不凡的黑客幻想 撬开加密的锁实用2篇

网友 分享 时间:

【引言】阿拉题库漂亮网友为您分享整理的“不凡的黑客幻想 撬开加密的锁实用2篇”范文资料,以供参考学习,希望这篇文档资料对您有所帮助,喜欢就下载分享给朋友吧!

不凡的黑客幻想 撬开加密的锁1

最近黑不凡在寝室里很不受欢迎,不管碰谁的电脑就会马上被赶走。原来前些天他破解了这帮“狐朋狗友”所用的加密软件――嘿嘿,那些肉麻的情书,那些养眼的图片都一览无遗了。黑不凡几个月的早餐有了着落,还不时阴险地吭两声:“小蔡呀,明儿个把我的臭袜子洗了吧!”

()

第七回整蛊隐身马甲加密究竟有多密

遭殃的大师

今天寝室众兄弟突然把话题集中在加密软件上,小蔡开口就说:“郑重推荐《高强度文件夹加密大师》(下文简称“大师”),堪称一个极品。高强度加密算法,国防极的加密强度……”

我怕他唾沫飞到我脸上,立马打住:“小蔡呀,这火车不是推的,牛皮不是乱吹的!让我来给你开开眼界,把你那东东废掉。”

“你若废得了,我给你洗臭袜子!”

小蔡此语一出,我赶紧握住他的双手:“兄弟,就这么定了!”

小蔡所用的“大师”版本为9000 Build1005,杀这“鸡”还用不上牛刀呢,WinHex即可。运行“大师”需要密码,随便输入后确定(例如987654321),提示密码错误(图1)。此时不要点“确定”,否则窗口会关闭。

运行WinHex,选择“工具”栏下的“RAM编辑器”。找到“Svohost”(一般会有两个,选择后面那一个)并展开,选择“整个内存”进行操作。此时,“大师”在内存中驻留的信息就可以查看了,登录的正确密码也在其中。数据非常庞大,WinHex的搜索功能可以解决,关键是搜索关键字的选择。

这就要靠猜想了, 例如“password”这样有特殊意义的、加密的文件名或者输入的错误密码。这里我用错误的密码进行搜索,果然在错误密码附近有收获(图2),用这个进入就OK了。

“ 不对呀! 我设置的密码是ILOVEPCD,怎么变了呢?”小蔡满脸疑惑。

“这可能是软件本身对密码进行了转换处理,也就是有了两个密码。”我解释道。

“知道这个密码有什么用呀,大不了知道我对哪些文件加了密,你又不知道打开它们的密码。再说这个软件支持移动加密,不依赖软件本身,我把软件卸了还是要密码,你能打开不?!”小蔡显然不服气。

我继续所谓的“移动加密”的解密,在另外一台没装“大师”的电脑上打开加密过的文件,输入错误的密码,不关闭该窗口。打开“任务管理器”发现多了个“!解密加密”,这就是本次RAM的编辑对象。打开WinHex对其分析,还是用错误的密码为关键字进行搜索,不料正确的密码还是在附近。

这下小蔡的加密文件夹现形了(图3),哇!原来是红花和绿叶的情书呀,“亲爱的红花M M,我是忠实为你守护一生的绿叶大哥……”,好肉麻呀!“大哥!大哥!别念了,我洗你的臭袜子还不行吗?”小蔡这下彻底崩溃了。

砸开金刚锁

“早就知道那个什么大师是浪得虚名,哪里有我的“加密金刚锁”(下文简称金刚锁)厉害!黑不凡我这么跟你说,你若是把它废了,你以后的伙食我包了。有胆献身不?”一旁幸灾乐祸的阿Q开腔了。

有这样的好事我怎忍心拒绝,阿Q用的“金刚锁”版本是,我按照解密“大师”的方法遭遇不测,这下碰钉子!

“哼哼!没辙了吧!你那两刷子就会糊弄小蔡这样牛皮筋。”阿Q的笑容那么阴险。这个“金刚锁”采用双介质认证,除了密码还有磁盘分区和图片等授权文件,而且正确的密码不会读入内存和错误的比较,因此WinHex就爱莫能助了。

难道真的无懈可击?我发现在“金刚锁”的安装目录下面有一个叫的文件,猜想应该和密码有关。于是将其删除,但发现还是无法进入。难道该文件在其他地方还有备份?搜索发现在C:\windows目录下也有,将其删除。再次进入“金刚锁”,这次成功了!还提示我第一次运行须要创建密码,看来以前的密码不复存在了。

创建一个新的密码,顺利进入了软件界面。查看一下阿Q对哪些文件夹加了密(图4),

看看在进入“金刚锁”后能不能解密。对加密的文件夹解密,输入错误的密码后不要关闭。打开WinHex,对RAM中的“Fedtw”进行分析,此次要捕获两个目标――密码和授权文件。

