我刚刚点进了一个游戏什么是钓鱼网站站,随便输入了一个账号密码 但一看显示的我的游戏ID我就赶紧改密码了
点击联系发帖人
时间:2017-12-09 22:23
如何给自己各种帐号编一个安全又不会忘记的密码?
【温馨提示:疑似钓鱼贴。不过也许是无意的。强烈建议大家不要公开自己所使用的密码、以及构建模式。不要使用公开的密码以及公开的密码模式。】【不要按照其他答案的模式来构建密码。无论是好意还是恶意公开,公开就不安全了。】【尤其是不要完全复制别人公开的密码!!!公开就不安全了。】――――――――如题,各种网站注册时起个昵称想半天,输入密码还得就结半天:所有帐号都用同一个密码不安全,编新密码又怕忘了――昨天订春运票,因为8点开抢,在地铁上用的,要我输入密码……输错几次被锁定一天。F*CK!幸亏借了别人的帐号才抢到!~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
用唐诗宋词!可以保证各个重要的密码不重复,而且很难忘记(这个创意不是我的发明)。基本原则:1. 诗意和使用场景有关;2. 把里面的中文数字替换成阿拉伯数字。举例(当然不是我自己真正的密码,真正的更偏):QQ:洛阳亲友如相问,一片冰心在玉壶――Lyqy…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
当然是使用一款密码生成和管理的软件了,这样只需记住一个密码就可以了。个人1password(收费)、lastpass(免费)、keepass(免费)引用内容来自异次元软件世界,作者为X-Force1Password - 可能是目前最完美的跨平台账号密码管理工具 (高安全性/一键自…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
网站名+某组喜欢的数字
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的密码规则:md5("网站注册名@网站域名,唯一密码");注:唯一密码是我所有密码都要用到的加密密码。md5也可以更换为其他你喜欢的hash算法。比如我的唯一密码是 123456如果我的qq号是,那我的qq密码就是md5(",123456")我的手机号是1…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的经验是设置各种专业词汇的英文。我的手机锁屏密码是gynaecology,学。淘宝登录密码是Cancer,寓意上淘宝是病。我家的WiFi密码是medicine,医学。其他密码我就不说了,诸如gastric胃癌,laparoscope腹腔镜,appendicitis阑尾炎之类。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的是两种密码,第一种,前面一段汉语翻译成一句话的数字!最后加上网站名,第二种,跟技术相关的网站,前面用法一样。最后加个特殊符号!(因为技术站容易被黑。。。)举例!14231zh(你是个傻逼 )14231db(你是个傻逼 豆瓣)14231 csdn&(你是个傻…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
1tdhblk.fcdhx2a一条大河波浪宽,风吹稻花香两岸
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
你们都是原始人吧。用1Password,记个毛线啊…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
先放咆哮点:在这个问题下得票越高的造密码方法,越是不安全!再放答案:使用密码库管理密码。这恐怕是目前唯一安全可行的方法了然后详解:为什么要用密码库???因为任何你能想到的有规律地构造、记忆密码的方法 都是严重降低密码复杂度的方法(容易记忆 …
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的比较简单,密码为唯一数字密码的8421码+网站名。比如以为例,我的唯一数字密码是12306,我首先把里面的每一个数字转换成8421码,结果就变成了。在其末尾加上zhihu即可。其他以及类推。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
警惕,继骗照、骗炮、骗吃、骗喝又来了一种新的骗术,骗密码~~~~楼上的那些回答的,请注意,有心人己经全部截图,目前正在破解当中~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
“ppnn13%dkst-Feb.1st”杜牧《赠别》“娉娉袅袅十三余,豆蔻梢头二月初”。窗前明月光“bed7moonlight。”FLZX3000cY4yhl9day“飞流直下三千尺,疑似银河下九天”hanshansi.location()!∈[gusucity]――姑苏城外寒山寺hold?fish:palm――鱼和熊掌不可兼得…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
生成一个,然后背下来。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
你知道我为什么要背出π后面三十多位吗?补充:可能单纯数字比较容易记忆单页太过简单,有时候我会根据自己的习惯加入一些字母字符。最近就幻想有自己的网站,所以我任取π一段数字再加上“@自己名字首字母缩写”。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
网站名+网站名拼音转换到九宫格输入法对应的数字
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
很简单啊。支付宝:zhifubaodemima微博:weibodemimaQQ:qqdemima:zhihudemimaTwitter:twitterdemima就是这么简单粗暴,微笑。什么?你说AppleID?我矛呢...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
相信现在手机上大多数人都使用九宫格输入法,熟练的人能做到盲拼。我的做法是,找一个词,用这个词的英文单词或者拼音加盲拼数字设置成密码,比如密码关键词为,那密码可以设置为zhihu94448
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
(????ω????)换个男票改个密码
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我是用五笔输入法打了一句话,导致用手机登录时必须两只手,假装在机械键盘上才行
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
从初中开始我按照下面的方法设置密码个人账号分三类安全级别高级安全级别(涉及到支付,个人隐私信息,联系亲朋好友,主找回用邮箱账号,贵重游戏账号等)中级安全级别(翻墙,一般游戏账号,注册用邮箱帐号等)临时安全级别(临时注册诸如注册才能下载这种…
【如何给自己各种帐号编一个安全又不会忘记的密码?】
请将本文分享给你的朋友:
如何给自己各种帐号编一个安全又不会忘记的密码? 的相关文章
------分隔线----------------------------
北京联盟郑重声明:本文仅代表作者个人观点,与北京联盟无关。其原创性及文中陈述内容未经本站证实,北京联盟对本文及其中全部或者部分内容的真实性、完整性、及时性不作任何保证和承诺,请网友自行核实相关内容。一个钓鱼木马引发的血案10 months ago赞赏5 人赞赏480收藏分享举报文章被以下专栏收录网络如此多娇,引无数黑客竞折腰推荐阅读{&debug&:false,&apiRoot&:&&,&paySDK&:&https:\u002F\\u002Fapi\u002Fjs&,&wechatConfigAPI&:&\u002Fapi\u002Fwechat\u002Fjssdkconfig&,&name&:&production&,&instance&:&column&,&tokens&:{&X-XSRF-TOKEN&:null,&X-UDID&:null,&Authorization&:&oauth c3cef7c66aa9e6a1e3160e20&}}{&database&:{&Post&:{&&:{&isPending&:false,&contributes&:[{&sourceColumn&:{&lastUpdated&:,&description&:&90个黑客大佬做技术顾问,每周超过10篇的技术投稿,操心着全民的网络安全,普及着更多的安全技术。吹牛逼的~其实我只是个混黑客圈的运营小白,大家随便看看就好。