Linux:如何黑一个黑客

　　最近，在搜检垃圾信息时，我偶然看到了这样一个很普通的邮件。它使用了一个很简单的编造八卦的伎俩，推测奥巴马的性取向，并提供了一个指向一个证明图片的链接。

　　这条垃圾信息没有什么特别的，但链接指向的这个具有双重后缀的，叫做“you.jpg.exe”的文件却有点研究价值。出于好奇，我把这个文件下载下来，检查它会干些什么事。

我首先做的是看看这个文件真正的文件类型。很显然，它不是一个关于奥巴马的图片，而是一个可以自解压的RAR文件。

　　通过RAR提取工具，我打开了这个自解压文件，看到了里面的内容。

　　解压了“you.jpg.exe”，检查里面的每一个文件，但发现它们都是经过加密的。于是，我在测试机上直接运行了“you.jpg.exe”，看看会有什么事情发生。双击它后，下面的这个图片跳了出来。嘿嘿，果然不是奥巴马。

　　在后台，下列文件被自动安装到了Windows System32目录下：

• bpk.dat
• bpk.exe
• bpkhk.dll
• bpkr.exe
• inst.dat
• pk.bin

　　而且，在注册表里创建了一个自动运行的autorun命令：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bpk = <%windir%\System32\bpk.exe>

　　我在谷歌上搜索这些文件名称，找到了一些有用的信息，测试机上被安装的这些文件是一种键盘监控程序，特别之处是，这是一款商业版的软件，来自 Blazing Tools公司，叫做Perfect Keylogger (PK)。这款键盘监控软件可以通过正常的渠道购买和合法的使用，公开宣传功用是监控孩子或员工的上网行为，等等。你可以想象，它同样可以拿来做坏事。

　　我的分析到这儿差不多准备结束了。但几分钟后，有趣的事情出现了。监控软件连接上了一个远程的FTP服务器，这样我就有了机会捕获这个入侵者的FTP帐户信息了。

　　通过拦截到的用户名和密码，我登入了这个FTP服务器，发现了大量的存放有监控日志和受害人桌面屏幕截屏的文件夹。从这些数目众多的日志就可以看出，这个垃圾信息制造者的一条八卦信息的伎俩是多么的有效。

　　下面是这个FTP服务器的注册信息：

　　我还不想就这么结束，我对这个监控软件的安装程序做了更进一步的研究，我希望能找到这个窃听事件的幕后人物。