先进行一下说明,本文是我用一个下午一字一字的打出来的.原本是为了投到魔兽官网的.可被系统删除了.原题为木马与盗号.不知是何原因被删.即然写出来了总不能浪费.下面的观点不一定就是正确的.请各位在这方面有经验的大侠给予指点.多谢!
大概是从2005年起,我开始玩魔兽.不知是运气好还是自己的游戏习惯.我从未被盗过号(不过有可能下次我上游戏的时候会被盗也说不定).本人从99年开始自学电脑,对电脑安全方面还是有些心德的.以前在新浪的博客上写过一篇类似的文章,不过那时还是PIN码时代的防范技巧.以下算是对上篇老文章的一个更新吧.废话够多了.说正事:
木马的原理
木马这个词来自一个古老的故事.好像是在荷马史诗上.电影<特洛伊>大家想必都欣赏过了.之所以称之为木马程序,是因为这类的程序通常要先安装到系统中,说白点就是得先进城,进城后才能发挥作用(好像又是废话).
木马植入电脑的手段:
直接安装,最最初级的手段.直接在机器上安装木马服务器端,等待下一个人来进行游戏时必定中招.听起来有点不太可能,现在的网吧安全意识都还很好.但不排除有些网吧的机器没有安装硬盘保护卡;杀毒软件或者高手破解硬盘保护卡.也不排除各位身边就没有想坑你害你的人.中招机率极低,除非你得罪了某人,或网吧不负责任.否则是很难以这种方式进行攻击的.危险级别:最低.
伪装,这是最常用也是最菜的手法.玩家们有时会下载一些文件,比如与游戏相关的图标呀,桌面主题呀,或是图片视频等等.而有些菜鸟级的不能称之为黑客的黑客,将木马的服务器端文件做成自解压文件,然后起一个很有诱惑力的名字.当用户下载后运行,木马便被安装了.中招机率极低,除非你没装杀毒软件,或杀毒软件800多年没更新过病毒库.危险级别:低
捆绑,这种用法比较常见.木马文件通过特殊的软件可以捆绑在图片视频及一些程序中.当玩在打开这些文件后,OVER.中招了.但现在只要有杀毒软件也是可以避免的.中招机率:中. 只要对下载过的文件进行查毒后再运行,一般不会那么倒霉.危险级别:中
网页捆绑,这种手法还算有点技术含量的.盗号者具备一定的电脑知识.自已制做网页或干脆黑了别人的网站在网站或网页中植入代码.这样当玩家浏览此网页时便已经将木马安装至系统.中招机率高.一般来说杀毒软件是可以查杀到的,但有时杀毒软件会给玩家一个提示,是否安装控件,如果不安装网页可能打不开.一些玩家会因为急于浏览内容一时疏忽允许了安装行为,造成重大损失.危险级别:高
黑你没商量,这种手法要具备相当高的电脑水平.通常来说真正的黑客(水平差不多得中级吧)才会有此能力.也不排除有些小菜鸟误打误撞.这种手法通常是对方先得到你的IP地址,对你的IP进行漏洞扫描与嗅探.发现机器漏洞后,进入玩家机器取得电脑控制权进行木马安装,不过具备这种能力的人,要不就是生计所迫(如金币公司打工者)要不就是深仇大恨.非搞你个痛哭流涕.否则是不会动这种歪脑筋生财的.所以那些在游戏里喜欢喷人的,要小心.喷上这么个主,你就别想玩了.他能一直黑你到死.中招机率:中,危险级别:最高
以上就是我能想到的几种木马植入的方法.即然了解了植入的方法那么是怎么被盗的呢.
木马工作的原理:
传统的木马的工作方式有以下几种.
1.键盘记录与截取.
在植入木马前,盗号者木马已经设定好E-mail地址.木马会在特定的程序启动后,开始记录键盘输入的字符,并发送到盗号者的信箱中.最古老的方式.
中招现像:几乎察觉不到.除非玩家的机器配置低可能会在点击输入框的时候有一点点卡.
