德华非常兴自己找到了原因，可是这个“幽灵”程序又是什么的？它为什么隐藏在里面？它又是如何实现自隐藏的？

一连串新的问题又困扰着德华。

德华再次从ftp上下载了网络数据包协议分析工，它开始对服务的对外接受和发送数据包行监控，然后拆包分析。他要看看“幽灵”是不是也在对外发送着数据。

！#

西奥多立刻就给了他一个答复，他们安全小组里面的成员，虽然对vms系统安全问题不是很了解，但是在这些方面的研究倒是很，有人手中正好有这样的工，平时是用来破解件程序的。

简直就是一闪而过，只在内存记录里面现短短一秒钟的时间，果然像幽灵一样！

幽灵能够克制tree病毒，这是德华亲看到的，现在最为重要的任务就是尽快将网络上的tree蠕虫全清除，恢复网络畅通，他决定先将幽灵的真实目的放在一边，开始重针对幽灵的查杀蠕虫行研究。

在这一时刻保存下来的记录，多了一个程，名为“ghost（幽灵）”

“就是它了！”德华兴奋地喊了一声。

但是这个“幽灵”程序，却真的像幽灵一样，极其难以发现，要不是这次正好碰到了tree蠕虫爆发，还不知要继续隐藏到什么时候，也不知幽灵在这里已经埋藏了多长时间。

在此之前，可从来没有现过这样的技术。

一级压一级，西奥多也严令德华尽快拿有效的解决方案，否则他们都要卷铺盖回家。

德华首先将其运行起来，查看了一下，并没有什么异常，他保持这个件不动，在后台运行，接着设置好每个一秒钟就将当前内存里面的程记录保存到log文件里面。

tree蠕虫虽然厉害，但是它毕竟是可以被发现的，虽然有了一些新的特，可是并没有脱离蠕虫的范畴，还是备蠕虫的一些致命的缺，例如重复复制，造成网络堵，在程里面也能轻易发现，它迟早会被清除掉。

德华思考良久，觉得这个可能非常大。

“只要成功让幽灵扩散去，tree蠕虫的危机不就顺利解决了么？”德华这样想。这是目前能够以最快速度解决蠕虫问题的方法了。

如果它像tree蠕虫那样，也想要盗窃机密资料，那比蠕虫更加恐怖。

德华尝试着想将其清除，可是找不到有效的方法，就连能发现对方的踪迹，还得用tree去引诱才能让其惊鸿一瞥现在内存信息的数据结构当中，而平时的时候，你本无法知它到底在内存的哪个角落隐藏着，伺机而动。

于是，他跑到机房外面安东尼的办公桌旁，借着他的电话给西奥多打了个电话，让他立刻帮自己找一个能够探测内存运行内容的工程序。

“程是运行在内存当中的，命令将程显示来，就是读取内存当中特定的数据结构，它能够隐藏自己，难说它修改了保存程信息的数据结构？”

“ramdetect”件立刻被下载到了服务中。

短短地十几秒钟时间，里面已经保存了两百多行的记录。

德华仔细地分析着这个log文件，最终在后半分找到了一个不同之，让他的神顿时一振。

它在技术方面的大，不但让德华到震惊，而且到有一莫名的恐慌。

他退这个件，然后找到之前设置好的文件夹，在里面找到了一个log文件。

太再次试验了几次，并且估摸着这个程现的时间，最终确定下来。

德华反复对比前后的记录，这个程在前后都没有现，只有在那一秒的时候，才现过。

德华一步步地梳理思路，竟然得了这么一个让人到震惊的结论！

正当德华想要继续分析的时候，西奥多打电话过来向德华诉苦。

让德华到奇怪的是，幽灵看上去虽然也有传播的特，但是却似乎更有组织纪律，它们并不盲目扩散传播。

他检查了费米实验室其他机房的所有机，果然，里面都有这个程的存在。

分析之后的结果让他有些安心，并没有现什么比较特别的数据包，也就是说，这些服务中的幽灵暂时没有对外联系。

tree蠕虫一步爆发，已经严重影响到了政府职能门的正常运转了，白和五角大楼都已经有人给西奥多打过招呼，要求他们尽快恢复网络。

“无法从程里面看到，也就是说它隐藏了自己…”

接着，他再次将tree蠕虫给下载下来，一闪而过之后，他立刻切换到“ramdetect”界面，还是那样，没有多余的程。

就是这个“幽灵”程序，一旦发现程中现tree蠕虫，它就立刻将其清除，不论蠕虫是什么版本，都逃不过它的“法”