素猫

觉得聊的太技术化了,LZ好象是怀疑朋友了把,是朋友就信任他,不信任就别用朋友两个字

[ 本帖最后由 素猫 于 2010-5-4 21:34 编辑 ]

tophjkl

不修改主程序，木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作，

intro

原帖由 tophjkl 于 2010-5-4 21:17 发表
不修改主程序，木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作，

软键盘的部分,我只针对软键盘这一输入过程.你说的那个是传输过程,两码事情.


看来你不熟悉恶意程序.恶意程序(木马,病毒,蠕虫)都是通过复制自身到c盘系统目录,然后写注册表自启动.
修改对一般人而言是难以觉察的,但是对md5码而言是不可能的.你随便修改任意一个字符,md5就会变动.
但在我看来用md5核对程序是无必要的,因为恶意程序并不太这样做.另外你没法保证一开始就是干净的.

zxb120631

我记得以前看到有本书上介绍WINRAR的漏洞，可以制成重启的软件，恶搞学校里的烂电脑，虽然系统有还原卡，只能够弄一次。

tophjkl

明显是你不清楚，木马（以此来代表恶意程序）如何自启动和修改程序这事没多大关系
第一，他肯定要修改程序的一部分，不然这个木马怎么检测程序是否启动？然后又如何去掌握你输入的信息？
第二，如果木马不修改程序，只有首先在注册表找到程序对应的信息，通过这个来判断。而且这样木马也会改动程序，不然会经常检索程序是否符合，要浪费不少资源的。然后是最外层拦截（这个最安全），没封装确实不太难，但是有封装的话，就等于说发木马的人要么就是准备破译，要么就是直接木马破译——前者麻烦，后者耗不少资源。
第二条方案是很安全，但是对于盗号的人来说，回报实在不够。
而且水平足够高的话，可以直接把木马做成DLL形式，随游戏一起启动，系统包括杀毒软件会默认为这就是游戏的一部分。典型的例子就是对付WOW去年的一种病毒，一两个月左右，卡巴斯基才最先做出反应。

Again

原帖由 tophjkl 于 2010-5-4 21:46 发表
明显是你不清楚，木马（以此来代表恶意程序）如何自启动和修改程序这事没多大关系
第一，他肯定要修改程序的一部分，不然这个木马怎么检测程序是否启动？然后又如何去掌握你输入的信息？
第二， ...

我怎么越瞅这特征越像是当年的3721和现在的百毒助手

intro

你可以去看一下著名的控制程序灰鸽子,是如何判断进程是否存在,以及如何截取重要信息的.
其中并不用修改其他程序的任何部分.
代码无论制作成什么格式,只有exe,com,scr才可以运行.其他都需要加载入其他主载体才可以.
杀毒软件是通过特征码辨别恶意程序的,与dll或者说随某某程序同时启动是无关的.

拿wow来举例是不合适的,因为ro没什么关注而wow有很高人气.就好象说mac比windows安全一样,其实是注意力分配的关系.

8825086

你都看到了吧..证明我所说的那些不是无中生有了吧...

tophjkl

灰鸽子是怎么样的工作，我还真没在网上看到具体的······
已有的介绍感觉是我说的第2种的最外层监控（伪装之后）。
至于说依附的说，我举的WOW例子不过是说有比较高明的伪装而已

lyluislyluis

2个人在说天书很有意思= =

窝你色个好

JJYY一大堆，现在的RO用木马盗号的就3个途径

1，Q群共享文件转播，Q聊传
2，RO非正式的相关网站
3，私 F用了跟GF一样的账号密码

其他地方随便你怎么去弄也不可能被盗