不凡的黑客幻想 撬开加密的锁实用2篇

【引言】阿拉题库漂亮网友为您分享整理的“不凡的黑客幻想 撬开加密的锁实用2篇”范文资料，以供参考学习，希望这篇文档资料对您有所帮助，喜欢就下载分享给朋友吧！

不凡的黑客幻想 撬开加密的锁1

最近黑不凡在寝室里很不受欢迎，不管碰谁的电脑就会马上被赶走。原来前些天他破解了这帮“狐朋狗友”所用的加密软件――嘿嘿，那些肉麻的情书，那些养眼的图片都一览无遗了。黑不凡几个月的早餐有了着落，还不时阴险地吭两声：“小蔡呀，明儿个把我的臭袜子洗了吧！”

(）

第七回整蛊隐身马甲加密究竟有多密

遭殃的大师

今天寝室众兄弟突然把话题集中在加密软件上，小蔡开口就说：“郑重推荐《高强度文件夹加密大师》（下文简称“大师”），堪称一个极品。高强度加密算法，国防极的加密强度……”

我怕他唾沫飞到我脸上，立马打住：“小蔡呀，这火车不是推的，牛皮不是乱吹的！让我来给你开开眼界，把你那东东废掉。”

“你若废得了，我给你洗臭袜子！”

小蔡此语一出，我赶紧握住他的双手：“兄弟，就这么定了！”

小蔡所用的“大师”版本为9000 Build1005，杀这“鸡”还用不上牛刀呢，WinHex即可。运行“大师”需要密码，随便输入后确定（例如987654321），提示密码错误（图1）。此时不要点“确定”，否则窗口会关闭。

运行WinHex，选择“工具”栏下的“RAM编辑器”。找到“Svohost”（一般会有两个，选择后面那一个）并展开，选择“整个内存”进行操作。此时，“大师”在内存中驻留的信息就可以查看了，登录的正确密码也在其中。数据非常庞大，WinHex的搜索功能可以解决，关键是搜索关键字的选择。

这就要靠猜想了， 例如“password”这样有特殊意义的、加密的文件名或者输入的错误密码。这里我用错误的密码进行搜索，果然在错误密码附近有收获（图2），用这个进入就OK了。

“ 不对呀！ 我设置的密码是ILOVEPCD，怎么变了呢？”小蔡满脸疑惑。

“这可能是软件本身对密码进行了转换处理，也就是有了两个密码。”我解释道。

“知道这个密码有什么用呀，大不了知道我对哪些文件加了密，你又不知道打开它们的密码。再说这个软件支持移动加密，不依赖软件本身，我把软件卸了还是要密码，你能打开不？！”小蔡显然不服气。

我继续所谓的“移动加密”的解密，在另外一台没装“大师”的电脑上打开加密过的文件，输入错误的密码，不关闭该窗口。打开“任务管理器”发现多了个“！解密加密”，这就是本次RAM的编辑对象。打开WinHex对其分析，还是用错误的密码为关键字进行搜索，不料正确的密码还是在附近。

这下小蔡的加密文件夹现形了（图3），哇！原来是红花和绿叶的情书呀，“亲爱的红花M M，我是忠实为你守护一生的绿叶大哥……”，好肉麻呀！“大哥！大哥！别念了，我洗你的臭袜子还不行吗？”小蔡这下彻底崩溃了。

砸开金刚锁

“早就知道那个什么大师是浪得虚名，哪里有我的“加密金刚锁”（下文简称金刚锁）厉害！黑不凡我这么跟你说，你若是把它废了，你以后的伙食我包了。有胆献身不？”一旁幸灾乐祸的阿Q开腔了。

有这样的好事我怎忍心拒绝，阿Q用的“金刚锁”版本是，我按照解密“大师”的方法遭遇不测，这下碰钉子！

“哼哼！没辙了吧！你那两刷子就会糊弄小蔡这样牛皮筋。”阿Q的笑容那么阴险。这个“金刚锁”采用双介质认证，除了密码还有磁盘分区和图片等授权文件，而且正确的密码不会读入内存和错误的比较，因此WinHex就爱莫能助了。

难道真的无懈可击？我发现在“金刚锁”的安装目录下面有一个叫的文件，猜想应该和密码有关。于是将其删除，但发现还是无法进入。难道该文件在其他地方还有备份？搜索发现在C:\windows目录下也有，将其删除。再次进入“金刚锁”，这次成功了！还提示我第一次运行须要创建密码，看来以前的密码不复存在了。

创建一个新的密码，顺利进入了软件界面。查看一下阿Q对哪些文件夹加了密（图4），

看看在进入“金刚锁”后能不能解密。对加密的文件夹解密，输入错误的密码后不要关闭。打开WinHex，对RAM中的“Fedtw”进行分析，此次要捕获两个目标――密码和授权文件。

