揭开0day神秘的面纱
0Day 所在的圈子业内称之为”Scene”,也有人把0day称为Warez。0Day代表什么含义呢?有说法认为0Day代表着速度,意味着一个软件从作者发布到其被破解不到一天。接下来的文章我们来探讨一下Scene的世界。
首先我们要先了解Scene是一个什么样子的团体。以及他们和P2P破解组织有什么样子的区别:鼎鼎大名的0Day 破解组织有CORE,ZWT等,而互联网上被网友们所认知的P2P软件破解组织也有FFF,SnD等。代表作我就不列举了。最大的区别就是他们的发布渠道不一样。我们先来谈谈Scene组织的发布渠道。
首先Scene组织是极其隐秘的,他们只在特定有TLS/SSL加密的FTP上发布他们的作品。并且该FTP会限制IP和IDENT,因为发布软件破解本身就是违法的行为。之所以Scene里0Day组织的作品能被广大网民享用我们要感谢另外一批“好事者”。为什么把他们称之为好事者呢?因为他们破坏了游戏规则但是造福了广大群众。这类人的行为称之为WEBLEAK。为什么会出现这种现象?还得从他们的游戏规则谈起。
我们先来了解一下组织的运作。一个严密的组织是内部是有分工的。比如Supplier, Cracker, Packer等。Supplier负责从网上找新鲜的软件提供给Cracker破解,或者负责提供Retail版软件。他们之间也是通过内部FTP,(他们称之为DUMP)一个拥有10-100M带宽的内部安全FTP进行文件传输。破解者把软件破解好后把作品传回DUMP,等待PACKER打包。
Packer按照Scene Release Standard 内部发布标准打包程序。最终发布名称规则如下
[<Developer.name>.]<Program.name>.v<Version>[.<Language>][.<OS>][.<CPU>]
[.<Release.Type>][.<Additional.Tags>]-<Groupname>
举例说明:ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE其中ACD Systems是Developer Name, ACDSee是Program Name, V7.1.163是版本号,因为其语音是英文所以默认LANGUAGE省略。OS默认X86省略,X64版本会注明,CPU也一般省略,只有特定CPU才会填写,Release.Type有如下几种:
- Keygen.Only
- Keymaker.Only
- Keyfilemaker.Only
- Keygen.and.Patch.Only
- Keymaker.and.Patch.Only
- Keyfilemaker.and.Patch.Only
- Incl.Keygen
- Incl.Keymaker
- Incl.Keyfilemaker
- Incl.Keygen.and.Patch
- Incl.Keymaker.and.Patch
- Incl.Keyfilemaker.and.Patch
- Cracked
- Regged
在这个例子中是Incl.Keymaker也就是有注册机。 Additional.Tags就是说有额外的说明。比如重新打包或者其他注意事项。最后就是Groupname,CORE。 详细规则请访问http://scenerules.irc.gs/t.html?id=2010.1_0DAY.nfo查看。在此不再累赘。
我们了解了打包规则来看命名规则,因为Scene发源时间比较早,所以文件名采用DOS时代的8.3格式。举例说明:ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE是发布的作品名,每一个作品都会有一个单独的文件夹。如
ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE文件夹,在这个文件夹内会有真正的作品,包含安装文件以及破解文件。用内部.rar外部.zip的格式来最终打包比如cracd716.zip。到此打包部分就结束了。
现在来看看这些作品是怎么传播的。首先每个组织都会有一个HQ(总部)FTP站点, 他们还会Affil(友情加盟)一些他们信任的FTP。在对外发布前。他们会把作品从DUMP通过FXP的形式发布到他们的AFFIL FTP站点。值得一提的是:这些AFFIL的FTP都是通过严格审核的秘密FTP,安全性极强。
我们现在来看看组织发布一个作品后别人是怎么知道的,首先每个FTP是连着一个IRC频道的,在发布的时候组织会在FTP上执行一个Pre的命令。比如
Site pre ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE这样一样FTP命令告诉大家我发布了作品。执行了这样的命令后文件夹会从内部路径如/Private/Group/CORE/Ready/移动到/0Day/0701/这样一样公共路径。同时会在IRC频道上显示某组织已经发布了某作品。如 CORE Has just released ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE!。现在CORE这样的组织就已经把他的作品发布到他所联盟的几个FTP上面了,通常是欧洲的一些FTP站点。那么他们是如何在短短几分钟内甚至几十秒内传播到世界各地上的呢?这时候我们就要了解FTP站点上面的另一群人了。Courier,也称之为Racer,他们在一看到IRC频道上面的Announce后就会进入FTP目录里面把0Day作品第一时间FXP到他们所在的FTP上面,这样一传十十传百。作品就会传播开来了。Courier之间也是有竞争的,由于时间有限就不细说了。要详细说明Scene的运作还得花费很多篇幅来说明。简单来说就是这些Racer们每个月在每个FTP上面是有额度的,每个月要传够多少个G的作品才能被留下,要不然就被删除出去,类似现在的PT机制。
那么我们知道,由于FTP站点运作人员和Racer的素质参差不齐,所以导致到了某个关节的FTP上面,就会有人把Scene里面的作品对外发布到外部网络上。这样广大网民才得以享用他们的作品。Scene的本质是自娱自乐。内部流传的。一旦这样的Racer或者FTP机主被发现后会被内部通报,发布一个Scene Note,告知业内这些人的IP以及站点名称等,告诉0Day组织如CORE等不要去这样的FTP上面Affil,可能会有安全隐患。早在2002年FBI就成功渗入过内部,导致许多站点倒闭。FBI会自己开一个FTP引诱0day组织加盟,所以很多组织都不太喜欢去北美的FTP上面发布。至于亚洲嘛,由于起步晚。所以也很少,亚洲的排名是KR,CN,JP。韩国的网络最好,日本的线路也很好但是好的站点都不在日本,中国是新起之秀有很多好的站点。到了现在这些站点的带宽都是GB级别的了。所以传播速度特别快。一个FTP上面不仅限于0Day板块。还有可能有电视剧、游戏、电影。电视剧游戏电影等Scene组织的传播原理同上就不在重复了。一个高清电影几分钟内就可以在互联网上成功传播。
於2006年8月5日
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课