兄弟汇报完,领导马上批示,请求对城市电信相关部门配合,查此MAC地址的ADSL账号,查清楚拨号号码,确定嫌疑人以及犯案电脑.兄弟回来屁股都没坐热,马上就往那个城市赶去.我心里也是一阵激动,现在虽然没我啥事了,但现在进展顺利,很快就可以查到那家伙的电脑,不觉很是期待.

　　我的桌子上还有我在纸上乱画的些信息,边喝水,边把那个城市名和两个IP以及MAC地址加上去,又看了几眼先前记的,报案人,两个女孩子,T宝店主,想着嫌疑人跟他们中间,到底谁会有联系,或者就是其中的人.看来看去,还是没啥头绪,干脆去找领导.

　　人说:三个臭皮匠,顶上一个诸葛亮,我把那个城市名和两个IP以及MAC地址写到黑板上后,大伙都看出了一个相同的地方,就是这个城市名跟T宝店主上的大学城市相同,难道......原本还有一位同事在那边,刚好兄弟赶了过去,领导给他们分别交待了这边的信息,要他们汇合一起去查.

9.

　　有电信的配合,查ADSL电话就快了,地址,姓名很详细,兄弟跟同事还有当地的同行马上赶了过去.房东给他们介绍,房子他租给一位在校的大学生,一个小伙子,电话登记的是房东的名字.房子离大学不远,兄弟就跟房东一直在那等着,直到放学,一位小伙子走进那所出租屋.

　　当一队人进了屋子,说明来意后,那家伙表现的竟然是非常冷静,兄弟开电脑取证时,那家伙一言不发在边上看着.等电脑开机后,兄弟检查了一下,心里就说糟糕,账号一冻结,果然就打草惊蛇了,那家伙系统肯定是重做了,里面啥也没有,查了一下MAC地址,还好,网卡没有换,MAC地址就是那个.

　　兄弟马上走出来给领导汇报了现在的情况,说电脑里查不到任何黑客工具,但通过MAC地址可以断定就是这台机子所为.领导指示1)再仔细查电脑里的痕迹;(2)审查那小伙子,争取从他口中得到信息;(3)小伙子跟T宝店主在同一学校,继续查T宝店主,查他两人的关系.

　　于是兄弟分成几组,一组带电脑跟那家伙回当地局里,一组去查T宝店主,一组继续在屋子里查有用信息.到了局里,兄弟给那家伙电脑里装了一个找回格式化和删除文件的工具,慢慢扫所有硬盘,看能不能找到那家伙删除的信息,如果那家伙只是格式化了一遍电脑,应该是可以找回来一部分格式化前的信息,说不定可以找到有黑客工具,入侵记录等.(网上这个工具很早就有,用过的都知道,其实兄弟们平时,也用的就是这个工具而已)

　　另一个同事一直在询问那家伙,得到的回答是,不知道,不清楚,看着他冷静的模样,同事直想上去扁一通,让那家伙开口.兄弟把整个硬盘扫完,看着显示的结果,心又凉了,NND,那家伙不是低级格式化了硬盘,就是把硬盘格了三五次了,啥删除的信息都找不到."小黑"们平时用的工具,一般会放一份在网上存储空间里,或者备份到移动硬盘,另一组查屋子的,把屋子查了个遍,好像也没发现有移动硬盘.查T宝店主的那一组也传回消息,两个认识,那家伙一直在追求T宝店主,但对方一直是若即若离,保持着同学和朋友的关系而已.现在是动机有了,作案条件也有了,但那家伙就是不开口,案情到这一步,又停了下来.

10.

　　虽然看上去,事实已经很明了了,但没有证据,那家伙不开口,兄弟也没办法.那家伙文文弱弱,肯定是不经打,也不能打的,那都是多少年前的做法了,现在时代也不同了,凡事都要讲证据了.

　　一个晚上,那家伙还是同样不开口,到第二天早上,兄弟找到那家伙的辅导员了解情况,最后通过同学了解到,平时见过他有移动硬盘,而且那家伙每天中午都在宿舍休息.终于在宿舍他的抽屉里,找到他的移动硬盘,所有的希望都寄托在这里面了.只要有充分的证据,就不怕他不开口了.

果然,当那家伙看到移动硬盘时,脸色马上就变得苍白,兄弟接上移动硬盘,打开一看,里面黑客工具分的明细清清楚楚,什么远程控制,注入工具,捆绑工具,加壳脱壳,教程等,还有一个专门的文件夹,叫自己写的小工具,里面就有一个用VB写的往WORD里写数据的工具,在另一个专门的文件夹里,许多TXT文档有免费域名密码,许多邮箱密码,被黑网站地址等.接下来就好审多了,兄弟一直看着他,让他把作案的过程讲一下.一个人的自信,在另一个更自信的人面前,被这个人把他伪装的自信击破后,剩下的就只有自卑和恐慌了,沉默过后,那家伙终于开口交待了.

　　旁观人可能无法理解当事人的想法,可能是因为站的位置不同吧,他的理由竟然是如此简单:她在T宝上开了个店,由于暂时没有啥信用评价,没啥生意,他就想帮她,于是就有了这件事,为了不让人怀疑,他故意把手机寄给两个不认识的人,两个人的地址,就是从那个交/%友网站的数据库得来的,那是他以前的战利品而已.

　　兄弟只能在心底无奈的叹气,凭这家伙肯钻研的精神,将来说不定会有大好前途.

　　那些报案人的资料,全放在一个网上免费硬盘里,打开他的免费域名和远程控制软件,上线的肉鸡竟然还有好几百,如果不是及时破案,还不知道有多少受害人.

　　下面是笔录的一部分:

　　问:这么多肉鸡,怎么来的?

　　答:在一些网站上挂的网页木马,然后上线的

　　......

　　问:那你是怎么确定人家会付款?

　　答:基本上那几台电脑我都盯了几天的,都是公司的高层吧,我看他们的资料都挺重要的,想肯定会付款找回资料吧.

　　......

　　问:拨号的VPN是怎么来的?

　　答:是网上一个兄弟给的,好像是他公司客户的服务器,那个兄弟在一个空间租售代理公司.

　　问:韩国的服务器是怎么入侵的?

　　答:用的SQL注入漏洞进去的.

　　问:具体点.

　　答:就是用NB扫的注入漏洞,SA权限,直接就加了用户,然后改了远程登陆端口.

　　问:那注入漏洞是你补的?

　　答:嗯,因为漏洞太简单了,别人也容易进,所以我在WEB服务器上传了个马,把注入漏洞给补上了.

　　......

　　这个案例,到此算是告一段落了.留给我们的,是心里的无可奈何和伤感.同时,心里也在感慨,如果网卡没了,移动硬盘没了,我们还会不会如此轻松,如果第二次他换一台肉鸡......