2. 科技
  3. 教你防范QQ黑客工具!!!!

教你防范QQ黑客工具!!!!

it2026-02-24  8
希望大家重视这个问题,提高防范意思。 总的说来,QQ黑客工具有如下三大种类: 第一类:侦探IP地址。对于网络用户而言,IP地址是非常重要的,可以说一切黑客入侵的前提就是从侦探IP开始的。现在用的比较多的查找QQ的IP的工具有:Ipview, IpSniper、FolkOicq,可以说这些工具的功能都是相似的,就是把它作为我们客户端运行的QQ的外部插件。它们的安装可程一般是把这些文件压到QQ的安装目录下,覆盖原文件。在运行的过程中,它可以显示在线好友的IP地址,端口,以及地理位置等。它们显示地址所用到的一般为追捕的数据。可以说暴露自己的IP只是危险的第一步。基于这种工具的防止手段一般有:设置防火墙(当然这一点学校已经为我们做了);聊天时隐身等。 第二类:破解QQ密码。其中有两种,一为本地机暴力破解,另外一种为在线破解。前者以OicqPassover为代表,采用穷举法来破解本地的密码。只需选择你要破解的QQ号码的目录路径,然后选择破解条件,如字母型、数字型或是混合型,它的破解速度极快,一秒可达20000次,若以纯数字或是纯字母组合的密码少则几分钟多则几小时就原形毕露了。后者以QQ explorer为代表。相对来说,破解的难度要大得多,并且要依赖计算机本身和硬件条件和网络速度等。但是,从目前的情况来看,在线破解密码是完全能在黑客手中实现的。从上述的这些软件来看,QQ密码的破解很大程度上是利用QQ本地信息的不安全性工作的。因此,提高安全意识势在必行。 第三类:炸弹攻击QQ。QQ采用的是Server-Client 模型,使用的是 UDP协议。和TCP相比,UDP本身就是不可靠的,可被轻易的伪造。最可怕的是实际QQ的发送和接受两端除了对数据格式做验证之外,都是没有其他的验证过程,这就为伪造数据包和所谓的QQ消息攻击成为轻而易举的事情。这类软件比较有名的是:Qqkill,现在好像还有什么Q死一大片。前者是对某单一IP地址的QQ进行大量数据包的短时间发送,导致QQ执行非法操作而死掉,后者可以对一个IP地址段进行上述操作,此之谓“一大片”。现在知道暴露IP的危害了吧,人家攻击就是填入你的IP。当然,要从跟本上防止这些攻击,因为QQ使用协议的先天不足,恐怕只有等待QQ出新的版本或者即时通讯工具产生新新产品才有可能解决了。综合上面的分析,在公共机房上机(尤其在一号机房,由于本身的QQ安装有误无法使用,很多同学重新下载安装到E盘或者F盘),下机的时候,务必要把Tencent文件夹下有你的QQ号的目录删掉。另外,尚未申请密码保护的QQ用户口,不能再等,说不定正在对你的QQ号垂涎三尺了! oicqthief 1.5版 监听原理:将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件,1.5版监听程 序为60kb 发送的目的邮箱地址放在windows下系统目录中的system目录内,文件名为 oicqc f g。还有一个firstrun.dat的文件也在其中 启 动:OICQ外壳,不驻留,但运行退出时OICQ有时不能完全退出,导致下次QQ可能无法启动 。 外在表现:OICQ 目录下出现两个企鹅头像,一个为 O.EXE 一个为 oicq.exe ,oicq.exe 为 60K左右。 对 策:删除OICQ目录中的伪主文件,将 O.EXE 更名为主文件OICQ.EXE,同时删除system中 的OICQCFG 和firstrun.dat 综 述:手法简单,隐蔽性差,很容易判断,属入门级的盗窃程序 -------------------------------------------------------------------------------- QQ密码侦探1.1版 监听原理:将监听程序伪装成windows的启动文件internat.exe,将原system目录内的同名文 件拷入 windows目录,将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。win d ows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 发送的邮箱、密码个数等信息放在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK \Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation \Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中 启 动:随系统启动,驻留后台运行 外在表现:windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe 长度为196K,同时出现smaxinte.exe文件,长度大约37K。 对 策:删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的监听程序正在运 行,所以无法直接删除,可用下列方式进行删除: 1、用内存管理程序移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxint e.exe改名为internat.exe 2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE, 将 smaxinte.exe改名为internat.exe了解注册表的再删除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3个相关键 综 述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程序 -------------------------------------------------------------------------------- qqspy4.01 OICQ 密码监听记录工具4.01 监听原理:将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中,在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 键内添加开机运行项: Oicqpass "QQSpy40.exe"从而实现开机后后台运行。 