霜冷长河

一次糟糕的渗透网站历程

2009-02-20T22:03:00.000-08:00

前阵子,尝试渗透一国外站点。又把过去的很多知识梳理了一遍，都是老调重弹了。不过还是发出来吧，我觉得比较有代表性。目标站点http://www.lewt.com/是一家卖游戏币的网站。这年头，此类站点比较火暴，一般商业价值比较高。关于站点不多做解释了，直接讨论技术了。首先ping http://www.lewt.com/ ,获取了下此站点的IP地址，如图：

得到目标 IP 72.32.155.139 目标大概在美国德州的样子。个人感觉这应该属于机房的IP，初步扫描了下端口，开放3306以及80，然后打开主页简单看了下。判断为LAMP架构 LINUX+APACHE+MYSQL+PHP，首先扫描了下目标主机是否存在缓冲区溢出漏洞，呵呵。补丁打的不错，这里不得不说，国外管理员的安全意识就是比国内管理员的安全意识要高的多。象国内的LINUX一般都是批量溢出的.......自己手里没什么0DAY，直接拿ROOT有一定难度，此路不通，换种思想。看看WEB上有什么漏洞，直接点了个新闻页面提交个单引号看看，http://www.lewt.com/index.php?cp=site_news&id=40 呵呵直接提示报错。有门，暴出了网站路径以及当前的表名。如图：

这就意味着可能存在注入漏洞，因为显然此网站的PHP.INI中的magic_quotes_gpc=off，这样没有过滤了敏感字符，导致注入漏洞的形成。再进一步，由于ID=40，这显然是个数字型注入漏洞。在URL后面提交 and 1=1 与and 1=2分别返回了正常和错误的页面。确定此页面确实存在注入漏洞，继续下一步判定MYSQL的版本。在URL提交 and ord(mid(version(),1,1))>51 /* ，看下MYSQL版本是否在3.0以上，如果是3.0以上的版本就支持union查询，接下来渗透就方便多了。结果返回了正常的页面，如图：

看来MYSQL的版本是3.0以上的。既然支持union查询，直接提交 order by 10 /* ，返回了错误的页面，看来子段是小于10的，提交 order by 5 /* 返回正常，最终确定字段个数为8。其实开始提交单引号的时候就暴出了字段，没注意。走了弯路了，接着提交and 1=2 union select 1,2,3,4,5,6,7,8 /* ，如图：

终于见到了可以显示信息的可爱数字。下来就可以暴一些敏感信息：user(),version(),database()。替换掉2，3的位置用来暴敏感信息。然后得到： user()=lewt@192.168.1.177 version()=4.1.22 database()=lewt 如果数据库是以ROOT权限连接的，直接loadfile( )就可以了，不过事与愿违。确实不能loadfile的，意料之中。如果这个网站以root连接的话，恐怕早被搞了。此路不通，那继续，看看能不能找到网站的后来www.lewt.com/admin ，直接返回了管理员登陆页面，看来运气还真不错。下来就得猜测管理员表了，通过news的表，看出来管理员还是比较有心计的。没有采用什么通用的表名，这样工具直接猜解是不可能的。接下来，自己简单做了个字典，下来用软件慢慢跑吧。经过一天多的努力，终于获取了这个网站的管理员表名为admins。查看原代码，得到管理员的字段名为login,以及password.

直接提交and 1=2 union select 1,login,password,4,5,6,7,8 from admins /* 得到管理员的帐号，以及密码。管理员帐号为 jesse 密码 ©³Ã4˜é5V•˜¨<¥2^。 sigh:密码竟然是被加密，以乱码的形式存放在数据库中的，呵呵，解乱码不是我的专长，就把得到的东西丢给了朋友去搞了，这样入侵到这里就算是告一段落了。在得到密码后，直接登陆后台，获取一个webshell,拿下整个网站不是什么难事。

浅谈3大主流盗号木马技术

2009-02-19T09:23:00.000-08:00

基本上所有人对木马的感觉就是窃取资料和控制计算机,也把木马基本统称为一类。市面上很多人都是提出XXX方法可以防范木马。孰不知，不同的木马编写方式其防范方法也有不同。接触这个圈子也不算短了，从2001年的中美黑客大战到05年后的黑客商业圈。人生百态，不得不使人唏嘘感叹啊，这里就对木马盗号方面的技术来一起见证黑客后门技术的发展历史吧。

2000~2002年，此时正式WINDOWS开始深入到千家万户的时候。从WIN95到WIN98，再到WINXP这是历史的变迁，同时网络也由传统的“猫”到ISDN，再到ADSL，互连网也在异常迅猛的发展。扯远了。。。这时候木马还比较单一，基本就是偷个邮箱号啊，盗QQ号什么的。2001年左右正是QQ最火热的时候，很难注册到不说，还开始出现了付费注册的局面。于是忽，盗QQ似乎成为一种时尚。那时候最喜欢看的就是，所谓的“大牛”们在论坛秀出一列列盗来的QQ号。呵呵，这时候木马主要都采取键盘记录的形式编写的。当时WIN32编程才刚刚流行起来，基本大部分程序员都停留在学习和使用API函数的地步，当时抄的最火热的就是“钩子”，虽然古老，但是其简易性现在还有大量的黑软在编写的时候采取此种方式。当时最流行的就是做一个键盘钩子，这样键盘在执行什么操作后，都会被记录下来。从而达到记录密码的作用。当然，如果把密码复制粘贴了，就很难办了。

2002~2004年，这时候最流行的就是远程线程注入，利用API函数来获取窗口句柄，然后根据WINDOWS的消息机制来获取窗口对话框的内容，从而达到截获密码的作用。其原理也不复杂，一般都是通过FindWindowEx()先获取密码窗口的句柄，然后提交例如WM_GETTEXT消息来获取窗口的帐号密码，但是有攻就有防，后来的一些游戏和软件上。过滤了从外部提交WM_GETTEXT这样的消息响应函数，于是，远程线程注入又发展起来。就是把木马的线程注入到程序本身的进程中去，从而达到盗取密码的目的。但是，后台的发展是窗口对话框禁止一切外部函数的提交，从而达到保护密码不被盗取的目的。但是技术依然在发现，因此，现在主流的盗号技术就产生了。

2005~ 由于程序本身对自身对话框的保护，木马似乎很难从程序中获取资料信息了。因此，反汇编技术在这里发挥了极大的作用。其原理就是，获取对话框控件在内存中的物理地址，然后在判断输入完帐号密码后，直接读取内存地址的具体数值，来获取帐号密码。这样的技术对黑客程序员自身素质也要求比较高，他要求最少精通一门高级语言的编程，尤其是WIN32/64内核的系统编程。其次，还要非常熟悉汇编的指令代码，对破解程序有一定的要求。因此，此类木马的门槛也比较高，据我所知。国内能写这样木马的人，是少之又少。写这篇文章，就当为以后各种技术做一铺垫，闲聊帖。

隐形后门的技术HOOK SSDT

2009-02-13T11:25:00.000-08:00

现在杀毒软件可以说对常规病毒的查杀非常完美了,无论是启发式杀毒还是特征杀毒,再或者是主动防御.基本上以前通用的病毒编写技术都被杀毒软件盯上了.为了躲避杀毒软件的查杀,以及使自己的后门更加强壮.那么就需要从RING3下进入RING0,HOOK SSDT来加载驱动是个不错的方法.

