轉載自：http://cowboy.1988.blog.163.com/blog/static/7510579820087115541261/

2005年，圈子里一直流傳著一句經典玩笑話：小心我DIR溢出你!這句話源自于一個假借紅客聯盟之名的紅客大聯盟的老大“蝦撲瘟能”先生，接受電視臺采訪時，對著電腦一個勁的在DOS下執行DIR命令，以達到屏幕一直不停滾動的效果。這段采訪的視頻傳開來后，具說是安焦的朋友最先發明了這句，小心我?DIR溢出你，于是，聽著樂，說著樂，這句經典就這樣傳開來，后來甚至配上了漫畫，一直傳到圈子里慢慢忘了這件事。（2004年底的最后一天，紅客聯盟宣布解散，馬上就有人繼續打著紅客聯盟的牌子，冒出個紅客大聯盟來，也不記得是那個電視臺還采訪了，一不小心就創造出了這個偉大經典的笑話。注：DIR-- --用來顯示文件的DOS命令）?

二?
休息了一段時間，每天無聊的看看新聞，聽聽音樂，日子過的飛快。這天，突然接到個任務，也不能算是任務，算是幫朋友的忙吧。一位做網警的兄弟打來電話，要我過去一下，有個問題要我幫解決，因為算是一個體系，平時我們互相學習，互相幫忙，倒經常配合的很默契。?

兄弟很簡單的給我說了一下事情：報案人的電腦里的所有WORD資料全部無法打開了，桌面上留著一個文本文件，里面寫著一句話，要想恢復資料，請在三天內轉 5000元到下面賬號內：中國工商銀行胡XX 95588040……電腦他們幾個兄弟查了，沒有發現犯罪嫌疑人留下的痕跡。不用說，肯定是報案人訪問了掛馬的網站，中了木馬后，嫌疑人看到電腦里的資料比較重要，所以才留下5000塊恢復資料這話。一起典型的利用電腦網絡的敲詐，真不明白，現在的計算機高手，都是怎么想的。好好的正路不走，凈做些違法的事。?

我又讓兄弟把電腦開開，我再檢查了一遍，一樣的結果：三天前的日志全沒，后門遠程控制的木馬也應該被嫌疑人清除了，用恢復軟件恢復了所有盤符，只發現一個批處理文件有價值，那家伙定義了一個三天后運行的批處理，自動搜索所有WORD文件，清除WORD里所有文字，然后往里寫些亂碼。如果只是刪除了文件，還有可能恢復，像這種擦除再往里寫亂碼的方式，真是讓文件無法恢復。看來，想恢復文件，只有找那嫌疑人了。?

“查了銀行賬號沒，”我問兄弟：“這文件是沒法恢復還原了，我看那家伙肯定是下載了所有WORD文件后才干了所有文檔，不然他也沒法恢復，想要文件，還真得找那家伙，這事也沒啥復雜的，查銀行帳號，給他轉賬，等他取的時候直接抓不就得了”兄弟說：“銀行那邊已經查清楚了，應該是假身份證開的賬號，沒有詳細的線索了，安排好了，無論在哪取錢，都可以馬上查出來地址”我說，那不就行了，讓他轉賬就行。說完自己感覺有點不對，能做到敲詐不留痕跡，思維應該是很清晰的，而且這么大膽的直接留下賬號(盡管是假身份證，但也得取到錢啊)，應該不會屬于SB類型的，想到這，卻想不出問題的具體不對在哪。?

兄弟給那電腦上裝了一個小小的監控軟件，然后讓那報案人把電腦抱回家，給他說，平時不要訪問些亂七八糟的網站，每天把D盤由監控軟件生成的一個TXT發過來，讓他先轉賬(因為資料很重要，又沒備份，必須得搞回來)，然后等他們抓人。那個監控軟件功能很簡單，就是記錄每個進程連出的IP，生成一個TXT，如果嫌疑人再進來這臺電腦，就可以記錄下來，原理上這種機率應該不會發生。因為嫌疑人清除了木馬，就是不準備再連這臺電腦，而且清了所有日志，也就不讓有跡可尋，所以，就算真留了更高級的我們查不出的后門，他也不會再訪問這臺電腦，這也是這家伙心里的常識。但是我兄弟職責所在，不管有用沒用，總得有個交待，做做樣子，也是要的。?

第二天，報案人轉賬了，給兄弟了電話，這邊就密切關注著銀行賬號了，等著那家伙取款好抓個正著。第三天，報案人郵箱里收到一封郵件，內容寫著，要的文件地址：http://www.xxxx.com/admin/test.rar。郵件一看就知道是用群發軟件發出的，發件人地址偽造的，DNS是從國外來的，還不知道中轉了幾次，想查出發信人真實的地址，難。按地址下下來一看，果然是全部的WORD文件，我猜的沒錯，那家伙果然是下載了所有文件后才下的手。?

第四天，賬號上的錢依然沒動靜，又不能凍結賬號，只能一直等……?

三?
先貼一篇網友的文章:互聯網沒有天網恢恢疏而不漏-入侵者必讀（后附）?

賬號上的錢不動，越平靜，我心里就越沒底，因為目前看來，沒有下手的地方：銀行那邊，因為賬號開戶是一年前，不可能還有錄像;報案人電腦里又沒有有用的信息了;收到的郵件查到發信人地址，基本不可能;那家伙放資料下載的網站，我還仔細看了一下，真驗證了“瘋狂的石頭”里的一句話：公共廁所嘛，想來就來，想走就走!這個站是漏洞一堆，不知道有多少小黑客在里留下痕跡。里面全是網頁木馬，而且同樣，最近的日志都沒了。?

