木马病毒的密码怎么记录(木马怎么盗取密码)
请问木马是如何盗取密码的?
是通过键盘记录.
不过一般的病毒是会破坏文件,感染程序的.
你说的应该是木马吧~
木马的原理:
马入侵的工作原理
在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成…………
木马侵的工作原理
木马入侵的工作原理
在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
(一)配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等。
(二)传播木马
1、传播方式:木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
2、伪装方式:鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。主要有以下6个方面:
(1)修改图标:当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(2)捆绑文件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(3)出错显示:有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(4)定制端口:很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
(5)自我销毁: 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(6)木马更名:安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
(三)运行木马: 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。
(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方:
第一、注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键,在其中寻找可能是启动木马的键值。
第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
第四、Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
第五*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
第六、注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
第七、捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
第八、启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程。木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
①1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
②1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
③4000端口:这是OICQ的通讯端口。
④6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
(四)信息泄露:一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
(五)建立连接: 一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,假设B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
(六)远程控制:木马连接建立后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,这是多么吓人的事。
tt
四、黑客是如何骗取你执行木马的
如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈“马”色变,即使不是电脑高手都知道,一见到是exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。
1、冒充为图像文件
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是.exe,而木马程序的扩展名基本上又必定是.exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了。
还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。修改文件图标的方法如下:
1)比如到http://www.download.com 下载一个名为IconForge 的软件,再进行安装。
2)执行程序,按下File Open
3) 在File Type 选择exe 类
4)在File Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。
5)然后按下File Save 便可以了。
如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。
2、合并程序欺骗
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后只需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:
以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:
(1)合拼后的文件体积过大
(2)只能合拼两个执行文件
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。
首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。
下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。
最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。
3、以Z-file 伪装加密程序
Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。
4、伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。
键盘记录木马是什么?
键盘记录木马是的主要作用是记录该电脑的键盘键入操作, 植入木马的人可以通过查看这些记录来偷盗该电脑使用者的密码或者其它信息。
木马病毒是怎么记录密码的
您好,在编程中,记录您调用的文件和键盘的每一步操作并不难。木马是一种以偷偷记录您调用文件和按键顺序的程序,因此可以盗取您的密码。
换句话说,您的每一步操作,都被其他人知道了,密码就会被盗。
当然,安装一款杀毒软件可以有效防范病毒,建议试试腾讯电脑管家,点此安装:腾讯电脑管家官网
腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
请问木马病毒是通过哪几种方式获取对方密码的?
一,是本地机器种木马.这是极为普遍的一种方法,而且很简单,只要您能有一个QQ(或游戏)木马就行,这种软件可以说遍地都是,数量很多,随便到哪个小黑客网站都能找到,其工作原理也很简单,首先它具备记录功能,敲入的密码可以自动记录下来,当木马被“种”到您的电脑里之后,它会更改注册表,随系统启动而自动运行,并会自动侦测QQ(游戏)的进程,一旦运行(游戏)它就开始记录键盘输入,有的木马会先弹出个伪装窗口和扣扣登陆窗口一样,等您把号码、密码都输入后点确定,它会提示密码不正确,关闭后再弹出真正的登陆框,无论是以上哪种方法,此时您的扣扣号+密码已经被发至盗号者的邮箱了。(这个现象在游戏里不会出现,因为两者的数据验证方式有所不同,这里不谈).这种方式一般需要盗号者有机会接触盗取对象的电脑,对于网络游戏来说,一般情况下是不现实的,也没有太多的实用价值.
二,是远程机器种木马.原理是和第一种方式一样的,唯一的不同就是盗号者不需要接触盗取对象的电脑,通过传输文件的方式种植木马.建议使用腾讯电脑管家杀毒软件,全面的查杀病毒木马程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀!!可以彻底的清理干净病毒木马程序!!
确保咱们的电脑安全了,及时的改密码就可以了
希望可以帮到您了
感染木马病毒后,个人信息是怎么泄漏的?