但是杀毒软件也盯上了这一块,为了防止病毒木马加载驱动,一般都采用ring0 inline hook来防止SSDT被HOOK.那么是不是就没有办法HOOK了呢?答案显然是否定的,目前有2种主流办法,一种是暴力结束杀毒软件,一种是通过替换系统内核来实现.暴力破坏杀毒软件对系统的损害是很大,一般就不得不重做系统.所以这里来说下第2种方案.以前堕落天才写过篇很经典的,这里就温故知新吧.

以NtOpenProcess为例，就是MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。

分析下QQ短信签名的QQ尾巴

2009-02-11T10:18:00.000-08:00

最近,基本每个QQ群里都或多或少的弹出,喜欢XX签名吗?请访问http://www.xxx.com/来定制自己喜欢的签名,经过一段时间的分析,发现这属于一种新的QQ尾巴病毒.与以往不同的是,此用QQ尾巴采用QQ一上线发送文本框到指定对象中.然后清除本地消息记录,使QQ尾巴传播的神不知,鬼不觉的.这样QQ成为了商业广告的传播工具,今天简单写了些代码,实现了这样的功能.发布出来,仅供研究和参考.VC++6.0编译通过.

全部代码就不放出了,只放出核心代码.防止有人拿来做坏事.

分析下牛年最新病毒"犇牛"

2009-02-10T08:24:00.000-08:00

新年刚过,互连网和媒体就大肆报道一款名为"犇牛"的木马下载者到处传播.一时间,风声鹤唳,今天简单跑了下"犇牛".发现除了一般的关闭杀软,驱动写入,下载大量木马的功能外,多了项新能力,就是感染RAR文件,被传的神忽其神,什么杀毒软件无法彻底查杀干净,需要彻底全盘通格的屁话飞的满天都是,这里要说下,由于RAR文件不属于正常范畴的PE文件,杀毒软件在查杀的过程中自然会放弃对RAR文件的检查,开始还想,如果直接修改RAR的文件格式,增加一个区段,写入病毒代码.从而达到病毒被执行的目的,后来想了想,这就破坏了RAR文件的格式啊,会导致RAR文件损坏啊.后来,简单分析了下,恍然大悟,他原来还是靠打开RAR文件,对RAR里面本身的文件进行感染,然后在压缩,这样到是象足了感染RAR文件,嘿嘿,反正闲着也是闲着,下午就自己搞了个感染RAR文件的代码.嘿嘿,我就不CTRL+C和CTRL+V了,省的有人拿去造病毒,就成我的错类.直接发图片,在VC++6.0编译通过.

谈如今的病毒和木马到底有没有技术含量

2009-02-08T09:31:00.000-08:00

PS:无意间从黑吧看到的，有的地方我不赞同，不过还是把原文法出来，功过是非，自有人评！内容啥的我都没改。

最近半年了,从媒体恶炒的“熊猫烧香”开始,到最新的“AV终结者”,媒体、公众、网络上吵得风风火火,如此如此厉害之类的,我只是默默的下载上来,加以研究,然后归类,最后总结出来的结果就是:此类东西,根本毫无技术可言!

　　1．从感染的途径说起:我看除了网页下载(含压缩包或者执行程序打包)和可移动磁盘(俗称:U盘)外,几乎没有第三种感染途径了.

　　2．从感染的源头说起:除了部分可能是高手们通过隐匿的方法埋的以外,其它几乎清一色的都是注入动态网页.

　　3．从被感染者说起:几乎都不打微软更新补丁,并且没有良好的安全意识的群体.
　　以上三点,我下面加以详细说明.
　1．可移动磁盘感染,几乎无一例外都是使用了AUTORUN,这个方法.而且源代码都非常的统一:

[AutoRun]OPEN=setup.exe
shellexecute=setup.exe
shell打开(&O)command=setup.exe
shellexecute=setup.exe
shell资源管理器(&O)command=setup.exe

　　开个玩笑说的话,如果换做是我写这东西,我一定做一个特生动的图标,然后我会很容易的加入一行:　　icon=XXXX.ico
　　进去,即使做,也要做得好看,不要太没技术水平.
　　可是呢?我们亲爱的作者们,却是一味的抄袭,不思进取,连我说的这么简单的东西也没有实现.可见作者群的质素和能力的极端低下.

2．网页感染,几乎都是JS和IFRAME注入式的嵌套加载,而且用的全部都是MS-06014和MS-07017这两个老旧的漏洞来实现的,极少使用了ANI的exploit,但是也无任何技术含量.我都在怀疑,你只需要打足我提到的这三个补丁,几乎可以安全的防范大半的网页注入式木马了.

　　3．网页被注入,我看网页能被注入的一大半都是ASP的,少数是PHP的,而最终的原因都是服务器管理员,自身根本没有意识到自己的服务器是否存在安全漏洞,并且对权限设置方面,没有任何的了解.UNIX下直接给予777,WIN下直接完全控制的之类,甚至连口令干脆为空或者就是123或者ADMIN之类的弱口令,这不是等着让别人到你服务器上来乱搞一气??特别是G0vernment类的网站,我看那些管理员根本就是吃干饭的.

　　以上的说法,并不是说我自己怎么怎么厉害了,只是我从客观的方面谈论一下这个罢了,如果您不信,以下的情况你是否有考虑到?所谓病毒木马的作者们?
　 1．上面的AUTORUN,如果遇到一个非简体中文的系统,会是什么情况?
　　2．如果一个打足了补丁的WIN系统,你们有办法实现木马下载么?
　　3．如果一台WIN系统,禁止了ACTIVEX下载的功能,你又有办法实现自动下载么?
　　4．如果一台服务器的网站使用全HTML静态页,权限设定得当,后台按一定时间自动更新静态页,你又能如何去注入?
　　5．退一万步,即使这些东西都下载到机器上,你在非中文的系统下能正常运行么?
　　呵呵~~如果以上的情况都没有考虑过的话,只能说明你根本不成熟,不具备病毒的任何特性.　　杀毒软件厂商在商业的驱动下,也开始了一步一步的退化,也变得越来越脆弱.

　　瑞星:估计一个简单的 ICE SWORD 就能让他彻底闭上那狮子嘴了
　　金山:可能 WINDOWS 的 Processs kill 就能让他挂了
　　江民:可能非 WINDOWS 的进程管理器,足以让他死掉
　　卡巴:5.0还好一点,6.0估计一个简单的 DATE 这个 DOS 命令足以让他致命
　　360:如果我将注册表编辑器禁止了,或者改名了,好像它什么事也做不了了吧
　　其它的我也不好说什么了.

　　如果丢开那些杀软,WINDOWS 自带命令组合,也足够让上面那些中这木马的人,心头发麻,杀软肯定也是不会提供任何可疑操作.

　　举个例子:　　cacls 这个权限操作命令,如果我将你的 %TEMP% 这个目录变量定成了任何人无权访问,结果会如何?

　　taskkill 这个杀进程命令,如果我指令专杀你的EXPLORER.EXE进程,这个又会怎么样?　　更狠一点的: del *.* /s /q 这个呢? 是不是你又准备将硬盘查个底朝天???

　　其实前几天一直也和有这里发文的YKSOFT,讨论这些事情,我们想像的东西,可能比目前的举更为可怕,但是,一直却没有人去实现.我们自己测试,也基本上以成功而放弃.

　　呵呵,~~其实这些简单的组合都被它们忽略了.　

