[分享] 阿拉QQ大盗盗号原理分析

前言：
    腾讯号称功能强大的QQ键盘锁为什么没有“锁”好用户的QQ密码、Q币？ 阿啦QQ大盗真这么牛B吗？

1、该**激活后，会释放出一个“Deleteme.bat”批处理文件，把自身删除。所以当你不小心双击了该**时，会发现**程序消失了；

2、创建一个**副本Ntdhcp.exe复制到%system32%系统目录下，随即激活该副本；

3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp，值为"c:\

WINDOWS\System32\NTdhcp.exe" ，实现自启动保护；

4、扫描系统是否存在表中的一些系统安全软件，如杀毒软件，防火墙的，如发现相关窗体或类名存在(FindWindowExA()或FindWindowA())，则

终止掉其进程；

5、去掉QQ键盘锁保护
   A. 如果QQ正在使用，终止该程序后修改npkcrypt.sys为npkcrypt.bak，阻止QQ.exe的加载；
   B. 如果QQ没有在使用，同样改名npkcrypt.sys，阻止QQ.exe键盘锁的加载；
（哦，原来他也并不是完全从技术上攻破QQ键盘锁，这里要引起大家的注意了，如果发现QQ键盘锁成红色叉的图标，可要及时检查系统安全，

以免QQ被盗）

6、打好基础后，就可以等待受害的用户上钩了。。
   A. 用到日志钩子(JournalRecord),记录键盘事件；
   B. 当获取到相当的类名及窗体值时，激活键盘记录事件，记录写入%Windows%\ala2qq


可以用记事本方式打开%Windows%\ala2qq，其内容结构如下：

[QQ]
这里存放号码这是密码=ok
这里存放号码这是密码=ok
[PC]
addr=
ip=




后注：
    什么日志钩子？终截者可以防止此类盗号程序吗？

    在WINDOWS中，日志钩子是个很特别的钩子，它只有全局钩子一种，是键盘鼠标等输入设备的消息在系统消息队

列被取出时发生的，而且系

统中只能存在一个这样的日志钩子，更重要是，它不必用在动态链接库中，这样可以省却了为安装一个全局钩子而建立一个动态链接库的麻烦

。利用日志钩子，我们可以监视各种输入事件。

    要捕捉键盘的按键动作，用键盘钩子(Keyboard Hook)也同样可以实现，但是用日志钩子却比键盘钩子要方便许多。首先，如果要捕捉其他

应用程序的按键，即做成全局钩子，键盘钩子一定要单独放在动态链接库中，而日志钩子却不必；其次，在键盘钩子函数得到的键盘按键之前

，系统已经处理过这些输入了，如果系统把这些按键屏蔽掉，键盘钩子就无法检测到它们，例如，当输入屏幕保护程序密码时，键盘钩子无法

检测到用户输入了那些字符，而日志钩子却可以检测到。

   无论是哪种钩子， 都会增加系统处理消息的时间，从而降低系统的性能，我们只有在必要的时候才安装这些钩子，而且尽可能在不需要时

移走它们。


    终截者完全可以防御阿啦QQ大盗及防御同类的盗号程序！


我们如何处理该类**？ 我们拿什么保护自己的爱机？

1， 尽可能少去登录一些陌生网站，少到一些不正规的网站下载软件；
2， 保证**库的更新；

“病后吃药远不如病前防范”！

3， 建议安装使用《终截者入侵阻止》，将QQ其你的网游添加到“密码锁”保护列表中，实现事前防御。

[ 本帖最后由 寂寞hacker 于 2007-7-19 08:55 编辑 ]

中国信用财富网？？？？？？？？？？？？？
:o :o