> “别忘了王一行可是一个智商超过一百八的小天才,不能用常理来推断。”夏九滢说道。
“天才固然比一般人学东西学得快,但是有些东西还是需要积累的,韩小宇智商也是一百八了,但是我觉得他写不出来那么有灵性的病毒。”肖远说道。
夏九滢听了肖远的话,沉默了几秒后,问道:“其实你内心并不希望那个人是王一行对不对?”
“是的,如果真的是他,那么……我觉得会有些可怕的可能性发生……”肖远点点头,有些担忧的说道,话却完全没有说透,然后话锋一转,道,“我宁可希望小胖子做一个普通人。”
“我明白你想什么,不过事情也不一定非得向坏的方向发展,我觉得你被别人阴谋算计的多了一些,心理上已经产生了阴影,任何事情总是会下意识的往消极方面想,这很不正常,你知道吗?”夏九滢在肖远身后,伸手抱住了他的腰,脸贴到了他的后背上,柔声说道。
“我明白的,所以我就一直相信王一行还活着,而且还活的很快乐。”肖远说道。
夏九滢轻轻叹了口气,没有再接着这个话题往下说,而是又回到了刚才的问题上:“你说你帮助鲁宾,是其他原因,还有什么原因?”
“鲁宾给我并不是一个病毒样本,而是一段网络数据样本,那个蠕虫就嵌入其中,而且没有人能将这个蠕虫给抓出来,这说明这个蠕虫一定采用了某种不比寻常的特殊技术手段才藏到这段网络数据中的,我对这种手段很感兴趣,而且直觉上觉得要是能搞清楚这个,对我现在正在进行的研究,会有极大的启发,这才是我答应鲁宾的主要技术原因。”肖远说道。
“在你心中,这个算法比windows代码的吸引力还大?”夏九滢问道。
“是的,windows代码虽然也很有吸引力,但是和这个还是不能比,而且这个只是技术原因,还有其他的一个原因,那就是我经过这么长时间的观察,觉得鲁宾这个人虽然烦了点儿,但是还算不错,而且多次邀请我的态度也很诚恳,特别是这次,我觉得他可能在面临一件非常重要的人生转折,如果我不帮他,他可能会对记恨我们,而如果我答应帮他,即使是最终没有帮到他,他也只会感激我们,而不是记恨,俗话说多一个朋友,多一条路,多个仇人多座山。”肖远说道。
“你这个想法比刚才阳光多了。没有再用阴谋论来看待这件事情。我很喜欢。”夏九滢听了肖远的话。笑了笑说道。
听了夏九滢的话。肖远笑了笑。没有在说什么。用力蹬着自行车。很快就回到家了。
洗漱完毕后。夏九滢上床睡觉去了。肖远却没有睡觉。他想要先看看鲁宾给他的网络数据样本究竟是什么。
因为鲁宾后来交代说。这个蠕虫病毒只能运行于windows系统。所以肖远把一直闲置的康柏笔记本取了出来。做了一番配置。然后将鲁宾给他的软盘插到了电脑的软驱上。将里面的数据读了出来。开始了对它的初步分析。
第518章 坏蛋,问你个问题
鲁宾给的网络数据样本是以文本方式存放的,从系统角度来看,纯文本方式保存的数据是不会被操作系统执行的,因此肖远虽然做了一些防护,却是在防止鲁宾的软盘里带有其他的病毒,至于那段网络数据的文本,并没有太多担心。
这段文本占据了差不多满满一张软盘,有1。2mbytes之多,肖远用一个能够在各种进制(十进制、二进制、八进制、十六进制)之间转换的文本编辑器将这段文本打开,因为文件很长,如果要将之打印出来的话,恐怕要一两百页之多,不借助专门的工具直接人工进行分析,是一件不可能的事情,因此他也只是翻了翻开头的几页,了解了一下这个文本文件的大致情况,就将之关闭了。
看着眼前的windows桌面,肖远有种束手束脚的感觉,因为很长一段时间以来,他接触的计算机系统,都是非windows系列,比如平时在家里,他使用的是thinkpad600,那台电脑安装的系统是feonix系统,在学校的实验室,他使用的是freebsd系统,这两套系统的内核虽然不同,但是因为他们的外部接口都是按照posix标准开发的,使用的shell也都是他在bash之上自行定制出来的,因此在使用上如果不涉及系统底层,就很难感觉到有什么不同。
但是windows却不同,无论是操作方式,还是工具都完全不同,最重要的是,眼前这台康柏笔记本从卡玛那拿回来后,平时都是夏九滢上网的时候偶尔用用,肖远就没有在上面安装太多的工具,也没有安装编程环境。