接受邮箱放在注册表[HKEY_CURRENT_USER\Software\Oicq40] "Email"中 启 动:开机自动驻留后台运行 外在表现:windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll 对 策:删除注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run OICQPASS "QQSPY40.EXE" HKEY_CURRENT_USER\Software\Oicq40 重新启动,然后删除system目录中的QQSPY40.EXE和oicqhook.dll 综 述:虽也采用了后台运行,但本身隐蔽性差,对系统和注册表稍微了解的就能轻易发现, 属学习级盗窃程序 -------------------------------------------------------------------------------- qeyes 潜伏猎手 监听原理:作者真是费尽心机,其先将主文件qeyes分身改头换面潜伏在系统目录system中, 其3个分身分别为: C:\WINDOWS\SYSTEM\sysreg.exe C:\WINDOWS\SYSTEM\regservice32.ex e C:\WINDOWS\SYSTEM\rasint.dll 然后在注册表中添加了双保险的开机运行程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice "C:\windows\system\regservice32.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices sysreg "C:\windows\system\sysreg.exe" 最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ,同时在注册 表同步添加了一个开机运行项。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c "C:\windows\system\netw3c.exe" 如果清除时漏掉一个,那么程序又会自动复制全部分身,并重新添加注册表,使你前功尽弃 。 启 动:开机自动驻留后台运行 外在表现:system目录中增加了4个文件: C:\WINDOWS\SYSTEM\sysreg.exe C:\WINDOWS\SYSTEM\regservice32.exe C:\windows\system\netw3c.exe C:\WINDOWS\SYSTEM\rasint.dll 其中前三个的图标都是一只眼睛,大小都为370K 对 策:重新启动退回纯dos,删除windows中system目录中的sysreg.exe,regservice32.exe ,netw3c.exe, rasint.dll四个文件。 然后删除注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice "C:\windows\system\regservice32.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices sysreg "C:\windows\system\sysreg.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c "C:\windows\system\netw3c.exe"项 上面步骤千万不可颠倒!!因为软件的自我保护性很强,先删注册表无法彻底根除监听程序 ,在你启动的同时系统就会自动恢复刚删除项。 综 述:尽管作者最终还是跟踪破译了其盗窃原理,但还是为其兔子的手法,狐狸般的特性而 叹为观止。这是一款典型的专家级盗窃程序。 总 结:从上面例子不难看出,OICQ密码盗窃程序无非两类:一是外壳程序,如OICQTHIEF, 一是后台程序,如其 他几类。外壳程序隐蔽性差(寄生的外壳程序除外),所以很容易被发 现。而后台程序一般都隐藏很好, 而且开机自动运行,所以不易发现,危害性也较大。 为了便于识别,现对上述几种程序的特征和判断方法 做一综合总结: 文件判断: 1、进入OICQ目录:出现O.EXE为感染oicqthief盗窃程序 2、进入windows目录中的system目录 出现smaxinte.exe或internat.exe不是问号图标为感染 QQ密码侦探 出现QQSPY40.EXE为感染qqspy 出现 sysreg.exe 或 regservice32.exe,netw3 c .exe,rasint.dll 为感染 qeyes 潜伏猎手 注册表判断:运行regedit,进入 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 默认键 是“internat”为感染QQ密码侦探 出现 OICQPASS 键 是感染 QQSPY40.EXE 出现 r egservice 或netw3c 是感染qeyes潜伏猎手 !! —————————— 攻时摧城拔寨,守时天网恢恢。

转载于:https://www.cnblogs.com/tbvv/archive/2012/12/13/8450933.html

相关资源:数据结构—成绩单生成器
最新回复(0)