WooYun.org

详见：http://lcx.cc/?i=2508
明显没拿到WebShell，替换了图片，肯定有首页图片编辑，然后替换掉。
图片路径：http://lh.baoji.gov.cn/images/03.jpg

而且看百度昨天的快照源码中图片路径也是这个，也就是说源码没有改变，确实是替换的。
后台肯定有类似CMS广告位之类的功能，可以修改广告位的图片，而且上传上去应该是覆盖的。
随后本人对图片文件进行了详细分析，结果如下：
MD5：65F1FC10A6C6B52F85F44E65EC9B46AC
大小：26.2 KB (26,931 字节)
尺寸：712*124
水平分辨率：120 dpi
垂直分辨率：120 dpi
位深度：24
Hex 文件头：JFIF
文件格式：jpg

内容：*******
字体：黑体
字号：57
字符集：CHINESE_GB2312
效果：加粗
该文字为 Windows XP 或 Windows Server 2003 自带的画图程序“mspaint.exe”所生成。
文字中的叹号为英文叹号，说明黑客在输入文字的时候，曾切换过输入法，或者使用非拼音输入
注意：
字号并非是画图程序默认的大小，而是手工输入的数值。
这说明黑客曾多次调整过文字大小，使其适应广告位图片的大小，也就是说可能有多次上传记录。
水平、垂直分辨率也不是画图程序所保存的 jpg、bmp 格式默认的分辨率，说明该图片后来曾经过处理，应该是在上传以后，网站程序处理过一次，原始格式应该为 bmp。

综上所述，该黑客使用的操作系统为 Windows XP，中文版。