个木马病毒文件是否进行了加壳，如果有加壳就直接用它脱壳。利用鼠标拖曳木马病毒文件在其窗口上释放，结果程序检查结果为“无法识别或识别错误”。看到软件这样的提示，大牛在一旁变得比较低落。 　　我心想这家伙果然厉害，这文件到底是用什么东西进行伪装的呢？突然，我无意间看到桌面上的WinRAR图标，一下子就反应了过来――现在很多人喜欢用WinRAR进行病毒文件的捆绑加密。于是，我立即在这个文件上点击鼠标右键，但并没有出现预想中的WinRAR解压菜单项。这时老大的一句话提醒了我：“听说加壳程序可以进行变异，你说这是不是因为进行了变异，所以怎么也检查不出来啊？” 　　我知道，如果黑客想变异一个带病毒的RAR自解压文件，就必须修改文件中的某些字符串。于是我马上运行编辑工具C32Asm，点击其菜单“文件→