[[i] 本帖最后由 素猫 于 2010-5-4 21:34 编辑 [/i]]
回复 #29 intro 的帖子
不修改主程序,木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作, [quote]原帖由 [i]tophjkl[/i] 于 2010-5-4 21:17 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=11668638&ptid=1035559][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]不修改主程序,木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作, [/quote]
软键盘的部分,我只针对软键盘这一输入过程.你说的那个是传输过程,两码事情.
看来你不熟悉恶意程序.恶意程序(木马,病毒,蠕虫)都是通过复制自身到c盘系统目录,然后写注册表自启动.
修改对一般人而言是难以觉察的,但是对md5码而言是不可能的.你随便修改任意一个字符,md5就会变动.
但在我看来用md5核对程序是无必要的,因为恶意程序并不太这样做.另外你没法保证一开始就是干净的. :blink: 我记得以前看到有本书上介绍WINRAR的漏洞,可以制成重启的软件,恶搞学校里的烂电脑,虽然系统有还原卡,只能够弄一次。}_}
回复 #33 intro 的帖子
明显是你不清楚,木马(以此来代表恶意程序)如何自启动和修改程序这事没多大关系第一,他肯定要修改程序的一部分,不然这个木马怎么检测程序是否启动?然后又如何去掌握你输入的信息?
第二,如果木马不修改程序,只有首先在注册表找到程序对应的信息,通过这个来判断。而且这样木马也会改动程序,不然会经常检索程序是否符合,要浪费不少资源的。然后是最外层拦截(这个最安全),没封装确实不太难,但是有封装的话,就等于说发木马的人要么就是准备破译,要么就是直接木马破译——前者麻烦,后者耗不少资源。
第二条方案是很安全,但是对于盗号的人来说,回报实在不够。
而且水平足够高的话,可以直接把木马做成DLL形式,随游戏一起启动,系统包括杀毒软件会默认为这就是游戏的一部分。典型的例子就是对付WOW去年的一种病毒,一两个月左右,卡巴斯基才最先做出反应。 [quote]原帖由 [i]tophjkl[/i] 于 2010-5-4 21:46 发表 [url=http://bbs.rohome.net/redirect.php?goto=findpost&pid=11668732&ptid=1035559][img]http://bbs.rohome.net/images/common/back.gif[/img][/url]
明显是你不清楚,木马(以此来代表恶意程序)如何自启动和修改程序这事没多大关系
第一,他肯定要修改程序的一部分,不然这个木马怎么检测程序是否启动?然后又如何去掌握你输入的信息?
第二, ... [/quote]
我怎么越瞅这特征越像是当年的3721和现在的百毒助手 你可以去看一下著名的控制程序灰鸽子,是如何判断进程是否存在,以及如何截取重要信息的.
其中并不用修改其他程序的任何部分.
代码无论制作成什么格式,只有exe,com,scr才可以运行.其他都需要加载入其他主载体才可以.
杀毒软件是通过特征码辨别恶意程序的,与dll或者说随某某程序同时启动是无关的.
拿wow来举例是不合适的,因为ro没什么关注而wow有很高人气.就好象说mac比windows安全一样,其实是注意力分配的关系. 你都看到了吧..证明我所说的那些不是无中生有了吧... 灰鸽子是怎么样的工作,我还真没在网上看到具体的······
已有的介绍感觉是我说的第2种的最外层监控(伪装之后)。
至于说依附的说,我举的WOW例子不过是说有比较高明的伪装而已 :mellow: 2个人在说天书很有意思= = **** 作者被禁止或删除 内容自动屏蔽 **** }_} JJYY一大堆,现在的RO用木马盗号的就3个途径
1,Q群共享文件转播,Q聊传
2,RO非正式的相关网站
3,私 F用了跟GF一样的账号密码
其他地方随便你怎么去弄也不可能被盗
页:
1
[2]