DNF相关第三弹:详细剖析DNF木马,保护你的账号永不被盗。!!

社区服务
高级搜索
猴岛论坛DNF地下城与勇士DNF相关第三弹:详细剖析DNF木马,保护你的账号永不被盗。!!
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
14个回复

DNF相关第三弹:详细剖析DNF木马,保护你的账号永不被盗。!!

楼层直达
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看楼主 使用道具 楼主   发表于: 2009-08-01 0
— 本帖被铁血总督审核通过 —
本教程一共分三步 

第一:DNF木马密码盗取方式分析
第二:DNF密保卡破解方式分析
第三:对应的防盗措施分析


第一:DNF木马密码盗取方式分析

A:普通方式:HOOK类

这也是目前关于DNF盗号方式最多的方式,其原因也很简单,技术简单,即使在ring3下
也可以一个SetWindowHooKEx挂钩实现,说白了,就是键盘记录,既然是记录用户输入 那么防盗措施也很简单
(譬如说密码为dnfcome555,那么你可以输入come然后把鼠标移到最前再输入dnf,然后再 把鼠标移动到最后输入555,我想很多人都介绍过这个,但是你是否做到了呢?)

B:高级方式:内存类既(ReadProcessMerry)
为什么把内存读取放到高级方式中说明呢,我想做过研究的人都明白,表面上一个简单的 ReadProcessMerry,其实并不那么简单,为什么呢?因为山寨保护和tx保护,这都是很底层的,一设计到NP保护,我想没多少人可以站出来说,小kiss...
ReadProcessMerry这个只需要有基址和偏移,那什么都有了,但是前提条件是把HOOK住的 OpenProcess,ReadProcessMerry,WriteProcessMerry,给饶过去,那么好饶吗???
哈哈!当然是no!要纯粹的SSDT或者是Inline还好说,SSDT只需要恢复SSDT表就ok了,Inline就是 最近的JMP跳过来欺诈NP,要么使用全局钩,要么嵌ASM,貌似别无他法!但是重要的是有个内存检测,甚至有的NP还有int1,int3==N多限制条件,我想一个新手或者是一般水平的貌似没那么深厚的功力!如此牛技术的,如果想简单的靠手动防盗,我想还是很有难度的!暂且不说杀软,目前这个防盗方式,只能暂且放一放


C:罕见解密方式:命令行解密(Command$)--超牛方式
如果你是有心人你会发现,在QQLogin.exe成功登陆之后的DNF.exe瞬间会有一个变为两个 刚开始有一个的时候,如果你去拦截命令行,你会发现你能成功拦截出QQ号和一个很有长度的一个值,我曾发现,但是却始终没发现这个很有长度的值是什么东西,但是前几天,我见过国 内一牛x的解密高手,成功的从这个很有长度的值中提取出了密码,到现在我未曾明白!!!


第二:DNF密保卡破解方式分析

一:在线T保法

什么是在线T保,我有必要介绍一下,在线t保,其实就是控制端向客户端发送一个坐标指令 当客户端接收到这个坐标指令之后,客户端会迅速的修改内存(目的是想让QQLogin.exe显示给用户的坐标为服务端发送过来的坐标值,这样别人在输入的时候,控制者可以提取到这个值,但是DNF服务器,却识别不了,始终出错,但是这个修改内存并不一定100%成功,因为修改内存的时间卡不准,这也就是为什么在线t保会错误好多次的原因,还有另外一个重要的时间问题,如果这次登陆的值,在有效
时间之内,你没有提取到的话,那么就报废了)所以再先t保技术听起来很牛,但是个人认为,垃圾!

所以说如果你输入你的密宝卡之后发现不能登陆 等五分钟再输入依然不能登陆 哪么80%以上你就中了木马 。


二:截屏抓图法

[1]:若通过抓全屏,这样效率很底,就算抓到之后那么他发信时刻必定会暴露信息(只要sniffer抓下包)
那么它也就必死无疑
[2]:全盘搜索,这样效率可以说很高,准确度也很大,但是不得不bs下他的搜索速度和资源的占用,相当
卡,而且搜索到的未必一张,唯一性下降,可以说是流氓方式,抛弃
[3]:图片路径提取法,既自动提取到通过Windows自带的图片和传真查看器的图片路径,还有ACDSee的命令行
图片路径,这个也是目前创造出的密保精度最高的方式

说白了也就是在木马里面加入一个API函数全盘搜索你的密宝卡然后截取,在你打开DNF你自然也会打开你的密保卡。
这时候这个函数就会被调用,在你硬盘里面搜索你的密宝卡然后发送到盗号者那里。
而密宝卡长宽高 还有颜色的参数都是一样的 。很容易就找到了 现在明白???




