一天回家后上网,习惯性的登录QQ,没想到却出现了输入验证码的对话框,出于职业习惯,我当时就有一种预感,QQ被黑了。紧接着会员功能提示说上次登录是在贵州省的一个ip地址,看来我的猜测终于被证实了,好郁闷。不过还好,我有密保。要不然可就糗大了,怀着气愤无奈的心情,我决定来反击一下这个盗号者,同时也想一探这个盗号木马的究竟。这样才能做到知己知彼,百战不殆,并且如果它是使用,E-maii收信的话,我说不定还能顺手牵羊呢!
关于如何反击盗号者,这个话题有许多前辈都已经讲过了,他们一般的方法是,找到那个木马的进程,然后使用WINHEX或OD之类的工具分析程序,从而找到邮箱账号或者是URL。但是今天这个木马非同寻常,我找了很久都没找到它的进程,我最喜欢的wpe winsock都派不上用场了。我只好动用一款全新的网络封包工具,maatec networkanalyzer,他最大的特点就是可以嗅探所有流过本机的数据包。
直接打开QQ登录,然后打开maatec networkanalyzer,依次点击FILE-newpacket list 选择本机上网的网卡,然后点确定,程序就开始记录流过本机的数据了,经过分析后。
很明显使用的是网页收信方式,看来到他的邮箱是没有希望了,难道就这样白白被他害一次吗?当然不是,我仔细看了一下,发现有一段代码好熟,于是我就想到了一个惩罚他的办法.试想一下,如果我们直接在ie中提交,”/mima.asp?Qnumber=无耻的盗号贼&QQpassword=去死吧,那会怎样呢?从理论上来说会被当成密码收录,但是因为那个mima.asp当成密码收录。但是因为那个miima.asp是别人的,所以我看不到结果。
我下载了,明小子密码特工,一看果然不错,于是就在本地搭建了一个lls环境开始试条,照上面提交打开收QQ号的文件发现“该死的盗号者----去死吧---会员:是IP:127.165.95.489(127.0.0.1)说明成功了,接下来就可以发大量的垃圾信息去轰炸或者欺骗他了。