RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

来聊聊关于盗号这个话题~

选择字号: 超大 标准 技术小哥 发布于2015年05月06日 属于 问题分享 栏目  0个评论 2904人浏览

        QQ截图20150512182047.png

        自从有网吧的那天起,“盗号”的斗争就几乎从来没有停歇过。身为技术人员的你,在遇到盗号问题的时候该如何处理呢?今天我就来闲扯一会,如果赞同观点不妨点个赞,不赞同就当笑话看了~

        盗号,那么肯定就得需要用到木马了!木马一词来源于希腊人围攻特洛伊城,很多年不能得手后想出了木马的计策,他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后,木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。 计算机世界中的特洛伊木马病毒的名字就是由此得来。特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的程序,其隐蔽性极好,不易察觉,是一种极为危险的程序。当网吧顾客正常在游戏过程中,木马是无法获得这位顾客的游戏账号密码信息的,他们获得顾客账号密码最简单的方式,就是先干掉顾客正在玩的游戏,这样顾客不得不重新登陆游戏,再登陆的过程中,监控键盘输入的内容或截获网络数据包分析账号密码的信息。

       至此我们已经梳理了下盗号的前提条件,1、肯定比被盗的程序先启动  2、对针对性的判断“进程判断或窗口枚举”例如指定盗取某某游戏。因为现在网吧都是无盘,已经排除了穿透一说,再就是网维大师8系列客户端安装完默认已经封闭常见的高危端口,那么现在的大致方向就是木马是从开机后带进来的。针对这种盗号我们就有对付的思路了可以使用Win764位下行为管理捕捉软件部署到客户机,只要客户机出了盗取游戏木马可以发现创建过程的蛛丝马迹。如果是木马程序伪装成其他的程序一开机就存在,而并非等游戏后创建的这种用Win764位下行为管理捕捉软件就无法抓取到了,那么这种情况可以先做下筛选,运行PChunter等软件把当前进程梳理下,重点把程序路径目录为%temp%目录"C:\Users\Administrator\AppData\Local\Temp","C:\Program Files\Common Files"等程序拷贝到另外一目录防止自毁后找不到,找到程序后打开CE工具以文件运行方式运行起来,再以字符串类型的内容进行搜索,例如你是LOL一运行就盗号就可以搜索LOL的基本信息,例如以字符串类型内容搜索“Lolclient.exe”,或者”Client.exe“等信息,如果有找到内容可以直接浏览该内存区域的内容,将可以搜索到的程序留下来,然后再进程逐个禁止进行测试。(禁止方法:巧用windows系统内置功能屏蔽某些垃圾程序)或者使用之前我们讲过的行为抓取软件来抓取看是谁创建的,也可以直接抓取到的。

         盗号的种类其实也分很多种,一种是盗取QQ帐号密码(黑话俗称“信封”)卖给第三方平台(俗称“庄家”、“木马代理人”),他们拿到后直接用程序来销售(转发)一些上家卖给他们的欺骗信息,例如转发兼职、代办信用卡之类的。这类操业务的话是不属于异地登录的,一般在种马端通过提交pos数据完成转发(即登录腾讯程序的本机)。你在腾讯安全中心的登录记录里面是查询不到的(aq.qq.com,登录你的帐号右上角有个邮箱的图标,点开里面可以查询你近期的所有登录记录),这种一般还算有职业操守,不会去移动你的游戏帐号信息之类的。第二种就是纯肉鸡种马传播类型了,盗取你的QQ帐号密码后,庄家拿来洗完他需要的装备信息,把这些道具再脱手给包销商,由包销商负责挂到5173等贩卖道具的网站上。当然了庄家洗完后也不会就此结束了,会再把QQ帐号密码卖给下一级的合作的,下一级合作的拿到信息后来完成他需要的业务(例如QQ空间转发、修改你的个性签名)。这整个的从放马、到洗白、收尾都是团队在运作,一般这种操作手法的话,在安全中心是能查到有异地登录的,这个就是网吧行业的黑市!

       






        备注:今天时间不够随便写两笔,下次把图补上。个人观点,不喜勿喷!

打赏

标签:

1

猜你喜欢

右侧2016一起努力
最新发布的文章
最新评论

公告

十年相伴 值得信赖 需要定制开发、购买加速器可以联系QQ1368762345