“熊猫烧香”病毒作者被抓获过程

抓获病毒作者李俊（以及其同伙）的过程主要包括以下几个关键步骤：

1. 病毒爆发与高度重视

2006年底至2007年初，“熊猫烧香”病毒大规模爆发，感染了数百万台个人电脑、企业局域网甚至政府机构电脑，造成了巨大的经济损失和社会影响，引起了公安部的高度重视，被列为重点案件。

2. 技术分析：锁定病毒源头

• 病毒样本分析：反病毒工程师和网警对病毒样本进行了深入的逆向工程分析。他们发现，虽然病毒经过了加密和变形，但其传播逻辑和代码特征指向了同一个作者或团队。

• 追踪病毒传播服务器：病毒需要通过网络下载更新或窃取信息，因此会连接一个由作者控制的“肉鸡”（被黑客控制的电脑）或服务器。警方通过技术手段，最终追踪到了病毒作者用于更新和控制的服务器地址，这个服务器位于湖北武汉。

3. 传统侦查：大海捞针，锁定嫌疑人

锁定武汉是重点区域后，传统的刑侦手段开始发挥重要作用。

• 调查服务器租赁信息：警方查到了病毒所使用的服务器是由谁租赁的。当时的服务器租赁虽然不如现在监管严格，但仍然需要身份信息或支付方式。通过这条线，警方摸查到了一些线索。

• 网上活动轨迹排查：警方在黑客、病毒爱好者聚集的论坛（如当时著名的“黑客基地”等）进行大量摸排。李俊及其同伙在案发前曾在相关论坛上非常活跃，要么炫耀技术，要么试图销售病毒。这种高调的行为留下了蛛丝马迹。

• 资金流向调查：李俊制作病毒的另一个重要目的是牟利。他将病毒改为专偷网络游戏账号和装备的版本，并通过销售病毒源码、合伙作案等方式获利。警方通过追踪其销赃（如出售游戏装备、账号）获得的资金流向，也获得了重要线索。

4. 关键突破口：同伙落网与社会工程学

在侦查过程中，警方先锁定了李俊的一名同伙雷磊（也是本案的重要案犯）。通过审讯雷磊，警方获得了关于主犯李俊的关键信息。

同时，有一种流传很广的说法体现了“社会工程学”的运用：据说警方曾伪装成“买家和崇拜者”在网上与李俊接触，以高价购买病毒源码或邀请他合作项目为名，获取了他的信任，从而套取了他的真实联系方式或位置信息。这与传统侦查中“化妆侦查”的思路一脉相承。

5. 收网抓捕

在掌握了充分证据后，2007年2月，专案组在湖北武汉将主犯李俊抓获。随后，其他几名同伙王磊、张顺、雷磊等也在湖北、浙江等地相继落网。

总结：为何能快速破案？

“熊猫烧香”案之所以能迅速告破，主要原因有以下几点，也恰恰是病毒作者的“失误”：

1. 高调张扬：李俊等人案发前在网络上较为活跃，留下了数字足迹。

2. 为利所驱：病毒的主要目的从炫技转变为牟利。一旦与金钱挂钩，就会产生资金流，这是非常重要的侦查线索。

3. 技术痕迹：虽然病毒技术在当时算先进，但作者在隐藏自己真实IP和身份信息方面做得并不完美，尤其是其使用的服务器被精准定位。

4. 协作作案：此案是多人协作，增加了暴露的风险。同伙的落网成为了突破案件的关键。

5. 高度重视：该病毒造成了全国性影响，促使警方投入大量资源，运用了技术侦查和传统侦查相结合的综合手段。

后续：

李俊被判处有期徒刑四年。出狱后，他曾一度想走上正轨，在金山公司等安全企业短暂工作过，但后来据媒体报道又涉及其他网络犯罪活动，令人唏嘘。

“熊猫烧香”病毒案的侦破，向当时的黑客圈子传递了一个明确的信号：网络世界不是法外之地。