窺探MM長相——騰訊QQ強行視頻實戰分析
: U3 b* a4 i {來源/黑基
# h4 c) y6 m% m文/淡然 2005-6-3 . ]+ t) Q& ~/ }) Z+ o6 P
" n" V0 n; s6 m, {- Q7 ]7 c
% c7 R1 R! ]) s. i$ o ! _5 I" Q: a; W+ H( f3 E
揭不開的面具
* m# o: ~$ J4 P: Z3 F, ?6 @2 d8 f7 \- T9 Y
地點:某網吧內
& ]7 [" Z( j4 k: i5 O, e' h
# z1 G5 }+ g! D; I/ u& l 事件:她出現了,他終於等到了這一刻。經過了三天四夜的情感長跑,誘惑不斷地在他心中加深。他不想等待了,時間對於他來說漫長而沒有任何意義。! f/ \' n9 S6 N3 N
0 u% X* y" t. Y) ]6 J1 [
他在電腦前思索了許久,終於決定動手,他想看清她的臉,那一定是一張具有誘惑力的臉。但是幾下來,他仍然無法通過她的QQ視頻聊天請求,他不想等待了,他決定冒險一試。$ z8 }/ l/ K& a1 k8 P8 G {
9 C W5 n, Y6 x* W: j* C1 @ 他早就聽說過QQ強行視頻聊天工具,據說這個工具可以強行開啟對方的攝像頭,進行強制性的視頻聊天,由不得對方不同意。他找到了這款軟件的下載地址。軟件界面出現後他點擊幫助大致看了一下,使用方法很簡單,在軟件的綁定暱稱處添加上自己的QQ暱稱,然後點擊「生成視頻木馬」的按鈕,一個QQ強行視頻聊天的EXE木馬文件就生成了。他知道如果就這樣發給她,那麼對方一定會對程序產生懷疑,他必須要讓木馬躲過她的病毒防火牆。
0 O: F( [3 b0 a. _+ M% G" D0 m, S5 L/ g8 c
他很瞭解讓木馬躲過防火牆的方法——給木馬進行壓縮加殼加密。他沒有選擇常用的UPX,他選擇了PECompact2這款軟件,他覺得這樣更加安全。至少這款軟件不在大多數公眾的視線內。他迅速地將生成的客戶端進行了壓縮加殼,完成後他打開自己的防火牆進行測試,沒有發現病毒!他滿意地笑了。不過他還需要在自己的計算機上進行測試,他開啟網吧中的另外一台電腦,執行了這個壓縮過的木馬,這時被綁定的QQ不斷地開始接收到另外一個QQ的視頻請求,無法停止,他點擊接受請求後,被植入程序的木馬開始工作了,視頻程序啟動,他在屏幕上看到了自己的臉。, t, G( ]& H% Z( G" l: z+ \' Y3 k
5 X) F$ Z [2 x' K2 R; o 他將木馬發給了她,她問他這是什麼,他沒有回答她。5分鐘之後她的QQ開始向他請求視頻連接,他慌忙地通過連接,然而那張臉在屏幕上閃動了一下就消失了,她關閉了QQ……
3 R' d' s8 j4 \# v6 k+ T q1 ~7 C$ A% C; c+ @6 t' p
5 u' v5 w7 j' n揮動翅膀的鴿子 0 {# ?' M4 a* I
8 q* u3 U9 Y0 w) U- {5 ^ M
@! `. W, ] l3 q* v3 @ 時間:2004年8月30- |* K9 V8 E! o
( X+ F1 O+ _3 _2 `- E4 @. t; F
地點:家中; p. A$ n& R- ~% }+ m6 w
( Z" y/ Z+ L- F) u7 x
事件:計劃失敗了,那個QQ強行視頻太過於明顯了,當她看到自己QQ上出現的自己的臉時,第一個反應就是關掉QQ。他不會就此罷手,他繼續等待著下一次動手的機會。& ?! t$ A2 A9 \7 H2 C+ J+ J
( L0 y, Z/ ^6 j5 Y. L
他知道自己當初選擇了錯誤的決定,竟然用那麼一個垃圾軟件。他很懊悔,應該選擇一個更好的,選擇一個更隱蔽的、更不容易被發現的。終於他等到了機會,他看到了剛剛發佈不到兩天的最新版的灰鴿子,他下載了這個代號為20040826的灰鴿子軟件,這是一款真正的遠程控制軟件,他需要的就是這樣的軟件。同樣具有視頻的遠程控制,而且它更加強大,並不僅僅局限於視頻的開啟。不過最關鍵的是,現在沒有任何殺毒軟件可以查殺這款剛剛發佈的灰鴿子。" I6 S+ @: G/ R- ]/ a: e/ _
6 `4 R1 T' I; N3 j! e; t
這是他第二次使用這款軟件。他開始觀察這款剛發佈的灰鴿子,「視頻控制」這個新增的功能,正是可以替代QQ強行視頻聊天木馬的功能。他顯得非常的興奮,他決定將這款木馬作為新的武器,他開始行動了……
