博客介绍了QQ大盗病毒的破解方法。最初尝试用WinHex查看内存smtp破解,后因病毒新版本屏蔽该方法,改用嗅探器。详细说明了使用嗅探器在cmd下运行的步骤,还提及病毒查杀方法,如结束进程、删除文件等,指出病毒邮件用base64加密。
最近,qq油箱里面老是出现,什么芙蓉姐姐最新裸照啊,还有什么"哥哥,快快视频"等,看了老烦,想着肯定是病毒.一看果然是qq大盗的病毒。想着网上关于qq大盗的破解,如火如荼的,怎么还敢这么猖狂.以前网上也看到过,用winhex查看内存smtp来破解.
首先用WinHex打开名为NTdhcp.exe的全部内存,然后就是搜索E-MAIL地址了!
但是我们不知道盗密者用的是什么邮箱,所以据我发现在内存里的邮箱地址搜索smtp 这句话,我们把它当作特征码,我们搜索这句话!这时我们已经搜索到这句话了,我们往上看,有他的E-MAIL地址和密码!!!
这次又看到邮箱里有发这种病毒,一看,又是这个病毒,所以拿出winhex,一看,竟然一打开进程就被关闭,到网上一看,发现他最新版本1.6的说明屏蔽了winhex的破解,呵呵,这下有的玩了,想了想,你屏蔽这个winhex还能屏蔽其他的,刚好此时在编写嗅探器程序.突然发现既然是smtp发邮件,直接用嗅探器来破解岂不是更简单.可惜偶的smtp的加密部分还没写玩.就直奔安焦了.下面就是破解的过程.
1,首先,到安全焦点去下载个能够嗅探出smtp的用户和密码的嗅探器.我是用了rawsniffer,在cmd下运行rawsniffer -sniffall -dp 0 -o d:/qqpassword.txt ,直接把结果保存到d:/qqpassword.txt 文件中.
2, 现在开始运行qq大盗的程序.一般名字都是芙蓉姐姐.scr,或者什么 最新视频照片.exe等,文件大小26.2k.不过看别人的配置,一般情况下26-30多k,我看了好几个,文件大小一般都是这几个范围.
3,运行了程序之后可以运行qq了,你可以随便填一个qq号码和密码,不用填真的,他都会捕获到你的密码,直接发送到他程序中.
等了几十秒,你可以看到你的命令行窗口里面出现捕获的用户名和密码.(在这说明一下,一般有两个邮箱,大部分都是用一个邮箱直接发送和存档,也有的用两个邮箱,)
这个qq大盗的病毒查杀是比较简单的,首先直接在任务管理器中结束ntdhcp.exe进程,在到系统目录下杀掉这个病毒,在运行msconfig,把ntdhcp.exe给禁止掉.在2000下没有msconfig就去HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里面把ntdhcp.exe给删掉.
呵呵,不知道下一次准备怎么改进来限制嗅探器的破解,呵呵,他那个邮件的加密是用了base64的加密方式.
(关于嗅探器的下载.安全焦点有很多不错的程序.http://www.xfocus.net/)
扫一扫
5450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
