[历史] 有既能盗RO账号又能盗QQ账号还能让电脑强行关机后开不了机反复重启的木马吗？

Rank: 1

UID: 482040
帖子: 2718
精华: 0
威望: 203
阅读权限: 100
注册时间: 2008-4-30

42^#

发表于 2010-5-5 01:52 | 只看该作者

JJYY一大堆，现在的RO用木马盗号的就3个途径

1，Q群共享文件转播，Q聊传
2，RO非正式的相关网站
3，私 F用了跟GF一样的账号密码

其他地方随便你怎么去弄也不可能被盗

Endless. 发短消息加为好友 Endless. 禁止访问 UID 538486 帖子 1003 精华 0 威望 0 阅读权限 0 性别男注册时间 2009-8-20	41^# 发表于 2010-5-5 01:31 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽

	TOP

lyluislyluis

Rank: 1

UID: 326677
帖子: 3054
精华: 0
威望: 0
阅读权限: 100
注册时间: 2006-1-1

40^#

发表于 2010-5-4 23:33 | 只看该作者

2个人在说天书很有意思= =

Rank: 1

UID: 512150
帖子: 895
精华: 0
威望: 100
阅读权限: 100
注册时间: 2009-2-9

39^#

发表于 2010-5-4 23:19 | 只看该作者

灰鸽子是怎么样的工作，我还真没在网上看到具体的······
已有的介绍感觉是我说的第2种的最外层监控（伪装之后）。
至于说依附的说，我举的WOW例子不过是说有比较高明的伪装而已

8825086

Rank: 1

UID: 538988
帖子: 27
精华: 0
威望: 0
阅读权限: 100
性别: 男
注册时间: 2009-8-23

38^#

发表于 2010-5-4 23:17 | 只看该作者

你都看到了吧..证明我所说的那些不是无中生有了吧...

intro

RO粉丝

UID: 360345
帖子: 7568
精华: 1
威望: 205
阅读权限: 101
性别: 男
注册时间: 2006-6-13

RO粉丝

37^#

发表于 2010-5-4 21:58 | 只看该作者

你可以去看一下著名的控制程序灰鸽子,是如何判断进程是否存在,以及如何截取重要信息的.
其中并不用修改其他程序的任何部分.
代码无论制作成什么格式,只有exe,com,scr才可以运行.其他都需要加载入其他主载体才可以.
杀毒软件是通过特征码辨别恶意程序的,与dll或者说随某某程序同时启动是无关的.

拿wow来举例是不合适的,因为ro没什么关注而wow有很高人气.就好象说mac比windows安全一样,其实是注意力分配的关系.

Again

论坛元老

UID: 243149
帖子: 3368
精华: 7
威望: 133
阅读权限: 101
性别: 男
来自: 混沌虚空
注册时间: 2004-11-17

论坛元老

36^#

发表于 2010-5-4 21:51 | 只看该作者

原帖由 tophjkl 于 2010-5-4 21:46 发表
明显是你不清楚，木马（以此来代表恶意程序）如何自启动和修改程序这事没多大关系
第一，他肯定要修改程序的一部分，不然这个木马怎么检测程序是否启动？然后又如何去掌握你输入的信息？
第二， ...

我怎么越瞅这特征越像是当年的3721和现在的百毒助手

Rank: 1

UID: 512150
帖子: 895
精华: 0
威望: 100
阅读权限: 100
注册时间: 2009-2-9

35^#

发表于 2010-5-4 21:46 | 只看该作者

回复 #33 intro 的帖子

明显是你不清楚，木马（以此来代表恶意程序）如何自启动和修改程序这事没多大关系
第一，他肯定要修改程序的一部分，不然这个木马怎么检测程序是否启动？然后又如何去掌握你输入的信息？
第二，如果木马不修改程序，只有首先在注册表找到程序对应的信息，通过这个来判断。而且这样木马也会改动程序，不然会经常检索程序是否符合，要浪费不少资源的。然后是最外层拦截（这个最安全），没封装确实不太难，但是有封装的话，就等于说发木马的人要么就是准备破译，要么就是直接木马破译——前者麻烦，后者耗不少资源。
第二条方案是很安全，但是对于盗号的人来说，回报实在不够。
而且水平足够高的话，可以直接把木马做成DLL形式，随游戏一起启动，系统包括杀毒软件会默认为这就是游戏的一部分。典型的例子就是对付WOW去年的一种病毒，一两个月左右，卡巴斯基才最先做出反应。

