经典轻变传奇网站在线观看_1.76情怀赤月手游传奇_传奇sf1.76版本低_我本沉默传奇手游贴吧

專業(yè)的QQ下載站 本站非騰訊QQ官方網(wǎng)站

QQ下載|QQ資訊|QQ分類|下載排行|最近更新

當(dāng)前位置:首頁騰訊技術(shù)QQ攻防技術(shù) → 密碼鎖對決QQ大盜

密碼鎖對決QQ大盜

時間:2007/1/18 9:53:00人氣:0作者:佚名我要評論(0)
天收到網(wǎng)友郵件,強(qiáng)烈推薦我一款最新的QQ密碼盜取木馬生成器——全能QQ大盜。 我就納悶?zāi),這年頭怎么有這么多人對這玩意這么感興趣呢……不管怎么說,盛情難卻,就收下這款寶貝,以后用來整整人也好。


先讓我們來看看這款木馬的介紹。


目前為止,最牛X的QQ木馬?梢垣@取用戶Q幣數(shù)量、游戲幣數(shù)量、QQ積分、QQ游戲點(diǎn)等信息。完美破解QQ2006鍵盤保護(hù),密碼框不會出現(xiàn)紅叉叉, 所有版本QQ通殺,包括最新的QQ2006 Beta2。采用特殊的線程插入技術(shù),無啟動項(xiàng),無進(jìn)程, 突破各類防火墻(如:天網(wǎng)、卡巴、瑞星、金山網(wǎng)鏢、江民……)。采用同類QQ木馬當(dāng)中,絕對領(lǐng)先的技術(shù),準(zhǔn)確獲取QQ密碼,絕無偏差。用戶登陸成功后再發(fā)信,從而杜絕重復(fù)發(fā)信、密碼錯誤發(fā)信情況,不在收取重復(fù)信件,提高軟件工作效率立即刪除自身,讓木馬不留痕跡。具有定時關(guān)閉QQ和防重復(fù)運(yùn)行的功能!下面是截圖:

QQ



看的出來,這款密碼盜取軟件針對目前國內(nèi)外的主流桌面防火墻軟件作出了針對性的改進(jìn),且具有很高的隱蔽性,一旦運(yùn)行了木馬的EXE,它就幾乎徹底隱藏了自己,就象廣告中說的一樣,無啟動項(xiàng),無進(jìn)程。常規(guī)的檢測工具要檢測它具有一定的難度,所以這款木馬生成器生成的木馬對于普通用戶來說具有相當(dāng)大的殺傷力。


木馬分析


接下來我們來看看該木馬的工作流程:


木馬在獲得啟動運(yùn)行后,就會將復(fù)制一個備份到C:Program FilesInternet ExplorerPLUGINS,并重命名為qn911.dll(其實(shí)這還是一個EXE文件)并將其文件屬性設(shè)為隱藏和系統(tǒng)然后在C:Program FilesInternet ExplorerPLUGINS釋放出qn911.sys(其實(shí)這是一個DLL文件)。
這時候木馬會在系統(tǒng)注冊表內(nèi)注冊一個CLASSID

HKCRCLSID

并將該CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys聯(lián)系在一起。然后將該CLSID添加添加到注冊表的ShellExecuteHooks下

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鳥這時候就會說了,原來它的無啟動項(xiàng)和特殊的線程插入技術(shù)就是這么實(shí)現(xiàn)的啊…)

Qn911.sys內(nèi)含有鉤子WH_GETMESSAGE。

在木馬下完鉤子后,完成盜取QQ密碼的準(zhǔn)備工作后就創(chuàng)建一個名為MicroSoft.bat的批處理文件,用于刪除木馬的EXE文件和批處理自身.這樣它在系統(tǒng)中就是”無進(jìn)程”了。

這里有個插曲,木馬的作者會給分析人員一些留言,內(nèi)容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由于我的小學(xué)拼音實(shí)在不怎么樣,而且由于時間關(guān)系,所以這個內(nèi)容留給感興趣的人來解讀吧。(沒有標(biāo)點(diǎn)符號的文章實(shí)在很難讀啊)。

