上了,他再次將蠕蟲下載下來,可是又一次被刪除,一次又一次……
“不行,我得冷靜下來。”
愛德華按捺住內心的焦躁,梳理一下自己的思路。
“它能夠如此迅速地就檢測到tree蠕蟲病毒的存在,意味著肯定正在執行當中,隨時對記憶體中執行的程式進行檢測……”
“無法從程序裡面看到,也就是說它隱藏了自己……”
“程序是執行在記憶體當中的,命令將程序顯示出來,就是讀取記憶體當中特定的資料結構,它能夠隱藏自己,難道說它修改了儲存程序資訊的資料結構?”
愛德華一步步地梳理思路,竟然得出了這麼一個讓人感到震驚的結論!
在此之前,可從來沒有出現過這樣的技術。
愛德華思考良久,覺得這個可能性非常大。
於是,他跑到機房外面安東尼的辦公桌旁,藉著他的電話給西奧多打了個電話,讓他立刻幫自己找一個能夠探測記憶體執行內容的工具程式。
西奧多立刻就給了他一個答覆,他們安全小組裡面的成員,雖然對vms系統安全問題不是很瞭解,但是在這些方面的研究倒是很深,有人手中正好有這樣的工具,平時是用來破解軟體程式的。
“ramdetect”軟體立刻被下載到了伺服器中。
愛德華首先將其執行起來,檢視了一下,並沒有什麼異常,他保持這個軟體不動,在後臺執行,接著設定好每個一秒鐘就將當前記憶體裡面的程序記錄儲存到log檔案裡面。
接著,他再次將tree蠕蟲給下載下來,一閃而過之後,他立刻切換到“ramdetect”介面,還是那樣,沒有多餘的程序。
他退出這個軟體,然後找到之前設定好的資料夾,在裡面找到了一個log檔案。
短短地十幾秒鐘時間,裡面已經儲存了兩百多行的記錄。
愛德華仔細地分析著這個log檔案,最終在後半部分找到了一個不同之處,讓他的精神頓時一振。
在這一時刻儲存下來的記錄,多了一個程序,名為“ghost(幽靈)”。
愛德華反覆對比前後的記錄,這個程序在前後都沒有出現,只有在那一秒的時候,才出現過。
太再次試驗了幾次,並且估摸著這個程序出現的時間,最終確定下來。
簡直就是一閃而過,只在記憶體記錄裡面出現短短一秒鐘的時間,果然像幽靈一樣!
“就是它了!”愛德華興奮地喊了一聲。
就是這個“幽靈”程式,一旦發現程序中出現tree蠕蟲,它就立刻將其清除,不論蠕蟲是什麼版本,都逃不過它的“法眼”。
愛德華非常高興自己找到了原因,可是這個“幽靈”程式又是幹什麼的?它為什麼隱藏在裡面?它又是如何實現自身隱藏的?
一連串新的問題又困擾著愛德華。
他檢查了費米實驗室其他機房的所有機器,果然,裡面都有這個程序的存在。
愛德華嘗試著想將其清除,可是找不到有效的方法,就連能發現對方的蹤跡,還得用tree去引誘才能讓其驚鴻一瞥出現在記憶體資訊的資料結構當中,而平時的時候,你根本無法知道它到底在記憶體的哪個角落隱藏著,伺機而動。
它在技術方面的強大,不但讓愛德華感到震驚,而且感到有一種莫名的恐慌。
tree蠕蟲雖然厲害,但是它畢竟是可以被發現的,雖然有了一些新的特點,可是並沒有脫離蠕蟲的範疇,還是具備蠕蟲的一些致命的缺點,例如重複複製,造成網路堵塞,在程序裡面也能輕易發現,它遲早會被清除掉。
但是這個“幽靈”程式,卻真的像幽靈一樣,極其難以