用加密的文件夹名为关键字搜索有重大发现,密码还是在附近徘徊。接下来是授权文件的捕获,这个用文件的扩展名搜索最为快捷。常用的图片格式自然首先考虑,这不jpg图片很快露出了尾巴(图5)。密码和授权文件都搞到了,加密的文件夹也该现形了。我们的阿Q更厉害,收藏的尽是些养眼的MM,这家伙太不够义气了。

“阿Q,我可等着被你包养哈!先去KFC满足一下你吧!”我调侃道。

岂料身后早已没了人影,阿Q居然从此宣布不认识我了。

把握密码给我们的安全感

一个开锁匠曾狂妄地说:“没有我开不了的锁,只有我不想开的锁”。在密码领域同样没有破解不了的密码,只是时间的问题,也难怪MD5和SHA-1都给破解了。所以,密码给我们安全感并不是绝对的,但这个安全感的强弱我们是可以把握的。习惯性地用一个密码只能让损失加倍;用自己的幸运数字做密码灾难更容易降临;要知道密码长度越大,对破解者的信心打击就越大,有可能因此而放弃破解。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

不凡的黑客幻想 揭开QQ号被盗的谜团2

猖狂的盗号者

“阿Q,你的QQ被盗了。”我平静地通知阿Q。

“你就忽悠我吧,大哥。”

“真的,不信你看:本号被盗,要想找回此号……”(图1)

正在打CS的阿Q,一骨碌就从桌子对面翻了过来:“不是吧,我装的可是卡巴斯基啊。”

怎么办?赶紧到/申诉,还好他记性比较好,填了申诉表里的一大堆问题,但是要三天之后才有答复。

当初是我推荐阿Q装卡巴斯基的,这下QQ号被盗了,我也挺过意不去。让他仔细回忆一下被盗经过,阿Q说曾经碰到一次QQ突然关了,以为程序出错所以再次登录,接着卡巴斯基也崩溃了。

找找被盗的原因

由此看来,遭遇盗号木马了。可令人不解的是,卡巴斯基怎么崩溃了呢?众所周知,卡巴斯基的进程保护相当强大,除了“冰刃”能“杀”掉其进程,无论是WinXP自带的NTSD还是大名鼎鼎的PSkill都奈何不了。留下的惟一线索就是系统时间被改成了2038年,也就是这一改动让卡巴斯基放水了。

说装了卡巴斯基,病毒木马入侵的几率比较小,那么系统漏洞的威胁就比较大了。用X-Scan一扫,MS03026、MS03039、MS03049、MS04011等高危溢出漏洞一大堆,惨不忍睹。

“你哪年装的系统啊?那么多重要的补丁都没打,想必这就是盗号者下手的地方了。”

“怎么下手?不凡你给我演示下,我要搞清楚,免得下次再中招。”

模拟第一现场

因为已经知道了阿Q的电脑上有很多漏洞没打补丁,我在自己的电脑上使用MS03039溢出工具,再加上NC反向连接,很轻松就获取了CMD Shell(图1)。具体方法请参考《激情溢出三部曲》(本刊今年2月上旬刊),在此不再赘述。

在获取C M D S h e l l 后, 用“tasklist”查看进程获知装有卡巴斯基。面对虎视眈眈的卡巴斯基,要想上传盗号工具难于上青天,关键在于卡巴斯基的相关进程没法终止。可最近卡巴斯基爆出了2038漏洞,只要修改一下时间,卡巴斯基就崩溃了,这就给了盗号者可乘之机(以下乃模拟盗号情景,切勿模仿)。

我又从硬盘里找出两个工具,《窗口键盘记录器》和TFTP32,前者用于捕捉键盘记录,用后者把它送到阿Q的电脑里去。

将《窗口键盘记录器》主程序keylog放至TFTP32所在目录,运行TFTP32开启FTP服务(图3)。图标还在,给人还在运行的假象。

QQ2005 Beta3之后的版本对键盘输入采取了保护措施,使得键盘记录程序无法捕获输入字符。将QQ安装目录下的、、三个文件删除后,键盘保护就失效了。再删除,这样可以清除QQ记录的号码,在登录时要重新输入。

利用“tftp Ci GET x e”命令将键盘记录程序上传至目标主机并运行。用tasklist命令获取QQ进程的P I D,再用“ntsd -c q -p PID”结束Q Q 进程。5分钟之后,将C : \Windows\System32目录下的拷贝过来,里面就有QQ账号和密码(图6)。

“这,这就被偷走了啊?” 阿Q目瞪口呆。

“对付不设防的电脑,那还不是轻而易举。快回去重装系统并打补丁吧。”

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

65 1606640
");