何智言交给他们一个练习目标说：‘我在这三部电脑上安装了一个小程式你们可以从工作管理员中看到它的程式名称叫fortab.exe它有许多的动态连结dLL档先我要你们清楚的告诉我它目前正用着那些dLL档。’

宇成等三人很快进入命令提示字元输入task1ist/m萤幕上列出了许多的程式而其中就有一个fortab.exe在内呼叫了kerne132.d11、gdi32.d11．．．．等洋洋洒洒一大堆的dLL档其中比较特别的是forbook.d11、mop93.d11、getab.d11等三个dLL档这是随软体一同安装使用的dLL档。

何智言点头道：‘不错就是像这个样子。天守他们善于谎言所以也是个欺骗高手程式加壳就不用说了更会用隐藏手段。虽说如此不过他们是主攻多媒体程式这方面应该是和闇影七君联手后技术交换的结果。’

明昂举手疑问道：‘你为什么会这么了解呢？’

何智言拿出一片路上的光碟说：‘这片光碟是守天多媒体在路上的我仔细的研究了许久才现它本身可能隐藏着天守的病毒！’

‘啊！是那片光碟！’宇成三人同时指着那片光碟惊讶的说着。

宇成说：‘那片是．．．是我和心婷在西门町逛街时拿到的因为心婷好像满喜欢玩电脑游戏和益智小品而那个人又免费着我们就拿了一片。’

云飞冷笑一声道：‘哼我对这种免费的光碟没兴趣顺手丢了。’

明昂则说：‘那天我在路上逛时也拿了一片不过我没装。’明昂并没有把后续去到守天多媒体的事说出来因为他不想节外生枝。

宇成此时才想到说：‘等等！？里面有病毒？那心婷的电脑不就．．．’

何智言说道：‘不错已经被感染了。守天多媒体在世界各地广这种光碟片同时也吸引了不少人前去参观他们在各地的据点现在应该不少人对守天多媒体这间公司产生好感。不过这片光碟里面的软体的确可能有病毒。’

宇成问道：‘为什么是可能的病毒呢？’

何智言笑道：‘因为我研究了许久才现这东西很狡猾。他本身修改登录档就不用说了还可以在控制相同大小的情况下让病毒程式码附着在一些常用必用的服务程式系统档案中并以呼叫dLL档的方式归避直接被察探。’

宇成又问：‘这么说是代表天守利用闇影七君的隐藏技术将可能是病毒的程式潜伏在光碟中布设然后利用免费光碟散播出去？’

何智言点头道：‘没有错！上次考验你们的那个木马程式是我反译了有问题的部分后仿照那病毒的能力制作的表象化测试你们能够关掉它的确不错。但是别忘记闇影七君在闇影.x那“无核心”概念与“随机变种”所带来的威胁虽然没有完全应用上但天守已经掌握住了一些重点所以解决了一个并不代表就没有其他的存在可能也有千万种变化也说不定。如果你们上次解决掉闇影.x的技术能再次应用在天守的病毒上或许会有办法也说不定。’

一听到这种赞美式要求宇成和云飞可傻眼了他们总不好意思开口说上一次是白慕仁的胡言乱语歪打正着才找出了暂存器的变化方式。

何智言继续说：‘为此要解决这次的事情可能需要与大量的dLL奋战他们还故意把名字取的很相似让你以为那是系统dLL档。不过系统和其他软体所需要的正常dLL档实在太多了而光碟里那些dLL档又只是一部分真正的dLL档被封存在一个加密压缩档内只有天守的安装程式在安装时会连上网路下载解密的重要元素配合光碟内的程式运作解密而那个配合方式我们也不知道。’

明昂问道：‘如果是这样的话那么没有连上网路的电脑便不会安装了？’

何智言点头说：‘理论上是这样但他们还是会有潜伏在背景的小程式一旦现电脑连网后就会透过svchost.exe服务向外连线下载重要元素后配合安装目录里的程式将加密压缩档的dLL解出来。连线的port并不固定他们会先透过低端扫瞄网域内有安装的电脑并利用FTp或传输下载如果找不到的话才会向某一个Ip的伺服器下载。’

宇成举手问道：‘既然如此还是没有办法将两者的资料收集来找出演算法吗？’

何智言摇摇头说：‘我努力了很久但仍然没有找出来。如果你们能够运用上次破解闇影.x的方式或许可以。大司马大人这次也很烦恼因为加密加太凶了！’

云飞说道：‘因为无法事先找出阻止的办法所以我们只能见招拆招了？’