這時如果啟動QQ,通過ShellExecuteHooks,qn911.sys就會插入到QQ的進(jìn)程空間中去了。

QQ


這時候木馬會在系統(tǒng)注冊表內(nèi)注冊一個CLASSID

HKCRCLSID

并將該CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys聯(lián)系在一起。然后將該CLSID添加添加到注冊表的ShellExecuteHooks下

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鳥這時候就會說了,原來它的無啟動項(xiàng)和特殊的線程插入技術(shù)就是這么實(shí)現(xiàn)的啊…)

Qn911.sys內(nèi)含有鉤子WH_GETMESSAGE。

在木馬下完鉤子后,完成盜取QQ密碼的準(zhǔn)備工作后就創(chuàng)建一個名為MicroSoft.bat的批處理文件,用于刪除木馬的EXE文件和批處理自身.這樣它在系統(tǒng)中就是”無進(jìn)程”了。

這里有個插曲,木馬的作者會給分析人員一些留言,內(nèi)容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由于我的小學(xué)拼音實(shí)在不怎么樣,而且由于時間關(guān)系,所以這個內(nèi)容留給感興趣的人來解讀吧。(沒有標(biāo)點(diǎn)符號的文章實(shí)在很難讀啊)。

這時如果啟動QQ,通過ShellExecuteHooks,qn911.sys就會插入到QQ的進(jìn)程空間中去了。

QQ

根據(jù)我的使用經(jīng)驗(yàn),能讓進(jìn)程防護(hù)危險(xiǎn)等級框拉到底的絕大多數(shù)都是木馬病毒等非正常程序了。

QQ



實(shí)驗(yàn)需要,我們放過該木馬,允許它運(yùn)行。


啟動QQ運(yùn)行,并查看其進(jìn)程模塊,可以看到,進(jìn)程空間內(nèi)qn911.sys已經(jīng)無法注入到QQ的進(jìn)程中去?磥恚K截者對ShellExecuteHook方式的線程注入還是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ進(jìn)程空間中,那么截取密碼當(dāng)然也就無從談起了。我們在查看指定接收密碼的郵箱,里面自然一無所獲。

QQ



就這樣一場QQ密碼的攻防戰(zhàn)就在用戶毫不知情的狀況中發(fā)生和結(jié)束了。

用戶唯一的線索大概就要到關(guān)閉QQ時,查看詳細(xì)信息時才能從模塊信息列表中看到木馬曾經(jīng)來過的蛛絲馬跡。

QQ

乘勝追擊


各位看官看到這,相比結(jié)果已經(jīng)明了了,接下來就是打掃戰(zhàn)場的工作了。從前面的木馬分析中可以看到,木馬殘留在系統(tǒng)中有兩個文件

C:Program FilesInternet ExplorerPLUGINSqn911.sys

C:Program FilesInternet ExplorerPLUGINSqn911.dll

所以用戶要做的事情就是刪除這兩個文件。但qn911.sys還在其他進(jìn)程中運(yùn)行,此時是不能刪除的。

QQ


這時候,終截者的另一大特色功能就能派上用處了。

QQ


點(diǎn)擊后重啟,就運(yùn)行到一個絕對純凈的環(huán)境中(不要將其等同于系統(tǒng)的安全模式)在這里你就能很輕易地刪除上述兩個木馬文件了。至此,木馬清理完畢。


結(jié)束語


這次終截者遭遇的對手是利用ShellExecuteHook技術(shù)進(jìn)行密碼盜取的木馬?吹某鰜,終截者的研發(fā)人員針對這種技術(shù)提供了有效的防御方案,所以才能輕松獲勝。據(jù)我所知,這在同類軟件中能做到的并不多,可以說是寥寥無己。而且終截者的能力遠(yuǎn)不止于此,那么終截者的下一個對手會是誰呢?

 

猜你喜歡

網(wǎng)友評論

請自覺遵守互聯(lián)網(wǎng)相關(guān)政策法規(guī),評論內(nèi)容只代表網(wǎng)友觀點(diǎn),與本站立場無關(guān)!

熱門評論

最新評論

已有0人參與,點(diǎn)擊查看更多精彩評論

關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接

Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號

聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告