四?
放假的時候，通常我會去爬山，喜歡在山頂眺望整個城市的感覺;喜歡在山頂，清風拂面，讓人的心開闊，讓所有的煩惱釋懷;更喜歡上山的途中，累了休息，體會那種向上沖刺，向上攀登的感覺;特別是在爬到一處靜處，能感受自己的心跳的加速，感受心臟敲擊胸腔的那種刺激，仿佛聽到心跳的聲音，讓自己感覺無以言比的真實。那一刻，才能真正體會爬山的樂趣所在。?

還沒在山頂休息夠，兄弟的電話就過來了。一連兩天沒動靜，今天銀行那邊傳來消息，錢動了，但并不是取走了，而是用網銀轉賬了。?

等我趕到，兄弟又給我詳細的說了一遍，本來全面監視著賬號，沒想到賬號里的錢通過網上銀行，轉了4000多到一個在T寶上開店的店主賬號，店主賬號，身份都是實名，有具體地址，那邊已經初步調查了，反饋回來的信息是店主收到一個留言：您好，我看中了貴店的那款ABCD型手機，由于沒有支付寶，直接給您轉賬了，轉賬金額4600，用戶名為胡XX賬號95588040……收貨地址為：河南省洛陽市澗西區XX花園D-501?顏小玉收。我問兄弟，銀行那邊查到轉賬的IP是哪的，兄弟說，韓國的IP，這次還真碰到個老油條了。我說，既然網上查不出問題，也得不到信息了，直接去河南，查那個收貨的顏小玉，不就水落石出了，八九不離十就是那家伙了。?

兄弟去河南的第二天，傳回來兩個更迷茫的消息：賬上又多了5000，顏小玉的家里的電腦和工作單位的電腦沒有查到任何問題，據她本人交待，自己并沒有在網上訂手機，也不知道這回事，當然，也不認識那個假身份證上的胡XX。?

原本一起網上敲詐案，搞的人越來越糊涂了，通常網上犯罪，一般由網警處理，但現在是網上信息一堆，卻得不到有效的信息，而且賬上又多了5000塊錢，可能又是另一起敲詐，兄弟這邊只能向上級反映具體情況，他留在河南繼續調查顏小玉的生活圈子，看是否存在她的朋友或者熟悉的人犯案。然后請刑事那邊幫查賬上?5000元的來歷。?

桌上一個小紙條，上面寫著一個IP，就是那個韓國的IP，從兄弟那回來后，我一直在分析這臺機子。真正的高手，會不屑于用別人的代理，從來都是自己抓肉雞，自己再給肉雞補好漏洞，只留一個供自己用的后門。如果真是這樣，說不定這臺韓國肉雞里，能發現一點線索。?

仔仔細細的掃了一遍這個IP，返回的結果是機子只開了1433和1988兩個端口，連80都沒開，不用說1433肯定是開了SQL服務，80端口都沒開，肯定這臺肉雞應該是一臺數據庫服務器。不知道是不是掃的SA權限弱口令進的系統，就算是，現在掃出來的并不是弱口令，很可能就是那家伙改了密碼。1988?端口到不常用，難道？試著用遠程桌面連接登陸，果然登陸上去，原來那家伙將3389改到了1988端口。沒有密碼，也只有干看著，干瞪眼的份。?

沒頭緒的時候，我喜歡用筆在紙上畫，想著那家伙入侵這臺數據庫服務器的可能的方法。(1)沒開80，不可能是通過WEB漏洞;(2)1433溢出？我也試過了，沒戲;(3)1433的管理權限(SA權限)弱口令，有可能，但就算當初他是通過弱口令進的，現在也沒了，因為掃不出;(4)數據庫服務器一般是為?WEB服務器服務，鄰近IP如果是網站，有可能就是調用的這臺數據庫，也就有可能突破，就算不是調用的這臺服務器，如果在同一網段，也有可能能嗅探到數據庫的密碼。看來，只有這條路可行了。?

五?
喜歡玩黑的都知道，要找好用的肉雞，最理想的就是韓國雞，可能是國情的原因還是什么，韓國一直對黑客和網絡入侵判的比較嚴，所以韓國的黑客很少，直接導致的結果是國內的服務器，存在著很多很多幼稚的漏洞，安全意思相對較差，就連初上手的小黑，都可以拿著S掃描器掃一堆SQL空口令的韓國雞出來。有攻才有防，我覺得防總是建立在攻的后面，現在全國的小黑特別多，雖然造成網絡上的許多的麻煩事，但有一點至少可以肯定，他們間接或直接的增強了國人的網絡安全防范意思。?

隨手打開相鄰的IP，果然出來一個商務網站，ASP寫的站點，首先讓人想到的就是注入，因為韓國網站，ASP+SQL做成的網站，十有八九有注入漏洞，這也成了國內小黑抓肉雞的一種快速方式，一年前，用GOOGLE隨便搜出來的韓國ASP站點，挑一個就有漏洞，當然，現在的安全比以前好多了。?

整個站大致看了一遍，安全比我想像的好，至少注入漏洞補了，后臺到是猜到了，但沒密碼。拿掃描器掃了一下，端口只開了80，得不到啥有用的信息，看來又不好下手。沒辦法，只能無聊的在網站上慢慢翻，韓文是看不懂的，只能憑感覺跟圖片判斷頁面的意思了。網站的版面并不太多，跟大多的商務站一樣，主要是些產品介紹，公司新聞等，再一個留言版，在留言版面折騰了半天，看能不能寫SQL代碼，結果無功而返，難道就沒法下手了嗎？?

