其实已经记不清楚是 2009 还是 2010 年,但我能找到的最早的记录出现在 2010 年。
所以我和「电脑技术」的故事应该要从 2010 年说起。
开端:我的第一台「计算机」
现在的小朋友应该很难想象:2010 年在一个四线城市,如果一个初中生家里没有电脑,那么除了网吧他就几乎没有「连接自由互联网」的办法。
虽然印象中当时班里电脑普及率也没有特别高,但是有些老师已经在经常布置一些需要查阅资料的作业了。比如「摘抄一些外国名著」、「听贝多芬命运交响曲并写听后感」之类。这样的作业基本都是叫我爸带我去网吧做,但有时候他太忙不能带我去我就会没有办法做。
于是在我的多次提议下,我爸终于去电脑城买了一台笔记本电脑。
我的第一台「计算机」。
它是一台非常破旧的二手电脑,牌子是明基。当时明基应该已经不做 PC 了,印象中原生产时间应该在 2006 年左右;它的 CPU 是 AMD 的一个单核处理器,当时查阅的资料没错的话貌似还是第一块消费级量产的 64 位处理器;板载的 ATI 显卡,当然,ATI 当时也已经不存在了;内存应该是 DDR2 的 1GB 内存;操作系统是 Windows XP。
当年的网络可以选择铁通、网通、电信,流传一句话是「南电信,北网通」;而且流传说铁通用是电信和网通的内网;当然,还是果断选择了最便宜的 2Mbps 铁通。看起来应该是扁的两股的电话线接入,用猫(调制解调器)转成网线信号,由电脑来拨号上网。当时可没有用路由器这种东西。
属于「黑客」的年代
我也不知道为什么,明明在小学经常去游戏厅和网吧甚至被我爸和班主任都亲手抓到过;身处在网游时代拥有了一台电脑以后,却没有爱上网络游戏。可能因为它性能太烂了。
这一年唯一用这台电脑认真玩过的「大型」游戏是 00 年代初的《秘密潜入》(IGI),一款潜入类型的单机游戏,一共有十四关;我照着攻略能打到第七关。
没有被游戏占满时间,所以我的时间线从这里开始分叉。这一年吸引我的是两个东西:
- 因为它性能太烂,我必须找各种方式优化它
- 在寻找优化方法的时候偶然看见了当年的 hackbase 黑基网,疯狂想要成为一个「黑客」
优化篇
优化无非是:重装系统;使用各种优化工具。
和每个学生时代刚刚学会重装系统的人一样,我在学会这个技能以后就开始频繁给电脑重装系统。而且喜欢找各种各样的系统。
当时的带宽太小,如果想装游戏或者装系统,最快的办法就是去电脑城买碟。不论什么碟,统统四块钱一张。当然都是盗版。
我买了大量的碟,包括:Windows 2000、Windows Vista、Windows 7,以及各种各样写着「优化精简」的雨林木风、番茄花园、深度的 Windows XP,还有写着「网页三剑客」但实际上并不能安装的工具类碟。还经常发生类似「Vista 发音不对导致电脑城老板听不懂」之类的轶事,不一而足。
那个时候认识的朋友都知道,只要电脑出问题了找我,我就会提着一塑料袋光盘来到他家门口,把问题全部解决。也有失败的时候,后来我遇到一个电脑没装光驱的人。
