黑客给我发了一条木马短信，我却用这条短信找到了他的老窝！黑客给我发了一条木马短信，我却用这条短信找到了他的老窝！冬卉乐居百家号收到一条陌生短信某个周日的午后，无所事事的我正捧着手机狂肝阴阳师，黑晴明真的难打的一批。这时手机响了一下，通知栏显示了一条短消息预览，被打扰的我感觉很不爽，正准备右滑屏蔽它，手滑到一半停住了，因为我发现自己的名字出现在短信里。而且，这条短信显示的是手机号码，说明发送给我这条短信的主人不在我的手机通讯簿里面，是个陌生人。黑晴明放狗之后，我成功的又领了一次便当，退出游戏，点开未读短信，短信内容是这样的：XX YYY看看我们之前的精彩影集xinlib.pw。“XX”是我的名字，“YYY”是我之前待过的一家公司的名字。我当时就判断：这是一条钓鱼短信!第一，这个陌生号码对我的称呼有点奇怪，按照常理，发短信要么直呼对方姓名，要么开门见山直接说事，哪有把对方的姓名和公司名称加在一起称呼的?语言逻辑不通;第二，我在那家公司除了面试的时候上交的2寸大头照之外，根本没拍过什么影集;第三，这条短信短时间内连续发送了2次，好像担心我收不到似的，动机很可疑;第四，短信最后的那个网址，一看就不正常，很有可能是个木马网站;如果一般人考虑到以上几点之后，都会选择视而不见或者把短信直接删掉，但是一考虑到这种短信极有可能是群发的，会有好多无辜的人受害，我倒想看看这个幕后黑手是怎样一副嘴脸。本人不才，虽然学过电脑，但只懂一点简单的网络基础，逆向溯源这种事情不敢想，只能靠自己掌握的皮毛去顺藤摸瓜，加上星期天没事干，时间充裕，就开始对这条短信进行分析。可疑的网址这两条短信十分简短，除了对方陌生的手机号，就只有那个网址了，除此之外看不出任何有价值的线索，只言片语直奔主题，幕后人的目的很明确，让我快点点开那个网址。好吧，既然这样，我就点开看看，这个网址到底有什么幺蛾子。为了以防中了幕后人的黑手，我先把杀毒软件全开，然后再打开浏览器，输入那个网址，果不其然，杀毒软件跳出警告：这个网站存在安全风险!意料之中!虽然知道有中毒风险，但是不入虎穴焉得虎子，我选择了继续访问这个网址。我以为打开之后会是一个仿造的政府网站之类的页面，忽悠你填写银行卡密码什么的，谁知网址打开后，什么界面都没有，直接弹出一个下载页面要我下载一个名称为“影集”的APK文件。虽然知道有中毒风险，但是不入虎穴焉得虎子，我选择了下载。随后，浏览器报毒：到了这一步，我遇到了瓶颈，进行不下去了。很明显，这个网址只不过是幕后人用来传播这个木马APK程序的一个中转站，这个APK程序才是真正的杀器，受害人手机安装之后，这个木马程序会启动，这类木马的作用大部分是盗取并上传用户的个人信息，我需要逆向分析它的行为，就能知道它的接收者是谁了。我尝试把它上传到哈勃分析，然而并没有搜索到我想要的东西。附一张哈勃查毒报告：我得承认自己是个菜鸟，会点皮毛，之前逛各种软件论坛，看各种大神逆向分析软件，对于程序逆向只局限于了解的程度，更何况这是APK程序，让我去逆向分析它的行为根本是痴人说梦。或许我可以学习个把月安卓逆向，再去分析这个程序，但到那时候黄花菜都凉了。那怎么办呢？抽丝剥茧当我差点要放弃的时候，那个网址又引起了我的注意。“xinlib.pw”网址的命名有点随意，而后面的域名倒是奇怪，根据域名的命名规范，我们常见的域名有.com的国际域名，有.cn的中国域名，还有.net的网络服务域名，这个.pw是什么域名呢?如果是某个域名服务商提供的私有域名，那我是不是可以顺着域名服务商这条线顺藤摸瓜找下去呢?为此，我特地网上查了一下PW域名。原来它是13年才新增的顶级域名，而且任何单位、个人都可以注册，这样一来，所有的域名服务商都有可能在出售这个域名，搜索范围变得非常大，无从找起。希望渺茫时，我脑袋里突然灵光一闪：IP地址!从我所学的皮毛里，勉强地回忆起一个简单的网络常识，那就是：每个域名都对应一个唯一的IP地址。域名只是方便记忆的作用，IP地址经过域名解析从而和域名绑定到一起，域名解析服务是由域名服务商提供的。例如，我们访问百度，在浏览器地址栏输入“www.baidu.com”就可以打开百度，如果我们输入“180.97.33.107”同样可以打开百度，“www.baidu.com”就是百度的域名，“180.97.33.107”就是百度的IP地址。