郁悶的時候，我總是喜歡拿起我的大杯子喝水，以前還學會抽煙，后來寫程序的時候，更是每晚恨不得抽掉一包，再后來就是喉嚨啞加咳嗽，自己知道不能再這樣下去了，硬是忍了兩個月，把煙戒下來了，但留下一個毛病，一思考的時候，就想拿吃的往嘴里送，演變到現在就是一直不停的喝水。?

喝著喝著，想到網站產品圖片那么多，應該有個上傳圖片的地方吧，在網站后臺路徑隨手加了個UPFILES。ASP，竟然真出現了上傳頁面，而且并不要權限，這下應該有戲了。直接上傳個ASP木馬上去，結果不成功，彈出的頁面應該是不支持ASP文件，可想而知，肯定是做了限制的，于是只能抓包，用UE改后綴加空格，NC提交成功。在IE欄里輸入上傳木馬地址，打開，出現了可愛的登陸窗，真是柳暗花明，感覺自己運氣一下好了起來，接連又喝了幾大口水。?

現在是有了一個SHELL，但權限不大，只能看看網站的文件，執行簡單的DOS命令，輸了一個查詢端口命令，果然看到這臺機子連著SQL服務器的1433 端口，看來我的想法沒錯。心里一動，趕緊去翻網站上的數據庫連接文件，呵呵，SQL服務器的連接賬號密碼全在，而且是管理SA權限，看到下面有一段通用防注入的代碼，又看到這個文件的日期，不覺笑了，原來那家伙是通過注入進來的，然后給補了注入漏洞，這臺網站服務器估計他沒有拿到管理權限，所以連這個文件的日期改動了他都沒還原。?

趕緊用SQL連接器，輸入IP，賬號和密碼，點連接，等的過程中，又興奮的喝了兩口水，當彈出窗口彈出無法連接時，還有半口水硬是嗆了我半天。NND，難道還做了IP限制，只好傳了一個帶SQL命令的木馬到網站服務器，連上去后果然沒問題，加了個管理員賬號密碼，遠程登陸上SQL服務器的1988，就這樣進了這臺SQL服務器。?

六?
打鐵要趁熱，進了SQL服務器后，先就直奔系統日志，SQL日志，心里還希望那家伙能粗心大意一下，結果還是不能如愿，所有的日志都被清空了。這時的感覺，就像拿著藏寶圖，一步一步來到寶洞前，卻發現沒有門的鑰匙，只能在門外徘徊，干瞪眼的份。到這里又沒有進展了，只好作罷，在SQL服務器里加了一個登陸監控的小程序，隱藏進程的小東東，如果有人登陸，自動記下登陸IP，生成一個TXT文件，然后刪了增加的賬號，清除了所有我留下的日志(俗稱擦屁股)，走人。?

多半情況，入侵一臺電腦，運氣占了很大的成份，其次才是技術和經驗，如果那個家伙再不用這臺肉雞，那我所做的這些都是白費。一個晚上腦子里都在胡思亂想，睡不塌實，第二天一早，又傳來不好的消息。?

跟上次一樣，T寶的店主收到同樣的留言，同樣買了一部手機，又用掉了4000多塊，這次的收貨人換了：云南省昆明市解放路XX花園1506 張麗，我連忙問轉賬留下的IP是我多少，得到的就是那個SQL服務器的IP，心一動，趕緊重新加賬號登陸上去，查看監控程序生成的TXT，上面記錄著一條信息，登陸IP和時間，查了一下，IP來自中國北京的一個機房的IP，掃了一下，但沒有任何反映，掃不到任何端口和信息。時間就是凌晨，那家伙就在我們眼皮底下把錢轉走了。?

上面對這個案子也越來越重視，同時也是施加了更大的壓力。下午，兄弟從河南趕了回來，領導召集所有辦案人員，開了一個分析會。?

黑板上寫著詳細的案件信息：報案人，兩個收貨人，銀行賬號，T寶店主，還有嫌疑人，以及相關的日期等。兄弟匯報了在河南調查的結果，那個顏小玉平時挺喜歡上網，長的比較漂亮的女孩子，在網上的網友肯定很多，她始終不知道到底是誰給她寄的手機，而且有網友在網上說過會寄禮物給她，她也不確定是不是那個網友，因為以前聊天只是開玩笑，而且也不記得有沒有給過人家自己的地址。兄弟記下了顏小玉的QQ號，網名，以及那個網友的QQ號，就趕回來了，我也匯報了兩次都是用的同一韓國肉雞登陸的網上銀行，而且還得到一個來自北京的IP登陸這個肉雞，但這個IP掃不到任何信息，只能靠IP判斷是來自一個電信的機房。其它的的人員也分別匯報了相關的信息。接下來七嘴八舌的討論，大概有分析：(1)兩個收貨人都是女孩子，而且相隔這么遠，會不會是她們有共同的網友或者熟悉的人做的事;(2)兩次轉賬交易都是在同一店主里買的手機，會不會跟店主有關系而我們只查了表面;(3)嫌疑人為啥買手機送人;最后一個問題就是，那個家伙到底會是誰？討論最后領導又分配了任務，一組負責查兩個收貨人和她們的共同熟悉的人員以及網友，一組查T寶店主，我跟兄弟負責查北京的這個IP。為了不打草驚蛇，賬號暫時不凍結。?

