貉之丘

　　现在几乎所有的宽带路由器都具备了基本的防火墙功能，有不少还具备域名过滤功能。以前基本没有研究过，也没把这个功能当回事儿。直到今天有客户想要用IP防火墙做网站访问的名单控制，于是才去看了看。
　　说“研究”有点大了，其实也就是把这个功能试了试，明白了它的实现原理。首先怀疑是不是通过DNS包过滤来做的，因为在IP层或UDP层无法过滤出指定域名的DNS查询请求。于是配了个黑名单自己试了一下，果然DNS查询就不响应了。得不到DNS查询结果，IE自然就打不开页面。对于普通用户来说，是很简单也很实用的做法。
　　那么，对后续的访问有没有做过滤呢？如果有的话，那么这就是一个严密但很复杂的状态防火墙，性能难以得到保证。我有点怀疑这种普通路由器是否会实现如此复杂的功能。再试一下，自己在Hosts文件中做了本地解析，结果这次IE就能顺利地打开页面了。看来路由器的域名过滤只堵入口，后面就不管了，果然只是入门级的产品啊。
　　还有疑问：路由器自己的DNS是可以控制的，丢弃包不向上级DNS转发即可。但是否只要把DNS设成公网上公开的地址，就可以绕过限制了呢？答案是不可以，公网的DNS能解析其它地址，但对黑名单中的地址还是没有反馈。目前看来真相已经明了，这个功能是在IP防火墙的基础上实现的，对特定的DNS包进行解析并过滤即可，而并没有在自身的DNS功能上去实现。
　　想想这样也比较合理，应该是各种实现方案中性价比最好的一种吧。

　　手机QQ的2008版有视频功能了。一开始很是让我激动了一下子，不过只能看到电脑上，电脑上却看不到手机摄像头的画面。想想也对，手机摄像头一般都在背后，这样子没法用来视频聊天的。
　　玩了两次也就不再玩了，——手机上看到的视频图像画质很差，而且还容易断线。再次提到它是因为突然发现My Pictures里面多了好多的小JPG文件。1K不到的大小，大约像“2009-10-15-05.jpg”这样的命名，密密麻麻排了有几百个之多。可无论用微软的图片浏览器，还是ACDSes，都看不到其中有什么图像。文件们的生成时间很接近，不同的流水号（从文件名上可以很容易看出来）之间只相隔1秒左右。拿UltraEdit打开，没有任何有价值的东西。
　　解释成“病毒”是一种很幼稚的做法。第一次发现时我简单地删掉了事，第二次出现，我很自然地想到和QQ有关。因为它们突然出现在桌面上，数量也很多，而那个时间段我在做什么呢？我在用QQ和手机视频。
　　去网上搜了搜，大概有两三个人也在问同样的问题，几乎没有什么像样的回答。仔细想了一下原理，大概是这么一回事：QQ在实现电脑和手机之间的视频时，是采用的每隔1秒在电脑上截一幅图，编码压缩后传给手机的方式来模拟实现的。在图片传送之前，大概找了个我“上次保存下载文件”的地方来临时存放这些“JPG”文件（很可能不是JPEG格式，或者至少没有头部），然后又不知道因为什么原因而竟然没有从这个暂存区删掉，所以就在桌面上爆发了（顺便提一句——我有把文件先下载到桌面的习惯）。目前初步怀疑是当手机没有收到的时候，就可能不会删（在等超时？）。
　　腾讯也有很雷人的程序员啊！

　　当初有感于TP-Link在密码的Web页面显示上处理得比较好，所以买了它的TL-WR340G+。BestBuy淘的白壳便宜货，拿回家一看其实硬件版本是WR340G V5。不过看官网上WR340G V5和WR340G+ V1都用的同一款Firmware，看来基本一致吧，也就不追究了。
　　应该说，这个虽然是入门级的货色，但比起家里早几年的有线路由器来说，软件上还是进步不少。至少从界面上看已经可以满足我的要求了。故一直以来少于折腾。去年升过一次级，也没有什么理由，兴之所至，刚好看到官网上有新的Firmware于是就升了。当时升到了3.8.1，升好以后一看多了两种特殊拨号模式，呵呵，中国电信/网通的贡献吧。
　　这次也是，偶然看到论坛里两拨人为了这个路由器吵得不可开交。一拨人说好用，一拨人说老断线。我用着还行啊，只要保证了散热就不会有什么问题，——要是和ADSL Modem堆叠就一定会死机的。看看那些人吵的时候晒的固件版本居然还是3.6.X，于是灵机一动又跑去官网看了看，果然又有新升级了。

