參與此次行動會議的一共四個人。除了我和折翼天使,另外兩個分別是士官學校畢業的七月流火和極客精英黑夜之光。
七月流火從中央黨校畢業后,當了幾年通訊兵,對移動、衛星通訊很有研究。
黑夜之光是警局社招的白帽子,以前在游戲公司上班,進行AI方面的編程工作,業余時間在黑云網上發布各類漏洞,賺點零花錢。
折翼天使站了起來,把案件的資料分發給了在座的各位。又回到了自己的位子上,看了看手中的文件,對我說:“血刃,你有何高見?”
我低頭陷入了沉思,轉過身看了看旁邊的同事,把繡球拋了過去。
“在死者的電腦系統中,開啟了默認關閉的guest賬號,并且權限級別被提升到了管理員組。從我多年漏洞挖掘的經驗來看,犯罪分子提權后使用了類似tftp的文件傳輸工具上傳了木馬,之后遠程執行cmd命令啟動木馬。這種木馬一般是灰鴿子之類的遠程控制軟件服務端。與其他遠控軟件不同的是,這種木馬級別的遠控程序,啟動后十分隱蔽,除了在遠端監控的黑客外,其他人很難發覺。”
七月流火聽了黑夜之光的這番話后,也點了點頭,接著說道:“我檢查了被害人的家用路由器,使用了wep加密。這種加密屬于弱加密,使用backtrack等的第三方程序很容易破解。我猜想,罪犯應該是在被害人寓所附近活動時,破解了受害者的路由器無線密碼,之后在局域網中實施了網絡入侵。”
我似乎看出了其中的疑點:“如果受害人家中安裝了路由器,的確只能通過破解WIFI后在局域網中進行入侵。但如果事實真是如此,說明受害人和犯罪分子要么是熟人,要么就是刻意要加害的對象。”
折翼天使補充道:“我排查了受害人所在公寓的住戶,大部分都不太精通電腦,唯一幾個有一定電腦知識的年輕人,和被害者也很少有來往。”
“這么說,這很可能是一起蓄意謀殺案。”七月流火和黑夜之光異口同聲道。
散會后,七月流火和折翼天使都各自回了家。留下我和黑夜之光繼續守在被害人的電腦硬盤前。
我檢查了半天,沒有查出個所以然來。有些困了,打算先回家睡覺。這時,黑夜之光突然冒出一句:“讓我來試試。”他接過我手中的鼠標,進入了電腦的安全模式。之后又用icesword掃描了被害人的硬盤,果然,出現了紅色標注的木馬程序。
“奇怪?為什么我之前用殺毒軟件查殺的時候沒有查出來呢?”我不解道。
黑夜之光解釋道:“這就是殺毒軟件的弊端。殺軟只能查出固定特征碼和云端數據庫中記錄過的木馬程序,而一旦黑客修改了程序特征碼,除非專業人士,一般人很難查出。更何況是rootkit級別的木馬,這時,只能依賴人力查殺。”
緊接著,黑夜之光反編譯了木馬程序,發現了遠控客戶端的IP地址。我急忙打了個電話給七月流火,讓他聯系一下電信局的工作人員查一下這個IP的出處。
不一會兒,結果出來了。電信局的后臺記錄,顯示這個IP出自一個最近購買的4G上網卡,而在購買時,并沒有登記身份證信息……
就這樣,我們再一次與犯罪分子失之交臂……