　综上所述:想真正做到不被人欺骗,能自己手工处理这些事情,能好好看清所谓的“技术”,还请自己给自己好好补上一些基础课.不要认为会用,就是会维护;不要认为理解了,就不去深入研究.

　　不要怕摔倒,哪里摔倒,就从怕爬起来!这才是真正你要做到的事.

　　谢谢各位看完我这些乱七八糟的话,我不是学文的,能力有限,希望大家能理解,只是我想把这些道理说清楚一点,不要做某些事情而迷茫了自己的双眼.

WOW帐号安全专题(六) 认识和分析系统进程

2009-02-07T10:42:00.000-08:00

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）
smss.exe Session Manager csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon

svchost.exe 包含很多系统服务 !!!->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标) ==================================================================== 附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）

mstask.exe 允许程序在指定时间运行。(系统服务)->schedule

regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe->msftpsvc,w3svc,iisadmn

tlntsvr.exe->tlnrsvr tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)

termsrv.exe ->termservice

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) ================================================================= 以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害 )

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)!!!

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

总结：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就象找一群熟悉人中的陌生人一样。

如何杀掉进程---介绍微软一个罕为人知的无敌命令

2009-02-06T20:14:00.000-08:00

问:怎么才能关掉一个用任务管理器关不了的进程？我前段时间发现我的机子里多了一个进程，只要开机就在，我用任务管理器却怎么关也关不了。

答1:杀进程很容易，随便找个工具都行。比如IceSword。关键是找到这个进程的启动方式，不然下次重启它又出来了。顺便教大家一招狠的。其实用Windows自带的工具就能杀大部分进程：

c:\>ntsd -c q -p PID

只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。NtsdNtsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口，输入：

ntsd -c q -p PID

把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－>进程选项卡－>查看－>选择列－>勾上"ID（进程标识符）"，然后就能看见了。

答2：xp下还有两个好东东tasklist和tskill。tasklist能列出所有的进程，和相应的信息。tskill能查杀进程，语法很简单：tskill 程序名！！

　（其实很简单^O^,但是希望能对那些为木马而困扰的朋友有用～）

简单方法查找黑客老巢

2009-02-06T20:08:00.000-08:00

网络安全是一个综合的、复杂的工程，任何网络安全措施都不能保证万无一失。因此，对于一些重要的部门，一旦网络遭到攻击，如何追踪网络攻击，追查到攻击者并将其绳之以法，是十分必要的。　

　追踪网络攻击就是找到事件发生的源头。它有两个方面意义:一是指发现IP地址、MAC地址或是认证的主机名;二是指确定攻击者的身份。网络攻击者在实施攻击之时或之后，必然会留下一些蛛丝马迹，如登录的纪录，文件权限的改变等虚拟证据，如何正确处理虚拟证据是追踪网络攻击的最大挑战。

　　在追踪网络攻击中另一需要考虑的问题是:IP地址是一个虚拟地址而不是一个物理地址，IP地址很容易被伪造，大部分网络攻击者采用IP地址欺骗技术。这样追踪到的攻击源是不正确的。使得以IP地址为基础去发现攻击者变得更加困难。因此，必须采用一些方法，识破攻击者的欺骗，找到攻击源的真正IP地址。

　　★ netstat命令----实时察看攻击者

　　使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。

　　使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstat>>textfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。

　　★ 日志数据--最详细的攻击记录

　　系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。

　　Unix和Linux的日志

　　Unix和Linux的日志文件较详细的记录了用户的各种活动，如登录的ID的用户名、用户IP地址、端口号、登录和退出时间、每个ID最近一次登录时间、登录的终端、执行的命令，用户ID的账号信息等。通过这些信息可以提供ttyname(终端号)和源地址，是追踪网络攻击的最重要的数据。

　　大部分网络攻击者会把自己的活动记录从日记中删去，而且UOP和基于X Windows的活动往往不被记录，给追踪者带来困难。为了解决这个问题，可以在系统中运行wrapper工具，这个工具记录用户的服务请求和所有的活动，且不易被网络攻击者发觉，可以有效的防止网络攻击者消除其活动纪录。

　　Windows NT和Windows 2000的日志

　　Windows NT和Windows 2000有系统日志、安全日志和应用程序日志等三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。

　　但是，Windows NT和Windows 2000的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。

　　防火墙日志

　　作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。因此，相对而言防火墙日志数据不太容易被修改，它的日志数据提供最理想的攻击源的源地址信息。　　但是，防火墙也不是不可能被攻破的，它的日志也可能被删除和修改。攻击者也可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。★ 原始数据包----比较可靠的分析方法由于系统主机都有被攻陷的可能，因此利用系统日志获取攻击者的信息有时就不可靠了。所以，捕获原始数据包并对其数据进行分析，是确定攻击源的另一个重要的、比较可靠的方法。

　　包头数据分析

　　表1是一个原始数据包的IP包头数据。表中的第一行是最有用的数字。第一行的最后8位代表源地址。本例中的地址是0xd2、0x1d、0x84、0x96，对应的IP地址是210.45.132.150。通过分析原始数据包的包头数据，可以获得较为可靠的网络攻击者的IP地址，因为这些数据不会被删除或修改。但是，这种方法也不是完美无缺的，如果攻击者对其数据包进行加密，对收集到的数据包的分析就没有什么用处了。

　　表1 一个IP包头数据　

　 0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496　

　 0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818

　　0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34

　　0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907

　　0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000

　　0x0050 0000 0000 0000 0000 0000　

　捕获数据包　　在一个交换网络环境下捕获数据包比较困难，这主要是因为集线器和交换机在数据交换中本质的不同。集线器采用的是广播式传输，它不支持连接，而是把包发送到除源端口外的所有端口，与集线器相连的所有机器都可以捕获到通过它的数据包。而交换机支持端到端的连接，当一个数据包到达时交换机为它建立一个暂时的连接，数据包通过这个连接传到目的端口。所以，在交换环境下抓包不是一件容易的事。为了获得交换环境下的数据包，可以用下面方法解决:

　　(1)把交换机的一个“spanning port”(生成端口)配置成象一个集线器一样，通过这个端口的数据包不再与目的主机建立连接，而是广播式地发送给与此端口相连的所有机器。设置一个包捕获主机，便可以捕获到通过“spaning port”的数据包。但是，在同一时刻，交换机只能由一个端口被设置成“spanning port”，因此，不能同时捕获多台主机的数据包。

　　(2)在交换机之间，或路由器和交换机之间安装一个集线器。通过集线器的数据包便可以被捕获主机捕获。

　　在用捕获数据包获取攻击者的源地址的方法中，有两个问题需要注意:一是保证包捕获主机由足够的存储空间，因为如果在捕获数据包时网络吞吐量很大的话，硬盘很快会被填满;二是在分析数据包时，可编制一段小程序自动分析，手工分析这么多的数据是不可能的。

　　★ 搜索引擎----也许会有外的惊喜

　　利用搜索引擎获得网络攻击者的源地址，从理论上讲没有什么根据，但是它往往会收到意想不到的效果，给追踪工作带来意外惊喜。黑客们在Internet上往往有他们自己的虚拟社区，他们在那儿讨论网络攻击技术方法，同时炫耀自己的战果。因此，在那里经常会暴露他们攻击源的信息甚至他们的身份。

　　利用搜索引擎追踪网络攻击者的IP地址就是使用一些好的搜索引擎(如搜狐的搜索引擎)搜索网页，搜索关键词是攻击主机所在域名、IP地址或主机名，看是否有贴子是关于对上述关键词所代表的机器进行攻击的。虽然网络攻击者一般在发贴子时会使用伪造的源地址，但也有很多人在这时比较麻痹而使用了真实的源地址。因此，往往可以用这种方法意外地发现网络攻击者的踪迹。　　由于不能保证网络中贴子源地址的真实性，所以，不加分析的使用可能会牵连到无辜的用户。然而，当与其方法结合起来使用时，使用搜索引擎还是非常有用的。

谈一谈真正的黑客圈

2009-02-06T05:34:00.000-08:00

不知道什么时候，基本在国内黑客都成了贬义词。会偷QQ的就算黑客，拿个攻击软件到处黑人的也算黑客。买套木马软件到处挂马，偷帐号的也还是黑客。忽然间觉得，是不是以后把认识键盘，会打俩字的都叫黑客?