&,&permission&:&COLUMN_PUBLIC&,&memberId&:,&contributePermission&:&COLUMN_PUBLIC&,&translatedCommentPermission&:&all&,&canManage&:true,&intro&:&网络如此多娇,引无数黑客竞折腰&,&urlToken&:&ichunqiu&,&id&:22597,&imagePath&:&v2-b7c9babdd38edff.jpg&,&slug&:&ichunqiu&,&applyReason&:&0&,&name&:&i春秋技术社区&,&title&:&i春秋技术社区&,&url&:&https:\u002F\\u002Fichunqiu&,&commentPermission&:&COLUMN_ALL_CAN_COMMENT&,&canPost&:true,&created&:,&state&:&COLUMN_NORMAL&,&followers&:4115,&avatar&:{&id&:&v2-b7c9babdd38edff&,&template&:&https:\u002F\\u002F{id}_{size}.jpg&},&activateAuthorRequested&:false,&following&:false,&imageUrl&:&https:\u002F\\u002Fv2-b7c9babdd38edff_l.jpg&,&articlesCount&:46},&state&:&accepted&,&targetPost&:{&titleImage&:&https:\u002F\\u002Fv2-4cdaca1ed366eede5a12b_r.jpg&,&lastUpdated&:,&imagePath&:&v2-4cdaca1ed366eede5a12b.jpg&,&permission&:&ARTICLE_PUBLIC&,&topics&:[,2823],&summary&:&本文原创作者:\u003Ca href=\&https:\u002F\\u002F?target=http%3A\u002F\\u002Fspace-uid-199935.html\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Eimmenma\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E 内容来源:\u003Ca href=\&https:\u002F\\u002F?target=http%3A\u002F\\u002Fportal.php%3Ffrom%3Dy\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Ei春秋社区\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E 未经许可禁止转载\u003Cb\u003E注意:长文多图预警,建议WIFI环境阅读,土豪请随意!\u003C\u002Fb\u003E。。。。。。。。。。分割线。。。。。。。。。。故事发生于某个阳光明媚的某手绘交流群,不知什么时候,来了一位传奇般的雷锋级黑客。具体…&,©Permission&:&ARTICLE_COPYABLE&,&translatedCommentPermission&:&all&,&likes&:0,&origAuthorId&:0,&publishedTime&:&T17:24:37+08:00&,&sourceUrl&:&&,&urlToken&:,&id&:2344704,&withContent&:false,&slug&:,&bigTitleImage&:false,&title&:&一个钓鱼木马引发的血案&,&url&:&\u002Fp\u002F&,&commentPermission&:&ARTICLE_ALL_CAN_COMMENT&,&snapshotUrl&:&&,&created&:,&comments&:0,&columnId&:22597,&content&:&&,&parentId&:0,&state&:&ARTICLE_PUBLISHED&,&imageUrl&:&https:\u002F\\u002Fv2-4cdaca1ed366eede5a12b_r.jpg&,&author&:{&bio&:&一个懒散的家伙。。。&,&isFollowing&:false,&hash&:&df05f08bfe8b2a&,&uid&:824060,&isOrg&:false,&slug&:&yin-chang-ni&,&isFollowed&:false,&description&:&在安全圈打杂一年多,终于看破一件事,传说中神秘的黑客,其实都是一群可爱的逗比们,哈哈!【不定期更新技术文章哦】\n\n我已加入“维权骑士”()的版权保护计划。&,&name&:&坏蛋&,&profileUrl&:&https:\u002F\\u002Fpeople\u002Fyin-chang-ni&,&avatar&:{&id&:&d59e3b0d8&,&template&:&https:\u002F\\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&memberId&:,&excerptTitle&:&&,&voteType&:&ARTICLE_VOTE_CLEAR&},&id&:557608}],&title&:&一个钓鱼木马引发的血案&,&author&:&yin-chang-ni&,&content&:&\u003Cblockquote\u003E本文原创作者:\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\u002Fspace-uid-199935.html\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Eimmenma\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003Cbr\u003E内容来源:\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\u002Fportal.php%3Ffrom%3Dy\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Ei春秋社区\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003Cbr\u003E未经许可禁止转载\u003C\u002Fblockquote\u003E\u003Cp\u003E\u003Cb\u003E注意:长文多图预警,建议WIFI环境阅读,土豪请随意!\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E。。。。。。。。。。分割线。。。。。。。。。。\u003C\u002Fp\u003E\u003Cp\u003E故事发生于某个阳光明媚的某手绘交流群,不知什么时候,来了一位传奇般的雷锋级黑客。\u003C\u002Fp\u003E\u003Cp\u003E具体他说了什么,就不再复述了,基本就是:“群里谁要QB,我可以帮你刷”。\u003C\u002Fp\u003E\u003Cp\u003E寡人回了一句,大概意思是:“这是手绘群,打广告别来,QB什么用”之类的云云。\u003C\u002Fp\u003E\u003Cp\u003E没想到这位雷锋黑客不但不放弃,秉着“我一定要为人民服务的中国梦”精神还加我好友,\u003C\u002Fp\u003E\u003Cp\u003E寡人也想看看这葫芦里卖的什么药\u003C\u002Fp\u003E\u003Cp\u003E于是有了已下的一幕:\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_b.jpg\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='764'%20height='761'&&\u002Fsvg&\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来真是天下掉馅饼的好事,为什么不试试呢,但是感觉为什么有点不对劲\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-487ae1e5ddf_b.jpg\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-487ae1e5ddf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='764'%20height='761'&&\u002Fsvg&\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-487ae1e5ddf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-487ae1e5ddf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E骚年,这意图要不要那么明显,顿时产生了一种:“总有刁民想害朕”的危机感。