作者：crazyboy

最近几年感觉网络好乱啊，什么灰鸽子、熊猫烧香、金猪闹春把网络给搅得一塌糊涂，但总结下来，原来均是和利益有关，怎么感觉现在黑客和以前的都大不相同了，以前大家还写点软件免费让大家用，而现在的黑客是非钱不干了，BS一下！

一年前本来是被强行加到了国内某个肉鸡QQ讨论群里的，平时很少发言，但有位叫c00LsHELL的叫卖出售肉鸡权限的话引起了偶的注意，因为这关乎偶同学网吧的安全问题，从前年开始他的网吧就总被DDOS攻击导致掉线，他找来找去试了好几款抗DDOS防火墙，最后感觉冰盾效果好些，但冰盾试用版却只能用2个小时，而正式的专业版要近6千元（当然现在已经好像不到2千了），大家都知道搞网吧赚钱不容易，能省点就省点吧，他知道偶平时常破解点软件自己用，就求偶能不能想想办法，毕竟多年同学了，偶水平不算高，用了三天三夜才把冰盾拆解了，当然，偶所供职的公司也是搞软件的，知道开发套软件不容易，没日没夜的，就没忍心放出去，把拆解的冰盾锁定安装在了网吧的网关机上。不曾想前几天听他在QQ上说他网吧的一些客户都出现了游戏和QQ密码被盗的问题，把偶叫去检查了他们客户机的安全，也没发现异常，感觉非常不可理解，昨天他在QQ上又说不久前从网上下载安装了冰盾8.2破解版，联想到c00LsHELL的叫卖感觉这里面很是有蹊跷，于是想探索分析一下他下载的冰盾8.2破解版里面的奥秘。QQ群聊天截图如下：

先从网上下载一个冰盾8.2破解版并展开到C:\

显示一个叫bdfw.zip的原始文件包和一个crack目录。

Crack目录下是三个文件，两个是冰盾被破解过的主程序，但请注意多了一个叫johnroot.dll的文件，该dll文件非常大接近500K，看来这个dll不简单，应该可以做很多事。用PEiD v0.94初步查看johnroot.dll显示是用” ASPack 2.12 -> Alexey Solodovnikov ”加的壳，很明显破解制作者不想让大家看到他到底在里面做了什么。截图如下：

然而事实是就用这么老的一个ASPack加壳的么？非也，偶用深度探测插件可以将其真正的壳探测出来，真实壳为“Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]”，基本上是ASProtect最新的壳了，这更证实了破解者有强烈的不想让人脱壳查看内幕的想法，截图如下：

可见制作此破解程序者隐藏之深，不想让其他人脱壳而暴露出其隐藏在DLL中的真实代码，故而伪造了壳。

 接下来安装了破解版，显示界面为：“高级网桥版”：

Bdfw.exe运行后，用Process Explorer观察到johnroot.dll被加载到其内存空间：

然后偶观察到在刚运行数分钟后的不确定时间段内bdfw.exe会向外网的某个IP发起反弹连接申请然后又会迅速断开，就好比灰鸽子一样反弹取得指令后迅速断开连接并执行指令以隐蔽其行为，但通过技术手段还是被捕捉到了请见下图：（事实上非破解版的bdfw.exe从来没有连接外网的情况）

经过深入跟踪发现为johnroot.dll所发起，而这dll正是破解者所加入的，事实上破解一个软件完全不必要加入这么一个大的dll文件，除非要完成非常非常复杂的功能，比如：灰鸽子的dll也是几百K，远程控制功能非常强大。至此偶也基本上明白了同学网吧客户密码被盗窃的原因了，于是劝其再次安装回原来版本的冰盾，删除了最新冰盾破解版。

 经过网上的传闻和这么一次真实经历，偶终于明白了网上的一些事情，总结经验如下：

1、  网上的木马盗号程序是不能购买的，因为里面大多有后门，你花钱买来的木马结果号码被先发到了卖马人那里，留给你的基本上是没有什么价值的。

2、  破解版软件是要慎用的，尤其是直接对exe进行了修改更别说还添加了dll的破解版软件了，但是一般来说仅仅需要输入序列号就可以注册的是相对安全的。

3、  汉化类软件也要慎用的，因为里面大多加了广告等流氓插件。

4、  关键的服务器主机上不要乱运行非官方程序，否则一不小心就可能成了肉鸡被人用20元卖掉，坏人可能会盗窃你的网站程序、数据库，甚至利用你的机器去攻击别人。

5、  在国内下载软件尽可能到华军、天空等大站，在小站不小心会下载到类似xxxcrack.exe或adxxxx.exe类的文件，这些文件100%是流氓插件，最多曾遇到过一个几十K的程序绑了20多个流氓插件，一旦中招，哭去吧你，因为大多杀毒杀马软件弄不干净，P4机器变成了P3，而且隐私和重要文件随时可能被泄漏。

以上是偶在网上混出的一点心得，供大家参考一下，最后送大家一句话：“天下是不会有免费午餐的”，尤其在这个利欲横流、道德伦丧的网络时代，大家慎之又慎。