辛辛苦苦的四個(gè)月，我在《魔獸世界》里擁有了數(shù)件紫裝和一幫知心朋友。若是這個(gè)賬號(hào)被人盜了，那我可真欲哭無(wú)淚啊，于是我請(qǐng)了位“大師”來(lái)檢查，看看有沒有人盯上了我的賬號(hào)。

問:請(qǐng)問這位大師是誰(shuí)?。?/p>

答:顧名思義，《游戲木馬檢測(cè)大師》專門用于檢測(cè)游戲木馬，它可是捕獲鉤子、攔截發(fā)送信息的高手哦。

《游戲木馬檢測(cè)大師》有“最新消息”、“鉤子列表”、“自動(dòng)運(yùn)行”、“網(wǎng)絡(luò)釣魚”和“發(fā)信檢測(cè)”五個(gè)選項(xiàng)卡。其中“網(wǎng)絡(luò)釣魚”選項(xiàng)卡會(huì)列出用戶的電腦里面HOST緩存和對(duì)應(yīng)的主機(jī)名稱。HOSTS表的原理是更改域名與IP的映射關(guān)系。通常情況下如果只有“127.0.0.1localhost”這一項(xiàng)，那么表示你的系統(tǒng)是安全的，否則可能會(huì)存在被網(wǎng)絡(luò)釣魚的危險(xiǎn)（圖1）。游戲木馬檢測(cè)大師的功能主要體現(xiàn)在“鉤子列表”和“發(fā)信檢測(cè)”上。

問:賬號(hào)是怎樣被木馬捕捉到的？

答:盜號(hào)程序之所以能成功地獲取游戲賬號(hào)，就是通過鉤子函數(shù)對(duì)所有鍵盤輸入進(jìn)行監(jiān)控，接著盜取賬號(hào)。

“鉤子列表”選項(xiàng)卡可以顯示系統(tǒng)已經(jīng)安裝的各種鉤子，用鼠標(biāo)右鍵選擇“刷新”或?qū)υ撱^子指向的進(jìn)程進(jìn)行定位。如果系統(tǒng)安裝了鍵盤鉤子（鉤子類型為WH_KEYBOARD），那所有鍵盤輸入都被監(jiān)控了。

當(dāng)然，有些正常程序（例如一些聊天工具）也會(huì)安裝此種鉤子，作用是當(dāng)用戶輸入某些熱鍵時(shí)觸發(fā)特定功能。凡是程序判斷為可疑的鉤子類型都會(huì)以特別的顏色標(biāo)記出來(lái)（圖2）。如果發(fā)現(xiàn)游戲木馬，可以切換到“自動(dòng)運(yùn)行”選項(xiàng)卡中找到可疑的啟動(dòng)項(xiàng)，并刪除它。

問:賬號(hào)信息是怎樣發(fā)送給黑客的？

答:游戲木馬獲取賬號(hào)信息后，會(huì)通過各種方法發(fā)送出去，其中最常見的就是將信息發(fā)送到指定的信箱或網(wǎng)址。

首先，我們關(guān)閉其他所有會(huì)擾亂網(wǎng)絡(luò)數(shù)據(jù)捕捉的程序，在“發(fā)信檢測(cè)”標(biāo)簽中選擇“只捕獲smtp發(fā)信端口（25）和Web發(fā)信端口（80）”。接著點(diǎn)擊“開始”按鈕并進(jìn)入游戲，輸入賬號(hào)密碼一直進(jìn)入到游戲場(chǎng)景后退出游戲，回到“發(fā)信檢測(cè)”窗口，如果木馬發(fā)送數(shù)據(jù)就會(huì)被捕獲到（圖3）。

捕捉到的數(shù)據(jù)中包含有黑客的信息。從圖3中我們可以清楚地看到，游戲木馬通過21cn的郵件服務(wù)器發(fā)送賬戶信息。由于通過電子郵件發(fā)信都要通過用戶驗(yàn)證，所以我們也獲得了黑客21cn的賬戶密碼，不過經(jīng)過了Base64加密（通過Base64解碼工具才可以得到郵件賬號(hào)密碼的原文）

程序還能查到黑客收取信息的信箱（如圖3中的xxx@126.com），即使不會(huì)使用嗅探工具的朋友，也可以輕易地挖出那些盜取游戲賬號(hào)的幕后黑手。不過有時(shí)候，賬號(hào)信息是經(jīng)過加密處理的，這時(shí)捕捉下來(lái)的數(shù)據(jù)就不是明文，而是一些亂碼。

有的木馬發(fā)信不一定會(huì)使用25或80端口，這時(shí)就要去掉“只捕獲smtp發(fā)信端口（25）和Web發(fā)信端口（80）”選項(xiàng)。還有的木馬不會(huì)馬上把信息發(fā)送出去，那樣在退出游戲后，可以繼續(xù)捕捉幾分鐘數(shù)據(jù)包來(lái)進(jìn)行判斷。

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。