香山院 - 都市小说 - 黑客精神在线阅读 - 第三百三十章 另一件事儿

第三百三十章 另一件事儿

    刘毅自认为,如今在硬实力方面自己还是有些欠缺的,想要彻底解决人工智能方面的核心问题还是没办法进行深一步的研究,但是他相信,只要到了合适的时间,这个项目,一定会在他的研究下有进一步的进展。

    熄灭了烟,关上了早已打开了的文档,紧跟着准备开始进行一个之前遗忘了的事情。

    因为白天的时候在曾婷她们家自己的身份曝光出去,这么一个巧合,让他想到了一件非常重要的事情,一个有关软盟内部网络安全的事情。

    之前,软盟曾发生过一次内部资料被盗事件,因为当时有着太多的事情让他有些手忙脚乱,以至于至今也没对这件事儿进行处理,现如今,曾婷的事情解决了,其他一些杂七杂八的事情也都办完了,在这个正闲着的时候,刘毅打算就这件事儿进行全面检查,揪出那个盗取公司内部文件的人。

    在准备进行事件调查之前,刘毅拿出手机拨出去一个号码。

    随着电话的拨出,没过多久,听筒中传出一阵男声。

    “师傅!”

    “恩,机房有人值班吗?”

    刘毅打给的人正是自己徒弟,同时也是软盟机房硬件设备的管理者,胡一涵。

    这么晚发现自己师傅给自己打来电话原本就挺奇怪的,同时听到对方提起机房的事情,还以为是发生了什么事儿,于是开口问道:“师傅,我今天休息,怎么了,出什么事儿了?”

    得到了一涵的回复,刘毅点了点头,随后开口说道:“没事儿,就然你没值班,那么我给你安排个事情!”

    待刘毅说完,电话另一边的胡一涵点了点头,紧跟着说道:“恩,师傅我知道了,你说!”

    “公司有间谍,在这件事儿上我已经有了一个目标,不过事情还没有办法进行确定,现在,因为我在学校这边,实在没办法抽身回到公司解决这事儿,没办法,只能从公司网络入手!现在,我需要通过公司服务器进入到公司内网调查取证,你通知一下值班员,不要惊慌,更不要将这件事儿散播出去,明白?”

    听了刘毅的话,胡一涵明白了刘毅在这么晚打来目的,同时有些意外,意外软盟内部竟然存在商业间谍。

    知道事情比较严重,紧跟着只听一涵说道:“师傅,我明白了,我马上通知机房!”

    “好!那先挂了吧!改日再聊!”

    “好!”

    说完,二人挂断了电话。

    随着电话的关闭,刘毅看了看时间,已经接近凌晨了。

    因为学校方面电力的限制,如今必须要抓紧时间,将监听设备放置目标计算机内。

    紧跟着想也没想,立刻打开软盟服务器后台,输入账号密码,进入当中,紧跟着打开服务器下设局域网内子计算机号码,找到当初出现问题的那台计算机。

    找到该计算机后,因为拥有最高权限,随后想也没想,立刻进行木马的上传与病毒的加载。

    随着百分比进度条的加载完成,监听木马以及起到监控作用的木马上传你完毕后,突然出现了一个异常的情况。

    就在这时,刘毅本地系统内的天赐杀软收到数据扫描信息,并出现黑客攻击的提示消息。

    见此信息传来,刘毅一愣,担心出现问题,立刻做出防卫手段。

    怎么会这样?

    刘毅不认为,这一切都是巧合,若真是巧合,那么这件事儿就真的有些悬了。

    木马病毒刚刚上传完毕随后便收到了检测信号,这是什么速度?就算是这台计算机面前有人进行cao作,那么也不可能说,在这么短的时间内就可以做出应对手段。

    既然人不可能做到,那么问题的原因就只能有一个了,那就是,这台计算机还真的是有很大的问题。

    未知的检测信号发出一分钟时间不到,紧跟着信号就消失了,按照这样的速度,刘毅打开对方计算机的后台日志,简单的看了看,想要从中找出,就在刚刚进行木马加载过程中,系统所做的应急响应。

    打开日志后,除了自己上传木马病毒的日志记录之外,再无其他任何的异常信息,见到这一幕,刘毅眉头紧皱,有些摸不着头脑。

    系统无脚印?这就奇怪了,这是怎么回事儿?