何智言点头说：‘正是如此。有关重要的部分我已经告知任逍遥他会通知其他的台北极光成员至于会不会用就另当别论；而你们因为“一定”要学会见招拆招所以我要亲自教导或是说确认你们有办法很快的找出dLL档。我担心的是疯狂十一开始后它会不断的异变如果未能即时找出可能它就会产生变化了。为了在短时间内一口气封锁住就必需要这么做。’

宇成疑惑道：‘不是只有安装光碟的电脑才有事吗？为什么说得好像每部电脑都会有事一样？’

何智言说：‘你太天真了！那些光碟只是提早病毒的普及以便快连锁反应。真正的病毒一定会在网路上攻击系统漏洞并且感染这才是最可怕的情况。’

宇成三人点头他们现在已经了解这次的任务重点了。

何智言继续说：‘回到练习主题！现在fortab.exe呼叫的dLL档你们可以利用参数/m找出来但是你们不觉得这样太慢了吗？卷轴要不断的往上拉一个一个看找到fortab.exe时已经浪费不少时间了而且预设的情况下命令提示字元只有显示3oo行空间的能力通常这已经过最大值了。’

宇成等人将卷轴往上一拉才现果然上面断了头。

何智言说：‘这个训练任务要求的是快找到程式的pId以及与它相关的资讯因此在参数的使用上势必要混合不同的参数一起用。’

‘不同的参数？’宇成疑问道：‘难道还可以把不同的参数用在一起啊？’

云飞冷笑道：‘哼右御使你的意思不就是多重参数吗？’

宇成转头问：‘疑？云飞？你知道什么是多重参数啊？’

云飞打了一道指令并说：‘你所要求的就是这个吧？看清楚了！’

云飞输入task1ist/m/fi‘pIdeq49o6‘后萤幕上原本一大串的程式与dLL变成只剩下一项fortab.exe的资讯显示了它的pId和dLL档。

何智言点头说：‘不错！看来你满厉害的能够理解我在说什么。’

明昂心想：‘云飞果然能力还在我之上连我也不懂得这样的用法。’

宇成佩服道：‘太强了．．．云飞为什么你都没有教我混合参数的用法啊？’

云飞又是冷酷的笑了一声说：‘哼这根本不必教吧？这不过是常识罢了。’

宇成不甘心的想着：‘好厉害啊．．．没想到都已经两年了我还是没有办法追上云飞的脚步吗？可恶．．．我以为已经很接近了。’

何智言又问：‘如果还不知道程式的pId只知道档名你有办法吗？’

云飞笑道：‘很简单不是吗？只不过是改筛选器的参数罢了。’

云飞输入task1ist/m/fi‘imagenameeqfortab.exe‘后又是相同的结果。

何智言点头道：‘不错很好很好看来你不必我太操心了。/fi是个很重要的参数它的意思就是fi1ter过滤筛选的意思。利用/fi参数我们可以舍弃掉许多不必要的时间浪费直接击中我们想要的程式。训练你们熟练/fi是这次的重点之一而相关的操作器指令像是eq代表等于、ne代表不等于也是必需了解的。该用pId或imagename的时机你们要自己掌握住才不会找错目标。’

宇成理解道：‘我懂了因为imagename可能是同一名称这时就要辅以pId。’

何智言笑道：‘不错嘛你很快就吸收了这些知识。好接下来则是找出dLL档被那些程式使用这是和刚才的情况相反过来的就找ntd11.d11好了。’

云飞和明昂很快的动作而宇成似乎有点不熟悉打了一半就停住。

宇成心想：‘到底是怎么做呢？应该还是用/m的参数才对毕竟这是用来看modu1e的参数既然和dLL有关就还是用它！’

宇成打完task1ist/m后并没有按下enter因为这结果必然不是他想要的。此时宇成直觉觉的可以这么做便在/m参数后空一格打上ntd11.d11果然成功了。

何智言笑道：‘不错不错你们三个都可以嘛！task1ist/mntd11.d11很好。那么再来判断nettd11.d11。’

宇成此时又直觉想到：‘要判断netettd11.d11可以的．．．我一定能打出右御使要求的指令！’

宇成等三人都输入task1ist/mntd11.d11/fi‘imagenameeqcsrss.exe‘结果果然如预期出现在三人的萤幕上。

何智言很满意的说：‘不错你们很快就懂得运用混合参数、筛选器我想接下来要让你们进行反筛选应该也不是问题把eq换成ne就行了。好那么接下来就继续进行下面的训练利用ntsd–cq–ppId的方式快又强制的关掉．．．’

三人继续接受着特训而十一月十一日也即将到来．．．待续