谈木马盗号原理和防盗要点

　　首先，盗号者会制作盗号木马。木马可能被伪装成各种各样看似合法的东西，比如一个文本文件、一个电影文件、一个系统文件等。一般的，木马都是具有exe后缀的可执行文件，也有一部分是具有dll后缀的动态链接库。

　　其次，盗号者会将盗号木马分发出去。分发手段各异，常见的是来自于网页上的自动下载、软件捆绑、钓鱼等。

　　然后，木马在被害计算机上运行。木马的运行可能是自动的，也可能是由用户触发的。大部分木马都会在注册表中设置一个自动运行的项目，以便每次开机都启动一个守护进程，开始监控系统中所有的窗口，当某窗口的特征符合它所要监控的特征时，木马进程便被激活。也有一部分木马是以动态链接库dll文件的方式存在，当特定的目标程序启动时，它才开始运行。对于后者，查杀起来要相对难一些，因为它并非总是可见的。

　　其次，木马开始监控计算机的键盘操作，这通常是通过一个被称为键盘钩子(Hook)的东西来实现的。木马会截取用户所有的按键，这其中就包括了用户名和密码。为了预防这种盗号手段，很多游戏设置了鼠标输入附加密码的功能，但是木马也随之改进，直接监控计算机的网络数据包，提取出其中的用户名和密码。

　　再后，木马将截获的用户名和密码提交给盗号者。早期的提交手段是通过电子邮件方式发送给特定信箱，但是由于目前的即时杀毒软件都具备邮件扫描功能，因此此举经常遭到封杀。现在有了更多的提交手段，比如通过http协议(目标80端口)提交数据。

　　最后，盗号者使用盗取的帐号和密码登录游戏，盗取虚拟财产。显然，盗号者必须同时得到帐号和密码才可以登录游戏。

　　了解了这些原理，我们就可以制定应对策略。但是这些方面的内容相当繁杂，因此，我以FAQ的方式给出。

　　Q:我的计算机上有木马吗？

　　A:首先，如果你的杀毒软件提示了某种木马的存在，那么多数情况下是存在木马的；如果你发现了某可疑程序而杀毒软件并无提示，那么有可能你的计算机中存在新的木马。总之，我们需要时刻提高警惕，有理由怀疑任何非正常现象。

　　Q:我该在哪里登录我的游戏帐号？

　　A:如果有可能，永远只在你自己防护良好的个人计算机上登录帐号。许多网吧是盗号的高发场所，一方面是因为多人共用计算机导致容易被人做手脚，另一方面，许多黑心的网吧老板和网络管理人员本身就是靠盗号赚取不义之财的。

　　Q:我中奖了耶！

　　A:请留意任何中奖信息的细节。官方的抽奖活动，事先都会有公告，并有详细的活动细节规则发布在官方主页上。而且，发奖的时候都是在游戏中在线发奖，都不需要提供游戏帐户登录密码，通常也不需要登录到任何网站去领奖。所以骗子们的中奖通知多数都包含小学文化水平的滑稽语法，让你去登录一个网站以领取奖品，或者让你在线密语一个所谓的GM，告知对方帐号和密码以便“核实”身份。如果遇到这种情况，那么100%对方是个骗子，请立即举报！

　　Q:我该从哪里下载游戏客户端？

　　A:推荐从官方主页上下载客户端，或者购买官方发行的正版光盘。一般在下载主页上都会给出客户端的MD5校验码，下载后请使用校验工具校验一下，只有校验码完全一致的客户端程序才是可信的。

　　Q:我可以用外挂吗？

　　A:不要用。这不仅仅是一个道德问题，更多的是外挂本身往往包含不可预知的危险。如果你非用不可，那么盗号损失自负。(有些外挂的可执行程序不符合现有的任何木马特征，但是能够在用户授权的情况下“合法”的将你的帐号和密码发送给盗号者。)

　　Q:我该相信我的朋友吗？

　　A:永远不要把你的帐号和密码告诉任何游戏中认识的“朋友”，无论何种理由！你或许认为一个铁哥们花一年的时间陪你练级、无私的帮助你不至于骗你的装备——可是，如果他同样在“无私”的帮助其他一百个玩家呢？现实世界中的朋友也不见得是可信的。某玩家接受了同学传过来的“舒淇写真集”，为exe电子书格式，运行后计算机即中了木马。问题在于他的同学同样是个电脑白痴。所以，你只能相信一个具备良好计算机安全知识、并且有足够了解的现实中的朋友。当然，你也可以信任Dreaman，或者，不信任。

