[防盗技巧]使用输密码技巧,防止木马盗号。
刚看了西瓜皮~写的一个关于使用剪贴版防盗的措施,即:把密码先从别处复制上,登陆游戏输入密码的时候直接CTRL+V粘贴刚才复制的密码。。。。其实这是非常不可取的。
首先剪贴板里面的内容是明文保存的,利用Windows的公用API函数:Clipboard.GetData()就能把剪贴板里面的内容直接读取出来。
我先前分析过一个专门针对WOW的木马,他不像其他的“傻”木马,一旦加载内存就不停的监视键盘的动作。而是先用FindWindow()函数查找系统当前运行的程序,一旦有World of Warcraft的句炳运行起来(WOW的游戏主程序),木马猜测当前这个人一定已经把密码复制到剪贴板,于是立刻Clipboard.GetFormat(vbCFText)就把剪贴板里面的密码连同前面通过键盘输入的账号一同被木马完全的获取,下一步,就是发送到木马的作者的邮箱了……
所以,请大家以后千万不要继续使用复制粘贴这样的方法输入密码。这样不但不安全,反而很危险,再说一个我在我单位附近网吧看到的一个可笑的事情。他一来就坐在我旁边的电脑上,看我也是玩WOW的,眼睛就瞟了我的屏幕几眼,看到我是一个光铸都不全的60QS显出非常的瞧不起……我猜想他一定也是WOW玩家,果真,他开始启动WOW游戏了, 先从自己的邮箱里面下载插件,安装什么木马克星,然后再用进程管理器AdvancedEdition反复查有没有什么可疑的非法进程…… 我越发的对他的账号好奇了,看这样子,不但是一个电脑高手,而且游戏角色也一定NB的不得了……10多分钟的准备工作后,他终于开始输入账号密码了。。。他的账号非常好记。我不小心瞟了一眼就“铭记于心”然后,他做了一个让人很哭的行为,一个CTRL+V.密码就被粘贴上去了………… 他进入游戏玩了一会儿,来了电话,走了,没有重新启动。我登陆会员,找到空记事本,CTRL+V,密码浮现……
废话就不多说了,着重谈谈怎么保护我们的账号和密码吧!
目前来看,木马盗号,无非就那么点伎俩:
开始只是原始的键盘监视器:把键盘输入的信息都记录下来,然后发送到木马作者处。这是最原始的木马。然后木马作者发现大家都喜欢CTRL+C,CTRL+V了,于是就添加了Clipboard.GetData()函数,让用户输入CTRL+V的时候,木马就从剪贴板里面把密码也复制出来了。现在,我们只要使用“倒输密码”的方法,就能有效的预防这类的弱智木马。
具体“倒输密码”的方法:
假设,密码是12345678,咱们先输入5678,然后用鼠标(切记,一定是用鼠标,不要用键盘的Home键)把光标移动到5前面,补充输入1234。这样按提交,其实最终输入的密码是12345678,但是木马捕捉到的是56781234。这就是错密码!
但是,上面所说的这个办法不是100%能防住那些木马的,因为现在,有一些稍微聪明的木马作者,也开始尝试监视鼠标的单击事件,一旦单击发生,他怀疑玩家是否使用了“倒输密码”的方法,在捕捉报告中,做一个鼠标单击事件的标志,利用推测,最后还是能反推出密码的。如果我们举一反三,使用下面这样的办法输入密码,就万无一失了:
继续,假设: 密码还是12345678, 咱们先输入12678,或者输入1357,然后鼠标(切记,这里还是一定是用鼠标,不要用键盘的上下左右键)依次填充真实的密码……
用上面的方法,我在明知道有木马的机器上登录游戏也不怕-.-...
原理明白了,大家举一反三,兴许能再想出比这更安全的保护密码的方法!
另外补充几句,现在市面上的针对WOW的木马还只是停留在键盘、鼠标的监视上,但是我日前也发现了一款通过截取分析客户端与服务器封包数据的方式破译密码盗号的木马。这种木马不监视键盘和鼠标,而是截取客户端与服务器交换的数据包。当登陆的时候,这些数据包中就含有游戏账号和密码,虽然封包格式是经过加密的,但是我们中国的Cracker们的能力实在不能低估……破译了加密的封包的木马是一种非常具有技术含量的木马。被这种木马盗号,也是一种荣幸!^.^ 这种木马只能小心的防。
以上所有的木马,不管技术含量高还是低,都有一个共同的特点,就是常驻系统内存,在Windows中表现成为一个进程。他一定得在后台运行的时候才能发挥作用,而且每次开机木马都会想方设法让Windows加载自己,有能力的玩家常用MSCONFIG(Windows98,XP)和REGEDIT(所有Windows适用)检查启动项,发现可疑的启动加载项目就把它关了!!
因为木马他再厉害,只要是Windows启动后不加载它。它毫无用处。
四区鹰巢山龙吟虎啸
2006-02-15
17:40