　　新的Firmware有两个：一个是081225，一个是090730。直接看Release Note，前一个说是加了一些特殊拨号模式，嗯，无良的ISP。后一个呢，说是加入了自动选择信道，这个，大概和今晚贴在楼道门上的纸条有一定关系吧。
　　偷懒直接升级后一个，等了老半天连HTTP上传都没完成，回头一看httpd应该是挂了，端口开着可GET根本没响应。网是还能上，无论LAN/WAN。想重启吧，怕搞坏设备，不重启吧，明显已经出问题了。最后一咬牙还是拔电重启，还好，系统没变，还是老样子。又试了几次，反正还是升级不成功。胆子也大了，索性升081225试试，圣诞节的版本不知道好不好。解压开一看，有个“中间版本”，心里基本上明白了。
　　先升级中间版本到4.0.2，嗬，设置全清了不说，界面上只剩了一个升级，摆明华山一条路。继续升到081225对应的4.2.0版，终于恢复正常了。再继续一口气升完090730，终于到了4.3.2。
　　看了看功能变化，特殊拨号模式多出了好几个：西安、河南、湖南等等地方都要用特殊拨号模式才行。再看看Wireless设置中的频段，有个自动选择。配上参数试了下，的确每次开机选择的频段都不一样了。这就是所谓的“跳频电台”吧？
　　无意中还发现，该路由器内部OS很有可能是基于红帽系的Linux裁剪的。因为URL里面叫做SoftwareUpgradeRpm……

　　由于以前的配置备份文件已经不能用了，因此恢复全靠手和记忆。其它都好说，唯独WAN的PPPoE拨号参数记不得了，真要命。更要命的是连办电信业务时的单子都不知道放哪里去了。还好网上邻居里面还有一个以前测连通性时配的PPPoE在，找回了用户名就没问题了。
　　顺便，托门上纸条的福。把SSID广播关了的同时，还把口令字换成了生成器乱数生成的63位超强度字串，看哪个无良黑客能破？63位无序字串的话，纵使有500G的Hash Table也搞不定吧？明天就下战书去。

　　我的电脑是有惊无险。第二天早上起来一看，除了我自己的IPAutoReporter包，就只有三个10jqka的包了——原来同花顺的软件也有点小猫腻的。然而，表妹的电脑中招了。

　　昨天突然收到表妹的哀嚎，说正在看网页的时候突然中病毒了。但起因应该不是Web，现在根据情况看来，应该是来自于局域网内部的传播，因为我看到病毒的对抗代码中有很多针对反ARP攻击的内容。不过还是很奇怪，ARP攻击一般用于DoS，用于传播倒是少见。要是从网页上的话，有可能是ANI漏洞造成的网页挂马。但是又比较没有马的特征……，算了，谈正题吧。
　　病毒会对抗不少主流的安全软件——主要是防病毒软件。瑞星、金山、赛门铁克……，包括一些专杀工具和系统工具也在列表之中。手段有两种，一是映像劫持，二是定时轮询后的Kill。映像劫持被最近的病毒用得挺多，土！俗！定时轮询做得也很烂，定时的周期过长，以至于我有时间让表妹用ProcessExplorer把进程列表给保存出来。大概是害怕CPU占用高到影响运行吧。从这个角度推断，这很可能是学生的作品，因为学生的电脑一般性能不高。
　　进程列表出来了，结合超级兔子的诊断报告，病毒本体不幸被我逮到。一个名为wuauclt1.exe的文件，孤零零地呆在system32下。文件的Version Resources模拟得跟微软WinXP SP3的文件很像，可见就是最近几个月的作品，应该说作者还是下了一番苦心的。可惜文件大小他没有模拟，于是一眼被我瞧出。结合网上的资料，很顺利地就干掉了。

　　说说主要特征吧：
　　1.病毒本体wuauclt1.exe，位于system32下。硬盘每个逻辑盘上释放autorun.inf和MSDOS.EXE，作为土得掉渣但却挺有效的辅助潜伏手段。U盘似乎没有被感染，不知道是不是我表妹防护得当的缘故。
　　2.wuauclt1.exe大小仅15KB左右，正常大小在150KB以上，所以仅此一项便可判定。MSDOS.EXE的大小和wuauclt1.exe相同，我没有核对MD5，估计是同一个文件。
　　3.wuauclt1.exe在任务管理器中可见，可杀，无副进程交叉守护，未设置为系统进程或隐藏进程，无服务守护，无驱动保护文件。从自身防护这一点上来看，该病毒简直可以说是一无是处，也许作者在这方面的知识比较欠缺吧。将Explorer的显示隐藏文件的选项强行定在NOHIDDEN（屏蔽了SHOWALL），从而导致在设定文件夹选项时可能会看见一组RadioButton亮起了两盏灯。看来不暴露也是不可能的了。
　　4.由wuauclt1.exe负责对抗常见的系统工具，如ProcessExplorer，甚至对包含相关内容的网页浏览器窗口都进行关闭。360等安装进程无法完成，估计也是这个原因。映像劫持禁用了某些杀毒软件的执行程序，我表妹的Symantec失效就是因为VPC和VPTRAY被劫持所致。
　　5.启动项加在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run上面，由于不是常见的启动项放置位置，比较容易被忽视，建议使用工具进行查看。但启动项的名字很马虎地写了个test，其病毒本质暴露无疑，难道是作者大意了？
　　6.不明确是否有Downloader特性，但根据事后的查杀结果来看应该是有。我准备拿虚拟机来研究研究。另外，病毒有释放npf.sys，版本还是4.0.0.755，估计在内网里面也有点动作。

