|
现在网络游戏木马很流行,这些东西也很讨厌,没什么技术性的东西,却在网络中捣乱. 木马大多都是通过邮箱来偷取帐号的,同时会有两个邮箱,一个是集成在木马里面,是个发件箱把密码在内存中截取后,用来发走密码的,还有一个是收件箱,是来收密码的,像这种木马,我们用下面的方式可以解获到他信箱的地址. 但还有一种也是这个原理,但更高明一些是,把发件箱放在ASP文件中,上传到服务器,然后通过IE,加一些参数来实现发送邮件.
下面我就给大家做个演示: 首先我们要用到的工具就是捕获数据包的工具commview, 我们打开它,设置好参数,如下图,只捕获TCP/IP协议, 
设置好后,我们就找个游戏木马来种在自己机器上,下面我是以热血江湖游戏的木马做示范吧.
木马种好后,我们确认一下,以便测试完后能杀掉它,现在的木马都是用DLL动态链接库,很高级了,通常是不启动 进程的,我们到c:\windows\system32下面按修改日期排练,来寻找一下木马生成的文件,dlroot40.dll如下图,大家看见了么?那个就是木马生成的文件,测试后,我们删掉它,在注册表的启动加载那里再删一下,就干掉它啦.
 下面我们启动commview,开使抓包,下面看见了吧,有反映了.
 然后我们运行热血江湖游戏.
输入帐号和密码(这里要找个没用的小号哦.
 登陆后,我们把游戏关掉,再回到commview中,
 看见上面的信息了么?那里是我的帐号和密码,是以ASP的形式被发送走的.
 把它CPOY到文本中,整理一下这段地址.把它复制出来,加到IE里面试一下.
看,发送成功了吧?这会大家知道这种木马的原理了吧,但是这样的方式,我们搞不到木马拥有者的信箱是很郁闷的,不过这种木马还是效率很低的,经常有发送失败的时候,真是各有利弊啊. 那么碰到我说的第一种方式的木马呢,我们在截获的数据包中能找到有一条 stmp login....... 后面跟一堆乱码 user.....乱码 passwd...乱码 看,这就是木马在登陆它的发件箱啦,但是乱码怎么办呢?那是用stmp加密了,不要急,我好人做到底, 顺便给大家写个小软件,专门破解stmp加密的软件,可能在别的地方大家也能用上,只要大家喜欢就好 test.exe 这个软件用起来也很简单. 打开命令行CMD C:>test user passwd 回车 (注,user就是你在用户名位置看见的乱码,passwd是你在密玛位置看见的乱码) 然后给你返回的就是真正的用户名和密码了. 谢谢大家一直以来对我们的支持哦.
|