七?
各斯其職，我和兄弟又查了一遍北京的那個IP，仍然是沒任何信息，感覺就像是，電腦壓根兒沒開，或者裝了防火墻，屏蔽了所有端口。兄弟只好打電話向那邊機房負責人詢問，核對了身份后，對方反饋回來的消息是，這個IP并沒有分配給機房的機子，也就是說，機房里沒有服務器用這IP。我跟兄弟說，怎么可能，難道有人利用這個IP沒有分配使用，用撥VPN的方法，利用這個IP上網？這樣的話，機房里肯定有一臺機子開了VPN服務。?

由于到機房查路由分析具體是哪一臺機子開VPN，數據是否是通過VPN服務器中轉，得一些辦案原件，兄弟于是連忙坐飛機趕到北京機房，我則繼續利用手上線索，尋找信息。?

掃描了一下整個子IP段的所有機子的VPN端口，在子網內發現了兩臺服務器開著VPN服務器，估計那家伙肯定是撥號到其中一臺服務器，然后分配了那個沒使用的IP，這樣，信息就通過這臺服務器中轉，并且并不會在服務器上留下信息，只會在VPN服務里有撥號的IP地址。如果服務器里的日志被刪除，那就只能查路由里的信息了，好在只是一個子網的路由，影響應該不是很大。?

輪到我沒事做了，倒是可以分析子網內的機子，或者拿下其中一臺的權限，然后通過嗅探，看能不能得到想要的VPN的賬號，密碼等，但如果那家伙不登陸，那就啥用也沒。而且工程量也太大。所以還不如放松一下，等著兄弟那邊的好消息吧。?

把那兩個開VPN的機子IP發信息告訴給兄弟，要他重點查一查。過了一天，各方面都反饋回來了消息：(1)顏小玉和張麗兩人都在一個交友網站里注冊過(用 GOOGLE搜她兩人的網名時發現的);(2)她們有在交友網上認識的共同的網友，兩人都在交友網的QQ群里。(群里的人員比較多);(3)交友網的安全并不理想，辦案的同事把交友網的數據庫下下來了，里面有所有會員的全部信息。(包括會員的住址，聯系方式，QQ，手機，上傳的照片地址等);(4)T寶店主的詳細信息，21歲，在讀大學生，因有家人做手機生意，所以在T寶上開了個店，掙點學費和生活費。(其它的有用信息無)。我們這邊就看兄弟查的結果了。?

攤子是越鋪越大，看上去線索是越來越多，但或許這些信息又會誤導我們。但沒有得出結論前，誰也不能肯定，這些信息到底有沒有用，而且還必須相信它有用，并繼續追查下去。?

八?
下午，兄弟那邊有了好消息了，正在往回趕的途中。領導又召集起來開了個會，原來賬上中午又多了5000塊，領導經過考慮，決定先凍結那家伙的賬號，不能讓損失更一步的擴大，同時，交待各組加快速度，把重點放在交友網的QQ群里的人，很有可能嫌疑人就在里面，再其次調查一下T寶店主的網友情況，或者在學校的朋友情況。網上追察和網下調查同步進行，兩邊都不能放松，有最新消息，及時碰頭交流。?

領導考慮也有他的道理，賬上錢是一進一出一進一出的，再不凍結，損失肯定是擴大，但只要一凍結賬號，嫌疑人肯定會進行他的下一步動作，至少首先會清除痕跡，就是擦屁股，怕的是，到時就算找到嫌疑人，證據還不一定能取的到。?

兄弟一邊給領導匯報，一邊把打印出來的部分路由日志給我看，一部分他都在上面劃了標記。日志很清晰明了，最近兩次，那家伙撥VPN連韓國的SQL服務器，兩次IP不同，但是MAC地址(網卡地址，在網上具有唯一性)一樣，那個IP的數據都是通過其中一臺開VPN服務的機子轉發出去，路由里每一個連接都記的清清楚楚，時間上也是吻合。查了一下那兩個IP，都是一個大城市的電信ADSL撥號IP，因為MAC地址相同，應該可以斷定這臺電腦，就是始作俑者的電腦，一般的“小黑”，不會用ADSL撥號的機子去做肉雞的。?

兄弟匯報完，領導馬上批示，請求對城市電信相關部門配合，查此MAC地址的ADSL賬號，查清楚撥號號碼，確定嫌疑人以及犯案電腦。兄弟回來屁股都沒坐熱，馬上就往那個城市趕去。我心里也是一陣激動，現在雖然沒我啥事了，但現在進展順利，很快就可以查到那家伙的電腦，不覺很是期待。?

我的桌子上還有我在紙上亂畫的些信息，邊喝水，邊把那個城市名和兩個IP以及MAC地址加上去，又看了幾眼先前記的，報案人，兩個女孩子，T寶店主，想著嫌疑人跟他們中間，到底誰會有聯系，或者就是其中的人。看來看去，還是沒啥頭緒，干脆去找領導。?

人說：三個臭皮匠，頂上一個諸葛亮，我把那個城市名和兩個IP以及MAC地址寫到黑板上后，大伙都看出了一個相同的地方，就是這個城市名跟T寶店主上的大學城市相同，難道……原本還有一位同事在那邊，剛好兄弟趕了過去，領導給他們分別交待了這邊的信息，要他們匯合一起去查。?

九?
有電信的配合，查ADSL電話就快了，地址，姓名很詳細，兄弟跟同事還有當地的同行馬上趕了過去。房東給他們介紹，房子他租給一位在校的大學生，一個小伙子，電話登記的是房東的名字。房子離大學不遠，兄弟就跟房東一直在那等著，直到放學，一位小伙子走進那所出租屋。?