! j# h4 ?( z9 f! J$ J y
/ I+ X" M. c* \0 a 首先要配置木馬的客戶端。客戶端自動上線功能是用來控制她的電腦,並且瞭解她電腦的IP地址的重要選項。他點擊打開「自動上線」,這一項中有兩個選擇,第一個可以選擇使用網易免費提供的域名轉接,第二項則可以利用自己的網頁空間來做對方上線提醒之用。再三權衡下,他選擇了使用網易的免費域名轉接,這是最快,最方便的,更關鍵的是他已經沒有時間去申請網頁空間了,也許15分鐘之後她就會退出QQ。他點擊「打開網易免費域名更新IP」,迅速點選了「.126.com」這個選項,他決定申請126的域名。在「域名:」的後面隨便起了一個複雜的數字串名稱,密碼一切從簡,hacker這六個字符就不錯。點擊註冊之後僅僅過了10秒鐘,灰鴿子自動上線對話框的左下角就顯示出了「註冊域名成功」。這個域名已經是他的了。
% {* A8 V, [' w; J* T0 k6 w; l4 S3 C5 r9 l
他關閉了自動上線設置,開始配置灰鴿子的服務端,要通過服務端來控制她的程序,所以在配置時需格外謹慎。他打開「配置服務器程序」,彈出的窗口告訴他,第一項必須先配置好自動上線的域名轉接。時間一分一分地過去了,汗水開始從他的額頭上流下,她留給他的時間已經不多了。他迅速看了一下說明,第一行應該是填寫剛才申請的126域名,第二行應該是填寫密碼,這個密碼不是126域名的密碼,而是客戶端在連接服務端時需要用的密碼,不過也無所謂,他毅然選擇hacker作為密碼。) j$ Y% H3 D' L4 m5 g* `/ B
3 Z6 V7 {% B2 N7 h* S 接下來是配置安裝選項。他清楚這是木馬能否巧妙隱藏的關鍵。他思索許久,決定將安裝名稱定為「vcdplay.exe」,偽裝成Windows內的VCD播放程序。他發現,新版的灰鴿子中多了一個程序啟動後自動記錄鍵盤的功能,太好了,他要知道她的QQ密碼,想知道她的QQ裡有多少人是他的好友,有多少人是他的仇人。他勾選上這一項後開始配置「啟動項」這一頁。這一頁是進一步做好木馬偽裝的關鍵,灰鴿子木馬要做到隨機啟動就必須將自己寫入Windows的註冊表中,但是如果用灰鴿子默認的註冊表啟動項目,則很容易被對方發現。他思索了一下決定將「顯示名稱」改為「3721」這串數字,簡單而又具有偽裝性。服務名稱修改為「Windows Management Instrumentation Driver」,他的理由很簡單,在Windows作系統中,系統會啟動Windows Management Instrumentation Driver Extensions這項服務來讓作系統與驅動程序間交換系統管理信息,改稱「Windows Management Instrumentation Driver」後既不會與原有的服務重複,又有極強的隱蔽性,最後他在描述中也填寫進了「與作系統之間互相交換驅動服務」,鬼知道這是一個什麼服務。完成了這最後的一項設置,他就可以得到一個完整的灰鴿子遠程控制程序了。當然,對他而言是遠程控制程序,而對她,這個名字應該叫木馬程序。' G3 r6 Z; ?: t* s$ v3 N" g" V) N
! X* V; i ]* d$ g; w4 ]7 N/ q) o 這一次他更加小心,他不敢再貿然採取將木馬直接發給對方的辦法了。他弦了一個捆綁程序,將木馬和一個小遊戲捆綁在了一起,然後又加了一層殼。在用殺毒軟件檢測了幾次之後他才放心。這一次一定能夠成功。
2 c1 g$ S0 S( m0 O; U* Q& ]" [9 J/ z: @, ]- ^. w
致命的誘惑
; e4 t8 w6 ~# k5 Y/ ^- Z5 L/ H+ U/ J0 M' o E5 {
時間:15分鐘後
, i/ M) ~* `+ f" Q9 r. v. V* R0 m7 b# d
地點:家中( }- a( p {7 a. F5 T+ n
+ g8 G" p7 H: l& A" A0 B 事件:她又出現了……0 V6 W/ S& D5 A& B
+ a4 ^3 ^4 H$ W2 y) K( m) r/ {4 z 木馬已經完全配置好了,他再一次發給了她,她不斷地問他這是一個什麼東西,他對她的回答永遠只有兩個字:遊戲。她點了,因為他的灰鴿子中已經顯示了有人上線,他迅速地點開灰鴿子的視頻控制,他看到了她的臉,那麼的清晰,一張纏繞著白色醫用紗布的臉…… |
發表於 2005-10-16 12:03:18
提升卡
沉默卡
变色卡