[魔兽世界]终级防盗指南

　　联想到最近有大批玩家帐号被盗,想和大家谈谈帐号如何防盗.

　　几乎90%以上的盗号都是中了木马,而木马是黑客在某类网站上放置的,对此大部分人是不知情的,被盗后只停留在认识是在网吧不小心上网被盗走了帐号,被放木马的可以是有漏洞的任何网站,只要那个网站流量够大,就足以成为黑客的目标,而不是像有些人认为的只有色情网站或来历不明的网站才会中木马.

　　排名前50位的音乐网站,几乎所有的都被人黑过挂过木马,只是大家不知道而已.昨天还好好的外挂或插件下载站,今天被人攻下来了放上了木马,那么今天他就是传播木马的元凶.黑客之所以乐此不疲的挂木马,绝不是因为贪玩想多几个帐号,而是因为有巨大的利润,要的也不是帐号,只是要帐号身上的游戏B,目前魔兽金币一手价是0.06-0.08/G.　`

　　木马并非毫无踪迹,在WINDOWSXP下面任务条上点鼠标右键,打开任务管理器,选择"进程"标签,能看到诸如SMSS.EXE,CONIME.EXE,SVCHOST.EXE.EXPLORER.EXE等等.这就是进程,可理解为正在运行中的程序,木马通常也会在这里面,比如发现一些名字很怪不正常的进程,比如HACK.EXE,PPPP.EXE,FOXDB.EXE那这就很可能是木马在运行中的证据.当然,木马的名字是不会这么容易让你看出来的,有时会玩玩障眼法,你能区分SVCHOST.EXE和SVCH0ST.EXE吗?(前者0是字母,后者是数字0)那么rundll.exe和rund11.exe呢?总之你发现任何不属于正常进程名的,可以先找找这个进程名所在的目录,如果不是正常的(这需要一定的经验),马上杀毒好了.　　`

　　木马是会在你每次开机时自动加载的,加载的位置是在注册表,在开始-运行中输入regedit点确定,打开的这个就是注册表了,木马加载的位置通常在：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行;还有一处,具体位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run。这几处地方如有异常进程,就删掉RUN下的建值,注意你的杀毒软件,还有其它一些正常的程序也是在这里加载的,注意区分.

　　有个误区,木马并非像一些有一定计算机基础的人以为的非要有个进程运行,其实是完全可以做到无进程的,可以写成DLL文件,或者VXD虚拟设备驱动程序的方法运行木马,那就可以做到无进程,如遇上这种木马只能用专门的工具来检测.现在木马的最高镜界,已经发展到了在你开机时从硬盘上读入内存同时删到硬盘上的木马程序,等你关机时,他会在你执行关机指定后再把自己还原到硬盘上,这样当你用杀毒软件等无论怎么在硬盘上狂扫也没用,因为你的硬盘上没有木马,这种变态木马目前只用瞬间断电大法除之(就是在电脑正在运行时拔掉电源-.-!!)　`

　　有人会说用得着你这么麻烦吗?我用杀毒软件天天更新,有木马也就杀掉了.这种看法是常见的错误,新的木马出来以后到被杀毒软件查杀,有一周左右的"窗口期",就是说这期间木马是无法被查杀的.而且木马可以通过加壳或用汇编改特征码的方法防止查杀,如果您真的没有足够的精力和能力学习,那也请使用带内存监控功能的杀毒软件,因为无论怎么加壳或改特征码,一但被加载读入内存后,所有的会被重组打回原型,能够被杀.当然你也必须明白,即便是内存监控,也可以使用修改内存特征码的方想绕过的.　　.

　　有一些朋友有一定的经验,知道输入密码时用复制粘贴或者打乱输入顺序的方法让木马不能记录下密码,这种方法对键盘记录式的木马是有效的,但是现在愈来愈多的马是采用了内存截取方法来获得密码,上面那个方法也就没什么作用了.内存截取技术早就有了,唯一没有普及的原因是这种木马的市价比键盘记录式的贵好几倍.出于投入和产出比的原因,一般不是挂大站不会采用.

　　如果是下载插件等EXE后缀的文件,可以通过对比当前文件大小和原文件大小的差距来判断是否被捆绑了木马,大话西游有个著名外挂站叫白日梦,很不幸的被人五次黑掉,后来站长想到个方法自以为妙计,就是提示下载的用户留意下载后的外挂程序大小和原注明的大小是否一致,不一致则可能是被捆绑了木马,其实帐号还是一直被盗,因为有一个简单的方法,可以做到让已经被绑了木马的程序大小和原文件一模一样,连字节数都一样的(暂不透露,嘿嘿!),当然,对比大小的方法也不失为防盗一个方法,只是不是一个百分百有用的方法　`

　　上面写了这么多,好像没教大家如何防盗的具体方法,其实本来就没有什么方法,道高一尺魔高一丈嘛,你以为某方法有效,其实是无效的,而且有的防盗方法是你没有技术能力掌握或者太麻烦掌握了也不会用.中国黑客的技术水平是亚洲最高的,不光是国内会被盗号,在日本,韩国,中国台湾也一梯盗号,几乎全部的都是我们大陆黑客,美服欧服也到处活跃着中国黑客的身影,他们也一样没法防盗.台湾游戏桔子公司打造巨资为天堂一做的"桔子码"除了让道上的天堂一木马价格上涨之外丝毫没能阻止盗号,大家还瞎忙什么呢?基础的那几条防住就行了,遇到牛人盗了你的号,只能怪自己运气不好了

　　最后想为盗号的人说几句话(我准备好接受大家的萝卜和菜叶臭鸡蛋砸了...),盗号的人,其实就是黑客,拥有比较高深计算知识的人,搞定一个网站放上木马,就冲这点起马我们要保持一定的尊重,因为人家有实力.其次,用脑力和知识去赚钱也没有错,一个钻研知识活学活用的黑客比一个沉迷于游戏的青少年更值得钦佩.另外在客观上,如果盗了一个人的号能让他就此失望离开游戏好好学习,或者减低对游戏的热爱,应该是件好事,屡劝他不听的他的父母可能会给黑客写封感谢信的.末了就是个利字,一天收入上千甚至几千,不用你去真偷真抢,只要你用技术搞定一个站挂上木马钞票就滚滚来,这种利润如果各位想骂的看官请确认自己能抵抗这种诱惑再骂.

　　完

　　四区寒冰皇冠,法师:漂流年代.

更多内容请看PCdog.com--魔兽世界专题