据我所知，做为黑客，正义者也还是很多的。最起码，象真正技术雄厚的人也都还有三分血性的。今天就来SHOW一下，什么叫真正的黑客。

-----前提背景为总理鼓掌骚扰者可耻..温家宝总理2日下午在英国剑桥大学发表了精彩的演讲。其间，有一男子极力干扰现场秩序，破坏演讲，他的行径遭到了现场师生的强烈反对，并在一片斥责声中被带离现场。温总理在台上始终镇定自若，他说：“这种卑鄙的伎俩，阻挡不了中英两国人民的友谊。人类的进步，世界的和谐，是历史的潮流，是任何力量阻挡不了的。”---深深的感动。鄙视骚扰男子卑劣的行径。

废话不多说，直接上图。目标网站：http://www.squire.law.cam.ac.uk/ 剑桥大学

最后再BS一下那些黑了我们不少国人网站,并把国外扔鞋者的ID替换到中国网站上来的SB.

WOW帐号安全专题(五) 查杀和清除木马

2009-02-04T22:13:00.000-08:00

特洛伊木马（简称木马）是一种C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息。例如，窃取用户口令、复制或删除文件、控制目标主机的运行状态等。

1 将它的程序代码作为单独的程序出现，这个程序可以在设定的时间自动运行。

2 将它的程序代码集中隐藏在合法程序中，随合法程序运行而独立工作。

3更改合法程序，将其代码分布到合法程序中，随合法程序运行而独立工作。

系统中出现木马程序的原因主要有两种：一种是合法用户故意获得木马程序并将其安装在系统上；另一种是在网上下载的或由他人提供的软件中包含木马程序，在安装软件时，无意识地将木马程序安装到了系统上。另外，攻击者在入侵某个系统后，也会将木马程序复制到系统上，为自己留个后门，以便对系统进行远程操纵和控制。

安装木马程序的主要目的是用于远程管理和控制主机系统。但也经常被攻击者用做对系统进行攻击的一种手段。根据木马程序的启动特点，在Windows系统中，可以通过检查Windows系统启动时自动加载程序的几种方法来检查并清除木马程序。

检查和清除Windows系统中的木马程序的一般方法如下：
1在“开始→程序→启动”菜单组中，如果发现有异常程序，则可直接清除。

2在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序。
3在win.ini文件中，检查[windows]段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除。

4在system.ini文件中，检查[boot]段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序。

5在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器。然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_CLASSES_ROOT\exefile\shell\open\command
一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\ command表项中包含的正确值为“"%1"%*”，如果被改为“程序名"%1"*”，则可能是木马程序名。如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动加到相应的启动位置。

6驱动级木马.随着杀毒软件和木马的较量逐渐升级,木马也开始进驻系统内核,以至于出现了无进程,不修改注册表,无系统启动项的三五木马的诞生。这样的木马技术被称为rootkit技术，属于现在高端木马编程的主流技术。他的实现原理是通过windows加载驱动的方式进行运行的。一般此类木马都是通过hook SSDT 通过注入到其他正常服务来达到自身运行的目的。清除此类木马也是比较费事的，这需要借助一款能分析内核的模块的工具，icesword(冰刃)，这是一款能够分析内核模块的软件，如果有哪个模块被木马HOOK了，这个模块就会显示为红色。一般没有被HOOK的模块是黑色的。关于分析SSDT以后只能写一个专门的文章来介绍了。这里有兴趣的朋友请关注我的BLOG。

木马运行的硬件特征：

1、其实木马也属于计算机程序，也属于2进制文件，如果通过网络感染计算机的话。那么木马也和文件操作是一样的。也就是说，木马也必须参与硬盘的读写操作。这时候硬盘最明显的特征就是会有COPY的动作，外部特征就是硬盘灯会出现持续的闪动。假设你正处于上网的过程中，只浏览网页而没有做下载和玩游戏等其他动作，这时候硬盘指示灯突然闪个不停，那很有可能就是木马下载者把各种木马下载到你的计算机中。（此方法不适合旧配置的机器，内存太小，很多东西都是要通过虚拟内存运行的，硬盘灯基本时刻都在闪动）。

2现在绝大部分木马都是通过IE进行传播的。一般来说，网马都是通过系统漏洞来传播和执行的。而这里的系统漏洞通常是指堆栈缓冲区溢出漏洞，基本上所有的堆栈缓冲区溢出漏洞执行起来都是要消耗一定时间的。一般感染网马的页面通常打开起来都非常的缓慢，因为他在执行恶意代码，比如在网络正常的情况下，访问一个平时不会卡，但是现在访问起来就很卡的网页的话，这个网页就有可能被挂马了。出现这样的情况，就要对系统做次小诊断了。

3运行程序无反应。很多人在下载各种应用软件的时候，常常会发现下载的软件双击无反应。最后把这样软件删除掉，这里要说下，这个软件很有可能是伪装过的木马。你双击的话，恰好执行了木马。所以，对于各种从网上下下来的软件，最好还是能放在虚拟机上先运行下吧，以免中招。虚拟机是什么？不要急，下篇就会推出。木马的高级防范使用虚拟机来进行网上冲浪。

通过窗体关闭杀毒软件 C++

2009-02-04T11:18:00.000-08:00

//closesafesoft.h //通过窗体关闭杀毒软件
//#include "head.h" //头文件包

DWORD WINAPI closesafe(LPVOID lpParameter);
DWORD WINAPI closesafe(LPVOID lpParameter)
{
//char safemsg[MAX_PATH]="您正在使用盗版软件"
//"请到指定销售商购买"//"我们的正版软件!(微软中国提示!)";
//提示
while(1)
{ Sleep(3000);
char hstr[MAX_PATH]={0};
char str[MAX_PATH]={0};
POINT CurPoint;
HWND hCurrent,hParent;
GetCursorPos(&CurPoint);
hCurrent=WindowFromPoint(CurPoint);
hParent=hCurrent;
while(GetParent(hParent)!=NULL)
hParent=GetParent(hParent);
GetWindowText(hParent,str,MAX_PATH); //获取标题文本
GetWindowText(hCurrent,hstr,MAX_PATH); //获取标题文本
if((strstr(str,"安全卫士") strstr(str,"专杀") strstr(str,"NOD32") strstr(str,"Process") strstr(str,"进程") strstr(str,"瑞星") strstr(str,"木马") strstr(str,"绿鹰") strstr(str,"防御") strstr(str,"微点") strstr(str,"主动防御") strstr(str,"防火墙") strstr(hstr,"病毒") strstr(hstr,"Mcafee") strstr(hstr,"检测") strstr(hstr,"Firewall") strstr(hstr,"virus") strstr(hstr,"anti") strstr(hstr,"金山") strstr(hstr,"江民") strstr(hstr,"超级巡警") strstr(hstr,"卡巴斯基") strstr(hstr,"worm") strstr(hstr,"杀毒")) && hCurrent)
{ PostMessage(hCurrent,WM_DESTROY,0,0);
PostMessage(hParent,WM_CLOSE,0,0);
PostMessage(hCurrent,WM_CLOSE,0,0);
PostMessage(hParent,WM_DESTROY,0,0);
// MessageBox(NULL,safemsg,"盗版用户提示",MB_OKMB_ICONERROR); } } return 1;}