了解了其中原理，那我就来看看它的IP地址是什么。利用windows自带的DOS命令试一下，可以看到，图中红色圈圈内就是IP地址：利用搜索引擎，再看看这个IP地址的归属地：香港。香港的IP地址，按照往常经验，基本可以确定是归属于域名服务商的了。接下来，我要做的就是找一下这个地址是哪个域名服务商提供的。和客服玩套路在因特网中，每个IP地址都是独一无二的存在，就好像每个人的身份证号码，而域名服务商就好比派出所，他们为前来申请IP地址的单位或个人办理地址登记，并提供域名解析等相关服务。这就意味着，每个在因特网上可以打开访问的网址都是有迹可循的。我现在要做的就是看看这个木马网址是归属于哪个服务商名下的。这一步是比较简单的，“whois”就可以搞定，“whois”是一种传输协议，简单可以理解为它能帮我查询到那个IP地址的所有者，也就是域名服务商。查询到的信息如下图(为了避免广告的嫌疑，这个服务商的域名我打了马赛克)：好了，域名服务商已经找到了，离目标又进了一步。我点进了他们的官网，看了一下，好像还蛮正规的，还有客服，嗯，没错，就是客服，我想要这个木马网址的更多信息，只能从客服下手了。正好官网提供了一个客服QQ，果断申请加好友，只要客服不是机器人就行。不一会儿，对方好友就通过了，是真人在线，我松了口气。然后，我把那个木马网址发给客服，谎称是自己的网址，注册之后一段时间没用，忘了登录账号，想让他帮我查一下，我这个网址绑定的登录账号是什么。我为啥这么问呢?因为，第一，直接问客服要密码是不太现实的，客服不是傻子，对方是谁都不知道，怎么可能给我密码;第二，我尝试在服务商的官网注册账号，发现他们的账号必须用邮箱来注册，我如果能从客服嘴里问出这个幕后人的邮箱，就可以得到很多有用的信息，比如，他用的是QQ邮箱，我就能知道幕后人的QQ号，就能尝试加他好友，肆无忌惮的查看他的资料，然后进他空间，如果他有自拍照，正好可以曝光他的嘴脸;然鹅，虽然我问的很小心，但客服还是有点警觉，只肯给我邮箱的后几位，然后一再强调：他们的网站是很正规的，用户的账号密码都是加密保存的，问他也没用!不吃这套?我冷笑一声，把我玉树临风的帅照甩给了客服，客服当时就跪了，马上就把注册者的信息发给了我：哈哈哈，骗你的啦！真实的情况是，我把如何收到木马短信，如何追查到你们这儿，没有隐瞒的跟客服讲了，同时义愤填膺地表示：如果任由这个幕后黑手继续下去，不知道会有多少无辜的人受到这个木马病毒的伤害，不知道有多少用户的信息会被盗取，凶手却继续逍遥法外，而你们XXX(服务商的名字)正在做他的帮凶！晓之以情，动之以理。客服被我说动了，最后直接把幕后黑手的手机号和注册IP地址(这个IP地址才是幕后黑手的)都给我了，对我来说是一个不小的收获！然后客服随手把这个网址封了（为这个客服点赞），现在去访问这个网址会发现已经打不开了。幕后黑手在这儿既然有了注册的IP地址，我就可以用这个地址来定位这个幕后人真实的物理位置，说白了，就是可以查他户口簿地址了。网上有专门的IP地址定位工具，我把IP地址输入之后，得到以下信息：OK，经纬度出来了!我再打开经纬度定位网站，百度地图或者腾讯地图都可以，把经度和纬度输入进去，搜索，幕后黑手的位置就出来了：幕后黑手信息整理如下：昵称：白师QQ：邮箱：手机号码：150****4058 (这个号码可能已经被他人使用，所以这里不公布)居住地：甘肃省定西市*******村附近（再三考虑，我决定还是马赛克处理）至此，定位结束。写在最后事后，我查了一下给我发送短信的那个手机号码，发现机主是我之前待过的那家公司的其中一家连锁店的员工，我整理了一下思路，整个事情应该是这样发生的：我当时的岗位是提供技术支持，那位员工记下了我的电话，保存在他自己的手机上，备注就是“XXYYY”，“XX”是我的名字，“YYY”是公司的名字。某天，这位员工的手机上收到了一条短信：“XXX看看我们之前的精彩影集xinlib.pw 。”这位员工就点了这个木马网址，顺利的把以为是影集的木马下载到了手机上，点开“影集”，然而什么都没有发生，员工以为手机卡住了，就把手机扔在一边。