对于一些刚玩Hacker的Script Kiddie(脚本小子)来说,唯一值得炫耀的大概就是用别人写的程序来盗取的大把的QQ号码了。不幸的是,真的有大量的网友中招,频频在论坛中看到关于因QQ被盗进行求助的帖子。其实,要想防止QQ被盗,只要了解QQ盗号程序的实现原理,就能找出防范的方法来。
一、分析QQ盗号软件的原理及程序实现的重点
常见的QQ木马盗号技术实现主要使用如下方法:
1.对指定进程[QQ.exe],发送消息,获取进程的控件内容,如密码输入框内容。
2.对指定进程[QQ.exe],利用全局HOOK(钩子),进行键盘记录,获取输入的内容。
目前常见的QQ盗号木马大部分都是使用上面的手法进行盗号的,大家可以看出,这两种手法都需要对QQ进程进行监控,其重点就是:
监控QQ登陆时输入帐号密码的界面,获取该界面内控件(号码输入框和密码输入框)的内容;
还有就是对这些控件的键盘输入内容进行监控记录。
二、寻求解决方案及实现方法
如果我们能够不经过登陆界面的QQ号码和密码的输入(或者不使用QQ程序的标准登陆界面)来登陆QQ的话,那么针对QQ进程和QQ登陆界面进行监控记录的木马,就会失去效果了.
1.QQ自动登陆参数
常玩QQ的人可能知道有一种叫QQ自动登陆的程序,可以不用输入QQ号码和密码来自动登陆.
其实程序的实现原理很简单,就是利用QQ提供的自动登陆参数。
QQ自动登陆参数如下:
QQ.exe(QQ路径) /START QQUIN:QQ号 PWDHASH:加密后的密码 /STAT:40 [STAT:40 (40 是隐身登陆41 是正常登陆)]
其中PWDHASH:加密后的密码 比较难以获得,常见的获取方法是利用Longhorn版的任务管理器截取。
2.利用Longhorn版的任务管理器截取QQ自动登陆参数
完整步骤如下:
第一步:登陆QQ;
第二步:点击“菜单→更新好友”,QQ提示是否继续,确认。
第三步:重新登陆完后调出“任务管理器”可以在映像路径里看到QQ的自动登陆参数了(QQ号和加密后的密码)。
3.创建QQ快速自动登陆
有了这些参数就可以自己动手了,用
QQ.EXE/START QQUIN:QQ号 PWDHASH:加密的密码 /STAT:40
添加到快捷方式路径后面可以使用创建的快捷方式来实现自动登陆,或者为也可以为多个QQ建一个批处理文件实现多个QQ的自动登陆(同样适用于使用珊瑚虫外挂程序的登陆)!
实例:
D:\Tencent\QQ.exe /START QQUIN:123456 PWDHASH:4QrcOUm6Wau+VuBX8g+IPg== /STAT:41
这就是一个QQ号码为123456,密码为123456,QQ安装路径为:D:\Tencent\QQ.exe的QQ登陆参数,登陆方式为正常登陆。
4.登陆参数之PWDHASH算法解释
经过分析后,我们得到了PWDHASH的加密算法:
首先将QQ原始密码进行MD5散列算法处理,得到一个16字节的MD5 HASH字符串,然后用BASE64编码对这个HASH字符串做第二次编码,编码后的数据就是PWDHASH的值。