蛮有意思的程序，从朋友那的思路得到的启发，顺便写了写，就发布在自己的BLOG了。做为第一篇进驻的技术帖吧。^_^

WOW帐号安全专题(四) 木马的传播途径

2009-02-04T08:35:00.000-08:00

基本上所有把感染和木马运行统称为中马了。其实木马感染和木马运行完全是两个概念。只有在机器上感染了木马，木马才可以发挥他盗号的功用，所以要做到防范木马。拒绝感染是第一步。下面就现有的流行木马的传播方式，我就简单做一说明。

NO.1 网页木马
首先要说下，这个网页木马不是有时候在网站留后门的那个“网页木马”，那个严格说一起来应该叫做WEBSHELL（可交换对话式的页面控制程序）。这里的网马是能够利用计算机漏洞，可以在用户非授权的情况下，下载并运行后门程序的可以嵌入网页中的恶意代码。通俗点说，就是你访问了这个网页，这个网页里面包含的代码可以下载和运行木马在你的计算机上。最简单的方式就是在网页中插入www.xxx.xxx/xx.exe,一般访问这样的网页杀毒软件或者防火墙都会弹出一个是否要运行程序的对话框来询问，XX网站试图安装XXX.exe到你的计算机中，是否同意。这时候一定要小心了。虽然在登陆网银和支付宝这样的网站会提示安装其功能插件。但是一般的网站很少有要求安装软件的，音乐或者电影网站可能会有，但是也要小心。如果拒绝这样的程序运行是不是就能百分百的保证不感染网页木马了呢？答案是否定的，我们都知道。基本每星期，每月微软或者一些应用软件公司都会发布补丁来修复软件本身的漏洞。其实这些漏洞主要的利用方式就是网马，一般感染网马的页面会插入大量的漏洞利用代码。这时候如果你的计算机一旦没打补丁，势必会被网马利用，然后被植入木马。所以，勤打补丁也是一个很重要的习惯。

NO.2 P2P挂马
基本上很多人都喜欢用BT软件，下载各种各样的视频。其实现在BT可以说是传播木马第2温床，曾经做过一个实验。N年前的事了，以不雅照片为主题，恩有点邪恶了。简单说下，弄点图片，做个好看像册。然后弄个相片浏览器，捆上小木马，下来就在乱七八糟，五言六色的各种论坛发布了下资源。果然，不到一天，N多计算机就被控制了。所以，这样做起来既简单又实惠，后来讯雷做了些防范，就是检查下资源是否有病毒。不过，并没有从根本上解决问题。所以，众多电驴，哇嘎众们。下载的时候还是小心点吧，“色彩艳丽的蜘蛛往往都有巨毒”。

NO.3软件资源挂马
搜索引擎的确是个非常好的东西，大家需要什么软件需要什么资源，网往都baidu,或者google一下，但是从一些小站上下载的软件往往都包含广告或者木马软件。这点我不着重强调了，对于WOW众来说，搜索下载“魔兽大脚”“魔兽精灵”而导致号被盗走的不计其数。所以，下载软件什么的，悠着点吧。

NO.4 ARP挂马
ARP挂马是从传奇时代开始的，由于早期的网游基本都没有考虑到安全因素，游戏数据包基本都是不过加密或者简单加密发送的。这样就被ARP木马钻了空子，这里得说下ARP欺骗。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。比如说你在一个局域网中，当你登陆帐号后，首先你所在的计算机会把封包发给局域网的网关（也就是服务器）。然后再由网关进行internet的网络传输。但是感染ARP木马的计算机，会更改他所在机器的MAC地址来冒充网关。这样，数据封包就会发送到他哪里去。从而有了即使你没有感染木马，帐号也被莫名其妙偷走的情况。象早期的传奇和QQ木马就利用了这一原理。现在基本游戏都有了加密技术，但是ARP挂马还可以被用来感染下载者的，危害依然很大。

NO.5 DNS欺骗
DNS欺骗是由于域名服务器漏洞所致。这里简单说下，以后会在高级篇里详细说名。当你访问一个网站的时候，比如访问www.baidu.com 这时候你所发送的连接请求会被路游器发送到DNS服务器上来解析域名，然后找到和www.baidu.com这个域名所对应的IP，然后将你的连接请求发送，并返回www.baidu.com的信息，但是很多DNS服务器是用Bind来架设的。由于当时考虑服务器的高效执行能力，缓存的检查就不是很严格，这样就导致了冒名顶替的问题出现。也就说黑客可以伪造个假的www.baidu.com上去来欺骗DNS服务器。这时候通过这台DNS服务器来访问网页的人只要访问www.baidu.com就会被服务器定项到假的网站上去。这个网站可以有恶意插件，可以有木马。这个漏洞基本都已经被修复了，但是难免以后有其他的利用方式。所以，大家在网上冲浪的时候不要因为觉得是大站没问题而放松警惕。大站一般不会有问题，但是你访问的是不是这个大站可就不一定喽。

NO.6 网络钓鱼
现在网络钓鱼虽然不是什么新鲜话题，从早期的游戏中“XXX，你已经中奖了，请访问www.xxx.xxx来领取豪华礼品一份。”基本很多人都知道这是骗子行经。但是依然很多人上当，天上不会掉馅饼，哪有这么好的事。一般都是请输入你的帐号密码来领取你的礼品。结果是自己乖乖把帐号送给别人洗，唉无奈啊无奈。还有搜索引擎，假冒WOW官方，WOW资料的网站并不少。看的时候，注意下标题栏，莫叫李鬼成了李逵。

喜欢偶的文章就常来BLOG http://thunderplayonline.blogspot.com/坐坐先谢谢了。

WOW帐号安全专题(三) 驱除木马的第一步认识和使用杀毒软件

2009-02-03T20:01:00.000-08:00

一般来说,大家查杀木马的手段主要是通过杀毒软件来进行查杀的。选择好的杀毒软件基本就做到了防护木马的第一步。

杀毒软件的查杀方式一般分为，启发式杀毒，特征码匹配杀毒，行为杀毒。以及最新的主动防御技术和木马云查杀技术。其中特征码匹配杀毒又分为文件特征码查杀，和内存特征码查杀。

杀毒软件的组成很复杂，简单来说他是由杀毒引擎，虚拟机，和病毒代码特征库来组成的。理论上来说，杀毒引擎的好坏直接关系到杀毒软件查杀病毒的能力，在杀毒软件的引擎开发上，欧美和俄罗斯一直保持在世界前列。

