转载自:http://cowboy.1988.blog.163.com/blog/static/7510579820087115541261/
2005年,圈子里一直流传着一句经典玩笑话:小心我DIR溢出你!这句话源自于一个假借红客联盟之名的红客大联盟的老大“虾扑瘟能”先生,接受电视台采访时,对着电脑一个劲的在DOS下执行DIR命令,以达到屏幕一直不停滚动的效果。这段采访的视频传开来后,具说是安焦的朋友最先发明了这句,小心我 DIR溢出你,于是,听着乐,说着乐,这句经典就这样传开来,后来甚至配上了漫画,一直传到圈子里慢慢忘了这件事。(2004年底的最后一天,红客联盟宣布解散,马上就有人继续打着红客联盟的牌子,冒出个红客大联盟来,也不记得是那个电视台还采访了,一不小心就创造出了这个伟大经典的笑话。注:DIR-- --用来显示文件的DOS命令)
二
休息了一段时间,每天无聊的看看新闻,听听音乐,日子过的飞快。这天,突然接到个任务,也不能算是任务,算是帮朋友的忙吧。一位做网警的兄弟打来电话,要我过去一下,有个问题要我帮解决,因为算是一个体系,平时我们互相学习,互相帮忙,倒经常配合的很默契。
兄弟很简单的给我说了一下事情:报案人的电脑里的所有WORD资料全部无法打开了,桌面上留着一个文本文件,里面写着一句话,要想恢复资料,请在三天内转 5000元到下面账号内:中国工商银行胡XX 95588040……电脑他们几个兄弟查了,没有发现犯罪嫌疑人留下的痕迹。不用说,肯定是报案人访问了挂马的网站,中了木马后,嫌疑人看到电脑里的资料比较重要,所以才留下5000块恢复资料这话。一起典型的利用电脑网络的敲诈,真不明白,现在的计算机高手,都是怎么想的。好好的正路不走,净做些违法的事。
我又让兄弟把电脑开开,我再检查了一遍,一样的结果:三天前的日志全没,后门远程控制的木马也应该被嫌疑人清除了,用恢复软件恢复了所有盘符,只发现一个批处理文件有价值,那家伙定义了一个三天后运行的批处理,自动搜索所有WORD文件,清除WORD里所有文字,然后往里写些乱码。如果只是删除了文件,还有可能恢复,像这种擦除再往里写乱码的方式,真是让文件无法恢复。看来,想恢复文件,只有找那嫌疑人了。
“查了银行账号没,”我问兄弟:“这文件是没法恢复还原了,我看那家伙肯定是下载了所有WORD文件后才干了所有文档,不然他也没法恢复,想要文件,还真得找那家伙,这事也没啥复杂的,查银行帐号,给他转账,等他取的时候直接抓不就得了”兄弟说:“银行那边已经查清楚了,应该是假身份证开的账号,没有详细的线索了,安排好了,无论在哪取钱,都可以马上查出来地址”我说,那不就行了,让他转账就行。说完自己感觉有点不对,能做到敲诈不留痕迹,思维应该是很清晰的,而且这么大胆的直接留下账号(尽管是假身份证,但也得取到钱啊),应该不会属于SB类型的,想到这,却想不出问题的具体不对在哪。
兄弟给那电脑上装了一个小小的监控软件,然后让那报案人把电脑抱回家,给他说,平时不要访问些乱七八糟的网站,每天把D盘由监控软件生成的一个TXT发过来,让他先转账(因为资料很重要,又没备份,必须得搞回来),然后等他们抓人。那个监控软件功能很简单,就是记录每个进程连出的IP,生成一个TXT,如果嫌疑人再进来这台电脑,就可以记录下来,原理上这种机率应该不会发生。因为嫌疑人清除了木马,就是不准备再连这台电脑,而且清了所有日志,也就不让有迹可寻,所以,就算真留了更高级的我们查不出的后门,他也不会再访问这台电脑,这也是这家伙心里的常识。但是我兄弟职责所在,不管有用没用,总得有个交待,做做样子,也是要的。