\u003C\u002Fp\u003E\u003Cp\u003E如果在平时,基本是已经是拉黑删除钓鱼程序结束了,但是今天寡人怨念尤其的深,不知道是不是昨晚喝的咖啡弄的一夜没睡,还是陪母上大人看了一上午的国产雷剧,浑身积攒了满满的负能量,我开始有了一些比较腹黑的想法 (╯°Д°)╯︵ ┻━┻\u003C\u002Fp\u003E\u003Cp\u003E我决定,看看这个钓鱼程序卖的是什么药\u003C\u002Fp\u003E\u003Cp\u003E先来看看这款软件闷骚的小图标\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0f570d40ced69c892dc2d5ffb767bd40_b.jpg\& data-rawwidth=\&124\& data-rawheight=\&101\& class=\&content_image\& width=\&124\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='124'%20height='101'&&\u002Fsvg&\& data-rawwidth=\&124\& data-rawheight=\&101\& class=\&content_image lazy\& width=\&124\& data-actualsrc=\&https:\u002F\\u002Fv2-0f570d40ced69c892dc2d5ffb767bd40_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E使用PEid进行查壳:发现加了UPX壳\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7edce318eef52_b.jpg\& data-rawwidth=\&432\& data-rawheight=\&253\& class=\&origin_image zh-lightbox-thumb\& width=\&432\& data-original=\&https:\u002F\\u002Fv2-7edce318eef52_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='432'%20height='253'&&\u002Fsvg&\& data-rawwidth=\&432\& data-rawheight=\&253\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&432\& data-original=\&https:\u002F\\u002Fv2-7edce318eef52_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7edce318eef52_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E当然这种这个难度约等于0的压缩壳,使用esp定律或者直接用工具能轻松搞定,脱去upx壳后再次查壳,发现变成了VC++6.0\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_b.jpg\& data-rawwidth=\&422\& data-rawheight=\&239\& class=\&origin_image zh-lightbox-thumb\& width=\&422\& data-original=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='422'%20height='239'&&\u002Fsvg&\& data-rawwidth=\&422\& data-rawheight=\&239\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&422\& data-original=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E这个年代,当然基本不会有人还在用VC++6.0了那么基本肯定,这一定是宇宙无敌易语言写的神奇玩意。\u003C\u002Fp\u003E\u003Cp\u003E在虚拟机中再次运行这个软件\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-14fd24ad7b64e733a0378f_b.jpg\& data-rawwidth=\&330\& data-rawheight=\&160\& class=\&content_image\& width=\&330\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='330'%20height='160'&&\u002Fsvg&\& data-rawwidth=\&330\& data-rawheight=\&160\& class=\&content_image lazy\& width=\&330\& data-actualsrc=\&https:\u002F\\u002Fv2-14fd24ad7b64e733a0378f_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E可以观察到,程序的意图基本就是钓取我们的账号密码,那么,这个账号密码会被发送到哪里呢?\u003C\u002Fp\u003E\u003Cp\u003E不过不管如何发送,我们至少能够猜到99%是通过网络发送出去的,易语言这个excited的东西啊。网络最一般是通过socket来进行的,socket进行网络通信,用的是tcp udp两种通讯协议,对应最常用的发送数据,应该就是send和sendto这两个函数了。(当然也有WSAsend之类IOCP的做法,不过既然是易语言这种宇宙级语言写出来的东西,我们就不用想的那么复杂)\u003C\u002Fp\u003E\u003Cp\u003E到这里,寡人决定做一个小小的工具,把这个软件发送的数据给dump下来\u003C\u002Fp\u003E\u003Cp\u003E到这里,想到一个被用烂了十几年但是仍然有效的技术--------inline hook\u003C\u002Fp\u003E\u003Cp\u003E至于什么是inline hook,这里我也不继续复述,毕竟这东西网上存在的资料已经非常非常多了,自己动手丰衣足食,不过我还是使用两张图来简单描述一下inline hook\u003C\u002Fp\u003E\u003Cp\u003E图1.0\u003C\u002Fp\u003E\u003Cp\u003E首先这是原来正常的函数\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8c1da5cdce5f888a4386c66abae54951_b.jpg\& data-rawwidth=\&345\& data-rawheight=\&555\& class=\&content_image\& width=\&345\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='345'%20height='555'&&\u002Fsvg&\& data-rawwidth=\&345\& data-rawheight=\&555\& class=\&content_image lazy\& width=\&345\& data-actualsrc=\&https:\u002F\\u002Fv2-8c1da5cdce5f888a4386c66abae54951_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E然后这是被hook过的函数\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_b.jpg\& data-rawwidth=\&723\& data-rawheight=\&555\& class=\&origin_image