当前位置:
首页 > 其他 > 阿拉QQ大盗盗号原理分析

阿拉QQ大盗盗号原理分析

前言:
腾讯号称功能强大的QQ键盘锁为什么没有“锁”好用户的QQ密码、Q币? 阿啦QQ大盗真这么牛B吗?

1、该**激活后,会释放出一个“Deleteme.bat”批处理文件,把自身删除。所以当你不小心双击了该**时,会发现**程序消失了;

2、创建一个**副本Ntdhcp.exe复制到%system32%系统目录下,随即激活该副本;

3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp,值为"c:\WINDOWS\System32\NTdhcp.exe" ,实现自启动保护;

4、扫描系统是否存在表中的一些系统安全软件,如杀毒软件,防火墙的,如发现相关窗体或类名存在(FindWindowExA()或FindWindowA()),则终止掉其进程;

5、去掉QQ键盘锁保护
A. 如果QQ正在使用,终止该程序后修改npkcrypt.sys为npkcrypt.bak,阻止QQ.exe的加载;
B. 如果QQ没有在使用,同样改名npkcrypt.sys,阻止QQ.exe键盘锁的加载;
(哦,原来他也并不是完全从技术上攻破QQ键盘锁,这里要引起大家的注意了,如果发现QQ键盘锁成红色叉的图标,可要及时检查系统安全,以免QQ被盗)

6、打好基础后,就可以等待受害的用户上钩了。。
A. 用到日志钩子(JournalRecord),记录键盘事件;
B. 当获取到相当的类名及窗体值时,激活键盘记录事件,记录写入%Windows%\ala2qq

可以用记事本方式打开%Windows%\ala2qq,其内容结构如下:

[QQ]
这里存放号码这是密码=ok
这里存放号码这是密码=ok
[PC]
addr=
ip=

后注:
什么日志钩子?终截者可以防止此类盗号程序吗?

在WINDOWS中,日志钩子是个很特别的钩子,它只有全局钩子一种,是键盘鼠标等输入设备的消息在系统消息队列被取出时发生的,而且系统中只能存在一个这样的日志钩子,更重要是,它不必用在动态链接库中,这样可以省却了为安装一个全局钩子而建立一个动态链接库的麻烦。利用日志钩子,我们可以监视各种输入事件。

要捕捉键盘的按键动作,用键盘钩子(Keyboard Hook)也同样可以实现,但是用日志钩子却比键盘钩子要方便许多。首先,如果要捕捉其他应用程序的按键,即做成全局钩子,键盘钩子一定要单独放在动态链接库中,而日志钩子却不必;其次,在键盘钩子函数得到的键盘按键之前,系统已经处理过这些输入了,如果系统把这些按键屏蔽掉,键盘钩子就无法检测到它们,例如,当输入屏幕保护程序密码时,键盘钩子无法检测到用户输入了那些字符,而日志钩子却可以检测到。

无论是哪种钩子, 都会增加系统处理消息的时间,从而降低系统的性能,我们只有在必要的时候才安装这些钩子,而且尽可能在不需要时移走它们。

终截者完全可以防御阿啦QQ大盗及防御同类的盗号程序!

我们如何处理该类**? 我们拿什么保护自己的爱机?

1, 尽可能少去登录一些陌生网站,少到一些不正规的网站下载软件;
2, 保证**库的更新;

“病后吃药远不如病前防范”!

3, 建议安装使用《终截者入侵阻止》,将QQ其你的网游添加到“密码锁”保护列表中,实现事前防御。

阿拉QQ大盗盗号原理分析:等您坐沙发呢!

发表评论

表情
还能输入210个字