本教程一共分三步
第一:DNF木马密码盗取方式分析
第二:DNF密保卡破解方式分析
第三:对应的防盗措施分析
第一:DNF木马密码盗取方式分析
A:普通方式:HOOK类
这也是目前关于DNF盗号方式最多的方式,其原因也很简单,技术简单,即使在ring3下
也可以一个SetWindowHooKEx挂钩实现,说白了,就是键盘记录,既然是记录用户输入 那么防盗措施也很简单
(譬如说密码为dnfcome555,那么你可以输入come然后把鼠标移到最前再输入dnf,然后再 把鼠标移动到最后输入555,我想很多人都介绍过这个,但是你是否做到了呢?)
B:高级方式:内存类既(ReadProcessMerry)
为什么把内存读取放到高级方式中说明呢,我想做过研究的人都明白,表面上一个简单的 ReadProcessMerry,其实并不那么简单,为什么呢?因为山寨保护和tx保护,这都是很底层的,一设计到NP保护,我想没多少人可以站出来说,小kiss...
ReadProcessMerry这个只需要有基址和偏移,那什么都有了,但是前提条件是把HOOK住的 OpenProcess,ReadProcessMerry,WriteProcessMerry,给饶过去,那么好饶吗???
哈哈!当然是no!要纯粹的SSDT或者是Inline还好说,SSDT只需要恢复SSDT表就ok了,Inline就是 最近的JMP跳过来欺诈NP,要么使用全局钩,要么嵌ASM,貌似别无他法!但是重要的是有个内存检测,甚至有的NP还有int1,int3==N多限制条件,我想一个新手或者是一般水平的貌似没那么深厚的功力!如此牛技术的,如果想简单的靠手动防盗,我想还是很有难度的!暂且不说杀软,目前这个防盗方式,只能暂且放一放
C:罕见解密方式:命令行解密(Command$)--超牛方式
如果你是有心人你会发现,在QQLogin.exe成功登陆之后的DNF.exe瞬间会有一个变为两个 刚开始有一个的时候,如果你去拦截命令行,你会发现你能成功拦截出QQ号和一个很有长度的一个值,我曾发现,但是却始终没发现这个很有长度的值是什么东西,但是前几天,我见过国 内一牛x的解密高手,成功的从这个很有长度的值中提取出了密码,到现在我未曾明白!!!
第二:DNF密保卡破解方式分析
一:在线T保法
什么是在线T保,我有必要介绍一下,在线t保,其实就是控制端向客户端发送一个坐标指令 当客户端接收到这个坐标指令之后,客户端会迅速的修改内存(目的是想让QQLogin.exe显示给用户的坐标为服务端发送过来的坐标值,这样别人在输入的时候,控制者可以提取到这个值,但是DNF服务器,却识别不了,始终出错,但是这个修改内存并不一定100%成功,因为修改内存的时间卡不准,这也就是为什么在线t保会错误好多次的原因,还有另外一个重要的时间问题,如果这次登陆的值,在有效
时间之内,你没有提取到的话,那么就报废了)所以再先t保技术听起来很牛,但是个人认为,垃圾!
所以说如果你输入你的密宝卡之后发现不能登陆 等五分钟再输入依然不能登陆 哪么80%以上你就中了木马 。
二:截屏抓图法
[1]:若通过抓全屏,这样效率很底,就算抓到之后那么他发信时刻必定会暴露信息(只要sniffer抓下包)
那么它也就必死无疑
[2]:全盘搜索,这样效率可以说很高,准确度也很大,但是不得不bs下他的搜索速度和资源的占用,相当
卡,而且搜索到的未必一张,唯一性下降,可以说是流氓方式,抛弃
[3]:图片路径提取法,既自动提取到通过Windows自带的图片和传真查看器的图片路径,还有ACDSee的命令行
图片路径,这个也是目前创造出的密保精度最高的方式
说白了也就是在木马里面加入一个API函数全盘搜索你的密宝卡然后截取,在你打开DNF你自然也会打开你的密保卡。
这时候这个函数就会被调用,在你硬盘里面搜索你的密宝卡然后发送到盗号者那里。
而密宝卡长宽高 还有颜色的参数都是一样的 。很容易就找到了 现在明白???
第三:对应的防盗措施
密码防范措施:
A:HOOK类方式木马防范
防范措施:
错位输密码。
如密码是aaa123456 你可以先输入123456然后用鼠标把光标移到最前方把aaa打上 。
记住一定用鼠标别用键盘!这样盗号者收到的密码就是123456aaa
这个方法防范键盘截取类木马百分之百有效 而由于技术原因,键盘记录木马至少占所有DNF木马的百分之九十。防范效果自己想吧!
(其他诸如软硬键盘混输之类的方法也可以,但是个人感觉太麻烦。)
B:内存类既(ReadProcessMerry) 、命令行解密(Command$)类木马防范
这两种方法就不是记录你键盘那么简单了,直接在内存中读取你密码。
所以防范措施只有一个,申请个密保卡。就算有了密码 没有密宝卡 他照样进不去。
密保卡防范措施
A: 在线破保防类型木马防范措施:
发现DNF密宝卡输入后进入不了游戏,马上修改密码,然后更换密宝卡。一定要快!
不然就等着被洗号吧!
B: 截屏抓图法破保类型木马防范措施
既然它是在你电脑里面截取你的密宝卡,你不把密宝卡放电脑不就可以了。
防范措施:
1.把密保卡抄在纸上,浪费不了你几分钟时间的。
2.把密宝卡保存在手机中
3.如果非要放在电脑上,也不是不可能。修改下密保卡的颜色和大小。或者直接把它输入到记事本里面。
总结:
总的来说,如果不想号码被盗,就一定不要嫌麻烦!
每次登陆的时候错位输入密码,密保卡不要直接在电脑上打开,密码尽量长一些并且要经常修改。
开游戏的时候把杀软监控打开,本人推荐卡巴斯基。很牛X!
尽量不用外挂,如果一定要用G推荐使用GE修改无敌。全职业通用而且不会担心被挂马还很稳定!
这些措施、虽不能说百分之百让你号码不被盗,但一定能将你的被盗几率降到最低。
如果真的不嫌麻烦,每次登陆时把你的密码修改下,玩完游戏后再修改回来。这样任他盗号的再NB也休
想从咱这里偷走一个无色小晶块。
