寫這篇文章的主旨在于呼吁大家注意保護自己的隱私，同時做一個正直的人，做一個有意思的人。

背景：我是一名吊絲程序員，在小公司做事，平時做點私活，最近開了個淘寶店，月交易幾千塊錢而已，以調試、破解和出售網站模板類為主。

起因：4.2號來了一名顧客，要求為其提供的WEB程序開發(fā)一注冊機，程序中含有病毒，幾個瀏覽器下載后均自動刪除，最后無耐用下載工具下載后，只留下了DLL，因為是.net的程序，反編譯的過程非常容易，程序的加密分為兩部分，對數(shù)據庫連接字符串和授權域名進行加密處理，并進行檢驗其合法性，我就開價300元，客戶還價200元，我一看算法是普通的DES加密，有KEY和IV對稱密鑰，可輕松寫出注冊機，就答應了，客戶也很干脆，拍下付款，幾分鐘后，我給客戶提供了其注冊程序，客戶要求教其使用，我一步步教了其如何對數(shù)據庫字符串加密，如果在后臺注冊程序，一切看似非常順利，不到半小時就可以完成這筆交易了。

可是，問題來了，在點完授權的那一刻，客戶無任何征兆的點了申請退款，然后說無法使用，我說存在什么問題，他說打不開，我說前面怎么打開的呢，他說現(xiàn)在已經被殺掉了，我說你可以將殺軟殺除的截圖發(fā)來，客戶說已經不在了，截不了，過了一會，客戶想到一招，將發(fā)過去的RAR壓縮文件后綴刪除，用記事本打開截了圖，我就笑了，你稍有點技術含量成不，找個病毒重命名下再殺毒截圖也比這像啊，客戶覺得確實，就不再截圖，一味的說不能用不能用，這事實大家都很明白了，后面的就沒意思了，我告訴客戶，你申請就申請吧，東西我已發(fā)出，我點發(fā)貨了，你覺得有問題就申請?zhí)詫毥槿胩幚硗丝?，反正我是不會退的?？蛻艟蜕暾埩送丝睢?/p>

第二天就發(fā)現(xiàn)客戶在自己的淘寶店上放出了那套程序出售并標注自已授權，每套售價390元。

事情就是這么個事情，但是我越想越惡心，如此無恥的人怎能讓我碰上，于是，我想給他點顏色看看。

關于顏色那點事（僅做示例，不做證據）：

第一步，有了這個想法以后，我決定分析一下他發(fā)我的程序。我首先想到了殺毒軟件，一般被殺軟確認殺掉的，肯定不是好東西，我查看了殺毒軟件的記錄，找到了程序中的某一文件存在問題，我關掉殺軟恢復了該文件，果然，這是一個程序的原作者留下的后門，密碼也用了MD5加密，當然，這難不倒CMD5，有了后門的路徑和密碼，遇到另外一個難題，不知道客戶的服務器地址，也不知道客戶服務端是否安裝了該軟件。

第二步，我先是想到假裝成另一客戶，去找他要一個演示地址，這樣就可以進去了。但我沒有這么做，我首先仔細研究了客戶的行為和其淘寶店，終于在客戶的寶貝中，找到一張圖片，這張圖片是客戶授權成功并做為演示給用戶看的，客戶為了掩飾其盜版的目的，改掉了原網址，換成了自己的網站，不幸，這個英明的決定暴露了他的服務器，我很快就根據其域名找到了演示站，并根據原程序中存在的后臺拿到了WEBSHELL，權限設置的很垃圾，其實大多數(shù)人的服務器權限都很弱，隨便可以看，當然，我很容易找到了D盤就光明正大的存放著我發(fā)他的已經稱為被殺軟殺掉的注冊機。但是有WEBSHELL遠遠達不到我想要的，改首頁刪程序之類的小岐倆那是10歲的小毛孩子玩的，再說，服務器上備份肯定不止這一個，刪了人家重新傳一個即可。于是，我想到提權。

第三步，提權。提權實際上比我想像的簡單的多，我只是想復雜了。我解密了網站的數(shù)據庫加密字符串（給丫寫的注冊機就有這功能），得到數(shù)據庫密碼后，發(fā)現(xiàn)是普通權限，且1433端口未開放。我找了朋友（國內著名某后門的作者，名字就不提了）幫忙提權的事情，他知道這個事，一口答應，折騰了一會，告訴我，服務器密碼就是SQL密碼，我了個去，然后他告訴我注冊清理日志即可，沒他的事了。這個兄弟自然曉得，就找了個跳板加VPN進了服務器，服務器上除了注冊機和一些私服的程序外，沒有什么利用價值。

