想當(dāng)黑客的注意了：木馬生成器不能隨便碰

前一陣子，有人介紹他的盜QQ、游戲密碼的木馬，只要設(shè)置好E-mail的用戶名及該E-mail的密碼，就可以盜號(hào)了。是否知道這個(gè)木馬是包含后門的？在你用它來幫你盜號(hào)的同時(shí)盜取的用戶名及密碼也都會(huì)發(fā)送給木馬作者一份，而我們就是要利用嗅探工具來得到這個(gè)木馬作者所用E-mail的用戶名及密碼。然后，來個(gè)為民除害。北大青鳥最后希望大家不要使用木馬，不然害人的同時(shí)還會(huì)害己(有些木馬還會(huì)盜取你的賬號(hào)及密碼)。
　　下面就以一款針對(duì)某網(wǎng)絡(luò)游戲的木馬來做分析，來看看如何得到木馬中的一些隱藏信息。首先要準(zhǔn)備的一些必要的工具：
　　①下載我們所需要的嗅探工具，解壓后得到xsniff.exe;
　　②一個(gè)傳奇木馬軟件，網(wǎng)絡(luò)上有很多。
　　下面就來開始抓獲這個(gè)木馬中的諜中諜。
　　第一步：點(diǎn)擊開始→運(yùn)行，輸入CMD(不含引號(hào))，打開命令提示符窗口。
　　第二步：進(jìn)入嗅探工具所在目錄，輸入xsniff.exe -pass -hide -log pass.log(不含引號(hào))，這樣局域網(wǎng)里的明文密碼(包括本機(jī))都會(huì)被記錄到pass.log中。
 
　　第三步：下面打開該網(wǎng)游的木馬，輸入你的郵箱地址，點(diǎn)擊發(fā)送測(cè)試郵件的按鈕，顯示發(fā)送成功后，再打開生成的pass.log文件(括號(hào)內(nèi)的文字為注釋，并不包含在pass.log文件中)：
　　TCP [04/08/04 19:14:10]
　　61.187.***.160->202.102.***.114 Port: 1140->25
　　(前面的IP是發(fā)信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口)
　　USER: ZXhlY3V0YW50[admin]
　　(USER是信箱用戶名，前面的ZXhlY3V0YW50為加密的數(shù)據(jù)，后面[]內(nèi)的為用戶ID)
　　TCP [04/08/04 19:14:10]
　　61.187.***.160->202.102.***.114 Port: 1140->25
　　PASS: YWRtaW5zdXA=[adminsup]
　　(PASS是郵箱的密碼，YWRtaW5zdXA=為加密數(shù)據(jù)，后面[]內(nèi)的為密碼)
　　TCP [04/08/04 19:14:10]
　　61.187.***.160->202.102.***.114 Port: 1140->25
　　MAIL FROM:
　　(類似于發(fā)郵件時(shí)的信息，指信息發(fā)送的目的郵箱)
　　TCP [04/08/04 19:14:10]
　　61.187.***.160->202.102.***.114 Port: 1140->25
　　RCPT T 1@1.***>
　　(測(cè)試信箱的地址)
　　  
　　第四步：現(xiàn)在我們已經(jīng)知道了這個(gè)木馬是使?A HREF="mailto:admin@1234.***郵箱來發(fā)信的，用戶名是admin，密碼是adminsup。于是，進(jìn)入這個(gè)郵箱，刪掉那些信吧。">admin@1234.***郵箱來發(fā)信的，用戶名是admin，密碼是adminsup。于是，進(jìn)入這個(gè)郵箱，刪掉那些信吧。
　　第五步：不要以為這就結(jié)束了，木馬是狡猾的，很多木馬還包含一個(gè)隱藏后門。執(zhí)行剛剛生成的木馬服務(wù)器端(沒有手動(dòng)清理病毒能力的讀者請(qǐng)勿輕易嘗試，并對(duì)系統(tǒng)進(jìn)行備份，以便還原)。
　　第六步：使用前面的命令，讓xsniff開始嗅探，進(jìn)入該游戲，隨便申請(qǐng)一個(gè)ID，接著退出，再去看看pass.log文件。
　　TCP [04/08/04 19:20:39]
　　61.187.***.160->61.135.***.125 Port: 1157->25
　　PASS: YWRtaW5zdXA=[admin]
　　TCP [04/08/04 19:20:40]
　　61.187.***.160->61.135.***.125 Port: 1157->25
　　MAIL FROM:
　　
　　看到了嗎？木馬終于漏出了狐貍尾巴，用戶名為admin，密碼為admin，郵箱是?A HREF="mailto:admin@12345.***，這個(gè)郵箱才是作者的后門程序，木馬真正的后門。">admin@12345.***，這個(gè)郵箱才是作者的后門程序，木馬真正的后門。
　　第七步：最后，將該郵箱里的盜號(hào)郵件清除，然后恢復(fù)系統(tǒng)