　　应该说，这个病毒还是不难杀除的，破坏性也不算大。只是由于其针对性的对抗手法，导致普通用户在杀毒软件被禁，继而发现连病毒资料都无法搜索之后，常常会手足无措。根据test这个启动项命名看来，该病毒的这个版本应该只是一个中间版本而已，后续的新变种估计很快就会出来。

　　去下载了BitComet 1.03，修改了WinXP SP3的TCP连接数限制。准备拿TCPView看看效果，没想到却吓了自己一跳。

　　看的时候，发现[System Process]:0有好几个TCP连接，状态是TIME_WAIT，源地址是本地动态端口，对方地址是一个不认识的IP，端口80。
　　不是吧？！难道我中了传说中的反弹木马？我一直洁身自好，再说最近也没发现什么可疑情况啊！

　　再看，发现都是80端口。仔细研究那几个IP地址，倒是很吓了我一跳。在搜索引擎上查了一下，口碑都不好。而且有一些能直接IE打开，很明显是刷流量的IP地址。汗！什么时候中的马？我都不知道啊！

　　一个个杀进程，好像没有什么效果。而且TCPView明明说了是[System Process]:0，也就是说不是任何已知的进程了。ProcessExplorer也看不出什么来。仔细检查了启动项，把IE的加载项全部禁用掉，然而还是会出现。这种神秘的TCP连接出现的时机似乎和IE也有点关系，但是也不是完全有关。iexplore.exe的连接是很正常的。无奈，只好拿出前不久刚准备好的虚拟机来做试验了。

　　在XP虚拟机上首先装上TCPView监控，做了快照，然后便开始安装怀疑中的BitComet和FlashGet。不过期待中的TCP连接并没有出现。又装Google工具条，还是没出现。懊恼之中打开了虚拟机的Windows Update。呵呵，出现了，而且外面的实体机上也出现了（我虚拟机用NAT上网）。原来如此。
　　又打开了几个网站，发现像Google，百度这种页面比较单纯的就基本上不会有这种情况。而像网易、新浪、雅虎这些门户就肯定会有。联想到这种TCP连接的状态全都是TIME_WAIT，而作为客户端出现TIME_WAIT是比较奇怪的。估计这些因为某些原因由客户端断开的连接，在TCPView中就全部由应用程序丢给[System Process]:0，由TCP/IP协议进行维护了。也就是说，这种情况并不是中了什么反弹木马，而是HTTP协议和某些网页联合导演出来的。

　　当然，并不能因此就排除木马的可能。把反弹端口开在80端口是最简单也检测难度最高的。如果在[System Process]:0上出现了ESTABLISHED或LISTENING就完全值得怀疑了。我还是决定开一晚上Packetyzer抓一下包确认一下。如果是木马，或者是那种刷流量的垃圾软件，起码应该会隔一段时间便自动发包到指定的地址。先把msfeedssync给停了，如果明早起来抓不到包，那么应该问题不大了。

　　以前买过《阿猫阿狗》的正版盘，这次翻出来重温，不料首先就遇到了无法安装的问题。应该是获取硬盘空余空间的API调用得有问题，好在还有另一个DOS下的安装程序可以用。安装好之后，又遇到CD音轨播放断断续续的问题。在网上查了一下，发现是个普遍问题，于是只有关掉音乐播放了事。
　　当游戏进行到打过猫王，统一北区的情节之后，游戏提示换CD2，这个时候问题又来了。换了盘按照提示按空格键却仍旧提示换盘。按照网上搜索到的帖子，去下载了最新的补丁来升级，也不行。而免CD补丁已经几乎找不到了，找来找去都是《阿猫阿狗2》那个垃圾游戏的。最后找到了一个硬盘版，把其中的主运行程序TunTown.exe拷出来覆盖掉原文件，才继续玩了下去。
　　个人发现，这样做似乎是最好的解决方案。CD音轨依然可以听（虽然还是断断续续），游戏虽然会提示换盘，但按一下空格键就过了，不用换盘。最终看结局的画面时也不受影响。所以把这些涉及到的文件都放上来，有需要的朋友就下回去用吧。