當一隊人進了屋子，說明來意后，那家伙表現的竟然是非常冷靜，兄弟開電腦取證時，那家伙一言不發在邊上看著。等電腦開機后，兄弟檢查了一下，心里就說糟糕，賬號一凍結，果然就打草驚蛇了，那家伙系統肯定是重做了，里面啥也沒有，查了一下MAC地址，還好，網卡沒有換，MAC地址就是那個。?

兄弟馬上走出來給領導匯報了現在的情況，說電腦里查不到任何黑客工具，但通過MAC地址可以斷定就是這臺機子所為。領導指示：(1)再仔細查電腦里的痕跡;(2)審查那小伙子，爭取從他口中得到信息;(3)小伙子跟T寶店主在同一學校，繼續查T寶店主，查他兩人的關系。?

于是兄弟分成幾組，一組帶電腦跟那家伙回當地局里，一組去查T寶店主，一組繼續在屋子里查有用信息。到了局里，兄弟給那家伙電腦里裝了一個找回格式化和刪除文件的工具，慢慢掃所有硬盤，看能不能找到那家伙刪除的信息，如果那家伙只是格式化了一遍電腦，應該是可以找回來一部分格式化前的信息，說不定可以找到有黑客工具，入侵記錄等。(網上這個工具很早就有，用過的都知道，其實兄弟們平時，也用的就是這個工具而已)?

另一個同事一直在詢問那家伙，得到的回答是，不知道，不清楚，看著他冷靜的模樣，同事直想上去扁一通，讓那家伙開口。兄弟把整個硬盤掃完，看著顯示的結果，心又涼了，NND，那家伙不是低級格式化了硬盤，就是把硬盤格了三五次了，啥刪除的信息都找不到。“小黑”們平時用的工具，一般會放一份在網上存儲空間里，或者備份到移動硬盤，另一組查屋子的，把屋子查了個遍，好像也沒發現有移動硬盤。查T寶店主的那一組也傳回消息，兩個認識，那家伙一直在追求T寶店主，但對方一直是若即若離，保持著同學和朋友的關系而已。現在是動機有了，作案條件也有了，但那家伙就是不開口，案情到這一步，又停了下來。?

十?
雖然看上去，事實已經很明了了，但沒有證據，那家伙不開口，兄弟也沒辦法。那家伙文文弱弱，肯定是不經打，也不能打的，那都是多少年前的做法了，現在時代也不同了，凡事都要講證據了。?

一個晚上，那家伙還是同樣不開口，到第二天早上，兄弟找到那家伙的輔導員了解情況，最后通過同學了解到，平時見過他有移動硬盤，而且那家伙每天中午都在宿舍休息。終于在宿舍他的抽屜里，找到他的移動硬盤，所有的希望都寄托在這里面了。只要有充分的證據，就不怕他不開口了。?

果然，當那家伙看到移動硬盤時，臉色馬上就變得蒼白，兄弟接上移動硬盤，打開一看，里面黑客工具分的明細清清楚楚，什么遠程控制，注入工具，捆綁工具，加殼脫殼，教程等，還有一個專門的文件夾，叫自己寫的小工具，里面就有一個用VB寫的往WORD里寫數據的工具，在另一個專門的文件夾里，許多TXT文檔有免費域名密碼，許多郵箱密碼，被黑網站地址等。接下來就好審多了，兄弟一直看著他，讓他把作案的過程講一下。一個人的自信，在另一個更自信的人面前，被這個人把他偽裝的自信擊破后，剩下的就只有自卑和恐慌了，沉默過后，那家伙終于開口交待了。?

旁觀人可能無法理解當事人的想法，可能是因為站的位置不同吧，他的理由竟然是如此簡單：她在T寶上開了個店，由于暫時沒有啥信用評價，沒啥生意，他就想幫她，于是就有了這件事，為了不讓人懷疑，他故意把手機寄給兩個不認識的人，兩個人的地址，就是從那個交友網站的數據庫得來的，那是他以前的戰利品而已。?

兄弟只能在心底無奈的嘆氣，憑這家伙肯鉆研的精神，將來說不定會有大好前途。?

那些報案人的資料，全放在一個網上免費硬盤里，打開他的免費域名和遠程控制軟件，上線的肉雞竟然還有好幾百，如果不是及時破案，還不知道有多少受害人。?

下面是筆錄的一部分：?

問：這么多肉雞，怎么來的？?
答：在一些網站上掛的網頁木馬，然后上線的?
……?
問：那你是怎么確定人家會付款？?
答：基本上那幾臺電腦我都盯了幾天的，都是公司的高層吧，我看他們的資料都挺重要的，想肯定會付款找回資料吧。?
……?
問：撥號的VPN是怎么來的？?
答：是網上一個兄弟給的，好像是他公司客戶的服務器，那個兄弟在一個空間租售代理公司。?
問：韓國的服務器是怎么入侵的？?
答：用的SQL注入漏洞進去的。?
問：具體點。?
答：就是用NB掃的注入漏洞，SA權限，直接就加了用戶，然后改了遠程登陸端口。?
問：那注入漏洞是你補的？?
答：嗯，因為漏洞太簡單了，別人也容易進，所以我在WEB服務器上傳了個馬，把注入漏洞給補上了。?
……?

這個案例，到此算是告一段落了。留給我們的，是心里的無可奈何和傷感。同時，心里也在感慨，如果網卡沒了，移動硬盤沒了，我們還會不會如此輕松，如果第二次他換一臺肉雞……?