第四步，人肉。

客戶淘寶寶貝中留有其QQ，我通過號碼查找了一些資料，都不太重要，但一條很重要的信息被我找到了，感謝萬能的GOOGLE，在新浪博客，有一篇貼子，曝光一個大騙子，而騙子的QQ，正好是該客戶的QQ，同時留有其銀行帳號、姓名和手機號等資料。

我進一步通過QQ郵箱證實了客戶使用的QQ密碼正是前面得到的密碼，我繼續(xù)使用VPN拿陸客戶的QQ郵箱，查看了客戶的郵件記錄，其中就有客戶要求新浪刪除其博客的郵件，我看到后笑了。郵件的來往無非是發(fā)一些私服和程序的郵件，除了一些注冊資料沒有更大的價值，但是，發(fā)件箱是每個人最大的隱私集中箱，我找到了他發(fā)往自己郵箱的資料和一些隱私，比如同學錄電話本、簡歷，我都保存了下來，至此，我得到了我想要的資料，也是人肉搜索的目的所在：基本信息在簡歷中都有，教育經歷，銀行帳號，住址，愛好，工作經歷，照片等等。

客戶實際上是更吊的吊絲，業(yè)余游戲玩家，靠做私服、賣私服和私服支付程序維持生活，自己技術一般，大部分程序沒有售后，基本上就是半騙半賣的性質，淘寶上追加的評論也是誰買誰后悔類的。這我們就不評價了。我們還是說我們的。

人肉到這一步，并不算完，而讓我自己都可怕的一個想法，就是翻網上同步過的電話本。我通過QQ郵箱導出了客戶的QQ聯(lián)系人，然后通過某同步軟件（我就不指名道姓了），用客戶的帳號登陸后找到了同步過的電話號碼本，親們，你們有類似經歷嗎？Android手機是否同步過？Gmail是否同步過？好吧，現(xiàn)在我有了他哥他爸他媽的電話了，要不要發(fā)個短信提醒下呢？最后想想還是算了。

后來，我又找到了戶口本、畢業(yè)證等復印件。

另外，這一步，我得到的信息比上面提到的更多，我就不具體說了，密碼泄露事件不止一次了，一個密碼可以獲得的信息，遠遠不是你想的那么一點。各位看官請自知吧。

假如我是一個壞人，我會這樣做？（請勿模仿）

1. 登陸郵箱，清空所有郵件、附件、并清空回收站。

2. 登陸QQ群發(fā)：“我是騙子，請大家悉知”。然后刪除所有好友（雖然可以恢復，但惡心一下絕對是必要的。）

3. 找網上群發(fā)軟件，用國外帳號群發(fā)所有電話本好友短信：“XXX是個大騙子，請大家注意保管自己的財物以免被騙?！?/p>

4. 找到客戶的密保郵箱和所有注冊過的網站（通過驗證郵件反查），然后通過郵箱找回密碼，然后修改所有密保資料，所有密碼，刪除所有資料。

5. 找回淘寶密碼，刪除淘寶寶貝。（交易是管理不了的，應該可以取消刪除等），當然，旺旺也必須進行相同操作，對所有買家說88，該商戶騙錢已被查封，謝謝，再見。

6. 格式化服務器除系統(tǒng)盤外所有盤，C盤刪除引導文件。

7. 將親屬和本人電話號碼貼在XX網站，寫上“一夜！情”，“辦！證”，“求安慰 免費 包舒服”。

8. 刪除同步軟件的電話本，并設置自動同步到手機。

9……

如果我做了上面任意一條，客戶是否會因為自己貪過200元而后悔？雖然答案是肯定不會，但是，我雖然不是一個好人，但我是一個守法公民，在必要的時候我會用合適的武器保護自己，但我做不出和客戶一樣卑鄙無恥的事情。

真實結果：

所以，我什么都沒有做，我在旺旺上告訴客戶，你的程序有后門，如果你覺得這事我們可以談談，我可以免費幫你清理后門，你占個小便宜，這事就這么算了。但很遺憾，客戶的回復是，你的程序不能用，你先把我的程序后門補了，我們再談。我笑了下，如果一個人腦殘到如此地步，我就算將上面8條都做了，他依然不會有任何改變，反而會更加賤。我發(fā)了一條他父親的電話號碼并刪除了服務器上存放的注冊機，我認為，到這一步，他應該可以認識到我可以做更多的事，而我又錯了，腦殘真的無藥可救，客戶的一個程序錯誤，找我漫罵說我破壞的，然后說我發(fā)這個是罵他，而自己，偷偷又在另一個盤上上傳了注冊機繼續(xù)使用。

好吧，我承認，我失敗了，你很強大。就這樣吧。