zh-lightbox-thumb\& width=\&723\& data-original=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='723'%20height='555'&&\u002Fsvg&\& data-rawwidth=\&723\& data-rawheight=\&555\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&723\& data-original=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E显然的,在我们的函数里,我们就可以做一点坏事,比如把传递给原函数的参数进行过滤修改,当然,在这里我们只是想dump下这个软件发送出去的数据,废话就不多说了,打开visualstudio创建项目\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_b.jpg\& data-rawwidth=\&1718\& data-rawheight=\&883\& class=\&origin_image zh-lightbox-thumb\& width=\&1718\& data-original=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1718'%20height='883'&&\u002Fsvg&\& data-rawwidth=\&1718\& data-rawheight=\&883\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1718\& data-original=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写注入用的DLL(为什么使用DLL呢,因为DLL能够避免很多直接代码注入修改的很多问题,比如代码重定向,例如aslr保护……最主要的是,直接写起来也方便)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_b.jpg\& data-rawwidth=\&864\& data-rawheight=\&439\& class=\&origin_image zh-lightbox-thumb\& width=\&864\& data-original=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='864'%20height='439'&&\u002Fsvg&\& data-rawwidth=\&864\& data-rawheight=\&439\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&864\& data-original=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写hook类,自己放大图片看吧,具体代码在附件当中自行查阅\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_b.jpg\& data-rawwidth=\&1678\& data-rawheight=\&584\& class=\&origin_image zh-lightbox-thumb\& width=\&1678\& data-original=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1678'%20height='584'&&\u002Fsvg&\& data-rawwidth=\&1678\& data-rawheight=\&584\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1678\& data-original=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写DLLMain\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_b.jpg\& data-rawwidth=\&1053\& data-rawheight=\&660\& class=\&origin_image zh-lightbox-thumb\& width=\&1053\& data-original=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1053'%20height='660'&&\u002Fsvg&\& data-rawwidth=\&1053\& data-rawheight=\&660\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1053\& data-original=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E到这里,我们需要HookSend和sendto这两个函数,在上面说到的“我们的函数中”,我们就是把数据给dump下来(就是保存下来)\u003C\u002Fp\u003E\u003Cp\u003E保存的文件名格式是(通讯协议_发送IP地址_端口_索引.bin)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_b.jpg\& data-rawwidth=\&935\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb\& width=\&935\& data-original=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='935'%20height='300'&&\u002Fsvg&\& data-rawwidth=\&935\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&935\& data-original=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_b.jpg\& data-rawwidth=\&1033\& data-rawheight=\&238\& class=\&origin_image zh-lightbox-thumb\& width=\&1033\& data-original=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1033'%20height='238'&&\u002Fsvg&\& data-rawwidth=\&1033\& data-rawheight=\&238\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1033\& data-original=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E最后在DLLMainattach中让hook执行并生效\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_b.jpg\& data-rawwidth=\&697\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb\& width=\&697\& data-original=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='697'%20height='300'&&\u002Fsvg&\& data-rawwidth=\&697\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&697\& data-original=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编译,一次成功(苍天保佑)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_b.jpg\& data-rawwidth=\&1037\& data-rawheight=\&259\& class=\&origin_image zh-lightbox-thumb\& width=\&1037\& data-original=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1037'%20height='259'&&\u002Fsvg&\& data-rawwidth=\&1037\& data-rawheight=\&259\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1037\& data-original=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E最后我们还需要编写一个注入器(这个比较复杂点,但是我们可以用复制黏贴大法在网上抄一段)注入器的功能,就是把让这个DLL在程序执行之前加载进去,打个比方嘛就是在程序里插入一个内奸。