一,是本地机器种木马.这是极为普遍的一种方法,而且很简单,只要您能有一个QQ(或游戏)木马就行,这种软件可以说遍地都是,数量很多,随便到哪个小黑客网站都能找到,其工作原理也很简单,首先它具备记录功能,敲入的密码可以自动记录下来,当木马被“种”到您的电脑里之后,它会更改注册表,随系统启动而自动运行,并会自动侦测QQ(游戏)的进程,一旦运行QQ(游戏)它就开始记录键盘输入,有的木马会先弹出个伪装窗口和QQ登陆窗口一样,等您把号码、密码都输入后点确定,它会提示密码不正确,关闭后再弹出真正的登陆框,无论是以上哪种方法,此时您的QQ号+密码已经被发至盗号者的邮箱了。(这个现象在游戏里不会出现,因为两者的数据验证方式有所不同,这里不谈).这种方式一般需要盗号者有机会接触盗取对象的电脑,对于网络游戏来说,一般情况下是不现实的,也没有太多的实用价值.
二,是远程机器种木马.原理是和第一种方式一样的,唯一的不同就是盗号者不需要接触盗取对象的电脑,通过传输文件的方式种植木马.
建议使用腾讯电脑管家杀毒软件,全面的查杀病毒木马程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀!!可以彻底的清理干净病毒木马程序!!
确保咱们的电脑安全了,及时的改密码就可以了
希望可以帮到您了
木马病毒是通过纪录键盘位置获取密码的吗?
现在单纯通过纪录键盘位置获取密码的木马已经绝迹了,所以开不开软键盘意义不大。建议使用安全软件及时更新安全补丁,并且养成良好的上网习惯。
木马病毒是怎样截取用户密码的?
一般是监视键盘输入状况...
那是比较传统的
先进的木马都是截取你发送的数据包
比如说你登陆新浪邮箱
输入了密码
这个密码就由你的电脑通过网络发送到新浪的服务器端
木马就是在你发送的‘路’上截取
复制这个数据包来偷取你的密码的
怎么样记录电脑上输入的密码(非盗号)……求一个工具
大家自己对对看,有的人抱怨我没上QQ、没上黑网等等的。其实你们仔细想想,恐怕大多数被盗号的人都干过这些中的某一条或很多条(当然不包括那些相信所谓朋友,自己给人家账号的笨蛋)。
接下来详细谈。说起盗号,不能不谈QQ盗号。我想游戏里QQ号被盗的人数肯定远远超过游戏号被盗的人数。对大多数网民来说,QQ盗号也许是他们接触的最早的盗号现象了.早期的盗取Q号的方法主要有两种.
一,是本地机器种木马.这是极为普遍的一种方法,而且很简单,只要您能有一个QQ(或游戏)木马就行,这种软件可以说遍地都是,数量很多,随便到哪个小黑客网站都能找到,其工作原理也很简单,首先它具备记录功能,敲入的密码可以自动记录下来,当木马被“种”到您的电脑里之后,它会更改注册表,随系统启动而自动运行,并会自动侦测QQ(游戏)的进程,一旦运行QQ(游戏)它就开始记录键盘输入,有的木马会先弹出个伪装窗口和QQ登陆窗口一样,等您把号码、密码都输入后点确定,它会提示密码不正确,关闭后再弹出真正的登陆框,无论是以上哪种方法,此时您的QQ号+密码已经被发至盗号者的邮箱了。(这个现象在游戏里不会出现,因为两者的数据验证方式有所不同,这里不谈).这种方式一般需要盗号者有机会接触盗取对象的电脑,对于网络游戏来说,一般情况下是不现实的,也没有太多的实用价值.
二,是远程机器种木马.原理是和第一种方式一样的,唯一的不同就是盗号者不需要接触盗取对象的电脑,通过传输文件的方式种植木马.
了解原理后,盗取方法就很简单了
(中间的我就不发了)
所有的木马,都是以exe结尾。所以QQ上或者其他联络工具上传来的带有exe结尾的文件,都请小心些。一般的木马在双击之后都是无反映的。但有些人会利用exe文件合并器`将exe文件合并起来`这样你运行时,可以运行另外个程序,而不让自己的木马程序被发现.也有些人会利用上一年比较流行的winrar捆绑解压时运行exe文件至固定目录下,这个在此就不多说了。总之,你对所有接受到的exe文件都要小心些!值得一提的是,有很多人会说让你去看他在网上的图片`比如说是****.com/这样的网址,一般你上去时,看到的确实是有图片,但请小心那些网页上看到的图片大多都是jpg,gif.jpeg,等这些图片格式结尾的网址,因为这是我看到这几年最流行也是最容易让人中网马的方式了。.
有的人说了,我装了杀毒软件,每接收1个东西会自动先杀毒的。我想说,不要那么天真了,杀毒软件那么万能世界就太平了.现在木马的变种速度比杀毒软件的更新速度还快,否则也不会有那么多人去和大国宝熊猫猫玩烧香游戏了.
