第三百三十章 另一件事儿 (第2/2页)

引号到寄存器这样一个过程，之后把指向参数区的指针保存到寄存器内，中断调用后，寄存器会进行返回数据保存。

    系统中，ssdt中维持了一个数组，专门进行特定的索引指向，通过完成SSDT访问与修改可以搜寻出一个相对应的KDT数据结构，随后通过数据结构，修改指向服务器程序地址进行RING三级枚举副职hook函数地址，就可进行进程隐藏。

    而然，这样一个刘毅亲自设计的进程显示工具的原理，就是逆向解析，将系统内有关SSDT全部设置进行更改恢复，从而达到显示进程的目的。

    紧跟着运行工具，随着工具的运行，桌面出现出现一个批量执行程序，开始进行修复。

    修复过程较为缓慢，刘毅眯着眼睛，紧紧盯着桌面上的执行信息。

    “差不多了！”

    看着程序内检测日志，已经到达了HOOK检测，见此，刘毅知道，已经恢复的差不多了。

    刚想着马上就要结束，桌面立刻弹出了提示信息窗口。

    “恢复成功！”

    随着这样一个信息窗口的弹出，刘毅点了下头，紧跟着迅速退出进程恢复软件，再次打开进程扫描工具，准备查看进程列表内的状态。

    这一次，进程恢复工具的使用还真是起到了一定的效果。

    再次进行检测后，差不多三个陌生进程，出现在了系统关键进程的最下方。

    看着这样三个进程，刘毅没有立刻将之强制结束，而是默默的观察着，这三个进程名。

    “THEspy”

    “Thespy*1”

    “Thespy*2”

    看到这三个进程，刘毅轻轻皱了皱眉。

    三个英文单词，说明了一切，这就是间谍程序运行的进程所在。

    因为想要进一步窥探当中的信息，刘毅从本系统内找出监听设备，想要对这三个进程进行一次不大不小的，信息监听，想要看看，这三个家伙，究竟是做什么的。

    随着工具的上传加载，没过多久，传送到当前主系统内。

    见工具传送完毕，立刻调用监听工具，对该进程进行了一次监听。

    首先监听的是Thespy，因为没有进行标号，刘毅怀疑，这是程序的主进程，而其他两项进程应该仅仅只是附庸品，负责程序其他功能的。

    监听工具打开，通过进程选择程序后，正式进入到监听状态。

    通过监听工具的显示界面显示，该工具内存在握手协议，同时，具备自主发出握手请求功能。

    具备自主握手功能，简单的解释来说，也就是可以进行自主的信息上传与下载，众所周知，每一台计算机之所以能够通过互联网实现信息共享，就在于这个网络协议内的握手交互过程，然而这个程序，同时也具备这样一个功能，这说明什么，很简单，这说明，这个程序可以将本地文件信息打包，若是在本地系统内没有任何安全防护工具的情况下，这个程序可以通过后台，静悄悄的将文件发送出去。

    当然，这也是需要在任何没有安全防护下才可进行的。

    软盟内部网络构造是严谨的，拥有强大的天赐核心杀软二十四小时无间断运行，可以说，想要从它的眼皮子底下想外发送不明数据交互信息，是非常的困难的，所以，刘毅推断，数据往来，并非是这个程序的主要功能，一定是还有着什么异常情况出现。

    于此同时，想到了最开始自己在本地进行木马与病毒上传时发送过来的那一个扫描数据。

    想到此，刘毅灵机一动，一个法子再次从脑中生出。

    既然刚刚上传数据出现异常，那么若是再次进行数据上传，说不定会劫持到什么有用的信息。

    想到此，说做就做，另外找到一款木马，打包生成之后，紧跟着再次进行上传，同时，眼睛紧盯着计算机内部监听程序出现的变化。

    “噔噔！”

    果然，随着木马的上传，当前的本系统内再次出现了一个扫描信息，于此同时，监听程序，捕获到了一条重要的信息。

    “Thespy进程出现变动，本地系统文件出现改动信息，改动地址D:\\\\aaa\\\\se，Thespy发出握手请求，请求地址75:478:18：1”

    随着这样一个信息截获下来，刘毅脑中多少有了思路，同时也有了自己的判断。

    系统文件发生更改，这很简单解释，在刘毅上传木马到当前系统内的一瞬间，一条未知扫描信号传来，同时，本地系统文件发生更改。

    这说明什么，说明，这压根儿就不是一个间谍程序，恰巧相反，这是一个反间谍程序。

    为什么这么说，通过这几个现象分析。

    首先，在上传木马的一瞬间，本地系统对出现的程序进行了一个检测，检测判断出文件存在不安全性，因为这样一个因素存在，激活了反间谍程序，根据间谍程序信息自主发送功能，向刘毅本机处发出检测信号，同时，将信号返回信息，通过本地文档进行记录保存，以达到程序开发者的目的。

    现在，按照监听程序截获到的文件更改信息地址，刘毅能够想出，这个程序究竟在文档内修改了什么信息。

    为了证实自己的推断，刘毅按照提示出来的地址，逐层进入，直到最底层，一个文档出现在屏幕当中。

    为了防止当中有鬼，刘毅特意检测了一边文档的尾缀，确定为文档尾缀信息后，双击打开。

    随着文档的打开，只见当中记录了非常多的信息，最主要的是，这些数据都像是随意摆放，无任何条例规则可言。

    看似乱七八糟一堆无用的信息，刘毅点了点头。

    “果然是这样！”

    看着这些信息，刘毅知道，这一切都和自己想的一样。

    为什么这么说，就在于这些杂乱无章，乱七八糟的文字。

    常说到程序加密，代码加密！事实上，系统内包括文件也好，程序也好，所有东西都可以进行加密。