互聯網沒有天網恢恢疏而不漏 - 入侵者必讀?
作者：朽木?

這篇文章很早就寫了，本來是投到黑防的。編輯說稿子很好，回信給我讓我修改稿子把路線偏向“防”，可是思來想去，從純技術的角度來說。目前國內網絡結構是無法“防御”的。所以婉言謝絕了黑防編輯修改文章的事情。發出來大家學習吧。?

俗語有云：天網恢恢、疏而不漏！這句話是真的么？現實社會中我不知道。但是在互聯網上，這句話在Internet上是很軟弱的。讀完我這篇文，就可以知道。在網絡上觸犯現行法律，即便于公安部門立案調查，未必就“落入法網” 注：本文僅做技術研討，并非討論如何在犯罪后逃脫法律的懲罰。?

首先來認識一下：“網監”也就是公安部門分管網絡的部門。他們負責網絡監管，如網站和服務器被黑、游戲帳號裝備被盜、網絡上的各種糾紛、色*、反*的內容。都屬于網監處理。?

我們來假設一個案例：163.com主站被入侵，服務器硬盤全部多次格式化，并且重復讀寫垃圾數據，導致硬盤數據無法進行恢復，損失慘重。于是在召集專家緊急修復服務器數據的同時，163.COM公司迅速向廣州網監報案。廣州網監介入調查，追蹤此次入侵者！?

如果你是入侵者，你面對這樣的情況。你會怎么辦？其實很多同行在侵入別人網站、服務器、內部網絡的同時，都不太懂得如何保護自己。如果你們不注意隱藏自己，用不了一天，網監部門就可以鎖定你家祖宗十八代-_-!!!，如果隱藏的好，等這個案子過了法律追究期限，也是個無頭案。而這，在Internet上來說，是易如反掌！?

首先，我們來了解下、網監部門如何追蹤入侵者，鎖定他在何處作案。大家一般都知道，當你黑掉一個網站的時候，你在WEB的操作。都會或多或少的被記錄在對方WEB服務器日志上。IIS和Apache都是會記錄一些IIS日志。如果你入侵一家網站，被記錄下IP地址一點也不奇怪。就算一般瀏覽網站，也會被記錄下IP，當你在瀏覽網站執行一個操作的時候，IIS服務器就會進行一次記錄，比如說發生一次連接錯誤。這就更不談你侵入他人網站會不會留下IP記錄，這是絕對會留下的。?

當你侵入一臺服務器呢？在你進入服務器的時候，首先WINDOWS系統就會對你的連接IP進行記錄，其次在網關服務器上。也會記錄連接進入服務器的IP。所以即便于你能夠把服務器上的記錄給刪除，而網關上的記錄，你永遠也碰不到。?

公安部門在鎖定做案者的時候，首先就是要找到做案者，如何找到？最重要的就是追蹤IP了。?

我們來了解下一些ADSL寬帶接入常識。?

眾所周知，現在大家一般都是使用的ADSL電信或者網通的寬帶接入網絡。絕大部分是使用的動態IP，少部分是使用的固定IP。固定IP是特性一般是帶寬在 4M以上。而一般人用不了。當你啟動計算機，通過ISP提供給你的寬帶ADSL帳號撥進互聯網的時候。ISP服務商的系統就會隨機分配給你一個動態IP，并且記錄如下事件，例如：2008年8月8日8時8分8秒，btm4545455（寬帶帳號）,撥入IP：58.53.1.5，操作系統：?Windowsxp，撥號電話：07284544562。各省的電信記錄方式可能不同，但是這些數據絕對會被ISP記錄下來，有的人可能不相信ISP會記錄這么詳細的內容。不過我進入電信網絡中查看過這種系統，確實存在！而且更詳細，我這里只是簡單列舉了他記錄的一些主要數據！?

另外一點，當你成功撥號進入互聯網后，你的IP在訪問互聯網的時候，會經過不少路由器，幾乎每個路由器都會記錄下你的IP！?

現在大家知道了ISP服務商通過什么方式記錄你的行蹤了吧？?

我們再談談公安部門如何抓捕做案者。大家都知道，要抓一個人，首先就要知道他是誰、他在那里。如果這都不知道，怎么抓？而要獲取到作案者地理位置和真實身份的唯一手段，就是“IP”，IP就是ISP分配給大家用來上網的東東。大家都知道，當你的計算機和一臺Internet上的服務器建立連接的時候，雙方就會互相傳輸數據給對方。而這個IP就等于是傳輸的通道，其實你使用的IP，只能說是互聯網的“身份證”，真正訪問互聯網資源的其實是ISP，你的IP只是負責接受和傳輸數據到XX服務器。同樣，這個IP就是確認某臺計算機在某年某月某日某時某分某秒連接進入某個網絡的證明。同樣只有找到這臺作案的計算機，才能繼續追查他的使用者。?

好的，我們現在回到前面，我們前面說了，假設163.COM公司報案后，公安部門通過分析，在WEB服務器系統上以及網關上面（無法擦去）均找到了連接并入侵系統的IP地址：211.1.1.1，這個時候公安部門調查發現，這個IP是來自日本的。這就是說、入侵者是日本人？這其實只是一個假象。?

當查找一個入侵者的時候，很重要的一個環節就是查路由日志，大家都知道，當你的IP訪問一臺服務器的時候，就會經過非常多的路由器，也就是說不只一臺路由記錄了你曾經到訪過的IP，這也是可以追查到的。同樣，即使你使用國外肉雞來連接入侵163.COM，公安叔叔同樣會追查到你。那他們是如何做到的？?