我第一次用桌面版 linux 也是在这段时间,用的是雨林木风 OS(后来改名叫 StartOS)。原因是我初中住校,某次周末回家发现桌面上都是我爸上网中了木马以后导致的删不掉的图标,一气之下装了一个不能运行 exe 所以绝不会中木马的系统。
优化工具方面其实用了很多,但是最重要的就是 360 全家桶。当年是 360 刚刚大火的时间点,装好 360 全家桶是「电脑达人」的证明。
2010 年以及后面几年发生的事情同时代人应该都经历过:「3Q 大战」、「360 把浏览器伪装成系统补丁」、「360 浏览器把默认搜索引擎换成自家搜索,一夜之间成为国内第二大搜索引擎」。
两件事,有点讽刺:
- 当年的 3Q 大战,舆论一边倒支持 360,腾讯被群嘲;不过没过几年,很快 360 就成为了流氓的代名词
- 等后面几年出现了百度杀毒等等竞品,会发现如此流氓的 360 全家桶的流氓程度也远不及它们
也不知道互联网的世道是变好了还是变坏了。
「黑客」篇
当年的黑基网和现在完全不一样,我记得首页全是各种「电脑技巧」、「黑客教学」的标题,点开就是一些下载链接。特别强调:不像现在的下载站的各种云盘外链或者假链接,那里的下载链接就是那个网站的真实的下载链接。
下载下来的东西会是一个压缩包,解压密码通常是网站的网址。解压出来的东西基本都是一个 .exe 和一个 .txt:.exe 是屏幕录像专家录制的视频(可能是为了在没有播放器的电脑上也能播放);.txt 则是教学内容,当年的黑客教程很少有开口说话的,所以会在记事本里打字和看视频的人交流,最后也会留下这个 txt 一起发出来。
当然,这样的「黑客」网站也不止黑基网一个,还有各种各样的「黑客基地」、「黑客论坛」。需要在今天特别强调的是:这些网站和论坛真的很有用。
在没有严格备案的混沌互联网时代,国内有很多现在已经没有的网站。
用今天的眼光看,在好奇心驱使下的我做的所谓「黑客」的事情有这样四种:
零、编程和录制黑客教程
俗话说互联网是有记忆的。
2019 年我在网上找到了我初中时代录制的一个「黑客教程」。解压出来以后两个文件的时间戳是 2010/8/6;2020 年 11 月找到一个转制工具把屏幕录像专家的 .exe 视频转成了 mp4:
打开看还是非常羞耻的。但我还是鼓起勇气看了几眼,里面的内容大概是:
硕大的「黑/客/平/民/化」
一、可能可以叫「二进制安全」
灰鸽子可能听说过的人就比较多了。他其原理就是一个远程控制软件,只要把客户端生成好、分发给别人安装,然后自己的电脑有一个固定的公网地址作为服务器,就可以远程控制别人的电脑了。
听起来不就是一个普通的远程控制软件么?其实不然,杀毒软件们之所以把灰鸽子的客户端标识为木马,主要是因为它的客户端是做成:无感运行、默认开机启动、防止自己被杀死的。
对于我来说,玩转这一套有两个需要解决的问题:
- 铁通没有公网地址而且每次拨号没有固定 IP,怎么配服务器地址去生成客户端呢?
- 如何防止灰鸽子客户端被杀毒软件杀死?