启发式杀毒是将可执行程序装载到杀毒软件的虚拟机中，逐步执行。如果这个可执行程序调用了一些敏感函数，比如说用来截取密码的SendMessage()。就判断此可执行程序为木马病毒，从而进行删除和隔离。启发式杀毒的杀软代表做就是：NOD32。

特征码匹配杀毒，首先当杀毒软件的工程师截取到病毒的样本后，会对病毒进行逆向分析，从病毒的运行文件中抽取病毒文件的特征代码。然后加入到病毒库中去，这样杀毒软件在查杀病毒的过程中就会对文件进行校对。发现符合特征码的文件则判定为病毒。这里特别有代表的就是卡巴斯基。内存特征码就是根据木马在运行中，从其所占用的内存里抽取特征代码来进行查杀。其最偶代表性的就是瑞星。

行为杀毒这个就简单说下，就是根据木马的运行特征来进行判断，比如说一般的木马会有弹窗啊，记录密码啊，开放端口等各种行为，一般具有这些行为的程序则判定为木马。其代表为绿盟的“绿鹰万用精灵”但是随着软件的发展，很多广告或者是正常软件的插件都具备以上的特征，所以逐渐淘汰掉了，现在已不多见。

主动防御主动防御是杀毒软件通过检测一些API函数，如果有些程序调用了这些API函数，这些函数一般是只有木马才会经常使用到的。就判定此程序为木马病毒，进行删除和查杀。其代表为“东方微点”。

木马云查杀木马云查杀是将每个安装杀毒软件的计算机做为木马的监控平台，进行查杀的时候会对系统核心的DLL和常用文件进行检测。如果发现有改边，在不知道具体为何种病毒的情况下，由杀毒软件自身上报到杀毒软件的技术团队，进行分析，然后来决定是否删除此文件，简单来说，就是用撒网捕鱼的策略来快的速度发现正在传播中的木马，从而进行查杀。其代表为“360安全卫士”

说了这么多，那么如何在自己的计算机设置防线来拦截木马呢？这里传授一个小窍门，叫多款杀软共用，一起拦截木马。要查杀最多种类的木马，就一定选病毒库全的，先选上卡巴斯基。下来该要查杀未知病毒的，那就选NOD32吧。监控要好，最起码要能监控注册表和系统服务的，另外木马云查杀也确实不错，我们就选上360吧。好了，现在搭配下来，我需要在自己的系统上安装
360+NOD32+卡巴斯基。会死机不？要全按软件设置装下来，当然会死机，下来说下步骤。

第一步 3中杀毒软件的安装包都准备好。（废话）

第二步安装卡巴斯基一步步确省安装下来。

第三步安装卡巴斯基要求重起后，做如下修改

<1>关闭卡巴斯基的所有监控。（文件，网页，反钓鱼）

<2>关闭主动防御

<3>关闭自动更新

<4>关闭开机自启动 (MSCONFIG)

第四步安装NOD32

第五步安装NOD32要求重起后，做如下修改

<1>关闭NOD32的所有监控。（文件，网页，反钓鱼）

<2>关闭主动防御

<3>关闭自动更新

<4>关闭开机自启动 (MSCONFIG)

第六步安装360安全卫士(别忘了保险箱)

第七步开启360的所有监控 (ARP防护可选,看自己是不是在局域网内了)

使用说明一般在下载软件或者电影或者其他什么的时候,请在下载完毕后用卡巴和NOD32查杀,(自己要手动更新的,不更新病毒库的杀软是垃圾)。最后在运行完后，请用360做次云查杀。小心驶得万年船，这话绝对没错。

WOW帐号安全专题(二) 木马是如何盗取帐号的。

2009-02-03T09:28:00.001-08:00

孙子曰：“知己知彼，百战不殆”。在不了解木马的前提下，如果谈反木马那未免有点天方夜谈，本篇文章偶就暂时的扮演一名盗号者。来阐述WOW木马的工作原理吧。

如果要获取WOW的帐号密码，首先就要知道什么时候启动WOW，什么时候输完密码。一般有2种方案：

第一种木马常驻系统程序。也就是说木马做为系统的“常客”，比如说在我们按下“CTRL+ALT+DEL”调出的资源管理器，然后查看进程，总能发现Explorer,System,smss等进程是常驻内存的，换句话说，就是只要你进到你的XP界面，这些程序就始终是运行着的。用来对系统的各项资源进行分配和操作。这盗号木马也一样，我也需要他常驻内存，他不用管理系统资源了，只需要等着WOW一起动，加载到内存中。然后记录帐号密码就可以。这样做有很大的优点：不会对WOW的文件有任何改动，从而达到在不改变游戏文件的本身的情况下截取到帐号密码。但是缺点也很大，如果常驻内存的话。那就意味着要在杀毒软件和防火墙的监视下，完成所有盗号行动。这对木马制作者本人要求就很高，不能写一应用程序，常驻内存就完事。总不能按下“CTRL+ALT+DEL”就看到在进程表里大大的写着“muma.exe”吧。笨一点的人呢？（比如我啊）会改改名什么的。把木马的进程改成iexplorrer.exe，或者slmss.exe.李魁变李鬼，鱼目混珠一下吧。

高明一点的回HOOK下API，通俗点说就是注入进程，这里HOOK API也分两种模式。一种是在RING3下的，一种是在RING0下的。这里要解释下，WINDOWS下运行的程序基本都是通过API接口实现的。不明白API是什么的，请百度下，谢谢。RING3通俗的说就是用户模式，就是我们使用计算机的模式。RING0是内核模式，就是计算机自己调用各种模块实现操作所使用的模式。通俗点，你打电话呢，你在按键就属于RING3模式，电路信号在电话内部进行传递和转化这就是电话的RING0模式。再不懂？那我也没招了。所以真正的高手写木马，一定会HOOK RING0下的API函数，达到木马高度隐藏的效果。下一篇，我就会从各种木马的隐藏方式来阐述如何发现和清除这些木马。

接下来，谈第二中获取WOW帐号密码的木马实现方式。修改游戏的登陆程序或者是修改插件的登陆程序。为了逃避杀毒软件的查杀和防火墙的拦截，木马还有一种实现方式，就是自身和WOW的启动文件绑定。这样做的好处是，只要WOW不启动，木马就不启动，一旦WOW启动，木马随之启动。从逃避杀软的角度上来说，这样确实是最佳的选择方案。但是也有他的缺陷，就是游戏文件或者是插件启动程序的文件会改变，大小和MD5码都会改变。这样只要在启动游戏的时候多个心眼，效验下这些文件，这样的木马就很难藏身了。

杀毒软件和防火墙是好工具，但绝对不意味着只要安装了杀毒软件和防火墙就能高枕无忧了。祝大家玩的愉快。看完文章如果觉得对你有帮助，别忘了点下小第的BLOG，那就是对小弟最大的支持了。
MyBlog:http://thunderplayonline.blogspot.com/

