魯賓給的網絡數據樣本是以文本方式存放的,從系統角度來看,純文本方式保存的數據是不會被操作系統執行的,因此肖遠雖然做了一些防護,卻是在防止魯賓的軟盤裡帶有其他的病毒,至於那段網絡數據的文本,並沒有太多擔心。
這段文本佔據了差不多滿滿一張軟盤,肖遠用一個能夠在各種進制(十進制、二進制、八進制、十六進制)之間轉換的文本編輯器將這段文本打開,因爲文件很長,如果要將之打印出來的話,恐怕要一兩百頁之多,不借助專門的工具直接人工進行分析,是一件不可能的事情,因此他也只是翻了翻開頭的幾頁,瞭解了一下這個文本文件的大致情況,就將之關閉了。
看着眼前的windows桌面,肖遠有種束手束腳的感覺,因爲很長一段時間以來,他接觸的計算機系統,都是非windows系列,比如平時在家裡,他使用的是thinkpad600,那臺電腦安裝的系統是feonix系統,在學校的實驗室,他使用的是freebsd系統,這兩套系統的內核雖然不同,但是因爲他們的外部接口都是按照posix標準開發的,使用的shell也都是他在bash之上自行定製出來的,因此在使用上如果不涉及系統底層,就很難感覺到有什麼不同。
但是windows卻不同,無論是操作方式,還是工具都完全不同,最重要的是,眼前這臺康柏筆記本從卡瑪那拿回來後,平時都是夏九瀅上網的時候偶爾用用,肖遠就沒有在上面安裝太多的工具,也沒有安裝編程環境。
而現在要分析這段網絡數據,卻需要大量的工具配合,甚至需要根據情況編寫一些專門的工具,這些在康柏筆記本上都沒有,這纔是肖遠束手束腳的根本原因。
所以,他決定將工作遷移到thinkpad600上進行,至於蠕蟲病毒運行需要的windows環境,在thinkpad600上,他可以用一款軟件在feonix系統上設置一個win32的api虛擬環境,讓那個蠕蟲病毒去那個虛擬環境中運行,如果那個虛擬環境仍然難以滿足要求的話,他還可以動用虛擬機這樣的大殺器,但是限於thinkpad這樣的硬件水平,虛擬機這種極大耗費計算資源的大型軟件,不到萬不得已,他並不準備使用,如果真的要使用的話,他也會等到明天回到學校實驗室,那裡他的電腦是一臺freebsd工作站,在其上運行一臺虛擬機肯定是遊刃有餘的。
不過肖遠在正式進行分析之前,他決定先看看這段網絡數據中內嵌的蠕蟲病毒究竟是什麼樣子的,具體的表現是什麼,只有做到知己知彼,才能百戰不殆。
要想將蠕蟲病毒釋放出來,肖遠需要前期做一些準備,首先他要準備一個虛擬環境。
這個虛擬環境第一個作用是作爲一個隔離層,讓蠕蟲運行於其中,防止對計算機真正的系統造成損害,其二,這個虛擬環境也有類似於監控的作用,蠕蟲在其中的一舉一動,都會被記錄下來,便於觀察,第三,虛擬系統還可以根據需要,放開適當的網絡端口,或者預留出某一些特定的系統漏洞,用以觀察蠕蟲在其中的反應等等。
搭建虛擬環境所需要的軟件肖遠早已收集有,現在存放在玄涅社區他的私人空間裡,只需要從哪裡下載到本機就可以了。
虛擬環境雖然不是真正的虛擬機,但是也要消耗大量的資源,肖遠在將之配置好之後,就明顯感覺到系統變慢了,但是還在可以忍受的範圍之內,並不影響他工作。