第二天,报案人转账了,给兄弟了电话,这边就密切关注着银行账号了,等着那家伙取款好抓个正着。第三天,报案人邮箱里收到一封邮件,内容写着,要的文件地址:http://www.xxxx.com/admin/test.rar。邮件一看就知道是用群发软件发出的,发件人地址伪造的,DNS是从国外来的,还不知道中转了几次,想查出发信人真实的地址,难。按地址下下来一看,果然是全部的WORD文件,我猜的没错,那家伙果然是下载了所有文件后才下的手。
第四天,账号上的钱依然没动静,又不能冻结账号,只能一直等……
三
先贴一篇网友的文章:互联网没有天网恢恢疏而不漏-入侵者必读(后附)
账号上的钱不动,越平静,我心里就越没底,因为目前看来,没有下手的地方:银行那边,因为账号开户是一年前,不可能还有录像;报案人电脑里又没有有用的信息了;收到的邮件查到发信人地址,基本不可能;那家伙放资料下载的网站,我还仔细看了一下,真验证了“疯狂的石头”里的一句话:公共厕所嘛,想来就来,想走就走!这个站是漏洞一堆,不知道有多少小黑客在里留下痕迹。里面全是网页木马,而且同样,最近的日志都没了。
四
放假的时候,通常我会去爬山,喜欢在山顶眺望整个城市的感觉;喜欢在山顶,清风拂面,让人的心开阔,让所有的烦恼释怀;更喜欢上山的途中,累了休息,体会那种向上冲刺,向上攀登的感觉;特别是在爬到一处静处,能感受自己的心跳的加速,感受心脏敲击胸腔的那种刺激,仿佛听到心跳的声音,让自己感觉无以言比的真实。那一刻,才能真正体会爬山的乐趣所在。
还没在山顶休息够,兄弟的电话就过来了。一连两天没动静,今天银行那边传来消息,钱动了,但并不是取走了,而是用网银转账了。
等我赶到,兄弟又给我详细的说了一遍,本来全面监视着账号,没想到账号里的钱通过网上银行,转了4000多到一个在T宝上开店的店主账号,店主账号,身份都是实名,有具体地址,那边已经初步调查了,反馈回来的信息是店主收到一个留言:您好,我看中了贵店的那款ABCD型手机,由于没有支付宝,直接给您转账了,转账金额4600,用户名为胡XX账号95588040……收货地址为:河南省洛阳市涧西区XX花园D-501 颜小玉收。我问兄弟,银行那边查到转账的IP是哪的,兄弟说,韩国的IP,这次还真碰到个老油条了。我说,既然网上查不出问题,也得不到信息了,直接去河南,查那个收货的颜小玉,不就水落石出了,八九不离十就是那家伙了。
兄弟去河南的第二天,传回来两个更迷茫的消息:账上又多了5000,颜小玉的家里的电脑和工作单位的电脑没有查到任何问题,据她本人交待,自己并没有在网上订手机,也不知道这回事,当然,也不认识那个假身份证上的胡XX。
原本一起网上敲诈案,搞的人越来越糊涂了,通常网上犯罪,一般由网警处理,但现在是网上信息一堆,却得不到有效的信息,而且账上又多了5000块钱,可能又是另一起敲诈,兄弟这边只能向上级反映具体情况,他留在河南继续调查颜小玉的生活圈子,看是否存在她的朋友或者熟悉的人犯案。然后请刑事那边帮查账上 5000元的来历。
桌上一个小纸条,上面写着一个IP,就是那个韩国的IP,从兄弟那回来后,我一直在分析这台机子。真正的高手,会不屑于用别人的代理,从来都是自己抓肉鸡,自己再给肉鸡补好漏洞,只留一个供自己用的后门。如果真是这样,说不定这台韩国肉鸡里,能发现一点线索。
仔仔细细的扫了一遍这个IP,返回的结果是机子只开了14
最低0.47元/天 解锁文章
4753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
