第九十一章 八百里分麾下炙 六

端是不可能有事没事总给服务器发包的，大多数时候，这些数据包都是被事件触发的，这些事件大多来自鼠标和键盘等io事件，所以其间隔时间是有最小速度间隔的，毕竟一个人按键的速度再快，也没有办法和计算机相比。这也是很多游戏判断用户是否使用了外挂软件的一个标准。当然为了应付这种检查，完全可以简单的使用延时来解决，所以这个办法并不准确。丁飞羽现在用这个办法来判断，是基于thecrack的人完全没有必要使数据包看起来像是人为的，他的这个判断显然是正确的。

    得到了僵尸电脑的ip地址并没有什么用，丁飞羽总不能打电话过去跟人家说你的电脑被控制了，抛开电话费不说，114也不给查号，所以丁飞羽还须要分析对方的行为特征。既然一个黑客不能完全寄希望于社会工程学，那么使用木马机器人就是一个必然的选择，丁飞羽假定thecrack的人找到了一种使用普通电脑大规模感染木马程序的方法，如果这种方法存在，那么现在这个机器人很可能同时在网络中工作。

    他又一次成功了，连续从几台僵尸电脑上发现了32440这个端口正在经udp发送数据包，从这一点上看来，做网络安全不但需要经验和技术，还需要一些运气，显然丁飞羽今晚的运气不错。

    获得数据包后，丁飞羽立即装入虚拟机中进行分析，很容易的就得到了这个机器人的运行机制，这时他才惊讶的发现，在目前流行的128位视窗系统下，居然出现了一个已经被消灭了的缓冲区漏dong。

    理论上来说，计算机的端口属于慢速设备，处理器为了不必等待慢速设备的响应，对于端口的读写采用的是异步运行方式，就是说，处理器并不等待端口的响应，只有当端口触发响应条件时，处理器才会分出时间去检查端口状态，为了使端口在等待进程中不会丢失数据，一般都会在内存中为端口创建一个缓冲区，用以暂存数据，这个缓冲区的大小是给定的，理论上来说，缓冲的数据是不应该大于缓冲区长度的，一旦超过，多余的部分应该被自动截断。但是事实上，这个截断动作是由端口处理程序来完成的，这就给一些非法软件制造了机会，当端口处理软件不检查缓冲区长度，或者处理数据的缓冲区长度小于端口缓冲区的长度的时候，一些软件可以向这些缓冲区写入超长数据包，这些超出缓冲区的数据就有可能被执行，这就是著名的缓冲区溢出漏dong。视窗系统做为一个网络cào作系统，会自动开放一些控制端口，这些端口在安装完成后会自动开放，并被相应的系统服务监视，一般来说，cào作系统都会采取一些措施来防止这些端口被恶意联接，比如远程联接必须在本地手工确认等等，这些处理程序也都经过严格的测试，并不会有漏dong存在，但是很显然，在这一次的位向128位系统的转移过程中，ms的程序员们犯了一个错误，没有及时检查其中一项服务的缓冲区长度，而thecrack的人先于安全人员发现了这个漏dong。

    知道了机器人的运行机制，接下来就是丁飞羽的强项了，他迅速编写了一个小软件，然后在本机开始运行，做完这些后，他又在im上看了一会，就洗洗睡睡了，他的电脑在完成了一定数量的工作后也会自动关机，剩下的工作自然会有被他注入的机器来完成。

    最新全本：、、、、、、、、、、