WOW帐号安全专题(一) 密保卡真的就万无一失吗？

2009-02-03T05:49:00.000-08:00

基本平均每两位CWOW众就有一人的WOW号被盗过。按600万CWOW众来说，那最少经历过被盗号的就是300万人。几乎都变的一招被蛇咬，十年怕井绳了。每次上号前都考虑帐号是否安全？机器是不是有木马？在很多朋友的要求下，就打算写这样一系列专题。来专门写一些关于木马盗号之类的专题，从而达到“授人于鱼”不如“授人与渔”的目的。第一篇专题帖就从密保卡是否安全来开始这WOW帐号的安全之旅。（如果是技术研究或者是分析代码的话，请单独发消息给我，或者我再发些技术帖来论证更深层的东西）。
在这短短的一天时间之内，我收到了大概10多条类型差不多的消息，消息的内容都在问我一个话题“九城的密保卡究竟安全不安全？”
九城的密保卡严格说是一种矩阵密码卡，把密码每两位当做一个密码对象，然后整个密码由3个对象组成，密码对象由整个矩阵空间组成，再选取密码的时候将从矩阵空间内抽取密码对象进行组合，虽然这是由服务器决定的，但是他必定有一定的规则。比如，不能频繁的抽取某3个对象做为验证密码。如果这样做了，那就相当于帐户有了常用密码，是绝对不安全的。这就要求抽取密码对象的多样性。
九城的密保卡是由一个8×10的矩阵组成，那么就意味着可以生成80×80×80个密码。理论上看似非常安全，也似乎牢不可破。毕竟从几十万分之一的可能性去获取密码这几乎为零。但是我要是利用密保卡的第一条保护措施呢？由于每一次登陆都要尽可能的不和其他次登陆出现相同的对象，那么就可以理解成每10次登陆最少要暴露12个密码空间内的对象。那么对于30次的登陆来说，暴露30个对象是很轻松的事情。当有了密保卡30 个对象后，我们再来看密码区间是否安全。当我有了30个密码对象的时候，就意味着我可以生成30×30×30个密码，用这个数去除以80×80×80，接近%6。也就是说我要登陆20次就差不多有一次可以登陆使用这个密保卡的帐号。拿一个普通CWOW玩家来说，如果他晚上在进行RAID的时候，掉线3次，上线3次这是很正常不过了。这时候假设他的机器已经感染了盗号木马，那么也就是说在10天之内，他的密保卡的内容就已经被记录的很可观了。当然情况要比这严重，木马也不是省油的灯，一般他为了快速获取密保卡的内容回频繁断开玩家游戏中的连接。这样一般都发生在RAID过程中，一面的心急火燎的玩家，另外一面是虎视耽耽的木马。不多时，密保卡被记录的七七八八了。
所以，在发现玩游戏的过程中频繁掉线的时候，请先检查自己的计算机，不要为了一时的RAID而葬送了自己辛苦练起来的帐号。
还有一种情况，是玩家在玩游戏的过程中丢号，自己明明登陆了游戏，但是在登陆界面卡了一下，再次登陆的时候，等进到游戏中，发现自己身上的钱全没了。过了一天两天，号还被九城冻结了。“基本封号信都说是怀疑使用了外挂程序而被冻结”。这时候就奇怪了，“我明明没有用外挂，为什么号被盗了还会被冻结呢？”如果是老网民并且玩过传奇的人一定知道，传奇到了后期就有脱机外挂，外挂就是分析了游戏的封包。然后再构建封包和游戏服务器进行数据交换。WOW也不例外，其实WOW的脱机外挂早已被某些写外挂的高手实现。这里也就不详细阐述了，要不落了喷子卖外挂的口实我又说不清了。
回正题，外挂是可执行程序，木马也是可执行程序，只不过外挂一般都是需要人进行设置和操作的，但是如果把外挂程序给隐藏了，由木马去执行外挂，那么外挂就会变成盗号这盗G的帮凶。简单来描述下这一过程：首先你的机器感染木马了（废话，不感染木马怎么会丢号）。这时候木马就开始下载外挂程序到你的WOW文件中并隐藏。当开始登陆游戏的时候，在输完密保卡的全部信息后，这时候木马利用WINDOWS的消息机制，将游戏窗口挂起，基本我们看到的是卡登陆界面或者是卡蓝条，这时候你的人物已经在游戏中了，此时木马启动外挂程序，对你的人物进行操作，将身上的金币发送到指定人物的身上去。此时经典场景出现了（登陆->角色开始使用炉石->回城->到邮箱旁边->发信）整个过程非常之快，1分钟不到就搞定。可怜的玩家一般还在看着蓝条进游戏界面呢。短短几分钟内，一个有密保卡的帐户就被木马加外挂给搞定了。
看似很恐怖，不过这样的盗号方式也有着致命的缺陷。首先外挂必须通过游戏的登陆框加载，也就是说他必须得加载到游戏的进程中去或者是随着游戏的进程一并加载才有效果。其次他必须修改游戏的可执行文件。所以在每次登陆前，请玩家好好看看自己WOW的可执行程序和插件的可执行程序是不是和官方的一样大，如果不一样，呵呵奉劝你还是别上游戏了。正是退一步高枕无忧，进一步倾家荡产啊。

2/6/9区更新4

2009-02-03T00:06:00.000-08:00

2/6/9区更新3

2009-02-02T23:36:00.000-08:00

2/6/9区更新2

2009-02-02T22:17:00.000-08:00

2/6/9区暂时更新在这里吧，NGA暂时发不了图片随后补上

2009-02-02T22:10:00.000-08:00

万恶的黑色产业链

2009-02-02T21:47:00.000-08:00

如果一个行业能使人一夜爆富,请问有多少人能禁的起诱惑而不为之所动。每个人对金钱的抵御能力又有多少呢？奇怪的问题，估计永远也不会有答案吧。从曾经一个朋友的空间里转出来，偶尔出去透透气，发现这世界真的变了。不知道为什么？当开始做正向的事业的时候，往往要比做逆向的事情艰难的多的多。呵呵，如果上门去推销如何不被盗号，十有八九会被扫地出门吧。要如果盗号，呵呵。基本是别人上赶着要你出手盗号，写这个BLOG除了一点商业利益外，更希望能引起大家的关注和共鸣。其实防御要比进攻有意义的多，不是吗？
这行业到底水有多深呢？我只是个小人物，没见过那些计算机玩成天王级的高手们和资本运做的大老板们在做些什么。只能从自己知道的，简单剖析下这黑色的链条，能引起大家的重视最好了，那么我的目的也达到了。
简述：现今国内流行的是: 挂马和游戏信封。[挂马]
它是这个行业的基本技术,就是传播各类木马、插件、病毒等的一个必备手段！先说效果，一天有100万人访问一个病毒网站，根据网马强度，如果有90%的人中了，这是什么概念？就意味着有90万人中了病毒。连续10天下来就是900万人！这是一个什么传播速度？（当然，只是粗略的算，不算上重复中马的机器。）
这还只是挂一个木马插件，如果是挂5个呢？挂10个呢？什么概念？呵呵~~`~~ [游戏信封] 利用挂马的技术挂游戏木马，然后偷取游戏帐号。一个游戏帐号即是一封信，这就要看流量的质量，如果是游戏网站流量，收的信就多！自然盗的就多！
基本市场上任意主流游戏都可以卖到不错的价格。在这样的利润影响下，黑客精神怎么能不被扭曲？
薄弱的防护意识和淡薄的计算机知识基本上是中国网民的普遍情况，在无力改变这个产业链的同时，加强自身的计算机水平和提高电脑安全意识，那么这样的情况我想会随着时间的变化而逐渐好转。最终还是会回归到纯粹的技术圈。

中WOW马获得的惊天发现(一)