防范措施:
使用正版杀毒软件,每天更新病毒库,每周最少对C盘全面扫描一次.发现异常情况对全盘进行扫描.
安装网络防火墙,及定期下载windows补丁程序.
错位输入法.无论何种木马帐号与密码的获取,大部份还是靠键盘记录的方式.因此错位输入对保护帐号与密码会起到很大的做用.帐号是明码显示因此对于截图木马做用不是很大,但密码确是相同的字符,截图木马就不灵了.如何进行错位输入呢?
例如:帐号为james 密码为123456abc
先在帐号框内输入任意字符这里假设我输入的是jkdsaefdas(输入的越多越好,最好是26个字母全输上.)然后用鼠标选中所有输入的内容.然后输入s,这时因为之前字符全选所以输入新字符后jkdsaefdas就被自动清除了并以s替代.在s前面用鼠标点一下,换个位置再输入些字符如vdsesdkfadfkjewqp,再将S以外的字符选中.再输入a. vdsesdkfadfkjewqp又被a替换.在A与S之间用鼠标插入光标再进行相同的输入......以此往复.因为在帐号输入框被激活后,木马便进入记录状态,这时会记录你在帐号框内输入的所有字符(原理涉及ASCII码我就不多说了)这时木马记录的用户名便成了jkdsaefdassvdsesdkfadfkjewqpa........想猜你的用户名,累不死他.密码也是同样道理如法泡制.
还有一种相对简单的方法.如先输入s.再输入a,再输入m再输入e再输入j.
但这种方式对于那些喜欢使用英文名做帐号的人不适合.因为字符太少而且穹举法进行排列很容易就会被盗号人猜出来.如果你比较懒不想用第一种错位输入法的话.那么你的用户名与密码就一定要长.包含的字符一定要多才可以.想怎么做自已选吧.
2.后门服务端口.
Windows系统一直都支持远程操控.这样就给一些木马程序留下了漏洞.木马服务器端被植入后为客户(控制)端开启一项或多项远程服务.使客户(控制)端达到远程控制的目的.这种木马的种类很多.这里不举例说明了.但想真正得到玩家的帐号与密码还是要使用键盘记录,极少数的是截取信息包进行分析.
防范措施:
使用正版杀毒软件,每天更新病毒库,每周最少对C盘全面扫描一次.发现异常情况对全盘进行扫描.
安装网络防火墙,及定期下载windows补丁程序.
那么密保卡木马又是怎样运做的呢,本人没有用过所以只能靠自己以前试过的一些木马程序分析一下.也希望各位高手给予指点.
首先.盗号者要让玩家感染木马.无外就是上面所说的几种途径.
玩家中招后,木马会在玩家的游戏目录中创建一个伪WOW.EXE文件.因为盗号者与玩家不可能总是同时在线,那么为了不被玩家发觉,wow一定要可以正常运行.所以原文件可能被改名并隐藏.但此时,玩家运行的wow.exe是木马创建的.而每次玩家运行游戏时.伪wow.exe都会向木马的客户端发送信息.通知盗号者玩家已经上线.并调用真正的wow.exe使玩家能够正常进行游戏.一旦盗号者与玩家同时上线.攻击便开始了.
首先盗号者要得到玩家的帐号与密码所在大区及服务器.这一步有两种可能.一种就是键盘记录方式,一种就是信息包截取方式.前一种方式获得账号及密码的速度较快,但使用错位输入法即可避免.第二种,信息包截取,则是木马截获玩家电脑向游戏服务器发送的身份验证信息包,截获后发送给盗号者进行分析.如果此木马的控制端已经得到游戏服务器的加密算法.便可直接破解并将信息包内容显示.这时错位输入法就用不上了.盗号者为了得到玩家所在大区及服务器,因此第一次登录时会很顺利的进入游戏.但当盗号都得到上诉信息后,玩家的灾难便开始了.
得到帐号.密码及所在服务器的信息后.盗号者需要的就是密保卡号了.如何获得呢?从玩家开始掉线说起吧.