　　Q:我的游戏采用了电子密保器，如网易将军令或盛大密宝，为什么仍然被盗号？

　　A:这应验了一句话，道高一尺魔高一丈。电子密保器虽然采用所谓的动态密码，但是由于其动态性是离线的，因此其动态密码算法一旦被破解，盗号者只需获得两次动态密码和时间，就可以准确推算出任何时刻的动态密码。所以，切不可因为采用了电子密保器而放松了对计算机安全的关注。

　　Q:我电脑中的盗号木马已经被清除了，是不是我就可以安全的登录了呢？

　　A:不是！发现木马后最重要的事情就是第一时间修改帐号密码，因为你的帐号密码已经被木马所窃取！此外，游戏帐号密码应该符合复杂密码的条件，并且要经常更换。

　　Q:当前有哪些帐号密码加强措施？

　　A:除了前面所提到的电子密保器，还有在线的密码保护问题、手机绑定、动态软键盘附加码、实名认证、在线帐号锁定、USB钥匙等手段。为了确保帐号安全，建议启用所有密码加强措施。一般在官方主页的“帐户管理”页面中可以看到这些加强手段。

　　Q:我可以玩私服吗？

　　A:除了道德问题，你同样可能面临安全问题。由于私服客户端程序多是经过修改的，不排除包含木马的可能。你如果在私服中注册了同官服完全相同的帐号、密码，那么你很有可能会失去官服上的虚拟财产。此外，私服客户端中可能存在的隐患还有可能盗取你的银行帐户密码、劫持你的浏览器等。

　　Q:游戏中有人宣传色情站点，我好想去看看啊！

　　A:除了骂你一句，我没有更多要说的了，你的帐号被盗是迟早的事情。

　　Q:可以找代练公司吗？

　　A:代练公司对你的帐户信息了如指掌，他们在日后想要扒光你的装备也不是没有可能。

　　Q:有人要买我的装备，让我去他那边的一个网吧去当面交易。

　　A:首先，现金交易的虚拟装备目前在法律上存在地位争议，你的权益很可能无法得到保障。其次，对方让你去他所指定的网吧，很有可能该网吧已经准备好记录你的帐号和密码了。所以如果你非要现金交易，那么让对方到你指定的计算机上来交易，如果对方不肯，那么取消交易。

　　Q:他怎么知道我的个人信息的？

　　A:你在游戏中聊天的时候，大概没有注意到旁边一个不起眼的角色，他就在一边静静的听着你们的谈话内容。所以任何涉及到个人信息的内容，切记要用密语，不要在通用频道、团队频道、公会频道等开放频道发言。

　　Q:我的号被盗了，我该怎么办？

　　A:帐号被盗，第一件事情就是保存证据和现场。证据包括截图、帐号注册信息、个人身份信息、怀疑盗取帐号的计算机等。由于装备的虚拟性，如果你能够充分证明是别人恶意盗取你的装备，那么完全有办法恢复你所有的虚拟财产并给予盗号者处罚。

　　Q:有人出售帐号，我能买吗？

　　A:买来的帐号不一定是安全的，一方面卖家可能通过密码保护、身份证件验证等手段重新获得帐号密码，另一方面该帐号可能是被盗取的，正在寻找一个替罪羊。另外，帐号的现金交易是非法的(违反游戏最终用户协议)，不受法律保护。

　　Q:游戏中的道具会携带木马吗？我是否会因为与别人在游戏中交易而感染病毒木马？

　　A:只要你的客户端没有问题，游戏中的正常虚拟物品交易不会带来任何木马或者病毒。

　　下面是几种木马的介绍：

　　1、破坏型

　　惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

　　2、密码发送型

　　可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

　　在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。

　　3、远程访问型

　　最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

　　程序中用的UDP(User Datagram Protocol，用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

　　4.键盘记录木马

　　这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。

　　5.DoS攻击木马

　　随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

　　还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

　　6.代理木马

　　黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。

　　7.FTP木马

　　这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。

　　8.程序杀手木马

　　上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

　　9.反弹端口型木马

　　木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。