第三:对应的防盗措施

密码防范措施:

A:HOOK类方式木马防范

防范措施:
错位输密码。
如密码是aaa123456 你可以先输入123456然后用鼠标把光标移到最前方把aaa打上 。
记住一定用鼠标别用键盘!这样盗号者收到的密码就是123456aaa
这个方法防范键盘截取类木马百分之百有效 而由于技术原因,键盘记录木马至少占所有DNF木马的百分之九十。防范效果自己想吧!
(其他诸如软硬键盘混输之类的方法也可以,但是个人感觉太麻烦。)

B:内存类既(ReadProcessMerry) 、命令行解密(Command$)类木马防范

这两种方法就不是记录你键盘那么简单了,直接在内存中读取你密码。
所以防范措施只有一个,申请个密保卡。就算有了密码 没有密宝卡 他照样进不去。



密保卡防范措施


A: 在线破保防类型木马防范措施:

发现DNF密宝卡输入后进入不了游戏,马上修改密码,然后更换密宝卡。一定要快!
不然就等着被洗号吧!

B: 截屏抓图法破保类型木马防范措施

既然它是在你电脑里面截取你的密宝卡,你不把密宝卡放电脑不就可以了。

防范措施:

1.把密保卡抄在纸上,浪费不了你几分钟时间的。
2.把密宝卡保存在手机中
3.如果非要放在电脑上,也不是不可能。修改下密保卡的颜色和大小。或者直接把它输入到记事本里面。





总结:

总的来说,如果不想号码被盗,就一定不要嫌麻烦!

每次登陆的时候错位输入密码,密保卡不要直接在电脑上打开,密码尽量长一些并且要经常修改。

开游戏的时候把杀软监控打开,本人推荐卡巴斯基。很牛X!

尽量不用外挂,如果一定要用G推荐使用GE修改无敌。全职业通用而且不会担心被挂马还很稳定!

这些措施、虽不能说百分之百让你号码不被盗,但一定能将你的被盗几率降到最低。

如果真的不嫌麻烦,每次登陆时把你的密码修改下,玩完游戏后再修改回来。这样任他盗号的再NB也休

想从咱这里偷走一个无色小晶块。
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
365923089

ZxID:8394937

等级: 列兵
举报 只看该作者 14楼  发表于: 2009-08-06 0
~楼主牛B这样都写得出来
8258517

ZxID:2082773

等级: 少将
__▂>蒾夨>ゞ
举报 只看该作者 13楼  发表于: 2009-08-06 0
很好
我巨背盗过一次
还是玩第一次的时候
哈哈!!!
现在一直没有背盗过!!
ωǒ鈈媞隨鯾菂魜,ωǒ隨鯾唭筙鈈媞魜
250213841

ZxID:4054904

等级: 中校
夢似的戀情讓莪心癡、~
举报 只看该作者 12楼  发表于: 2009-08-06 0
看不懂。
lt007007

ZxID:5314851

等级: 准尉
举报 只看该作者 11楼  发表于: 2009-08-06 0
顶一下吧!现在木马太多了!
651157666

ZxID:5758534

等级: 少将
一切都好假

举报 只看该作者 10楼  发表于: 2009-08-06 0
厉害 就是太长
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看该作者 9楼  发表于: 2009-08-06 0
顶起来啊
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看该作者 8楼  发表于: 2009-08-02 0
自己顶一下
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
6032223656

ZxID:8339075

等级: 新兵
举报 只看该作者 7楼  发表于: 2009-08-01 0
支持顶
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看该作者 6楼  发表于: 2009-08-01 0
大家觉得怎么样啊
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
倾听丶死亡

ZxID:8038099

等级: 新兵
举报 只看该作者 5楼  发表于: 2009-08-01 0
抄密保卡麻烦= =..我不想抄呢..被盗了,就去客服投诉..过15天拿回装备好了...
winsunzl

ZxID:4347298

等级: 大尉
举报 只看该作者 4楼  发表于: 2009-08-01 0
早就发现了。 我密码都全打的连自己都不认识 哈哈  密保也是打乱顺序。 密保在手机里。就算有马劳资也不怕
a892331225

ZxID:7975836

等级: 新兵
举报 只看该作者 地板   发表于: 2009-08-01 0
沙发沙发
好高啊。第一次这么高!
学习了楼主,谢谢
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看该作者 板凳   发表于: 2009-08-01 0
这个帖子我发了的第2次了,第1次数据出问题了,怕猴子门没看到,又发一次希望大家保护好自己的号啊
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
a123456789hn

ZxID:1857710

等级: 上尉
"非死则徒尔,而吾以捕蛇独存"

举报 只看该作者 沙发   发表于: 2009-08-01 0
一开始以为有个密报就很安全了 什么挂都拿着试 结果 角色装备 都没了
后来把密报 记到纸上 我用这方法  号没被洗过了 
大家不要闲麻烦啊
DB:+500000000000(我的理想) 大家分享
DB:+300000000000(我的理想) 大家分享
DB:+200000000000(我的理想) 大家分享
« 返回列表
发帖 回复