这个内奸就是我们的hook程序,他会不断把这个钓鱼程序的信息报告给我们。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_b.jpg\& data-rawwidth=\&1233\& data-rawheight=\&447\& class=\&origin_image zh-lightbox-thumb\& width=\&1233\& data-original=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1233'%20height='447'&&\u002Fsvg&\& data-rawwidth=\&1233\& data-rawheight=\&447\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1233\& data-original=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编译,Release,那么到这里,我们的准备工作也就完成了\u003C\u002Fp\u003E\u003Cp\u003E现在万事俱备,只欠东风,当然,这个程序表面上看“是个钓鱼程序”,但是我们也不得不防一手,万一这个程序还有些别的什么动作,那不就神不知鬼不觉被它搞了个大新闻么,所以,我们打开虚拟机环境以防万一。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_b.jpg\& data-rawwidth=\&1235\& data-rawheight=\&893\& class=\&origin_image zh-lightbox-thumb\& width=\&1235\& data-original=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1235'%20height='893'&&\u002Fsvg&\& data-rawwidth=\&1235\& data-rawheight=\&893\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1235\& data-original=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E把这个“2016刷qb软件”和我们编写好的hook程序一起放入虚拟机,我们把这个钓鱼程序重命名为Sample.exe\u003C\u002Fp\u003E\u003Cp\u003E其中Injector就是注入器,他会把当前目录的inlineHooker.dll注入到Sample.exe当中,这样我们就能够监视这个程序了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_b.jpg\& data-rawwidth=\&1238\& data-rawheight=\&892\& class=\&origin_image zh-lightbox-thumb\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1238'%20height='892'&&\u002Fsvg&\& data-rawwidth=\&1238\& data-rawheight=\&892\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E运行Injector,没有出现错误,目标程序也被顺利的打开了。说明注入成功\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_b.jpg\& data-rawwidth=\&1238\& data-rawheight=\&888\& class=\&origin_image zh-lightbox-thumb\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1238'%20height='888'&&\u002Fsvg&\& data-rawwidth=\&1238\& data-rawheight=\&888\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E在QQ号码和密码中,我们随便输入一串数字,比如1111111之类的,然后点击“一键刷qb”,在这个“您已成功刷取QB,24小时到账”的忽悠弹窗后,我们发现了桌面上多了点东西.\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_b.jpg\& data-rawwidth=\&1084\& data-rawheight=\&793\& class=\&origin_image zh-lightbox-thumb\& width=\&1084\& data-original=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1084'%20height='793'&&\u002Fsvg&\& data-rawwidth=\&1084\& data-rawheight=\&793\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1084\& data-original=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E首先我们成功dump到了这个程序往外发送的一些数据包,我们可以看到这些数据包是以send函数的形式发送出去的,也就是这个钓鱼程序与某个IP进行了某些肮脏的屁眼交易 \u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_b.jpg\& data-rawwidth=\&1028\& data-rawheight=\&807\& class=\&origin_image zh-lightbox-thumb\& width=\&1028\& data-original=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1028'%20height='807'&&\u002Fsvg&\& data-rawwidth=\&1028\& data-rawheight=\&807\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1028\& data-original=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E从文件名可以看到,这个TCP连接到了27.152.181.114这个地址,而端口是80,显而易见这八成是一个Http协议的通讯,我们用记事本直接打开这个文件,发现它访问了\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\& class=\& external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003E\u003Cspan class=\&invisible\&\u003Ehttp:\u002F\u002F\u003C\u002Fspan\u003E\u003Cspan class=\&visible\&\\u003C\u002Fspan\u003E\u003Cspan class=\&invisible\&\u003E\u003C\u002Fspan\u003E\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E并且Get x\u002F56636里的东西\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_b.jpg\& data-rawwidth=\&902\& data-rawheight=\&662\& class=\&origin_image zh-lightbox-thumb\& width=\&902\& data-original=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='902'%20height='662'&&\u002Fsvg&\& data-rawwidth=\&902\& data-rawheight=\&662\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&902\& data-original=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E那么到底是什么玩意呢。