与网络游戏木马过招

咸鱼子

　　现在网络游戏木马很流行,这些东西也很讨厌,没什么技术性的东西,却在网络中捣乱.\r\n　　木马大多都是通过邮箱来偷取帐号的,同时会有两个邮箱,一个是集成在木马里面,是个发件箱把密码在内存中截取后,用来发走密码的,还有一个是收件箱,是来收密码的,像这种木马,我们用下面的方式可以解获到他信箱的地址.\r\n　　但还有一种也是这个原理,但更高明一些是,把发件箱放在ASP文件中,上传到服务器,然后通过IE,加一些参数来实现发送邮件.\r\n下面我就给大家做个演示:\r\n首先我们要用到的工具就是捕获数据包的工具commview,\r\n我们打开它,设置好参数,如下图,只捕获TCP/IP协议,\r\n\r\n　　设置好后,我们就找个游戏木马来种在自己机器上,下面我是以热血江湖游戏的木马做示范吧.\r\n\r\n\r\n　　木马种好后,我们确认一下,以便测试完后能杀掉它,现在的木马都是用DLL动态链接库,很高级了,通常是不启动\r\n进程的,我们到c:\\windows\\system32下面按修改日期排练,来寻找一下木马生成的文件,dlroot40.dll如下图,大家看见了么?那个就是木马生成的文件,测试后,我们删掉它,在注册表的启动加载那里再删一下,就干掉它啦.\r\n\r\n　　下面我们启动commview,开使抓包,下面看见了吧,有反映了.\r\n\r\n　　然后我们运行热血江湖游戏.\r\n\r\n\r\n　　输入帐号和密码(这里要找个没用的小号哦.\r\n\r\n　　登陆后,我们把游戏关掉,再回到commview中,\r\n\r\n\r\n　　看见上面的信息了么?那里是我的帐号和密码,是以ASP的形式被发送走的.\r\n\r\n\r\n　　把它CPOY到文本中,整理一下这段地址.把它复制出来,加到IE里面试一下.\r\n\r\n\r\n　　看,发送成功了吧?这会大家知道这种木马的原理了吧,但是这样的方式,我们搞不到木马拥有者的信箱是很郁闷的,不过这种木马还是效率很低的,经常有发送失败的时候,真是各有利弊啊.\r\n\r\n　　那么碰到我说的第一种方式的木马呢,我们在截获的数据包中能找到有一条\r\nstmp\r\nlogin....... 后面跟一堆乱码\r\nuser.....乱码\r\npasswd...乱码\r\n　　看,这就是木马在登陆它的发件箱啦,但是乱码怎么办呢?那是用stmp加密了,不要急,我好人做到底,\r\n　　顺便给大家写个小软件,专门破解stmp加密的软件,可能在别的地方大家也能用上,只要大家喜欢就好\r\ntest.exe 这个软件用起来也很简单.\r\n打开命令行CMD\r\nC:>test user passwd        回车          (注,user就是你在用户名位置看见的乱码,passwd是你在密玛位置看见的乱码)\r\n然后给你返回的就是真正的用户名和密码了.\n\n[ 本帖最后由 咸鱼子 于 2007-10-31 09:39 编辑 ]