阿拉QQ大盗盗号原理分析

刘森宇

腾讯号称功能强大的QQ键盘锁为什么没有“锁”好用户的QQ密码、Q币？ 阿啦QQ大盗真这么牛B吗？


本帖隐藏的内容需要回复才可以浏览
1、该**激活后，会释放出一个“Deleteme.bat”批处理文件，把自身删除。所以当你不小心双击了该**时，会发现**程序消失了；

2、创建一个**副本Ntdhcp.exe复制到%system32%系统目录下，随即激活该副本；

3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp，值为"c:\WINDOWS\System32\NTdhcp.exe" ，实现自启动保护；

4、扫描系统是否存在表中的一些系统安全软件，如杀毒软件，防火墙的，如发现相关窗体或类名存在(FindWindowExA()或FindWindowA())，则终止掉其进程；

5、去掉QQ键盘锁保护
  A. 如果QQ正在使用，终止该程序后修改npkcrypt.sys为npkcrypt.bak，阻止QQ.exe的加载；
  B. 如果QQ没有在使用，同样改名npkcrypt.sys，阻止QQ.exe键盘锁的加载；
（哦，原来他也并不是完全从技术上攻破QQ键盘锁，这里要引起大家的注意了，如果发现QQ键盘锁成红色叉的图标，可要及时检查系统安全，以免QQ被盗）

6、打好基础后，就可以等待受害的用户上钩了。。
  A. 用到日志钩子(JournalRecord),记录键盘事件；
  B. 当获取到相当的类名及窗体值时，激活键盘记录事件，记录写入%Windows%\ala2qq


可以用记事本方式打开%Windows%\ala2qq，其内容结构如下：

[Qforex expert advisor去皱痔疮的最佳治疗方法面膜好吗好用什么牌子好红血丝左旋肉碱牌子护手搭配图片毛孔瘦身霜排行榜精油按摩霜推荐护手面部美护什么牌子好护肤细致毛孔产品哪个好用Q]
这里存放号码这是密码=ok
这里存放号码这是密码=ok
[PC]
addr=
ip=




后注：
    什么日志钩子？终截者可以防止此类盗号程序吗？

    在WINDOWS中，日志钩子是个很特别的钩子，它只有全局钩子一种，是键盘鼠标等输入设备的消息在系统消息队列被取出时发生的，而且系

统中只能存在一个这样的日志钩子，更重要是，它不必用在动态链接库中，这样可以省却了为安装一个全局钩子而建立一个动态链接库的麻烦

。利用日志钩子，我们可以监视各种输入事件。

    要捕捉键盘的按键动作，用键盘钩子(Keyboard Hook)也同样可以实现，但是用日志钩子却比键盘钩子要方便许多。首先，如果要捕捉其他

应用程序的按键，即做成全局钩子，键盘钩子一定要单独放在动态链接库中，而日志钩子却不必；其次，在键盘钩子函数得到的键盘按键之前

，系统已经处理过这些输入了，如果系统把这些按键屏蔽掉，键盘钩子就无法检测到它们，例如，当输入屏幕保护程序密码时，键盘钩子无法

检测到用户输入了那些字符，而日志钩子却可以检测到。

  无论是哪种钩子， 都会增加系统处理消息的时间，从而降低系统的性能，我们只有在必要的时候才安装这些钩子，而且尽可能在不需要时

移走它们。


    终截者完全可以防御阿啦QQ大盗及防御同类的盗号程序！


我们如何处理该类**？ 我们拿什么保护自己的爱机？

1， 尽可能少去登录一些陌生网站，少到一些不正规的网站下载软件；
2， 保证**库的更新；

“病后吃药远不如病前防范”！

3， 建议安装使用《终截者入侵阻止》，将QQ其你的网游添加到“密码锁”保护列表中，实现事前防御。