答案很簡單，公安部門是有權利要求電信部門配合，提供路由日志，具體提供到有那些IP曾經路由到211.1.1.1這個IP上面，這樣。就可以抓住你了。當你被抓的時候，別想、為什么勞資明明用了代理，還是被抓？其實很簡單，因為單單是一層，那是很容易被破解的，尤其是代理！代理協議都是很簡單的。被破譯一點也不難。?

大家都知道，公安網絡監管部門有一個國家防火墻“金盾”，大家知道這個防火墻是做什么的？就是用來屏蔽一些被認為網站內容涉嫌反*、色*活動的站點和網絡資源。不信，大家試試隨便找個普通的國外有效代理訪問類似http://www.wujie.net/，你就會發現你和代理的連接中斷，為什么中斷？因為金盾檢測到你涉嫌訪問反*、色*內容、并且已經被屏蔽的站點。然后ISP的系統，就會強行中斷你和那個國外代理的連接。這樣，在一定的時間里，你就會以為代理死掉了。更簡單的測試方法比如：你在google.com里搜索：“邪惡”，你就會發現自己和?GOOGLE的連接已經中斷，其實這就是ISP強行掐斷了你們的訪問。你在大概幾分鐘類就無法訪問GOOGLE。因為你的內容沒有進行任何加密措施，就類似代理、就很容易被識別出來。?

所以大家不要隨便相信代理這種基本沒有任何安全性可言的東西。。而怎么樣，才能逃避追蹤呢？方法很簡單。?

公安部門追蹤入侵者，只能從IP下手，我們逃避掉IP，只要自己拉風。基本就沒有危險了。如何逃避？我說下，我一般“檢測”站點服務器所用的方法。準備工具、根據威脅性質、我一般對很危險的網絡使用“E級防護”直接侵入服務器的是：北京某高速IDC服務器A、它的后面還有：湖南IDC服務器：B、山東?IDC服務器：C、韓國服務器：D、臺灣服務器：E、本人電腦：F。?

注意，防護程度根據個人能力而定，一般我這種級別的入侵防護要求被控制的服務器質量很高，首要是速度非常快，PING值如果國外的兩臺高于：150，那就不用考慮了。一般國外的要求PING在120左右。國內的PING在70以內。否則會造成操作速度非常緩慢，因為本身這樣做以后，操作速度就會變慢不少，原因是：（這里的各地服務器我用A、B、C、D、E、F代替，剛才已經寫清楚了），首先，我們連接的是E，然后在E號服務器里使用3389終端連接韓國D?號，然后D號再3389連接進入山東服務器C號，然后C號3389再連接進入湖南B號。湖南B號繼續3389連接進入“A號”。這樣，在操作過程中。你的一切操作都會記錄在A號上面。被入侵的服務器一切記錄都在北京A號上。連A號上的日志都不用擦，就是要留給公安叔叔追蹤！?

我前面已經說過了，公安叔叔的網絡抓捕終極武器就是查路由了。而當我連接到臺灣E號的時候，就會記錄我路由到了E，然后呢？你在3389上的操作，僅僅只會留在對方的服務器上，而你只是看到傳輸回來的圖象。并且是經過高強度加密，我試過根本無法被識別，依照現在的技術，是根本無法還原你到底進行了什么操作。并且這是絕對不可能的事情。因為終端連接的協議是非常嚴謹的。就現在來說，是無法破解的。看完你就知道為什么了！?

當我連接到E號臺灣的時候，我的一切操作就是E完整的，我僅僅是得到傳輸回來的圖形界面（也就是截圖差不多的），所以一切操作就是E完成的。這個時候E路由到了D號韓國，所以E號的路由就不是我們的了，就是由臺灣ISP服務商路由了~大家明白原理了吧？公安叔叔只有權利查國內電信部門的路由日志，他們可以查到一個IP路由到了國外，但是絕對不可能查到一個真正的國外計算機傀儡到底他背后是誰、為什么呢？?

因為當E號臺灣操作D號韓國的時候，他的一切操作就是由臺灣ISP記錄了。這個時候韓國D號連接國內C號的時候，才有可能被查到。為什么呢？因為前面的A、B、C都在國內，只要在國內，都有可能被追蹤到！例如：?

繼續回到案例假設中：這個時候公安叔叔查到IP：211.1.1.1假設他是北京A號，好的，連夜中公安叔叔趕到北京電信、通過電信的配合、查知是某 IDC托管商處的服務器，開啟了這臺傀儡服務器，通過分析記錄日志，得到我們的B號傀儡服務器，好的，連夜趕往湖南電信、在湖南電信的配合下、查到又是一臺IDC托管服務器，素聞湖南人熱情好客、果然不錯。在IDC的盛情款待和大力配合下和公安叔叔們奮勇拼搏、不為個人、大力犧牲的情況下。查到了我們的山東C號服務器。這個時候，勞累的公安叔叔在休息了一晚后，繼續趕往山東，在當地電信的配合下。查到這個IP又是屬于某IDC機房的。于是在分析完日志后。?

我們的公安叔叔知道、曾經在吻合的時間和背景下連接到這臺C號的IP是：203.1.1.1、而這個IP來自韓國，怎么辦？?

