维基泄密上周五公开第三批CIA文档，内容聚集在反取证工具。上两次则主要是间谍机构使用的黑客工具。

 

3月7日，维基泄密首次公开CIA的漏洞利用工具，可入侵安卓、苹果手机，Windows/Mac电脑等设备。两个星期之后，维基泄密又公开了CIA购买苹果电脑和手机，在上面安装间谍软件后，把设备交给被监控目标。

此次(第三次)公开的文档包括CIA秘密反取证工具Marble框架的源代码。该工具用于令CIA的恶意软件难于被安全人员分析破解，通过混淆文本片段，以防止被追踪溯源。

通过代码混淆的方法来逃避沙盒检测的手段，近年来对于主流的网络犯罪分子来说已不新鲜，但Marble的一个功能却十分突出。它为病毒编写者提供了一个把自己伪装成说其他语言的人，包括汉语、俄语、韩语、阿拉伯语和波斯语。而中、俄、朝鲜和伊朗，都是或曾经是美国的敌对国。

维基泄密认为，这种工具正是CIA用于迷惑安全人员的现实手段，让他们以为入侵自己的人是别的国家而不是美国，如中国人民解放军。

源代码显示，Marble各国语言的测试样本还具有双重误导作用。例如，假装病毒编写者为说汉语的人，但同时显示出故意掩盖汉语痕迹的行为，以欺骗分析人员更加肯定地得出错误结论，此举也有可能在隐藏虚假的错误信息。

当然，对于严格的溯源技术来说，需要基于多种因素来判定，仅靠Marble并不足以令经验丰富的网络取证人员上当。Marble框架仅仅起混淆作用，并不包括漏洞或漏洞利用。

维基泄密曾保证要把CIA黑客工具的代码提供给厂商，据悉，阿桑奇已经就此事与微软进行了谈话。

(责任编辑：安博涛)