不妨打开浏览器浏览一下那个地址,2345????.exe,\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_b.jpg\& data-rawwidth=\&956\& data-rawheight=\&650\& class=\&origin_image zh-lightbox-thumb\& width=\&956\& data-original=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='956'%20height='650'&&\u002Fsvg&\& data-rawwidth=\&956\& data-rawheight=\&650\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&956\& data-original=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来就是桌面上多出的这个玩意了。真是钓鱼也不忘打广告捞一笔。真不知道这个钓鱼程序和2345间存在着什么更多的py交易\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e14e42a26364c3aaac4376_b.jpg\& data-rawwidth=\&343\& data-rawheight=\&363\& class=\&content_image\& width=\&343\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='343'%20height='363'&&\u002Fsvg&\& data-rawwidth=\&343\& data-rawheight=\&363\& class=\&content_image lazy\& width=\&343\& data-actualsrc=\&https:\u002F\\u002Fv2-e14e42a26364c3aaac4376_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E我们接着分析第一个数据包,发现它指向了\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\u002Fvip.\& class=\& external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003E\u003Cspan class=\&invisible\&\u003Ehttp:\u002F\u002F\u003C\u002Fspan\u003E\u003Cspan class=\&visible\&\u003Evip.\u003C\u002Fspan\u003E\u003Cspan class=\&invisible\&\u003E\u003C\u002Fspan\u003E\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E这是百度网盘还是什么。看这又臭又长的Get请求,那个File字样深深出卖了它似乎又下载了一些别的什么东西.\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_b.jpg\& data-rawwidth=\&920\& data-rawheight=\&711\& class=\&origin_image zh-lightbox-thumb\& width=\&920\& data-original=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='920'%20height='711'&&\u002Fsvg&\& data-rawwidth=\&920\& data-rawheight=\&711\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&920\& data-original=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E接着看之后另一个数据包,似乎也是在下载什么东西。我们复制下这个链接\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-de9e308cf7bd_b.jpg\& data-rawwidth=\&854\& data-rawheight=\&528\& class=\&origin_image zh-lightbox-thumb\& width=\&854\& data-original=\&https:\u002F\\u002Fv2-de9e308cf7bd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='854'%20height='528'&&\u002Fsvg&\& data-rawwidth=\&854\& data-rawheight=\&528\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&854\& data-original=\&https:\u002F\\u002Fv2-de9e308cf7bd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-de9e308cf7bd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_b.jpg\& data-rawwidth=\&817\& data-rawheight=\&223\& class=\&origin_image zh-lightbox-thumb\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='817'%20height='223'&&\u002Fsvg&\& data-rawwidth=\&817\& data-rawheight=\&223\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E发现迅雷弹出来了,掀桌子,怎么又是这个2345网址导航,看来这个钓鱼程序的作者从一个地方下载还不大放心,从另外的一些地方又下载了一次,莫非下载的多就能进行更多的交易?\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_b.jpg\& data-rawwidth=\&565\& data-rawheight=\&344\& class=\&origin_image zh-lightbox-thumb\& width=\&565\& data-original=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='565'%20height='344'&&\u002Fsvg&\& data-rawwidth=\&565\& data-rawheight=\&344\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&565\& data-original=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我索然无味的关掉前几个数据包,显然没有发现什么特别有价值的东西,我接着打开最后一个数据包,恩,似乎出现了一些有意思的东西\u003C\u002Fp\u003E\u003Cp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_b.jpg\& data-rawwidth=\&1022\& data-rawheight=\&532\& class=\&origin_image zh-lightbox-thumb\& width=\&1022\& data-original=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1022'%20height='532'&&\u002Fsvg&\& data-rawwidth=\&1022\& data-rawheight=\&532\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1022\& data-original=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_b.jpg\&\u003E\u003C\u002Ffigure\u003E通过数据包,我们发现它指向了www.