WOW帐号安全专题(二) 木马是如何盗取帐号的。

孙子曰：“知己知彼，百战不殆”。在不了解木马的前提下，如果谈反木马那未免有点天方夜谈，本篇文章偶就暂时的扮演一名盗号者。来阐述WOW木马的工作原理吧。

如果要获取WOW的帐号密码，首先就要知道什么时候启动WOW，什么时候输完密码。一般有2种方案：

第一种 木马常驻系统程序。也就是说木马做为系统的“常客”，比如说在我们按下“CTRL+ALT+DEL”调出的资源管理器，然后查看进程，总能发现Explorer,System,smss等进程是常驻内存的，换句话说，就是只要你进到你的XP界面，这些程序就始终是运行着的。用来对系统的各项资源进行分配和操作。这盗号木马也一样，我也需要他常驻内存，他不用管理系统资源了，只需要等着WOW一起动，加载到内存中。然后记录帐号密码就可以。这样做有很大的优点：不会对WOW的文件有任何改动，从而达到在不改变游戏文件的本身的情况下截取到帐号密码。但是缺点也很大，如果常驻内存的话。那就意味着要在杀毒软件和防火墙的监视下，完成所有盗号行动。这对木马制作者本人要求就很高，不能写一应用程序，常驻内存就完事。总不能按下“CTRL+ALT+DEL”就看到在进程表里大大的写着“muma.exe”吧。笨一点的人呢？（比如我啊）会改改名什么的。把木马的进程改成iexplorrer.exe，或者slmss.exe.李魁变李鬼，鱼目混珠一下吧。

高明一点的回HOOK下API，通俗点说就是注入进程，这里HOOK API也分两种模式。一种是在RING3下的，一种是在RING0下的。这里要解释下，WINDOWS下运行的程序基本都是通过API接口实现的。不明白API是什么的，请百度下，谢谢。RING3通俗的说就是用户模式，就是我们使用计算机的模式。RING0是内核模式，就是计算机自己调用各种模块实现操作所使用的模式。通俗点，你打电话呢，你在按键就属于RING3模式，电路信号在电话内部进行传递和转化这就是电话的RING0模式。再不懂？那我也没招了。所以真正的高手写木马，一定会HOOK RING0下的API函数，达到木马高度隐藏的效果。下一篇，我就会从各种木马的隐藏方式来阐述如何发现和清除这些木马。

接下来，谈第二中获取WOW帐号密码的木马实现方式。修改游戏的登陆程序或者是修改插件的登陆程序。为了逃避杀毒软件的查杀和防火墙的拦截，木马还有一种实现方式，就是自身和WOW的启动文件绑定。这样做的好处是，只要WOW不启动，木马就不启动，一旦WOW启动，木马随之启动。从逃避杀软的角度上来说，这样确实是最佳的选择方案。但是也有他的缺陷，就是游戏文件或者是插件启动程序的文件会改变，大小和MD5码都会改变。这样只要在启动游戏的时候多个心眼，效验下这些文件，这样的木马就很难藏身了。

杀毒软件和防火墙是好工具，但绝对不意味着只要安装了杀毒软件和防火墙就能高枕无忧了。祝大家玩的愉快。看完文章如果觉得对你有帮助，别忘了点下小第的BLOG，那就是对小弟最大的支持了。
MyBlog:http://thunderplayonline.blogspot.com/