QQ空間入侵小記

“張哥，還在做免殺呢?走，請你吃飯!”寢室的小李拍著我的肩膀說道。俗話說“無事獻殷勤，非奸即盜”，小李這吝嗇鬼居然也會請我吃飯，我就知道肯定有事兒。這不，剛走出寢室門他便說道：“張哥，我在網上和一個MM聊得很High，不過她的OO空間相冊有密碼，我還不知道她長什么樣呢!”“你想讓我破解她的OO空間?”我一臉壞笑地問，“那可要看今天中午吃得好不好了?！贝搜砸怀觯蚴程眠M發的我便被小李拉進了校門外的川菜館里。

注：本文僅是技術研究，文中相關軟件有研究興趣的讀者可到網上搜索下載。

知己知彼，百戰百勝

既然小李為了這個MM都“大出血”了，咱就先試著用社會工程學的方法幫幫他吧!收到小李發來的MM的QQ號碼之后，我便開始著手收集她的個人資料。

我打開QQ主面板，然后點擊“查找”，將這個MM加為QQ好友。這個MM設置了驗證好友信息，我想了想，輸入了“我是你小學同學，不記得我了嗎?”并點擊“下一步”。不一會兒，MM便同意了我添加好友的請求，還將我添加為QQ好友。

看著小李一臉羨慕嫉妒恨，我笑了笑，告訴他這就是黑客大神們所說的社會工程學。一般人在收到剛剛這種好友驗證信息后，雖然會覺得這個QQ很陌生，但又會擔心真是某位已經斷了聯系的老熟人。所以，她們通常都會同意對方的好友請求。

成功添加好友后，我先后查看了這位MM的QQ資料和QQ空間“個人檔”中的資料(如圖1)。接著，我還粗略瀏覽了她QQ空間中的留言板、說說和日志等，查找她的愛好、年齡、生日、血型、地址和郵箱等相關信息。

此外，我還在瀏覽器中打開了一個叫“QQ圖標點亮指引”的網站，在“QQ資料查看器”子頁面中輸入MM的QQ號碼，以查NMM在其他各項QQ服務中填寫的其他個人信息。

小試牛刀，猜測QQ相冊提問

接下來，我拿出自己御用的“紅盟專用記事本”。然后選擇“社會工程學字典生成器”，將這個MM的QQ號碼(即用戶名)、生日、年齡、所在地等各種信息，分門別類地填入到記事本中(如圖2)。完成后，再點擊“生成字典”，得到了一個密碼字典。

“現在，便是考驗你的時候了——在這一堆密碼中，可能某一個就是這個MM的QQ空間相冊密碼，你一個個試吧!”嘿嘿，由于我沒有現成的曬號器，就讓小李當回苦力吧!

可“悲催”的是，半個小時后小李一臉苦相地說：“張哥，你忽悠我的吧?沒有一個密碼是正確的呀!”我心里想，看來這個MM的安全意識挺高嘛，不過嘴上卻說：“都說是考驗你啦，還是看我的吧!”

其實，用社會工程學破解密碼本身便帶有一定的偶然性。比如，要是用戶在密碼中加上一些無關緊要的標點符號，便會增大破解難度。

使出絕招，破解QQ密碼

正當我想為自己找個臺階下的時候，突然想到咱不是加了MM的QQ嗎?就從這里人手!于是我從自己的黑客工具箱中找出一款名為GhostRat的免殺木馬程序，并隨即生成了客戶端程序。

接著，我將該客戶端捆綁到一張網上下載的照片中。我打開一個名為“上興專業文件捆綁器”的工具，并將圖標設置為圖片圖標。然后分別打開一張從網上搜來的帥哥照片和生成的客戶端。最后，點擊“開始捆綁”按鈕(如圖3)。

完成后，我在QQ好友列表中雙擊該MM的頭像，打開聊天窗口，并發送了個窗口抖動?！霸趺戳?”MM問道，“給你一張我的近照，看看還認識我不”說完我就把“照片”發了過去。不一會兒，我就在GhOstRat的控制端，看到這個MM的電腦了。

我發現MM正在瀏覽QQ空間，于是我在控制端中對她的電腦點擊鼠標右鍵，選擇“鍵盤記錄”，打開鍵盤記錄功能。然后，我又點擊鼠標右鍵，選擇“系統管理”，并結束掉該電腦中的IE進程(如圖4)。

不一會兒，這小妮子果然又在網頁中登錄了QQ空間。嘿嘿，我打開“鍵盤記錄”窗口一看，果然發現了一串輸入記錄。前面9位是QQ號碼，剛才在屏幕監控中看到驗證碼是w開頭，那么中間的就不就是傳說中的QQ密碼了嗎(如圖5)?

我將密碼復制下來，然后發送給小李。沒想到這沒慧根的家伙卻問：“張哥，你發的是什么呀，看不懂呢!”于是，我便在瀏覽器中打開QQ空間，用剛剛號碼登錄。接著，我故意亮著嗓子喊了一句：“你小子眼光不錯啊，這個MM很正點哦!”“真的?”后來，我的電腦便被這廝無情地霸占了。