****.cc这个地址,而qqdaohao怎么看怎么觉得像QQ盗号的汉语拼音,这命名手法确实很“易语言”,而name和content这两个参数在传递什么东西。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E我蹑手蹑脚地把这个地址放入浏览器然后访问,结果浏览器显示出了ok这个字样,这又代表着什么呢?钓鱼成功?\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_b.jpg\& data-rawwidth=\&1089\& data-rawheight=\&129\& class=\&origin_image zh-lightbox-thumb\& width=\&1089\& data-original=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1089'%20height='129'&&\u002Fsvg&\& data-rawwidth=\&1089\& data-rawheight=\&129\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1089\& data-original=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E带着疑问,我意识到信息取得的不够多,我第二次执行了这个钓鱼程序,同时刻意把账号和密码设置成了 和 看看这个与name content这两个参数到底有什么关系。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_b.jpg\& data-rawwidth=\&952\& data-rawheight=\&673\& class=\&origin_image zh-lightbox-thumb\& width=\&952\& data-original=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='952'%20height='673'&&\u002Fsvg&\& data-rawwidth=\&952\& data-rawheight=\&673\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&952\& data-original=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E可以看到,数据包被再次dump了下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-2feeede2c408_b.jpg\& data-rawwidth=\&878\& data-rawheight=\&674\& class=\&origin_image zh-lightbox-thumb\& width=\&878\& data-original=\&https:\u002F\\u002Fv2-2feeede2c408_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='878'%20height='674'&&\u002Fsvg&\& data-rawwidth=\&878\& data-rawheight=\&674\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&878\& data-original=\&https:\u002F\\u002Fv2-2feeede2c408_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-2feeede2c408_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我们再次打开这个数据包,把数据记录下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_b.jpg\& data-rawwidth=\&1014\& data-rawheight=\&546\& class=\&origin_image zh-lightbox-thumb\& width=\&1014\& data-original=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1014'%20height='546'&&\u002Fsvg&\& data-rawwidth=\&1014\& data-rawheight=\&546\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1014\& data-original=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E然后我们用账号密码都是,重复以上步骤再做一遍,然后把数据剪切出来对齐分析\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_b.jpg\& data-rawwidth=\&998\& data-rawheight=\&529\& class=\&origin_image zh-lightbox-thumb\& width=\&998\& data-original=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='998'%20height='529'&&\u002Fsvg&\& data-rawwidth=\&998\& data-rawheight=\&529\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&998\& data-original=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E结果就变得非常显而易见了,第一部分似乎是没有什么改变,第二部分,清楚的看到\u003C\u002Fp\u003E\u003Cp\u003EContent是 21 22 23 24…… B1FF 28 27 26 25 24 23……,这B1FF应该是作分隔用的\u003C\u002Fp\u003E\u003Cp\u003E傻子都看得出来。21代表1;22代表2以此类推、\u003C\u002Fp\u003E\u003Cp\u003E既然是易语言这种宇宙级编程语言,先有易语言后又天的大神写出来的玩意,不得不怀疑下,他的网站空间是否有做完整的数据长度检查呢\u003C\u002Fp\u003E\u003Cp\u003E就算没有,我是否可以以流量的形式,1kb 1kb地蚕食他的钓鱼空间已绝后患\u003C\u002Fp\u003E\u003Cp\u003E既然如此,无需客气,打开SpacerFloodProject,修改config.h代码,把我们的请求代码构造一下,我们每次发送3KB的数据,那么就能消耗其至少3KB的空间,假设一秒发送十次的话30kb的速度,一天就能蚕食它24GB的网络空间,那么不出意外,这个损人利己的钓鱼空间不出2天八成就爆炸了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_b.jpg\& data-rawwidth=\&1254\& data-rawheight=\&642\& class=\&origin_image zh-lightbox-thumb\& width=\&1254\& data-original=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1254'%20height='642'&&\u002Fsvg&\& data-rawwidth=\&1254\& data-rawheight=\&642\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1254\& data-original=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E执行dbFlooder,发现数据发送成功,我们尽量地调整发送的数据速度,使其不被其防火墙过滤而拉黑我们。看了看,效果似乎还不错。