其實公安這樣要求國內ISP服務商配合調查，開啟路由提供日志的幾率是很低的。如果要跨國辦案，只有一個可能。就是前往韓國、好的，既然是假設，我們就要假設完。在拿到去韓國的機票后，公安叔叔來到了韓國，在當地警方的大力配合和盛情款待后。通過萬分之一的機會查到了這臺可能已經被我不負任何責任格式掉的服務器IP地址所在機房。在萬分之一的幾率下，又通過韓ISP的配合，居然查到還沒被刪除的路由日志。于是查到路由到這臺韓D號的IP來自臺灣?22.1.1.1、八恥八榮的號召下，公安叔叔奮力拼搏，拿到了去臺灣的機票，終于終于獲得了臺灣警方的配合。在異國，同胞們還是這么熱情，終于在萬分之一的幾率下查到了這臺曾經被不負責的格式掉的服務器。。。?

終于，在萬萬分之一的幾率下取得源入侵IP23.1.1.1來自中國湖北某地，于是公安叔叔殺紅了眼前往湖北，終于在當地ISP的配合下。通過系統記錄的撥號記錄，終于查找到這位仁兄、可是公安叔叔們發現。已經過了：刑事追究期限。。。。不過這已經是有了中500億美金的運氣了。說實話，比爾大蓋子把他?500億的財產送給你的幾率，都比查到源IP的幾率高！?

剛才是我的假設，劇情是順利的。可是現實中，是絕對不可能的，首先：路由日志，不是誰想查就能查的。查路由會導致ISP整體網絡速度下降非常高。而且不一定有幾率，最關鍵的是這種路由日志一般都會定期刪除。所以他的保存期很短。并且電信部門對一般的小地市的網監，不強勢的部門都不怎么鳥。所以說，就算要找到我們的C號山東服務器都是很困難的。公安叔叔一般情況下，能查到B號的，你就該送人家：優秀人民公安錦旗了。。?

再說說國外的D號和E號，當查到C的時候，也不知道是什么年代了。去查一臺多次格式化，并且讀寫的服務器的入侵日志，無疑是。。。怎么說都不可能，除非有路由和網關日志，那東西。能在幾個月后查到的幾率是0，按國內公安辦案速度，一般等個一年兩年，才有可能去韓國。那個時候，估計人家服務器換沒換。我就不知道了，這個時候能幸運的查到臺灣E號，幾率確實比微軟老總送你500億美刀的幾率高。，而在幾年后，能在E上找到你的源IP。確實可以當聯合國總統了吧？哦對了，好象沒這職。?

按道理說，找到你的時候，你的電腦在長時間的使用中也已經更新換代了~這個年代，兩年換代，不希奇吧？勞資2005年1月配的新機花了8200，現在2006年買不到6000配的牛B多鳥！能把你入罪，并且還在法律追究期內的情況，確實能媲美哈雷彗星撞地球了。別的不說，只要把硬盤多讀寫幾次、格幾次。這幾年后，不格不讀寫，硬盤也都被重復寫過多次了吧？而當年入侵的時候是操作在臺灣機器上的，除非有一個可能。?
ISP在這幾年里一直在路由器上攔截你的一切網絡訪問數據，并且解密開。并且就算解密開，得到的只是你連接對方服務器的數據。這種級別的享受，我想只有特級間諜才享受吧。ISP可花不起這個錢和設備來監視一個普通人幾年。并且還保存幾年數據，要知道，如果一個省的ISP監視一個省的上網數據，一天的數據就夠裝幾萬G了。。。不知道得用什么東西裝，這是不可能的事情。更別提解密了。就算找到你，也沒證據證明是誰入侵格式了163.COM的硬盤！?

歸根結底，只要你能夠利用國外網絡躲避開國內路由，根本沒有可能查到你，上面的假設中的A、B、C、D、E我都是自己親身使用過的。并非胡亂吹噓。這里我來說下，我一般檢測站點服務器的隱藏自己的具體方式、?

首先準備肉雞3-5臺、2臺國外肉雞、兩臺國內，國外肉雞最低兩臺。這樣才能足夠逃避追蹤。國內肉雞可以減少到1臺。根據你找到的肉雞網速決定。要求肉雞的網絡延遲非常高、國外地區的肉雞、網絡延遲要求你本機連接上的PING值不高于130。國內肉雞不高于70的延遲。這樣才能很好的使用肉雞。方式是使用?WINDOWS自帶的3389遠程連接，在肉雞里再連接肉雞，這樣反復套襪子式的連接。?

我一般是使用5臺、3臺國內肉雞，2臺國外肉雞。我采用的連接方式是，完全暴露的國內A號、B號國內，C號國外、D號國內。E號國內，F號本機。我連接E 號，然后連接D、C、B、A。注意、E號建議是采用開代理的方式連接。比如把E號開啟SOCKS5代理服務方式，然后你在本機連接IP127.0.1，就可以成功連接E號。這樣我在E號留的WINDOWS日志記錄IP、全部就變成了127.0.1。這樣就無法證明我曾經干了什么。即便于當檢查我的計算機的時候，也只能看到我連接了127.0.1。而路由只能證明我訪問了、和對方服務器建立了連接。?

以上隱藏方式，為親身使用過。并非胡亂猜想。如果你這樣都能被逮，只能說你是神人也！天神下凡。。。。?

注意：這篇文章僅做純技術研討學習。請不要嘗試越過法律！請各位嘗試入侵的網友記住！當你在沒有任何防護的情況下進行hacking，你時時刻刻都面臨著危險。你是否落入那張“網”，就看別人是否要你進“網”。猶如案板上的→“魚”。?

后注：?
兩篇文章長啊，說的也不是很深入的東西，看起來還是頗為引人入勝，推薦！！！?
原文作者：一天涯寫手“不談戀外了”！原連接缺！

總結

以上是生活随笔為你收集整理的一个计算机爱好者眼里的隐私的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。