http://s2/middle/4ca83f83gcb33516a55a1&690
根据一个MM的微博介绍，SBS韩剧<<幽灵>>里有黑客入侵的片段，看了下，还是比较靠谱的说．

全集链接：http://v.youku.com/v_show/id_XNDA1MjI4ODY4.html

 

 

黑客在楼道里通过接入受害人女施主没有密码的AP，开始攻击女施主的PC，用的是MetaSploit在尝试溢出IE(女施主看来防火墙也没开啊,真不小心啊)

http://s15/middle/4ca83f83gcb33522cce3e&690

 

黑客啪的一下回车，就同时打开了女施主的桌面和视频头，溢出成功！
http://s6/middle/4ca83f83gcb335347a915&690

警方用的Linux，为了显示跟踪的结果，还运行了gcc
http://s10/middle/4ca83f83gcb3353d5c4d9&690

 

然后run程序，查看跟踪到的地址
http://s6/middle/4ca83f83gcb33555a8ff5&690

 

到女施主硬盘里取证，动用了拷贝机

http://s7/middle/4ca83f83gcb33534c1a56&690

拷贝机的软件
http://s11/middle/4ca83f83gcb33547ad53a&690

 

查看拷贝的数据，用的是Encase，经典！
http://s6/middle/4ca83f83gcb3357064395&690

http://s6/middle/4ca83f83g7ab8556fd265&690

 

黑客攻击了广告终端，警察拔出随身带的USB盘，刷刷刷的导数据，然后说，嗯，这受到了病毒的攻击！
http://s15/middle/4ca83f83gcb33570d6dae&690

看来这是键盘捕获日志，黑客显然留下了自己的名字--HADES，这是要闹哪样啊！
http://s3/middle/4ca83f83gcb33579b6742&690

 

下面这个我就想不明白了，黑客可以通过WLAN向半径50米内的游客手机发送短信？这是怎么做到的？我也要学，啊啊啊啊啊～
http://s4/middle/4ca83f83gcb3357b7ad43&690

 

根据距离判断发短信的人就在这座大楼里，返回看视频监控，经过推理缩小范围，终于发现他在员工休息室里．
http://s7/middle/4ca83f83g7ab855b5ef16&690

 

女警花一个文件一个文件的翻看着二进制码
http://s11/middle/4ca83f83g7ab855d0c68a&690

 

女施主使用了水印软件，把一段视频隐藏在一个图片文件里（这图片应该很大吧，好象用反了，不能小看韩国女演员的安全意识）
http://s16/middle/4ca83f83gcb335a024d4f&690

http://s1/middle/4ca83f83gcb335a2c5b80&690

 

Encase对照图
http://s13/middle/4ca83f83gcb3359a5baac&690

还有个闹不明白的地方，警方是如何知道那条假微博不是由女施主发出的，而是由黑客发出的？除非女施主的PC机事先中了键盘捕获软件，且没有清除记录，看来女施主的机器已经是漏机来着，你也太不小心了，女施主！

黑客的部分，至少工具，条理性还是说得过去的，反观国内的一些片，就太菜了，那个只会dir /s满屏滚的黑客，还有那个军哥哥片里会转的flash雷达，OMG！

 

用SQL注入侵入通信公司数据库
http://s15/middle/4ca83f83gcb7a2c772f9e&690

 

通过修改USIM记录，使得可以与对手的3G服务器通信，从而可以调取对手的GPS历史记录，查到对方的位置
http://s14/middle/4ca83f83g7abf6acbb9dd&690

http://s12/middle/4ca83f83gcb7a2de36f8b&690

给对手IM发送附件，同时用wireshark抓包，只要对方点击附件，就可以抓到真实的IP地址
http://s13/middle/4ca83f83gcb7a2d471b4c&690

 

对手打开了假的报告
http://s4/middle/4ca83f83gcb7a2e06e3e3&690

 

通过宏代码打开了视频头，视频捕获到了对手的现场
http://s9/middle/4ca83f83gcb7a2f66d138&690

 

韩国网络应急响应中心的内景，注意到最左边ab字样，根据下文，应当是设在韩国AhnLab安博士公司内部
http://s13/middle/4ca83f83gcb7a2f56639c&690

 

动态分析工具OllyDbg,正在分析病毒
http://s13/middle/4ca83f83gcb7a3163f1bc&690

 

用Google地图查找视频捕获图片中的户外广告牌位置，根据建筑高底视角来推测图片拍摄位置，找到对方所在的位置
http://s15/middle/4ca83f83gcb7a3169a80e&690

 

ACL命中大量的拒绝条目，DDOS攻击正在发生
http://s6/middle/4ca83f83gcb7a33363bb5&690

 

 

墙上写着KrCERT/CC(韩国网络应急响应中心)
http://s9/middle/4ca83f83gcb7a32bbe438&690

 

 

内景
http://s16/middle/4ca83f83gcb7a330ad6af&690

http://s2/middle/4ca83f83gcb7a34ae34c1&690

http://s9/middle/4ca83f83gcb7a35152bc8&690

 

DDOS攻击使用多个C&C服务器，用于向攻击终端发送攻击指令
http://s14/middle/4ca83f83gcb7a35774e1d&690

 