最后,再来简单的谈谈一些防护措施吧,作用有限,但是能减少1%的被盗可能和是好的。
第三,不要因为用了密保卡就大意了
第四,其实是最重要的.专心玩你的游戏。
别整天和不知名的PLMM东家长,西家短的,给你个视频或是照片你就心花怒放了,到那时候你的号也就差不多了.总之一句话,任何不认识的人从QQ上给你传过来的的东西你都不要接.游戏里有人谈到加你QQ也别太激动了。
第五,别傻拉八讥的学人家盗号
小心学习的时候,把你自己的号被盗光了
第六,两个需要格外注意的进程:expolrer.exe和spoolsv.exe。
这2个进程是大多数电脑都必须运行的进程(spoolsv.exe是关乎于打印机进程,如果不涉及到打印机有关的操作可以结束)。这2个进程是最容易被植入木马的,具体表现大多数情况为开机进入系统后加载时间特别长(大概1分钟左右恢复正常)。不要以为正常就没有危害了。这种状况虽然明显,但是解决起来不简单(spoolsv.exe可以关闭,但是expolrer.exe不可以)。一般杀毒软件大多数情况下解决不了这种问题(以笔者的经验看,这种情况杀毒是解决不了的)。还是那句话,这里不是计算机学堂,有关计算机专业的东西以后详细谈。过去,这样的木马一般不会对用户的账户造成影响,它的作用是影响系统而非盗号。但是,前不久,出现了一种新的木马Trojan/PSW.Moshou.aql。这是“魔兽”木马的变种。采用Delphi语言编写,并经过加壳处理。“魔兽”变种aql运行后,自我复制到被感染计算机上,并释放一个恶意DLL文件,文件名由10个随机字符组成。修改注册表,实现木马开机自动运行。“魔兽”变种aql木马安装程序执行完毕后自我删除。在后台秘密监视用户打开的窗口标题,盗取网络游戏玩家的游戏账号、游戏密码、游戏区服等信息,并在后台将玩家信息发送到骇客指定的远程服务器上。这个木马正是将恶意DLL文件注入到系统“explorer.exe”等某些关键性的进程中加载运行,隐藏自我,防止被查杀。由于采用特殊技术,即使恶意DLL文件正在运行,在硬盘中也找不到恶意DLL文件的踪迹。所以,当大家的计算机exporer.exe进程再出现异常时,万万不可再大意了。
第七,我以前不相信,有人真的会相信游戏里散布的送东西的、领取奖品的陌生消息,直到有一天遇到了一个身边的人确实被这样陌生消息蒙骗,上了网站被盗了号,才感觉十分汗颜。关于这一点,实在是不知道该怎么说了。这样的人无药可救。
第八,阻断邮件。
这个对于有些朋友来说可能不太现实,但是确实是非常有效的防御办法。前面提到,无论哪一种木马,盗取的账号基本上都要通过邮件来发送接受。光宇的服务器是不容易被黑客利用的,使黑客转向其它容易利用的服务器。最简单的就是邮件服务器。不需要处理什么邮件的用户可以通过你的网关或防火墙强制禁止执行简单邮件传输协议(SMTP等)可以完全阻止你的电脑发送电子邮件。这样,即使对方的木马确实已经生效,也无法获得装有你账号信息的信封。
第九,在登陆游戏过程中,弹出的非正常窗口一定要小心。
近日,出现了一种名为 “Trojan-PSW.Win32.Pass.fbt”的盗号木马。玩家进入游戏时会突然弹出窗口,内容五花八门,但是共同的目的都是要你点击这个窗口:确定或取消。事实上,大多数玩家会不加考虑的点击“取消”。然而,不管你“确定”还是“取消”,你的机器都已经被植入了木马,这是非常隐蔽的,玩家一般不会留意这个小意外。遇到这种情况,大家可以直接按ESC退出,或者直接重启电脑,彻底杀毒。
第十,请游戏玩家特别注意看这条。
近日,一种新型网游盗号手段出现了。该盗号木马借鉴了社会工程学中的部分理念,即玩家在游戏时如网游突然中断,则势必会马上重新登录以继续游戏,黑客正是利用了网游玩家这一普遍的操作习惯,强行将玩家的游戏退出,诱使玩家重新登录并伺机盗取网游帐号和密码。对此,如果玩家在游戏过程中遇到游戏突然退出,一定要特别慎重。先详细检查Windows各种启动参数确认系统无异常后,重启系统再进行游戏。或者也可以安装使用带有主动防御功能的安全软件,给网游帐号加上一把定心锁。