我当时是一个没有网络知识的初中生,如何解决问题 1 只是模糊搜到一些名为「内网穿透」、「DDNS」之类的解法,并不知道其中的含义。最终使用的是向日葵的一个软件,现在想想原理应该类似 frp:在我本地启动一个向日葵软件,向日葵给我一个域名和端口,通过它可以连到我的电脑的某个端口。更离谱的是这个域名不随机,甚至还能自定义(子域名)。这样服务器地址的问题就解决了。
问题二的专业名词大概叫「免杀」吧,当时知道的解法主要是:
- 用 16 进制编辑器改汇编,把杀毒软件识别到的特征码改掉(照着别人的教程操作)。然后和另一个普通的 .exe 绑在一起,最后把图标改掉发布出去。
- 套壳。我也不懂什么是套壳,大概是把他的入口改掉、以及那些汇编特征码不会被识别到
我也用了一种特别的办法来发布这个二进制:因为当时易语言相关的东西经常被 360 误杀(实际上是太多人用易语言写病毒,360 识别的特征在很多易语言编译出来的普通软件也包含),所以我在百度空间写了一篇文章教学易语言;这个文章有一些关键词的 SEO 做的比较好,会排在前几;文章里面需要读者先下载我的工具,并且要求他们忽略 360 的提示。
我用这样的方法确实成功控制到了一些人的电脑,但并没有做任何「打开摄像头」之类变态的事情。最过分的一件事可能是往别人的电脑上传了一个 txt 文件,然后传统艺能,在他浏览桌面时弹开这个文件用记事本和他文字对话。
二、web 安全
那个时代有重大漏洞的 CMS 太多了,而且大家都用 asp 或者 php 的 CMS 做网站,所以根本不需要用到 CSRF / XSS 这样稍微高阶的技巧。用一些步骤就可以很容易做到:
- 下载啊 D 注入工具
- 当年 Google 还能用,打开 Google,把搜索设置改成一页显示 100 条
- 用 Google 搜索
inurl:asp?id= - 啊 D 注入工具就会开始扫这个页面里的所有链接能不能被 SQL 注入
- 发现看起来像可以被注入的页面就去扫它的后台地址,以及尝试 SQL 注入取到 admin 或者 user 表
- 扫到后台地址以后,用表里的账号密码,不行就用弱口令
- 如果表里的密码有 md5,就去找彩虹表
这个图片是我在 2014 年想做黑客教学网站的时候重新下载并截图的……
由于当时大家都用差不多的 CMS 做网站,即使你想针对一个网站这样做,成功率也非常高。
更有甚者只需要两步:扫后台地址;弱口令或者 ' or 1=1 进后台。比如我的初中母校官网。
当时我的初中同校还有另一个人也经常做这样的事情,他知道我,我也知道他。
初中学校官网就是我们两个一起「解决」的。他找到了后台地址,并且弱口令进了后台,但是不知道后面该怎么操作;我找到一个可以上传文件的地方,把某个「一句话菜刀」上传进去了。
我们只是在 QQ 上交流,但交际圈很小,我很容易就知道他的真实身份;有一次我在现实里偶遇他,也没有对他说任何话,低头匆匆走掉了。
三、社会工程学
当年流行「刷钻」。
手机端的刷钻原理是找运营商和腾讯的时间差,用某个固定发短信步骤去开通 QQ 的钻,就有概率可以实现运营商不扣钱但是腾讯认为你开了钻。我的超级 QQ 和黄钻一直坚持到我上高中换手机号前都没有扣钱,并且当时腾讯的页面还显示到期时间是 1971 年。
PC 端的刷钻软件原理我就不知道了,保守估计 99% 都是钓鱼软件。
我也用易语言做了一个。本来是给别人做的,只是代码里顺便也发到了我自己的邮箱。
大建站时代
免费空间、免费域名
一切的一切要从初中信息课本说起,上面有一篇如何建一个网站。里面的步骤是在一个叫做 5944 的网站注册账号,他会送你一个能运行 php 的免费空间、一个免费数据库和一个免费二级域名,然后上传一个 CMS 上去。
早期 5944 这个网站甚至没有广告,只是经常访问不出来;后来它会在我的 HTML 页面内容里面插广告(就像后来运营商在网页里做的那样)。当然,既然是插入一段广告代码,必然也是有办法写 js 给他屏蔽掉的。