用加密的文件夹名为关键字搜索有重大发现，密码还是在附近徘徊。接下来是授权文件的捕获，这个用文件的扩展名搜索最为快捷。常用的图片格式自然首先考虑，这不jpg图片很快露出了尾巴（图5）。密码和授权文件都搞到了，加密的文件夹也该现形了。我们的阿Q更厉害，收藏的尽是些养眼的MM，这家伙太不够义气了。

“阿Q，我可等着被你包养哈！先去KFC满足一下你吧！”我调侃道。

岂料身后早已没了人影，阿Q居然从此宣布不认识我了。

把握密码给我们的安全感

一个开锁匠曾狂妄地说：“没有我开不了的锁，只有我不想开的锁”。在密码领域同样没有破解不了的密码，只是时间的问题，也难怪MD5和SHA-1都给破解了。所以，密码给我们安全感并不是绝对的，但这个安全感的强弱我们是可以把握的。习惯性地用一个密码只能让损失加倍；用自己的幸运数字做密码灾难更容易降临；要知道密码长度越大，对破解者的信心打击就越大，有可能因此而放弃破解。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

不凡的黑客幻想 揭开QQ号被盗的谜团2

猖狂的盗号者

“阿Q，你的QQ被盗了。”我平静地通知阿Q。

“你就忽悠我吧，大哥。”

“真的，不信你看：本号被盗，要想找回此号……”（图1）

正在打CS的阿Q，一骨碌就从桌子对面翻了过来：“不是吧，我装的可是卡巴斯基啊。”

怎么办？赶紧到/申诉，还好他记性比较好，填了申诉表里的一大堆问题，但是要三天之后才有答复。

当初是我推荐阿Q装卡巴斯基的，这下QQ号被盗了，我也挺过意不去。让他仔细回忆一下被盗经过，阿Q说曾经碰到一次QQ突然关了，以为程序出错所以再次登录，接着卡巴斯基也崩溃了。

找找被盗的原因

由此看来，遭遇盗号木马了。可令人不解的是，卡巴斯基怎么崩溃了呢？众所周知，卡巴斯基的进程保护相当强大，除了“冰刃”能“杀”掉其进程，无论是WinXP自带的NTSD还是大名鼎鼎的PSkill都奈何不了。留下的惟一线索就是系统时间被改成了2038年，也就是这一改动让卡巴斯基放水了。

说装了卡巴斯基，病毒木马入侵的几率比较小，那么系统漏洞的威胁就比较大了。用X-Scan一扫，MS03026、MS03039、MS03049、MS04011等高危溢出漏洞一大堆，惨不忍睹。

“你哪年装的系统啊？那么多重要的补丁都没打，想必这就是盗号者下手的地方了。”

“怎么下手？不凡你给我演示下，我要搞清楚，免得下次再中招。”

模拟第一现场

因为已经知道了阿Q的电脑上有很多漏洞没打补丁，我在自己的电脑上使用MS03039溢出工具，再加上NC反向连接，很轻松就获取了CMD Shell（图1）。具体方法请参考《激情溢出三部曲》（本刊今年2月上旬刊），在此不再赘述。

在获取C M D S h e l l 后， 用“tasklist”查看进程获知装有卡巴斯基。面对虎视眈眈的卡巴斯基，要想上传盗号工具难于上青天，关键在于卡巴斯基的相关进程没法终止。可最近卡巴斯基爆出了2038漏洞，只要修改一下时间，卡巴斯基就崩溃了，这就给了盗号者可乘之机（以下乃模拟盗号情景，切勿模仿）。

我又从硬盘里找出两个工具，《窗口键盘记录器》和TFTP32，前者用于捕捉键盘记录，用后者把它送到阿Q的电脑里去。

将《窗口键盘记录器》主程序keylog放至TFTP32所在目录，运行TFTP32开启FTP服务（图3）。图标还在，给人还在运行的假象。

QQ2005 Beta3之后的版本对键盘输入采取了保护措施，使得键盘记录程序无法捕获输入字符。将QQ安装目录下的、、三个文件删除后，键盘保护就失效了。再删除，这样可以清除QQ记录的号码，在登录时要重新输入。

利用“tftp Ci GET x e”命令将键盘记录程序上传至目标主机并运行。用tasklist命令获取QQ进程的P I D，再用“ntsd -c q -p PID”结束Q Q 进程。5分钟之后，将C : \Windows\System32目录下的拷贝过来，里面就有QQ账号和密码（图6）。

“这，这就被偷走了啊？” 阿Q目瞪口呆。

“对付不设防的电脑，那还不是轻而易举。快回去重装系统并打补丁吧。”

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。