DDOS攻击只是打掩护，事实上是为了引开警方的注意力，黑客真正的目的是释放Stuxnet病毒，就是那个引起过伊朗核电站故障的，史上第一个攻击工控系统的病毒．

 

剧中的这幅图实际上是该病毒的工作原理图．
http://s16/middle/4ca83f83gcb7a353bf14f&690

 

网上查到的原理图，几乎如出一则．（http://baike.baidu.com/view/4410371.htm）
http://s8/middle/4ca83f83gcb7a34cef087&690

http://s10/middle/4ca83f83gcb7a378ae729&690

 

Stuxnet主要通过U盘传染，下图为大韩电力调度中心的内景，受害者正拿着带毒的U盘走向电脑．
http://s8/middle/4ca83f83gcb7a38a22c27&690

 

Process Explorer ! 原来韩国的OS中表示目录路径的分隔符与我们（我们的反斜线\）是不一样的，是个W加一横线的字符，想起日本的也是不一样的，是个日元符号, 大写的Y加2个横线
http://s7/middle/4ca83f83gcb7a38fe5916&690

 

电力调度中心内景
http://s14/middle/4ca83f83gcb7a38fd6c4d&690

 

Stuxnet切断电力系统，导致红绿灯失效，堵车了。
http://s9/middle/4ca83f83gcb7a3ae5a4f8&690

Stuxnet攻击了电力调度服务器
http://s8/middle/4ca83f83g7abf6c3ad657&690

 

开始反向跟踪攻击源
http://s3/middle/4ca83f83gcb7a3b3d2b52&690

ssh一级一级反向登录，然后w看登录源头
http://s9/middle/4ca83f83gcb7a3c288f08&690

 

尝试溢出C&C服务器
http://s1/middle/4ca83f83gcb7a3bece230&690

 

驱动nmap扫描的GUI界面工具
http://s16/middle/4ca83f83gcb7a3cf543af&690

 

攻入C&C服务器，调转枪头，攻击黑客所在的IP
http://s14/middle/4ca83f83gcb7a3db5610d&690

http://s9/middle/4ca83f83gcb7a3dd131f8&690

 

 

黑客正要删除电力自动化控制系统
http://s3/middle/4ca83f83gcb7a3e198512&690

 

应急中断攻击的有效方法－－用水泼入电力接线盒引发短路，切断电源－－不过警察MM得小心触电啦！
http://s1/middle/4ca83f83gcb7a3e9ff8a0&690

 

正在分析类似CIH的一个病毒
http://s3/middle/4ca83f83gcb7a4061f8f2&690

 

运行哈迪斯病毒，阻止黑客删除自动化控制系统
http://s10/middle/4ca83f83g7abf6cd67fe9&690

 

韩国女学生使用ARP欺骗，截获了老师电脑里奖学金推荐名单。然后采用阴险的手法，让排名前几的学生坠落身亡
http://s2/middle/4ca83f83gcb7a41cd52c1&690

使用手机取证工具
http://s1/middle/4ca83f83gcb7a411efd20&690

 

手机取证工具XRY
http://s12/middle/4ca83f83gcb7a41302afb&690

查看死者手机里的短信
http://s15/middle/4ca83f83gcb7a42ea0f1e&690

 

我网上下了个最新的XRY Reader，可惜没有找到.xry文件，无从感受一下。
http://s5/middle/4ca83f83gcb7a41a003e4&690

在汽车的导航仪里加入木马，这样也行？
http://s2/middle/4ca83f83g7abf6d2f02a1&690

 

哈哈，原来是韩国的安博士参与拍片，难怪演得有板有眼的！
http://s16/middle/4ca83f83g7abf6d4808ef&690

 

用WinHEX分析黑客遗留的U盘，发现有操纵汽车的引擎控制系统--ECU的代码
http://s8/middle/4ca83f83gcb7a457ad547&690

 

只要插入黑客的U盘，汽车会自动的加油门－－这太强了吧？！

查了一下网络，只有一种可能，就是被改装过的车，或需要外挂ECU系统，存在被侵入的可能。
http://s9/middle/4ca83f83g7abf6d62d648&690

硬件强格式化工具
http://s14/middle/4ca83f83gcb7a4d8e951d&690

Keylogging,键击捕获工具
http://s2/middle/4ca83f83gcb7a4ec16621&690

 

刷搜索引擎／推荐系统排名的工具
http://s4/middle/4ca83f83gcb7a4d52d643&690

 

嘿嘿
http://s1/middle/4ca83f83gcb7a4e9bdff0&690

分析邮件头，得到发邮件的源地址。
http://s12/middle/4ca83f83gcb7a516b949b&690

svchost.exe常被用于伪装哈
http://s1/middle/4ca83f83gcb7a519bbd60&690

 

下面这个车载系统超强了啊！应该可以边开车边破解道路两边的AP，并连续地接入到互联网（所以IP地址也在不停的变化），这是怎么做到啊啊啊啊啊～
http://s14/middle/4ca83f83gcb7a516263dd&690

黑客就在大货车里工作。
http://s6/middle/4ca83f83gcb7a51f51335&690

 

黑客用检查官的真实信息注册ID，然后在网游里搞网瘾者，最后借网瘾者之手，除掉了检查官－－这招太阴险了！
http://s15/middle/4ca83f83gcb7a51d0883e&690


做网络安全的，都应该好好看看这部20集的连续剧！