(3)接入僵尸网络
当僵尸程序在受害者主机上完成各种安装和隐藏后,便通过解析
内置的域名和端口进行通信,构建C&C通道加入僵尸网络,而这大
多是通过发送搜集的被感染系统主机信息开始的。
(4)命令执行
接入僵尸网络的僵尸程序将执行Botmaster预先设置好的指令,
如对特定目标发动DDoS攻击等。在没有收到指令时,僵尸程序会静
静等待(这时用Wireshark捕获可见大量的保活数据包),直到
Botmaster有指令下发为止。
通过上面的四个步骤,一台普通PC就变成了任人宰割的僵尸主
机(又称“肉鸡”),也成为黑客攻击或再入侵的跳板。
事实上,随着网络犯罪独有系统的完善,已经出现了“肉鸡”销售
服务,上述过程也得到了大大简化。图2-7是这种服务的一个广告截
1