而现在要分析这段网络数据,却需要大量的工具配合,甚至需要根据情况编写一些专门的工具,这些在康柏笔记本上都没有,这才是肖远束手束脚的根本原因。
所以,他决定将工作迁移到thinkpad600上进行,至于蠕虫病毒运行需要的windows环境,在thinkpad600上,他可以用一款软件在feonix系统上设置一个win32的api虚拟环境,让那个蠕虫病毒去那个虚拟环境中运行,如果那个虚拟环境仍然难以满足要求的话,他还可以动用虚拟机这样的大杀器,但是限于thinkpad这样的硬件水平,虚拟机这种极大耗费计算资源的大型软件,不到万不得已,他并不准备使用,如果真的要使用的话,他也会等到明天回到学校实验室,那里他的电脑是一台freebsd工作站,在其上运行一台虚拟机肯定是游刃有余的。
不过肖远在正式进行分析之前,他决定先看看这段网络数据中内嵌的蠕虫病毒究竟是什么样子的,具体的表现是什么,只有做到知己知彼,才能百战不殆。
要想将蠕虫病毒释放出来,肖远需要前期做一些准备,首先他要准备一个虚拟环境。
这个虚拟环境第一个作用是作为一个隔离层,让蠕虫运行于其中,防止对计算机真正的系统造成损害,其二,这个虚拟环境也有类似于监控的作用,蠕虫在其中的一举一动,都会被记录下来,便于观察,第三,虚拟系统还可以根据需要,放开适当的网络端口,或者预留出某一些特定的系统漏洞,用以观察蠕虫在其中的反应等等。
搭建虚拟环境所需要的软件肖远早已收集有,现在存放在玄涅社区他的私人空间里,只需要从哪里下载到本机就可以了。
虚拟环境虽然不是真正的虚拟机,但是也要消耗大量的资源,肖远在将之配置好之后,就明显感觉到系统变慢了,但是还在可以忍受的范围之内,并不影响他工作。
搭建好虚拟环境后,肖远又将已经被鲁宾事先转存成文本文件的网络数据样本利用一个工具转换成二进制形式,然后将之导入到了另一个工具中,这个工具会在肖远现在的计算机模拟一个网络主机,并利用模拟出来的主机向虚拟环境发送网络数据,实现和真正从网络上接受数据包完全相同的效果。
在将网络数据发送到虚拟环境之前,肖远现将这些数据导入了另一个网络数据分悉软件,这个软件会对网络数据流进行初步分析,判断出数据流所使用的网络协议,并统计出其他的一些数据,以供肖远观察分析。
分析结果出来后,肖远先看了一遍,首先可以确定的一点是,这些数据鲁宾是从tcp/ip网络堆栈中网络层截取的,其次,这些数据由很多具有正常功能的网络层协议数据包组成,其中tcp协议的数据包占据了大多数,另外还有少数的icmp协议数据包,这些数据包穿插在tcp/ip数据包中,插入位置呈现随机性,这两种协议的数据包占据了整个数据流的97%,除此之外,还有其他的一些网络层协议数据包,比如数据广播协议igmp等等。
从分析报告来看,所有的网络层数据包都是正常的数据包,没有任何异常,如果想要查询数据包里所携带的数据究竟会不会有问题,则需要对所有这些数据包进行解包,然后分解出其中更底层数据流进行进一步的分析。
进一步的解包和分析肖远准备留到明天到实验室后再做,现在只是想要了解一下这段数据流的基本情况,然后就是通过软件将它们发送至虚拟环境,看看网络蠕虫在虚拟环境中究竟会干些什么。
数据发出之后,肖远在虚拟环境的监控窗口中看到这些数据包被虚拟环境接受,解包,然后因为找不到接收这些数据包的程序,开始将这些数据包丢弃……
“哇,这是什么地方?”
而就在数据包被虚拟环境接收不到不到三分之一的时候,突然虚拟环境中弹出了一个对话框,令肖远为之一惊,因为他也知道,这个对话框的出现,标志着蠕虫病毒已经进入了虚拟环境,但是这个病毒究竟是怎么进去的,他根本就没有发现,一切都是那么的突然,而且对话框里的话更值得他去寻味。
“难道这个病毒已经发现他所处的环境不是正常的系统环境了吗,它是怎么发现的?”肖远仔细捉摸着对话框里的话。
“这里很不正常啊,怎么这么空旷,而且到处都是监控,不行,我不喜欢,我要离开。”