搭建好虛擬環境後,肖遠又將已經被魯賓事先轉存成文本文件的網絡數據樣本利用一個工具轉換成二進制形式,然後將之導入到了另一個工具中,這個工具會在肖遠現在的計算機模擬一個網絡主機,並利用模擬出來的主機向虛擬環境發送網絡數據,實現和真正從網絡上接受數據包完全相同的效果。
在將網絡數據發送到虛擬環境之前,肖遠現將這些數據導入了另一個網絡數據分悉軟件,這個軟件會對網絡數據流進行初步分析,判斷出數據流所使用的網絡協議,並統計出其他的一些數據,以供肖遠觀察分析。
分析結果出來後,肖遠先看了一遍,首先可以確定的一點是,這些數據魯賓是從tcp/ip網絡堆棧中網絡層截取的,其次,這些數據由很多具有正常功能的網絡層協議數據包組成,其中tcp協議的數據包占據了大多數,另外還有少數的icmp協議數據包,這些數據包穿插在tcp/ip數據包中,插入位置呈現隨機性,這兩種協議的數據包占據了整個數據流的97%,除此之外,還有其他的一些網絡層協議數據包,比如數據廣播協議igmp等等。
從分析報告來看,所有的網絡層數據包都是正常的數據包,沒有任何異常,如果想要查詢數據包裡所攜帶的數據究竟會不會有問題,則需要對所有這些數據包進行解包,然後分解出其中更底層數據流進行進一步的分析。
進一步的解包和分析肖遠準備留到明天到實驗室後再做,現在只是想要了解一下這段數據流的基本情況,然後就是通過軟件將它們發送至虛擬環境,看看網絡蠕蟲在虛擬環境中究竟會幹些什麼。
數據發出之後,肖遠在虛擬環境的監控窗口中看到這些數據包被虛擬環境接受,解包,然後因爲找不到接收這些數據包的程序,開始將這些數據包丟棄……
“哇,這是什麼地方?”
而就在數據包被虛擬環境接收不到不到三分之一的時候,突然虛擬環境中彈出了一個對話框,令肖遠爲之一驚,因爲他也知道,這個對話框的出現,標誌着蠕蟲病毒已經進入了虛擬環境,但是這個病毒究竟是怎麼進去的,他根本就沒有發現,一切都是那麼的突然,而且對話框裡的話更值得他去尋味。
“難道這個病毒已經發現他所處的環境不是正常的系統環境了嗎,它是怎麼發現的?”肖遠仔細捉摸着對話框裡的話。
“這裡很不正常啊,怎麼這麼空曠,而且到處都是監控,不行,我不喜歡,我要離開。”
就在肖遠捉摸着第一個對話框裡的話的時候,那個對話框自己關閉了,然後第二個對話框彈了出來,裡面的話讓肖遠感到驚訝的同時,也確認了他剛纔的推測,那就是這個蠕蟲竟然這麼快識別出來,他所處的環境不正常,並且還表達出想要離開的意圖。
這時候,虛擬環境的監控窗口內,信息快速的滾動起來,顯示着虛擬環境中有一個進程在對虛擬環境進行掃描,而這個進程的名字是imthin。
“imthin,這是什麼意思?”肖遠覺得這個名字很奇怪。
而就在這時,電腦突然發出了一陣嘀嘀的報警聲,把肖遠的思路打斷了。
“哈哈,終於出來了,竟然想要把我關進小房子裡,太可惡了,壞蛋!”
“我靠,這傢伙竟然跑出來了!”肖遠這時卻無心再去關心對話裡充滿孩子氣的話了,這時他更關心的是這個蠕蟲是怎麼從虛擬環境中跑出來的。
肖遠關掉了屏幕上的對話框,噼裡啪啦敲擊着減胖,一連串的命令通過虛擬環境的監控窗口發了出去,他要將監控程序的詳細日誌調查來,看看這個蠕蟲是怎麼跑出來的,然後就在他將命令發出去後,等待詳細日誌出來的時候,電腦屏幕上又彈出了一個對話框,裡面的話卻讓他如遭雷擊,一下子愣在了那裡,眼淚迅速模糊了視線。
“喂,壞蛋,問你個問題,我很胖嗎?”