可是木马已经在手机后台悄悄运行了，它先是收集了手机里有价值的信息，然后上传到幕后人的服务器，然后读取手机里所有的联系人，给每个人发送一条内容相同的短信——就是文中开头我收到的那条短信！幕后人用广撒网捞大鱼的方式来扩散木马病毒，如果这位员工通讯录里有100人，哪怕就只有1个人点开那个网址，这个木马都会以同样的方式进行传播，危害范围以几何倍数增长，行为可以说是非常恶劣了。截止目前，还未得知有同事或朋友受骗，我也没有再深入找下去，一方面我的能力有限，无法再挖掘更多有价值的线索，另一方面也给大家提个醒，遇到和我相同的情况可以尝试模拟一下我的思路，找出幕后黑手，甚至将其绳之以法!本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。冬卉乐居百家号最近更新：简介:本人有丰富的综合领域写作经验。作者最新文章相关文章什么叫动态IP地址发布的不良信息好追查吗|常用知识|信用卡_贷款问答_融360
常见问题：
什么叫动态IP地址发布的不良信息好追查吗&
什么叫动态IP地址发布的不良信息好追查吗
提问者：REN***
城市：武汉
提问时间:& 11:22
什么叫动态IP地址发布的不良信息好追查吗
已入驻信贷经理请作答
您还可以输入1500个字
用于提问者接受您的答案(必填)
同时申请信贷经理入驻
常见类似问题
服务地区：武汉
服务机构：平安普惠
IP是电信局给你的，公安要想查你还不简单，去电信局查就可以了，要想搞这些东西最好是去网吧。
服务地区：武汉
服务机构：合众智汇
一般来说，个人想追查是不太现实的。如果公安机关介入才可以实现
服务地区：武汉
服务机构：达信卓惠
很高兴回答你的问题：
要真追查的，也简单。不是看IP的
服务地区：武汉
服务机构：武汉毅融金融投资咨询服务有限公司
个人不好追查的
对以上回答仍不满意?您可以向我们的专家咨询您的问题
相关问题&|&相关知识|&相关百科
您可能也感兴趣：
相关热门产品：
免息优惠99家共1376位经销商
贷款工具 &|&手机版
谢谢您的反馈您已认为回答者的回答对您有用
您已成功退订该问题的答案退订该问题答案后，后续其它银行经理或者网友对该问题的答复将不再会发送到给您。
感谢您的回复您的回复通过审核后会直接发给提问者
热门问题推荐
融360 - 平台 版权所有
违法和不良信息举报邮箱： &&&举报电话： 上传我的文档
 上传文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
怎么查匿名帖子的发帖人IP地址信息
下载积分：100
内容提示：怎么查匿名帖子的发帖人IP地址信息
文档格式：DOC|
浏览次数：81|
上传日期： 16:31:34|
文档星级：
全文阅读已结束，如果下载本文需要使用
 100 积分
下载此文档
该用户还上传了这些文档
怎么查匿名帖子的发帖人IP地址信息
关注微信公众号IP电话日常使用说明(7911)_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&100W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
IP电话日常使用说明(7911)
阅读已结束，下载本文需要
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩1页未读，
定制HR最喜欢的简历
你可能喜欢我的手机是ip5日版的手机不能发送短信。请高手帮帮牤
您可以邀请下面用户，快速获得回答
擅长领域：&&&&
在手机数码分类下共有79994个回答
擅长领域：&&&&
在手机数码分类下共有22326个回答
擅长领域：&&
在手机数码分类下共有16818个回答
擅长领域：
在手机数码分类下共有8885个回答
擅长领域：&&&&
在手机数码分类下共有7668个回答
weixin_3r654129
擅长领域：
在手机数码分类下共有7125个回答
加载更多答主
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
点击可定位违规字符位置
确定要取消此次报名，退出该活动？
请输入私信内容：