举个例子(Trojan-PSW.Win32.MiFeng.ai.dll)便采用了上述的新型盗号手段。该木马本身是针对网络游戏《奇迹世界》编写的,通过网页挂马和文件捆绑为主要传播途径。现在的变种针对游戏同样有效。游戏玩家一但中此木马病毒,病毒会找到asktao.exe和autoupdate.exe程序(游戏的两个主程序),强行将其结束,此时游戏会突然中断,待玩家重新登录游戏时趁机盗取网游的帐号和密码,病毒将盗取的帐号密码加密后通过邮件和网页收信空间发送给盗号黑客。如果您在游戏时,游戏突然中断,很可能您已经中了此盗号木马病毒,请不要再大意了。
上面讲了十条,肯定还有很多要注意的方式,但是笔者一时也想不起来,所以暂时只能说这么些,希望大家能够仔细看看,没有坏处。
下面,单独僻出一块来谈一下杀毒软件和木马查杀的问题。
笔者上面谈到的十条中,首先便谈到了杀毒软件的使用。对大多数普通玩家来说,单机版的杀毒软件是最主要的,或者是唯一的防护途径。事实上,这也的确是目前最有效的防护方法。从理论上来讲,在一个新装的、完全没有损坏的系统中安装正版的杀毒软件,并及时更新,打开所有主动防御,玩家一般是不会被木马所侵害的。当然,这也是种理想状态,很多玩家在玩游戏的过程中或多或少都会有些意外发生,所以,凡事都有缺点。
很多玩家问过笔者,说我的电脑安装的是正版杀毒软件,而且每天杀毒,但是电脑里根本就没有木马,甚至专门的木马专杀工具也查不出异常,但是号还是被盗了,这是怎么回事呢?
笔者要说:杀不到不等于安全。因为,有一种木马叫免杀!
首先提醒大家的是,免杀是个相对词,针对目前的技术而言,木马免杀成功率并不高(以多引擎检测为依据)。但用户安装的安全软件相对单一,所以具有针对性的制作免杀木马,对于个人用户而言就是绝对的免杀。
先来介绍一项技术:rootkit。Rootkit出现于二十世纪90年代初,字面上讲是一种系统级管理工具,实际上是一种黑客使用的系统内核级别的恶意工具,最常见的应用就是隐藏木马行踪——完全隐藏木马程序文件、进程和注册表,并且可以使常规系统分析工具失效,无法捕捉到任何蛛丝马迹。针对Rootkit使用驱动技术的特点,对Rootkit的检测和清除需要使用更高水准的驱动级编程技术,深入系统内核进行分析判断。对Rootkit的检测和清除技术是当前国际反病毒行业的前沿技术。
接下来我们就看看黑客们是通过何种方法达到免杀目的的。
就用大家都熟悉的灰鸽子为例。我们首先制作一个普通的灰鸽子木马服务端,然后在杀毒软件中扫描,可以发现,绝大多数的杀毒引擎都能够识别出该木马程序。
免杀方法大体上分为加密代码、花指令、加壳、修改程序入口以及手工DIY PE。至于纯手工操作并不推荐,因为这种方法制作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认识。具体的过程我不能在这里说。经过处理, 再次进入杀毒软件扫描,发现能识别为病毒的杀毒引擎已经不多了。
利用了Rootkit手段来保护自身的木马病毒文件,其所用的“Rootkit”驱动文件采用了随机产生的1-9位可变文件名用以恶意干扰用户进行辨识。比如说有种盗号木马程序Trojan-PSW.Win32.Delf.eve便使用了视觉隐藏技术保护,即使利用WINDOWS的文件夹功能进行查找、选择“显示所有文件”等方法,依然无法看到该木马程序,从而实现了木马程序视觉上的完全隐身。
对于此类有“Rootkit”进行保护的盗号木马,极大地增加了分析和清除的难度。对于一般用户来说,基本无法通过手工进行清除。
完了,讲了那么多,大家未必有耐心全部看完,但是如果你真的关心自己的账户安全,我觉得你值得花点时间看。谢谢网上的前辈高人的指点,谢谢坚持看完本文的人。
总结起来一句话:主动防御最重要!