2009-02-02T05:03:00.000-08:00

在某个夜黑风高的晚上,我正端坐在计算机前悠然的网上冲浪。忽然硬盘喀喀直响，直觉告诉我，一般在程序进行写入操作的时候硬盘才有这样的反映，习惯性的检查了下msconfig，恩还好一切正常。看了下Regmon，好家伙。注册表被改动了十余处，怎么杀毒，怎么搞定。那是后话，当时心情极度糟糕，因为我的系统很久没备份了。生气之余，决定主动出击。顺藤摸下瓜，于是拿出WSA，跟踪下QQ。看盗号的把帐号密码都发到哪里去了。呵呵，简单一抓包，结果出来了。是网页收信的，看了下IP。大概是北京某机房的，估计是租用的服务器。然后开始漫长的分析，最后利用某漏洞搞定了这台计算机（具体实现我就不说了，省的有人说我教唆犯罪）。浏览了下硬盘，一看好家伙，各种游戏的号可真不少。虽然我不盗号，这也不能便宜了盗号的。删了他，可能数据有备份起不了什么效果。于是决定把这些资料发到这里，希望大家能看是否自己的帐号密码也被记录了，赶紧重做系统和修改密码吧。WOW大概有6万多个帐号，数量太大，我会分帖发出。如果是自己的朋友，麻烦务必通知到。这个我也会在我自己的BLOG陆续发出。http://thunderplayonline.blogspot.com/ 欢迎大家来捧场，小弟在此谢过。

从一区开始吧，这里我就不发布密码了，只发布帐号和角色名，想买黑号和金币的免开尊口，恕不接待。直接上图：

格式如下

帐号密码前2位 PIN码敏感信息服务器人物名

图片在上方,点击自然放大。

黑客圈内的大杂烩

2009-02-02T04:28:00.000-08:00

在这个世界上，能污染一个地方只有两样东西，那就是垃圾和钞票。
从互连网开始产业化以来，大量现实中的实体交易逐渐转移到网络上来。网络游戏的迅猛发展，到虚拟物品的实体交易化，一个本是只因为兴趣爱好，或者对技术追求的群体，慢慢就变了味道。这不知道是历史的进步呢，还是历史的倒退。
我不知道每天会有多少人在丢QQ，丢游戏号，甚至网银，炒股的帐号被偷窃。呵呵，我不是警察，我管不了。唯一能做的，就是在这一亩三分地上，尽些微薄之力，让这样的事能不发生就不发生吧。
网银，证券交易号丢了有警察叔叔帮忙。这里，就小谈下，大部分网友的游戏帐号丢失问题，虽然被盗了能找回。但是，虚拟物品的损失恐怕会叫每位丢号的人心碎。下来，简单剖析下游戏的各个层面所做的事情。
这个行业应该称为网游周边虚拟服务行业。今天来讨论这个问题，我认为应该首先确定每个群体的利益出发点。
从行业本身发展来进，求的是：市场交易总额增长，有效客户数量的增长。这个增长，应该是稳定的，持久的，否则就称为泡沫经济。
既然是周边服务，他是环绕着网游公转自转的，而网游又是由运营商和开发厂商来控制的。运营商和厂商的目的很简单，吸引更多的玩家，扩大影响力，更直接的是带来利润增长，并且，他需要的是长期的，稳定的发展。所以，他更像是国家机关一样，对国家机器的运转发挥作用，并对经济发展进行调控的一个机构。就像有罪犯和警察一样，国家对警察的工作都是有指标的。还有就是其些产业带来的影响，就像房地产，本来是个好事，但是增长过快，导致了人民的压力增大，幸福感降低，国家需要一个机构来对他的发展进行控制，称为宏观调控。在我看来，罪犯就是信封，房地产就如同外挂。
服务于此行业的平台，工作室，二手商人，都是行业的基本组成结构。随着市场容量的增大，受益群体的增多，依靠其就业的人员数量也在跟着倍增。竞争的加剧，每个人所面临的状况及自身能力的不同，造成了利益出发点的变化。
生活有很多个过法，去找家公司上班，叫做生活，铺面摊位，卖点东西，也能生活；只要有饭吃有衣穿，也可以叫生活。生意如同生活，包括我们这一行。依靠这个产业来谋生的也有很多群体，除了工作室和交易网站，还有二手商人，商务公会，个人，外挂商，甚至黑客。产业链上每个群体的出发点一样，但所处的位置不一样，根据自身的情况和面临的同力不同，造成了直接的落脚点不高低不一致，甚至产生了冲突。外挂和信封的疯狂，在短期内满足了工作室和二手商人的生存利润，但其也扭曲了产业的生长周期线。（倡仪各个工作室、商人及所有从业人士，能够站在长远的角度，在注重经济效益的同时，也同时注重社会效应和产业发展。）当然,这只是个美丽而幼稚的想法!
当然，行业还是没有停止成长的脚步，有一定实力的平台也慢慢浮出水面了，新的战争又将升级。国内成功的最好的一个例子就是XX73,当时和他一起的还有一个XX67,XX73是什么?说白了就是一个销脏平台,但它为什么会成功?因为他把市场上的供求需要联系起来了,而且服务好,我是看着这个平台慢慢成长出来的,最早的时候其实他就一个动网论谈,大家谁要卖货的收货的在里面发发贴子而以,谁也想不到,就这样的一个小小的个体户,居然受到了风投,有实力的大投资商的青眯,没用几年,他就成为国内数一数二的销售平台了!在17173上打广告!呵呵,当然,这不是一个人能办成的,背后肯定有巨大的背景在支持!
这时候就有人要问了，黑客在这个交易环节里到底扮演一个什么样的角色。有句话怎么说的来着“叫重赏之下必有勇夫”黑客也是人，黑客也不例外，既然这个网络中游戏币交易都成了数以百万计的人民币流。自然就有大老板想做这大笔的买卖。银子谁不喜欢？我还喜欢呢。要不我还往BLOG里加什么广告？（呵呵保证无毒，喜欢我文章的就帮忙点下，也算是帮小弟忙了)最起码我还能叫取之有道。呵呵，不是我清高。胆小，盗号怕被抓。当然，也不会盗。
都了这样的地步，基本每一个新技术都能找到变成现金的办法，那么有谁会把钱共享出去？最起码我不会。如果说，2005年的黑客圈还是一个纯粹的技术圈，那么现在的黑客圈就是一个大杂烩，有混娱乐圈的（打着黑客高手的名号收徒弟，到处招摇撞骗的，技术领域嘛建树没有）。混黑金圈的（不吭声，天天挑灯夜战写木马，搞病毒的）。技术圈的（吃官饭的，绿盟，安天等等），还有我也算一类（吃饱了没事干攒帮子的）。
赶明真要是拍一技术题材的影片，估计各种黑客加起来能组成一剧组差不多。技术高的做技术指导，混娱乐圈的出来演黑客，象我，顶多当一场记。

呵呵开博了第一张水帖

2009-02-02T03:41:00.000-08:00

一直有个梦想做网络安全。在学习过若干年后，从无知到张狂，再重新回归到学习中来，经历了无数波折和坎坷。才发现，其实网络安全也并非遥不可及，也并非高深莫测。甚至他可以平淡到一台个人PC，一个QQ号。再或者哪怕上网看个新闻，都时时显示出网络安全的影子。因此，就有了建设一个属于自己的BLOG，方便身边的朋友们。同时也希望更多志同道合的朋友一起有个茶余饭后闲聊的谈资。
同时也希望浏览小可BLOG的朋友，顺手点点小可的广告，也不枉费小可在键盘前买弄这3脚猫的功夫，再次欢迎大家来光顾我的BLOG。