最近,qq油箱裏面老是出現,什麼芙蓉姐姐最新裸照啊,還有什麼"哥哥,快快視頻"等,看了老煩,想着肯定是病毒.一看果然是qq大盜的病毒。想着網上關於qq大盜的破解,如火如荼的,怎麼還敢這麼猖狂.以前網上也看到過,用winhex查看內存smtp來破解.
首先用WinHex打開名爲NTdhcp.exe的全部內存,然後就是搜索E-MAIL地址了!
但是我們不知道盜密者用的是什麼郵箱,所以據我發現在內存裏的郵箱地址搜索smtp 這句話,我們把它當作特徵碼,我們搜索這句話!這時我們已經搜索到這句話了,我們往上看,有他的E-MAIL地址和密碼!!!
這次又看到郵箱裏有發這種病毒,一看,又是這個病毒,所以拿出winhex,一看,竟然一打開進程就被關閉,到網上一看,發現他最新版本1.6的說明屏蔽了winhex的破解,呵呵,這下有的玩了,想了想,你屏蔽這個winhex還能屏蔽其他的,剛好此時在編寫嗅探器程序.突然發現既然是smtp發郵件,直接用嗅探器來破解豈不是更簡單.可惜偶的smtp的加密部分還沒寫玩.就直奔安焦了.下面就是破解的過程.
1,首先,到安全焦點去下載個能夠嗅探出smtp的用戶和密碼的嗅探器.我是用了rawsniffer,在cmd下運行rawsniffer -sniffall -dp 0 -o d:/qqpassword.txt ,直接把結果保存到d:/qqpassword.txt 文件中.
2, 現在開始運行qq大盜的程序.一般名字都是芙蓉姐姐.scr,或者什麼 最新視頻照片.exe等,文件大小26.2k.不過看別人的配置,一般情況下26-30多k,我看了好幾個,文件大小一般都是這幾個範圍.
3,運行了程序之後可以運行qq了,你可以隨便填一個qq號碼和密碼,不用填真的,他都會捕獲到你的密碼,直接發送到他程序中.
等了幾十秒,你可以看到你的命令行窗口裏面出現捕獲的用戶名和密碼.(在這說明一下,一般有兩個郵箱,大部分都是用一個郵箱直接發送和存檔,也有的用兩個郵箱,)
這個qq大盜的病毒查殺是比較簡單的,首先直接在任務管理器中結束ntdhcp.exe進程,在到系統目錄下殺掉這個病毒,在運行msconfig,把ntdhcp.exe給禁止掉.在2000下沒有msconfig就去HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run裏面把ntdhcp.exe給刪掉.
呵呵,不知道下一次準備怎麼改進來限制嗅探器的破解,呵呵,他那個郵件的加密是用了base64的加密方式.
(關於嗅探器的下載.安全焦點有很多不錯的程序.http://www.xfocus.net/)