    如此情况下,事情进展陷入死胡同中,此时,不得不另寻方向进一步进行检测。

    随后立刻从本地调出进程筛选器以及进程伪装破解工具。

    任何一个程序,在运行时都会产生进程,抛开有用的系统进程不算,检测其他进程所做的cao作,那么就一定会找到当中的线索。

    当然,不少的病毒或是其他恶意程序,多数为了防范这样的检测,在程序运行时,都会增加一个进程隐藏办法,通过这样一个办法,躲避杀软等安全设备的检测。

    刘毅是什么人,一款杀软的研发者,往大了说是信息安全专家,往小了说,那也是一个响当当的软件安全公司技术担当。

    对待进程隐藏,以及进程数据发掘,自然有着他自由特定的一些小手段。

    工具准备齐全,将之全部传至对方计算机内,随后立刻运行进程检测工具。

    随着工具的运行,工具主界面内开始刷新着当前计算机系统内所有的已知和未知的进程名。

    凭借着多年对计算机的了解,系统自身运行的程序,烂熟于心。

    看着差不多近一百多条进程ID显示在界面内,刘毅自上到下浏览着。

    直到拉倒界面最底层,一切有价值的信息都没有发现,基本处于运行状态的程序都是合法进程。

    见此情况,刘毅点了点了头,觉得在这件事情上,果然是按照自己的想法儿来了。

    随后立刻打开进程显示工具。

    如今所使用的cao作系统,基本上都是一种分层架构体系的系统,而正因是这种分层架构,导致,应用层程序通过API来访问系统,而这个API又是通过NTDLL里的核心API来进行核心服务查询的。

    核心API通过INT以及TWOE进行切换,从用户模式转接到内核模式,在使用系统调用的过程时,首先会进行函数索引号到寄存器这样一个过程,之后把指向参数区的指针保存到寄存器内,中断调用后,寄存器会进行返回数据保存。

    系统中,ssdt中维持了一个数组,专门进行特定的索引指向,通过完成SSDT访问与修改可以搜寻出一个相对应的KDT数据结构,随后通过数据结构,修改指向服务器程序地址进行RING三级枚举副职hook函数地址,就可进行进程隐藏。

    而然,这样一个刘毅亲自设计的进程显示工具的原理,就是逆向解析,将系统内有关SSDT全部设置进行更改恢复,从而达到显示进程的目的。

    紧跟着运行工具,随着工具的运行,桌面出现出现一个批量执行程序,开始进行修复。

    修复过程较为缓慢,刘毅眯着眼睛,紧紧盯着桌面上的执行信息。

    “差不多了!”

    看着程序内检测日志,已经到达了HOOK检测,见此,刘毅知道,已经恢复的差不多了。

    刚想着马上就要结束,桌面立刻弹出了提示信息窗口。

    “恢复成功!”

    随着这样一个信息窗口的弹出,刘毅点了下头,紧跟着迅速退出进程恢复软件,再次打开进程扫描工具,准备查看进程列表内的状态。

    这一次,进程恢复工具的使用还真是起到了一定的效果。

    再次进行检测后,差不多三个陌生进程,出现在了系统关键进程的最下方。

    看着这样三个进程,刘毅没有立刻将之强制结束,而是默默的观察着,这三个进程名。

    “THEspy”

    “Thespy*1”

    “Thespy*2”

