离开完美有段时间了。最近我发现一个很怪异的事情,前几天登陆完美一个我朋友的100的WX空号。第二天竟然貌似有人上过号(我前天退出的时候就上过WX号,结果第二天上就莫名其妙的人物停留在了小号上)。于是我初步断定,有人上过我的号。是我朋友?好像不可能。这个号他已经扔掉了快2年了,于是我开始怀疑是偷号的人做的。看来我的系统是中了木马。
得出上述结论后,我立即开始着手,反跟踪完美游戏的一举一动!果不其然,发现在我WINDOWS目录下有个36OTRAY.exe(字母用的是O P Q的O不是0 1 2 3 的0.用360的朋友应该对这个进程不会陌生吧?)的文件的文件活动异常!提纯→去壳→反编译。哈哈原形毕露。原来是个典型的“外挂型”木马!这种木马一般是随外挂带入机器的,及其隐蔽。他的偷号原理是:探测窗体句柄,一旦发现“element client”窗体。则启动,运行,通过内存探访找到保存在内存指定位置的账号和密码(如果你登陆过仓库,还有仓库密码),然后发送到指定的邮箱(他的邮箱是touhaoshuanghaha@126.com),并且在其开始工作后如果发现你的账号有密保卡,则你的游戏只要有角色在线上,就会发生几分一掉线的情况。知道这些后,我就悄悄的做了一个键盘位移器,然后连网。接着,嘿嘿就是和那个绝子绝孙的东西开个玩笑咯。
我先用键盘位移器登陆一个小号,建立好几个角色,角色名称连起来是我想对他说的话(他收到的数据应当是kjhds123/fjyfl反正是个不存在的账号,也不能保证没人正好有这个号。),然后再登陆我的大号(使用键盘位移后。他接收到的账号密码正好与我的小号完全相同,但是角色数据确是我大号的,嘿嘿2个100的3个80+的号估计够他欣喜一会了。),果不其然,我的账号果真几分一掉线(我想紧密应当很茫然,和他说两句话吊线好几次!)。到这里我就白手等待结果咯。下线出去我打篮球去……
大约2小时后我来到了网吧,那边等待WOW排队(今天又排了3000+郁闷死了。WOW就不能像完美一样啊。想上随时能上!)这边上我小号看看吧,一瞧不要紧,差点乐抽我:具体请看下图: |