当前位置：　诛仙 >> 相关资料 防骗防盗 >> 资深防盗之二：教你徒手对抗流氓木马

资深防盗之二：教你徒手对抗流氓木马

　　资深防盗之二——徒手对抗流氓木马[实战]

　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

　　本文由多玩作者“pinkandgrey”原创，任何不注明作者及出处的转载，均视为剽窃。

　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

　　大家好，我是网通2蜀山玩家Se.小超。这是第三次在多玩写文章，之前写过两篇文章，分别是：

　　http://zx.duowan.com/0711/58963727334.html [揭秘shu173私服盗号骗局]

　　http://zx.duowan.com/0711/60173474332.html [资深防盗之一]手把手教你检测最先进的木马

　　这篇可以说是资深防盗的后续部分，强烈建议读者优先阅读检测部分，避免思维上大幅度的跳跃而影响理解。

　　还是那句话，有一定基础的朋友希望你们能从中获益，电脑知识稍微匮乏一点的朋友请将这次实战当做一次玩家激烈抵抗盗号的表演。

　　还有,这次被开刀的依然是可怜的私服shu173...貌似改名了...现在叫姗姗私服ww*.33zhuxian.com...反正都是盗号的坏人...

　　好了，言归正传，下面公布一下我使用的软件：

　　Windows进程管理器 [www.jpexe.com 星泪作品] 木马辅助查找器[www.hugezi.net 灰鸽子工作室] 冰刃 Ice Sword V1.18 [黑客软件，自己去找。

　　（本来我也不想用这么多的…我是真得遇上流氓了…）

　　首当其冲的就是找款主流盗号木马，不然我杀谁啊…

　　百度一搜，黑客网站一逛，这个大盗，那个猎手的下了一大堆，可能时间仓促的缘故，测试过程中居然没有一个能顺利盗取我测试ID的木马…就在我几乎绝望的时候，是她，对就是她，shu173盗号私服为我点亮了希望的曙光。我怀着无比激动得心情去下载了私服登陆器，熟悉得登陆界面，诱人的广告词，仿佛一切又回到了一线河阳…

　　注：shu173私服申请了新域名，ww*.33zhuxian.com[姗姗诛仙]，请广大玩家保持警惕。

　　图片1，很明显，这个只是用VB或VC做了个壳，给盗号木马伪装用的，没有实际功能…

　　好，现在我运行了登陆器，应该中了木马了吧…为了保险起见，我还是验证下吧…

　　回顾我曾在资深防盗之一中所讲述的，任何程序想对外建立数据交换，都避免不了打开端口。那好，我就用netstat监控端口的开关，看看盗号木马是否奏效…

　　拿出了早就准备好的测试小号，登陆网2狂龙服务器，然后切回cmd,执行netstat –no,一切都在预料之中，果然除了与服务器建立数据交换所打开的端口外，还有一个连接被建立了…

　　图2：如图除了正常的游戏29000端口被打开外，还多开了一个80端口，凭借经验可以判定这个木马是通过asp动态页将帐号信息写在数据库中等待盗号者浏览的。

　　附：狂龙服务器正常的IP网段

　　既然有非法链接被建立，那就追查下去吧。打开木马辅助查找器，找到相应得PID值3184，果然对应的是诛仙游戏进程，由此可以判断诛仙游戏进程的模块被注入了DLL文件。眼前的问题就是怎么把注入的DLL找出来，可诛仙游戏调用了5-60个模块，天知道哪个是木马，一个一个看岂不是等于打99朵情花？这里是有窍门的，诛仙游戏虽包含N个模块，但是多数都是微软的系统模块，我们要找的就是那些在系统盘目录下，且“三无”（无公司，无描述）的DLL文件。

　　图3，拿起你的小本本吧，我们有嫌疑犯了…把zxavast2.dll和wlavast2.dll记下来，接下来在本上画圈圈诅咒他们…

　　此时，如果要我按经验和感觉判断，我会毫不犹豫的认定他们就是病毒文件，立即诛杀。可考虑到平时接触电脑较少的朋友，我还是推荐你们把“疑犯”上传到Virustotal检验一下。

　　之后我切回游戏看了一眼，短短的３－５分钟居然频繁掉线，请不稳定的玩家提高警惕，很可能是木马作祟！

　　图4，看，virustotal大法官说我们的疑犯有罪…

　　两个巴掌是拍不响的(怎么这么别扭)，接下来我们需要做的是找出犯罪集团的其他成员，一举歼灭。看一下这两个文件的属性，我们多少应该获得一点启示。

　　图5，修改时间均为2007年6月13日

　　这里还有一个小窍门，就是可以用windows针对修改时间进行搜索，以检查是否有其他同党。

　　图6你看看，我就说两个巴掌拍不响吧…这不，快拿出小本子，罪犯增加到6人了…继续画圈圈诅咒…

　　这样，dll模块的追捕可以告一段落了，我们再看看进程上有没有什么线索…windows进程管理器出场了,该软件极其适合初学者使用，他对每个系统进程都有描述，这样我们一眼就可以找到非系统进程外的可疑程序。

　　图7 ，windows进程管理器也为我们找出了两个疑犯，移交virustotal后判处有罪。

　　于此同时看了下zx.exe wl.exe所在目录，4个都是可执行文件，其中还有个是诛仙图标…行了，你们这一窝子跳进黄河也洗不清了。

　　至此为止，已经找出疑犯10人，其中6个dll模块文件，4个exe可执行文件。经过我短暂的思考，因为他们是惯犯阿，盗号无数…决定判处死刑，缓期5分钟执行（上厕所不能憋）…

　　屠杀：

　　还是window进程管理器打先锋，依次选中zx.exe w1.exe两个运行中的进程，直接点击右键，选择删除文件，把这两个进程干掉以后，删除它们生前所在的目录，至此10名疑犯已经有4名一命呜呼了。

　　再去删其余的6个dll文件…啊…乖乖…怎么有两个不让删除？…没关系，重新启动，按住F8 ，去安全模式删…结果到了安全模式下居然依然无法删除… 哎，真是遇到流氓了…因为安全模式只加载诸如资源管理器等少数关键系统进程，所以我判断这两个流氓模块文件定是注入了某个或几个系统文件…重起进入windows一看，原来是explorer.exe。没办法，只好请冰刃出招了…选中explorer.exe，分别卸载2个流氓模块，然后顺利删除。

　　重新启动电脑，OK，10个被K的文件没有一个复活，同时用“资深防盗之一”里面的方法再次检测游戏，没有发现多余链接，yeah,大功告成! 帅哥美女，您学会了么？

　　后记：我在这里没有提到启动项和服务，是因为考虑到读者水平参差不齐，贸然删改注册表或禁用服务都是危险的，况且在木马所有主要文件都被破坏得情况下，固有注册表支持，能不能启动依然两说．．．我承认此次杀马只是重创了木马，并不敢干说没有遗漏，手动杀马也很难做到没有遗漏，除非用中华经典网络军刀在中马之前开始全程跟踪。不过这样至少有效的阻止了盗号，我们的目的也就达到了。