zxb120631

Rank: 1

UID: 492782
帖子: 675
精华: 0
威望: 77
阅读权限: 100
来自: 某颗彗星
注册时间: 2008-8-31

34^#

发表于 2010-5-4 21:31 | 只看该作者

我记得以前看到有本书上介绍WINRAR的漏洞，可以制成重启的软件，恶搞学校里的烂电脑，虽然系统有还原卡，只能够弄一次。

intro

RO粉丝

UID: 360345
帖子: 7568
精华: 1
威望: 205
阅读权限: 101
性别: 男
注册时间: 2006-6-13

RO粉丝

33^#

发表于 2010-5-4 21:24 | 只看该作者

原帖由 tophjkl 于 2010-5-4 21:17 发表
不修改主程序，木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作，

软键盘的部分,我只针对软键盘这一输入过程.你说的那个是传输过程,两码事情.

看来你不熟悉恶意程序.恶意程序(木马,病毒,蠕虫)都是通过复制自身到c盘系统目录,然后写注册表自启动.
修改对一般人而言是难以觉察的,但是对md5码而言是不可能的.你随便修改任意一个字符,md5就会变动.
但在我看来用md5核对程序是无必要的,因为恶意程序并不太这样做.另外你没法保证一开始就是干净的.

Rank: 1

UID: 512150
帖子: 895
精华: 0
威望: 100
阅读权限: 100
注册时间: 2009-2-9

32^#

发表于 2010-5-4 21:17 | 只看该作者

回复 #29 intro 的帖子

不修改主程序，木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作，

素猫

Rank: 1

UID: 538469
帖子: 871
精华: 0
威望: 13
阅读权限: 100
注册时间: 2009-8-19

31^#

发表于 2010-5-4 21:16 | 只看该作者

觉得聊的太技术化了,LZ好象是怀疑朋友了把,是朋友就信任他,不信任就别用朋友两个字

[ 本帖最后由素猫于 2010-5-4 21:34 编辑 ]

Rank: 1

UID: 512150
帖子: 895
精华: 0
威望: 100
阅读权限: 100
注册时间: 2009-2-9

30^#

发表于 2010-5-4 21:14 | 只看该作者

你要知道随便你怎么输入，最后都会输入到用户名和密码两个窗口里，然后再被封装发走。只要控制住这个过程，随便你怎么输入都是一样的

intro

RO粉丝

UID: 360345
帖子: 7568
精华: 1
威望: 205
阅读权限: 101
性别: 男
注册时间: 2006-6-13

RO粉丝

29^#

发表于 2010-5-4 21:07 | 只看该作者

原帖由 天使喝可乐 于 2010-5-4 20:36 发表

目前已经出现不同文件同一个MD5的技术

只能做到这一步而已.
http://en.wikipedia.org/wiki/MD5
根据wiki上面所提及的,最新的md5碰撞的结果.2008年已经可以伪造证书文件.(核对文件的md5码,而非核对文件内容.)
http://www.cnbeta.com/articles/59117.htm
根据这上面的报道,可以使用普通计算机生成不同内容但相同md5的文件,只需要几秒钟.

目前根本没有技术可以
1.根据md5生成可以使用的程序.
2.修改一个程序,使修改后的md5与修改前一致.

另外,恶意程序一般不会修改主程序.你有见过修改rag.exe的恶意程序吗,请举例.

[ 本帖最后由 intro 于 2010-5-4 21:09 编辑 ]