拒絕背黑鍋“肉雞”逃生指南

公子白

如果用戶偶爾關注過黑客們的新聞或事跡，那么對“肉雞”這個詞應該不會陌生。看到黑客們動輒調動成百上千臺變成了肉雞的電腦向他人進攻，我們在感覺到震撼的同時，大概也會隱隱后怕。既然每個黑客手上都能掌握這么多的肉雞，那么自己的電腦會不會在自己不注意的時候已經成為了什么人的“盤中餐”呢？

何為肉雞

黑客們口中的“肉雞”，通常指的是已經被入侵者完全控制，已經像案板的雞一樣任人宰割的電腦。這類肉雞由于被黑客們直接控制，所以其狀態同一般中了木馬病毒的電腦有很大的差異。

成為肉雞的電腦不會像中了病毒或惡意插件那樣，表現出明顯的故障，這是因為黑客們為了長期控制自己的肉雞，所以他們盡量都會在肉雞上低調行動。不但很少給肉雞造成直接傷害，有時為了對肉雞實施長期控制，黑客們甚至還會在后臺幫助肉雞優化系統、修補漏洞，避免肉雞的主人發現端倪后徹底檢查系統而失去控制權。

除此之外，為了避免自己的肉雞被用戶或殺毒軟件察覺，黑客在肉雞上通常只會使用自己修改過的“免殺版”木馬（如圖1），雖然破壞力比網絡上橫行的木馬要小許多，但卻能很好的躲避殺毒軟件的查殺。

肉雞的危害

不過，大家千萬別以自己因此就多了一位在背后默默奉獻的保鏢，黑客們固然是想讓肉雞的系統保持穩定，但當他們實施自己的違法行為時，會讓肉雞及其用戶承受更多的傷害。黑客們通過肉雞展開的行動包括：

發動DDOS攻擊

DDOS的中文全稱是分布式拒絕服務（Distributed Denial of Service）。它是一種攻擊方式，主要是利用合理的服務請求來占用過多的系統資源，從而使合法用戶無法得到系統響應，這是網絡上最常見的攻擊方式。

而黑客們正是在大量肉雞上安裝DDOS工具，只要在控制端發送一條指令，那么就可以實現所有肉雞同時執行對目標服務器發送連接請求，服務器就會因為處理這些信息而消耗大量的系統資源和網絡帶寬導致癱瘓，而成為“肉雞”的電腦在發動攻擊的過程中也會讓自己的網絡處于瀕于癱瘓的狀態（如圖2）。

變為入侵跳板

黑客的任何入侵行為在理論上都會被服務器的安全日志記錄下來，在黑客入侵的過程中如果出現意外情況，那么自己的真實地址則很有可能被記錄在服務器中，成為以后警方追查到自己的直接線索。

面對這種威脅，黑客們采用最簡單的躲避方式就是先連接被自己完全掌控的肉雞，把自己的所有入侵行動通過肉雞完成。這樣，即使黑客的入侵行動被發現，自己只需清空肉雞上的一切記錄，那么警方也只能追查到使用肉雞的用戶頭上。雖然莫名其妙的用戶不大可能因此就背上了黑客的黑鍋，但是陷入被調查的麻煩卻是免不了的。

被云端

雖然并非每個黑客都會發動諸多攻擊行為，不過每臺電腦成為黑客的肉雞后首先要面對的命運就是淪為免費的“云端”工具（如圖3），CPU速度快及內存大的電腦會被掛機運行各類黑客工具，硬盤容量大的電腦會用于下載各類影視資源……

如何辨別自己是肉雞

其實用戶的電腦本身變成肉雞并不可怕，因為黑客們在肉雞電腦上存放的通常都是些低威脅的木馬跟后門程序，用戶只需更新自己的安全管家，并將所有的安全設定都按軟件建議設置，或者直接重裝系統即可切斷黑客與肉雞的聯系。不過對于用戶而言，最難的地方在于如何判斷自己是否已經成為肉雞了。

賬號的異常登錄提醒

如果用戶發現自己的QQ、YY及帶有登錄地址記錄的網游賬號出現異地登錄提醒時，這就是自己變成肉雞最明顯的標志，雖然黑客們總是盡力隱藏自己在肉雞上的行動，但是好奇心本來就比別人旺盛的黑客肯定會在肉雞電腦上登錄各類通訊軟件和游戲賬號。由于抓取肉雞的黑客并沒有解除密保卡或手機密碼等專業盜號者的工具，所以用戶的賬號只會留下一連串異常登錄的信息（如圖4）。

電腦自行其是的操作

一個厲害的黑客，雖然盡量隱藏自己的操作，但用戶發現自己的電腦出現異常時只要稍加留心，還可以很容易察覺出蛛絲馬跡的。如有時會突然發現你的鼠標不聽使喚，在你不動鼠標的時候，鼠標也會移動，并且還會點擊有關按鈕進行操作。正常上網時，突然感覺很慢，硬盤燈在閃爍，就像自己平時在復制文件。當你準備使用攝像頭時，系統提示該設備正在使用中。使用電腦的過程中會突然自動重啟……

可疑的網絡流量

無論黑客將自己的行蹤隱藏的多么好，電腦只要是變成了肉雞，那么它就一定會以驚人的速度消耗網絡流量。所以用戶如果懷疑自己的電腦成為了自己的肉雞，那么可以在不使用網絡時，仔細觀察自己的流量。如果發現網卡和路由器燈在不停閃爍，就要注意了或是屏幕右下角的網卡圖標在不停的閃爍；另外，比起殺毒軟件，網絡防火墻更容易對黑客造成麻煩，所以用戶打開防火墻時，如果看到自己失去了對端口的控制，也要小心。

審核安全日志確定入侵

如果用戶的電腦出現上述三種情況的任意一種，那么就需要引起警惕了。如果想確定自己的電腦是否真的被入侵，最有效的辦法自然是查看系統自己的安全日志：

首先在“運行”窗口下輸入“gpedit.msc”，打開“組策略”窗口（如圖5）。在左側窗口依次展開“計算機配置/Windows設置/ 安全設置/本地策略/審核策略”。

雙擊“審核策略更改”，勾選“成功”和“失敗”。再按同樣方法分別設置“審核登錄事件”、“審核賬戶登錄事件”及“審核賬戶管理”三項。經過這些設置，當入侵者遠程登錄系統，用黑客軟件掃描你的電腦時（黑客軟件通過反復登錄系統檢測是否為空口令），或是添加賬號等操作都會被記下來。用戶也可以根據這些日志記錄的內容，刪除黑客們在本機的所有操作，這樣即可讓黑客們失去自己對系統的控制權。

不過黑客也不傻，他們通常會把保存在“C： ＼WINDOWS＼system32＼config＼”下的三個EVT文件刪除，這樣日志文件就會清空，但它們在刪除的同時，也會留下一條日志文件（用來記錄入侵者刪除了日志），所以如果你看到日志文件只有一條（如圖6），或是最后一條日志也都不見了，可以斷定自己已經變成了某人的肉雞。