盗号者得到帐号.密码及所在服务器的信息后.踢玩家下线.此时开始进行密保卡号的骗取.玩家再次登录时.出现的密保窗口是木马伪造的.此时可能有三种情况.
1.盗号者已经进入游戏的密保卡输入步骤.将他所需要的坐标通过木马发送到玩家的登录窗口.玩家所输入的就是盗号者所需要的.不过这种手法不太可能.因为盗号者登录玩家帐号时.要求一个坐标一个坐标的输入.那么如果盗号者想分别套取三个坐标的话他就必须让玩家登录三次.有些警惕性高的玩家可能第二次就停止输入了,风险太高.所以我认为盗号者不会采用这种方式.
2.木马控制端得到矩阵生成算法.得到一组或两组号码后推算其它坐标号.此种方式也不太可能.除非是9c内部有人将矩阵生成软件泄露.那得多钱才能买到呀.成本太高也不太可能.
3.盗号者等待玩家多次输入.直到得到所有的密保卡号.这个过程有些人可能会需要很长时间.因为矩阵中一共有80组数字.如果每次套取三组.那么共需27次方可全部套取.任何一个玩家都不可能在掉线后连续进行27次登录操作.因此被盗玩家可能会发现经常性的多次登录才能进入游戏.有可能会让玩家输入两三次后.先让玩家进入游戏.等玩个半小时一小时的再踢一次,再让登录个二三次……..在得到全部卡号前,保证让玩家能够正常游戏.如此往复.以麻痹玩家.最后当所有密保卡号被套取后.狂踢玩家或等待玩家下线.利用套取的密保卡从容上线.进行破坏.这是最有可能也是可行的一种方式.
以上便是我对密保卡木马的一些想法.木马本身是一个成型的程序.任何人得到了都可以应用.对于盗号者最难的就是如何将木马值入玩家的电脑.
所以,严防死守.不让木马进入我们的电脑为最主要的目的.
木马的防范.这是一个习惯的问题.大家如果养成良好的电脑使用习惯相信被盗的机率就会大大降低.
在家上网的玩家.
第一条:安装正版杀毒软件.至于什么品牌嘛我就不多说了.我个人用的是卡巴斯基7.0半年免费版.
第二条:每天开机后更新病毒库.这条是非常重要的.不然你的杀毒软件只能是个摆设.P用不顶.
第三条:进行补丁更新.经常用windows的更新功能下载系统的补丁.
第四条:不浏览不良网站,提高警惕.天下没有白吃的午餐.总是或多或少的要付出些代价.
第五条:不要试图去盗别人的号,有些人总想盗别人的号,上网搜呀,找呀,一些盗号者都往往利用这些人的心理做一些虚假网页,上面摆着各种盗号木马.你下吧,下了就中招.有时甚至于打开网页就中招.
第六条:做人要厚道.因为因此而引发的损失是最危险的.不要因为一点小事就在游戏里刷屏骂人.万一碰上个黑客你死的很难看.
第七条:administrator帐户的管理.这是机器上的管理员帐号,很多家庭玩家忽略这点.不设管理员密码.开机就直接进桌面,图方便.但天下所有的windows系统都是有这个管理员帐号的.只要盗号者得到你的IP与系统漏洞,他就会用这个帐号对玩家电脑进行完全控制.别说想装个木马.想把你的文件COPY出来也不是件难事.因此一定要对本机上的每一个帐号设定密码.帐号名推荐用中文.administrator这个帐号最好是禁用或改名.防止黑客入侵.
第八条:进行任何帐户与密码输入时.采用错位输入法.
网吧玩家.
第一条.进入一家陌生的网吧,先问有没有硬盘还原卡.如果没有再便宜也不玩.
第二条.上机前,如果机器还是开着的,重启一下(也就两三分钟的时间)使装有硬盘还原卡的系统重置.
