computer 版 (精华区)

发信人: neverbw (硬件好难啊，要不要退呢？), 信区: network
标  题: 2001年QQ黑客软件大点兵(1)
发信站: 听涛站 (2001年11月06日10:08:57 星期二), 站内信件

oicqthief 1.5版
监听原理：将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件，1.5版监
听程序为60kb 发送的目的邮箱地址放在windows下系统目录中的system目录内，文件名
为 oicqcfg。还有一个firstrun.dat的文件也在其中
启 动：OICQ外壳，不驻留，但运行退出时OICQ有时不能完全退出，导致下次QQ可能无法
启动。
外在表现：OICQ 目录下出现两个企鹅头像，一个为 O.EXE 一个为 oicq.exe ，oicq.e
xe 为60K左右。
对 策：删除OICQ目录中的伪主文件，将 O.EXE 更名为主文件OICQ.EXE，同时删除syst
em中的OICQCFG 和firstrun.dat
综 述：手法简单，隐蔽性差，很容易判断，属入门级的盗窃程序
QQ密码侦探1.1版
监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同
名文件拷入 windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运
行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
发送的邮箱、密码个数等信息放在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
\Software\Services\Security\Common\SoftWare\ControlsFolder\
Reconciliation
\Policies\Retriction\Adspopware\Connection Wizard Explorer\
ShellServiceO
bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]