当时的免费空间除了 5944 还有 freewebhosting、com.nu 等等等等。还有各种免费资源的收集站,比如免费吧 free8、奇哈免费网等等。后来免费资源的收集站都陆续倒闭了,免费空间倒是有很多留存至今。
至少邮件还能看见,勉强能感受一下当时的氛围
免费域名则大多都是二级域名 co.cc 以及上面的 com.nu 等等,当然不能不提可能是唯一的免费顶级域名 .tk。
由于使用 .tk 建无意义站的人太多,百度甚至会给这个域名后缀的网站降权。
域名贩子
我还记得我成为域名贩子的契机:打开了爱名网 22.cn,发现很多便宜的 .cn 域名。
当年的域名市场经过一个大的起伏,主要是
.cn一度降到白菜价,后来又被禁止个人身份使用(不允许 IDC 商做绑定)。当然,那个年代嘛,一样有办法绕过。
那一年我拿了我所有的几百块压岁钱,全部在电话亭换成了手机充值卡。然后在网上买了一个成年人的支付宝账号,用话费卡充值(没错,当年可以用话费卡给支付宝充值),再去爱名网交易。
当时买完了域名为了卖出去,我还写了一些软文投到站长之家,来推广自己卖域名的网站。由于很多爬虫和人类不看内容就在那乱爬或者乱引用,所以现在依然能够搜到这样两篇 2011 年的:
如果今天你看到有文章写的一塌糊涂,注意:他有可能是一个机器人,也有可能是一个初中生。
建站
除了上面截图想要推广的两个网站以外,初中时代还用免费空间做过各种没有意义的网站。
当年比较火的 CMS 有织梦 CMS、帝国 CMS。织梦有一个功能,是可以直接在后台配置一个规则然后把别人整个网站的文章抓过来。
所以可以理解为什么上面两篇废物文章能在搜索引擎里出现好几次了。
我还用帝国 CMS 做过一个非常非常小众的(合理怀疑现在生活范围内的人里面不会有第二个人知道名字的)网络歌手的粉丝站,高峰时居然一些文章还有几十的评论。
其余就是去脚本之家找各种各样的 CMS 来用,并没有什么实际意义。
这段时间留下来的东西还有一些尬到脚趾抠地的帖子:
广告联盟
广告联盟可能是做一名普通站长当时唯一的收入来源。
我也建了一个网站,附上广告联盟的广告,然后使用了:互点平台。
我帮别人点广告,别人也帮我点广告。这个互点平台还可以配置网页上一个页面(跳转的来源),一般会配置成搜索引擎,这样让广告联盟来检查整个追踪链路不会发现端倪。
但一个新的网站没有什么关键词搜索会有看起来合理的流量进来,强行写一个搜索结果页面作为来源也很容易辨别。于是我想到了那个百度空间的易语言教程。我把来源配置成那个页面,在那个页面附上新网站的链接,最后开始互点。
最终广告联盟找到我结余了一天的钱(印象中二十几块)并说广告商不满意,终止合作。
网页制作大赛
网页制作大赛是一个中考加分项。我在初三买了一本 Dreamweaver 网页制作的书,班主任通知这个加分项的时候我的桌上正好摆着这本书。班主任过来告诉我你可能拿个不错的奖项。
直到我报名以后才发现很多同班同学也报名了,大多是教师子弟;而他们的「作品」是周末花钱去找一些成年人帮忙做的。
我在我提交的网页的 <meta> 里写了很多类似「我无所谓」的话。理所应当最后我什么奖也没有拿到。
我的编程
中学时期主要靠好奇心的本能学习,代码量实际并不多。
初中阶段除了易语言和建站写的一点点 HTML 以外,印象深刻的事有两件:
- 初中的中午午睡时会偷偷在被子里看 VB 教程。
- 会给 MRP 平台(国产山寨机)的软件解包,替换资源文件再打包;比如把麻将 app 的语音换成自己的
高中看过 Java 编程思想和 C51 单片机编程:
上面贴吧和 Java 编程思想照片都是 2014 年 1 月的图
而且由于高中打通了多部仙剑古剑,在高三时非常想成为一个游戏开发者,也试着用 RPG Maker (当时还是 ruby 做为它的脚本语言)写了一些东西:
手写 ruby 瞩目
2014 年 4 月的照片。当时会关注游戏引擎(2014 能算最后的靠报纸看新闻的年代吧),并且十分想进上海烛龙。
2014 年,我的中学结束了。