第三条.硬盘还原卡不是万能的,也可以破解,因此还是先确定游戏文件的大小(wow.exe)
第四条.保管好自己的密保卡.与帐号信息.题外话:我曾碰到一哥们,可能是替同学练级,在网吧一坐,从怀里掏出三个密保卡.正面都有标签的,几区几服帐号密码.看官别笑.这样的事太多了.
第五条.下机后关机(这招对魔兽没什么做用,但QQ有时起点做用)
第六条.网吧内人员混杂,现在叫个手机就能照像.所以在输密保卡时注意保护,最少不能让他全拍了去.
所有玩家应注意的事项.
要点:wow.exe正常为6MB多.随着版本的更新可能会变大.但决不是几十KB..
一.每次进行游戏前检查wow.exe大小是否正常
二.正常游戏掉线时,检查wow.exe大小.一切正常方可继续游戏.
三.掉线后,密保卡必须输入两次以上才能进入游戏wow.exe大小异常时.已经中招了的.去安全点的网吧或朋友家.到官网重设密保卡.回家杀毒.必要时重做系统.如在网吧中出现此种情况立即关机更换网吧.不要急着看自己的装备丢没丢.因为此时如果被盗了,你再上线也晚了.如果你没有被盗那你又给盗号者送了几组密保号.(歪点子:如果发生这种情况时,也可以继续登录,在密保输入时全都乱点一气.破坏盗号者已经得到的密保卡矩阵有效性.当他的矩阵排列满后,盗号者可能都不知道自己得到的矩阵数字那些是真的那些是假的.)
四.定期更换密保卡.建议每次充值都买密保卡备用(我自己已经攒了5.6张密保卡了).
五.变更文件名(此步骤比较麻烦,还需要进行注册表的更改,我还没试过以下仅为推断,那位高手有空可以试下).
密保卡木马会建立一个WOW.exe文件来替换原来系统中的文件.那么替换就一定要先找到源文件.进入游戏安装目录.自己先把wow.exe文件名改掉改成随便什么(最好改成中文,注册表一定也要跟着改不然可能无法游戏).然后拉个快捷方式在桌面上(注意改名后,桌面及开始菜单里的原有快捷方式无效).以后游戏就用这个快捷方式.再回到游戏目录新建个TXT文件.想写什么都成最好打些汉字.主要是让他有点字节.保存成wow.exe对木马进行欺骗,防止木马带有自动分析EXE文件的能力(找到个假目标他也许就不去分析别的了)
六.密保卡使用的建议.
密保卡的数字都被一层膜覆盖着.有的人拿到后就全刮开.我建议只在登录游戏时只刮开相应位置的.在卡上还剩下二十几个没刮开前,更换密保卡.最少这样做可以放心,即便是中木马,最少密保卡没全部被盗号者套去.如果有些等着套取全部卡号的盗号者会将新卡旧卡的号混淆在一起.你的帐号可能会因此安全些.目前我就是这样做的.
每次登录游戏时,登录三次.前两次输入错误的数字(就是乱点)最后再正试进入.这样就算盗号的套取密保,也是真假掺杂.无从下手了.
即便是做足了以上工作,帐号被盗现像还是有可能出现.就现在来说,我写的文章会不会有用还是个未知数.明天我也有可能被盗.必竟科学在进步,黑客们也在不断的提高自己.新的防护措施一定会促进破解方案的发展.归根结底矛与盾始终存在.矛只会越来越利,而盾也会越来越坚,没有最强只有更强.
但细想想,是什么造成了盗号如此猖獗.各位玩家,是我们呀.金币交易,点卡交易.利益使得人们一再冲破道德底线.损人利已.
想根治盗号木马吗?????!!!!!不要靠江民,瑞星,金山,卡巴斯基........只要保持正常的心态进行游戏,抵制虚拟物品的交易就能够做到.有钱的不买点卡.没钱的不卖金币.金币还能代表什么?只不过是一堆01代码而已.
最后祝所有玩家能够安心游戏,在新的一年中工作顺利.学业有成.钞票大大的(是人民币不是G).
国际惯例:5区,世界之树(PVE),山中兽医(70MS)正黄旗披甲人(60战士).