    看到这三个进程,刘毅轻轻皱了皱眉。

    三个英文单词,说明了一切,这就是间谍程序运行的进程所在。

    因为想要进一步窥探当中的信息,刘毅从本系统内找出监听设备,想要对这三个进程进行一次不大不小的,信息监听,想要看看,这三个家伙,究竟是做什么的。

    随着工具的上传加载,没过多久,传送到当前主系统内。

    见工具传送完毕,立刻调用监听工具,对该进程进行了一次监听。

    首先监听的是Thespy,因为没有进行标号,刘毅怀疑,这是程序的主进程,而其他两项进程应该仅仅只是附庸品,负责程序其他功能的。

    监听工具打开,通过进程选择程序后,正式进入到监听状态。

    通过监听工具的显示界面显示,该工具内存在握手协议,同时,具备自主发出握手请求功能。

    具备自主握手功能,简单的解释来说,也就是可以进行自主的信息上传与下载,众所周知,每一台计算机之所以能够通过互联网实现信息共享,就在于这个网络协议内的握手交互过程,然而这个程序,同时也具备这样一个功能,这说明什么,很简单,这说明,这个程序可以将本地文件信息打包,若是在本地系统内没有任何安全防护工具的情况下,这个程序可以通过后台,静悄悄的将文件发送出去。

    当然,这也是需要在任何没有安全防护下才可进行的。

    软盟内部网络构造是严谨的,拥有强大的天赐核心杀软二十四小时无间断运行,可以说,想要从它的眼皮子底下想外发送不明数据交互信息,是非常的困难的,所以,刘毅推断,数据往来,并非是这个程序的主要功能,一定是还有着什么异常情况出现。

    于此同时,想到了最开始自己在本地进行木马与病毒上传时发送过来的那一个扫描数据。

    想到此,刘毅灵机一动,一个法子再次从脑中生出。

    既然刚刚上传数据出现异常,那么若是再次进行数据上传,说不定会劫持到什么有用的信息。

    想到此,说做就做,另外找到一款木马,打包生成之后,紧跟着再次进行上传,同时,眼睛紧盯着计算机内部监听程序出现的变化。

    “噔噔!”

    果然,随着木马的上传,当前的本系统内再次出现了一个扫描信息,于此同时,监听程序,捕获到了一条重要的信息。

    “Thespy进程出现变动,本地系统文件出现改动信息,改动地址D:\\\\aaa\\\\se,Thespy发出握手请求,请求地址75:478:18:1”

    随着这样一个信息截获下来,刘毅脑中多少有了思路,同时也有了自己的判断。

    系统文件发生更改,这很简单解释,在刘毅上传木马到当前系统内的一瞬间,一条未知扫描信号传来,同时,本地系统文件发生更改。

    这说明什么,说明,这压根儿就不是一个间谍程序,恰巧相反,这是一个反间谍程序。

    为什么这么说,通过这几个现象分析。

    首先,在上传木马的一瞬间,本地系统对出现的程序进行了一个检测,检测判断出文件存在不安全性,因为这样一个因素存在,激活了反间谍程序,根据间谍程序信息自主发送功能,向刘毅本机处发出检测信号,同时,将信号返回信息,通过本地文档进行记录保存,以达到程序开发者的目的。

    现在,按照监听程序截获到的文件更改信息地址,刘毅能够想出,这个程序究竟在文档内修改了什么信息。

    为了证实自己的推断,刘毅按照提示出来的地址,逐层进入,直到最底层,一个文档出现在屏幕当中。

    为了防止当中有鬼,刘毅特意检测了一边文档的尾缀,确定为文档尾缀信息后,双击打开。

    随着文档的打开,只见当中记录了非常多的信息,最主要的是,这些数据都像是随意摆放,无任何条例规则可言。

    看似乱七八糟一堆无用的信息,刘毅点了点头。

    “果然是这样!”

    看着这些信息,刘毅知道,这一切都和自己想的一样。

    为什么这么说,就在于这些杂乱无章,乱七八糟的文字。

    常说到程序加密,代码加密!事实上,系统内包括文件也好,程序也好,所有东西都可以进行加密。