誰盯上了我的魔獸賬號？

辛辛苦苦的四個月，我在《魔獸世界》里擁有了數件紫裝和一幫知心朋友。若是這個賬號被人盜了，那我可真欲哭無淚啊，于是我請了位“大師”來檢查，看看有沒有人盯上了我的賬號。

問:請問這位大師是誰啊？

答:顧名思義，《游戲木馬檢測大師》專門用于檢測游戲木馬，它可是捕獲鉤子、攔截發送信息的高手哦。

《游戲木馬檢測大師》有“最新消息”、“鉤子列表”、“自動運行”、“網絡釣魚”和“發信檢測”五個選項卡。其中“網絡釣魚”選項卡會列出用戶的電腦里面HOST緩存和對應的主機名稱。HOSTS表的原理是更改域名與IP的映射關系。通常情況下如果只有“127.0.0.1localhost”這一項，那么表示你的系統是安全的，否則可能會存在被網絡釣魚的危險（圖1）。游戲木馬檢測大師的功能主要體現在“鉤子列表”和“發信檢測”上。

問:賬號是怎樣被木馬捕捉到的？

答:盜號程序之所以能成功地獲取游戲賬號，就是通過鉤子函數對所有鍵盤輸入進行監控，接著盜取賬號。

“鉤子列表”選項卡可以顯示系統已經安裝的各種鉤子，用鼠標右鍵選擇“刷新”或對該鉤子指向的進程進行定位。如果系統安裝了鍵盤鉤子（鉤子類型為WH_KEYBOARD），那所有鍵盤輸入都被監控了。

當然，有些正常程序（例如一些聊天工具）也會安裝此種鉤子，作用是當用戶輸入某些熱鍵時觸發特定功能。凡是程序判斷為可疑的鉤子類型都會以特別的顏色標記出來（圖2）。如果發現游戲木馬，可以切換到“自動運行”選項卡中找到可疑的啟動項，并刪除它。

問:賬號信息是怎樣發送給黑客的？

答:游戲木馬獲取賬號信息后，會通過各種方法發送出去，其中最常見的就是將信息發送到指定的信箱或網址。

首先，我們關閉其他所有會擾亂網絡數據捕捉的程序，在“發信檢測”標簽中選擇“只捕獲smtp發信端口（25）和Web發信端口（80）”。接著點擊“開始”按鈕并進入游戲，輸入賬號密碼一直進入到游戲場景后退出游戲，回到“發信檢測”窗口，如果木馬發送數據就會被捕獲到（圖3）。

捕捉到的數據中包含有黑客的信息。從圖3中我們可以清楚地看到，游戲木馬通過21cn的郵件服務器發送賬戶信息。由于通過電子郵件發信都要通過用戶驗證，所以我們也獲得了黑客21cn的賬戶密碼，不過經過了Base64加密（通過Base64解碼工具才可以得到郵件賬號密碼的原文）

程序還能查到黑客收取信息的信箱（如圖3中的xxx@126.com），即使不會使用嗅探工具的朋友，也可以輕易地挖出那些盜取游戲賬號的幕后黑手。不過有時候，賬號信息是經過加密處理的，這時捕捉下來的數據就不是明文，而是一些亂碼。

有的木馬發信不一定會使用25或80端口，這時就要去掉“只捕獲smtp發信端口（25）和Web發信端口（80）”選項。還有的木馬不會馬上把信息發送出去，那樣在退出游戲后，可以繼續捕捉幾分鐘數據包來進行判斷。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。