《QQ阿拉大盗.docVIP

揭露盗号内幕,阿拉QQ大盗盗号原理教程 [ post] 很多朋友都有过QQ号被盗的经历，即使用“密码保护”功能找回来后，里面的Q币也已经被*****者洗劫一空，碰到更恶毒的*****者，还会将你的好友统统删除，朋友们将会永远得离开你。想过反击吗？什么，反击？别开玩笑了，我们只是菜鸟，不是黑客，我们只会看看网页，聊聊天，连QQ号是怎么被盗的都不知道，还能把*****者怎么样呢？其实喜欢*****的所谓“黑客”们，也只是利用了一些现成的*****工具，只要我们了解了QQ号被盗的过程，就能作出相应防范，甚至由守转攻，给*****者以致命一击。 下面就让我们来分析下阿拉QQ大盗*****原理.让我们做到知己知彼，使*****技术不再神秘. [ post]一、阿拉QQ大盗*****原理分析 如今，还在持续更新的QQ*****软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将*****的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。 腾讯号称功能强大的QQ键盘锁为什么没有“锁”好用户的QQ密码、Q币？ 阿啦QQ大盗真这么牛B吗？ 二).*****原理: 1、该**激活后，会释放出一个“Deleteme.bat”批处理文件，把自身删除。所以当你不小心双击了该**时，会发现**程序消失了； 2、创建一个**副本Ntdhcp.exe复制到%system32%系统目录下，随即激活该副本； 3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp，值为c:\WINDOWS\System32\NTdhcp.exe ，实现自启动保护； 4、扫描系统是否存在表中的一些系统安全软件，如杀毒软件，防火墙的，如发现相关窗体或类名存在(FindWindowExA()或FindWindowA())，则终止掉其进程； 5、去掉QQ键盘锁保护 A. 如果QQ正在使用，终止该程序后修改npkcrypt.sys为npkcrypt.bak，阻止QQ.exe的加载； B. 如果QQ没有在使用，同样改名npkcrypt.sys，阻止QQ.exe键盘锁的加载； （哦，原来他也并不是完全从技术上攻破QQ键盘锁，这里要引起大家的注意了，如果发现QQ键盘锁成红色*的图标，可要及时检查系统安全，以免QQ被盗） 6、打好基础后，就可以等待受害的用户上钩了。。 A. 用到日志钩子(JournalRecord),记录键盘事件； B. 当获取到相当的类名及窗体值时，激活键盘记录事件，记录写入%Windows%\ala2qq 可以用记事本方式打开%Windows%\ala2qq，其内容结构如下： [QQ] 这里存放号码这是密码=ok 这里存放号码这是密码=ok [PC] addr= ip= 后注： 什么日志钩子？终截者可以防止此类*****程序吗？ 在WINDOWS中，日志钩子是个很特别的钩子，它只有全局钩子一种，是键盘鼠标等输入设备的消息在系统消息队列被取出时发生的，而且系统中只能存在一个这样的日志钩子，更重要是，它不必用在动态链接库中，这样可以省却了为安装一个全局钩子而建立一个动态链接库的麻烦。利用日志钩子，我们可以监视各种输入事件。 要捕捉键盘的按键动作，用键盘钩子(Keyboard Hook)也同样可以实现，但是用日志钩子却比键盘钩子要方便许多。首先，如果要捕捉其他应用程序的按键，即做成全局钩子，键盘钩子一定要单独放在动态链接库中，而日志钩子却不必；其次，在键盘钩子函数得到的键盘按键之前，系统已经处理过这些输入了，如果系统把这些按键屏蔽掉，键盘钩子就无法检测到它们，例如，当输入屏幕保护程序密码时，键盘钩子无法检测到用户输入了那些字符，而日志钩子却可以检测到。 无论是哪种钩子， 都会增加系统处理消息的时间，从而降低系统的性能，我们只有在必要的时候才安装这些钩子，而且尽可能在不需要时移走它们。 一).*****模式 下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp.其中alaqq.exe是“啊