一个弹出窗口引发一场追踪(3)

　　最后的追踪

　　三号嫌疑人排查手段：网络监控

　　从上边的分析来看，网站或软件似乎也不应该是真正的罪犯。但目前只剩下这一个嫌疑人了，看来必须动用更多的手段来排查了。

　　使用微软发布的网络监控程序Network Monitor 3.1，同时使用Camtasia Studio4做全屏幕录像。以126邮箱为例，最近每天第一次访问邮箱时总是会附带跳出一个名为“QQ空间互踩联盟”网站，尽管现在弹出该网站看上去只是为了宣传网站，但第一次遇到这个弹出窗口时NOD32的警告信息却让我记忆犹新，我必须要提高警惕(图2)。

图2

　　一次典型的监控是这样的：首先我必须确保系统后台无多余程序，其实，通过排查嫌疑人二号所建立的系统环境，就已经满足了这个条件。MS Network Monitor 3.1实现了网络协议级别的数据流监控(通常称为“嗅探”)，网卡收/发的任何一个网络数据包都会被它记录，并可保存成专有“.cap”格式文件便于后期分析。

　　启动Camtasia Recorder程序开始全屏幕录像。打开Monitor，首先选择网卡后，新建一个嗅探标签，点击按钮“Start Capture”或默认按F10可启动嗅探(图3)。选择无加载项打开IE的空白页，至此嗅探器中只会显示出极少的系统自己产生的网络校验数据包。当在IE地址栏键入“www.126.com”并回车，我们能够观察到嗅探器窗口中飞速地刷新数据，左下角不断更新的抓包数量递增得很快。登录126后 进行了简单操作，待出现“QQ空间互踩联盟”的弹窗后，停止嗅探，先保存一下文件，计数器显示嗅探到1511个包。所有数据包默认以捕获时序排列并且已经编号。

图3