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_b.jpg\& data-rawwidth=\&1290\& data-rawheight=\&655\& class=\&origin_image zh-lightbox-thumb\& width=\&1290\& data-original=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1290'%20height='655'&&\u002Fsvg&\& data-rawwidth=\&1290\& data-rawheight=\&655\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1290\& data-original=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E但是,这个速度还是太慢了,况且就算我们flood成功了,等这家伙发现,删去我们的数据,还不是分分钟的问题,总不能我们一直和他耗着。\u003C\u002Fp\u003E\u003Cp\u003E带着这个疑问,我打算更加深入一步,在这个HTTP Get请求包当中,可以明显的看到,这个GET请求被发往了一个www.****.cc网页下面\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ff2bd678a3cf_b.jpg\& data-rawwidth=\&514\& data-rawheight=\&177\& class=\&origin_image zh-lightbox-thumb\& width=\&514\& data-original=\&https:\u002F\\u002Fv2-ff2bd678a3cf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='514'%20height='177'&&\u002Fsvg&\& data-rawwidth=\&514\& data-rawheight=\&177\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&514\& data-original=\&https:\u002F\\u002Fv2-ff2bd678a3cf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ff2bd678a3cf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我蹑手蹑脚地打开这个网站,一股浓浓的中二病杀马特风扑鼻而来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_b.jpg\& data-rawwidth=\&1418\& data-rawheight=\&395\& class=\&origin_image zh-lightbox-thumb\& width=\&1418\& data-original=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1418'%20height='395'&&\u002Fsvg&\& data-rawwidth=\&1418\& data-rawheight=\&395\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1418\& data-original=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E在这个网站得的软件上,我发现了一个有趣的东西,会不会这个钓鱼软件就是这个东西生成的呢?,不顾羞耻病发作,我点开链接下载了这个程序\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-d4cc_b.jpg\& data-rawwidth=\&409\& data-rawheight=\&368\& class=\&content_image\& width=\&409\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='409'%20height='368'&&\u002Fsvg&\& data-rawwidth=\&409\& data-rawheight=\&368\& class=\&content_image lazy\& width=\&409\& data-actualsrc=\&https:\u002F\\u002Fv2-d4cc_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_b.jpg\& data-rawwidth=\&640\& data-rawheight=\&586\& class=\&origin_image zh-lightbox-thumb\& width=\&640\& data-original=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='640'%20height='586'&&\u002Fsvg&\& data-rawwidth=\&640\& data-rawheight=\&586\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&640\& data-original=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E下载之后发现是一堆乱码命名的文件,一脸黑人问号,不过这个不影响我们继续分析,不如先打开试试?重复之前的注入步骤,把这个生成器重命名为Sample.exe,执行injector注入\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_b.jpg\& data-rawwidth=\&871\& data-rawheight=\&355\& class=\&origin_image zh-lightbox-thumb\& width=\&871\& data-original=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='871'%20height='355'&&\u002Fsvg&\& data-rawwidth=\&871\& data-rawheight=\&355\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&871\& data-original=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来,这个软件真是至死不渝的打广告啊,除了广告,还有各种忽悠\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_b.jpg\& data-rawwidth=\&958\& data-rawheight=\&613\& class=\&origin_image zh-lightbox-thumb\& width=\&958\& data-original=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='958'%20height='613'&&\u002Fsvg&\& data-rawwidth=\&958\& data-rawheight=\&613\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&958\& data-original=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E居然还有二维码登陆,本着我不下地狱谁下地狱的精神,我使用我的账号进行登陆,很快,一堆数据包被dump了下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_b.jpg\& data-rawwidth=\&647\& data-rawheight=\&481\& class=\&origin_image zh-lightbox-thumb\& width=\&647\& data-original=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='647'%20height='481'&&\u002Fsvg&\& data-rawwidth=\&647\& data-rawheight=\&481\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&647\& data-original=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E其中大部分,应该和企鹅的快速登陆有关系,但是我还是找到了一个比较特别的数据包,\u003C\u002Fp\u003E\u003Cp\u003E115.238.240.152,没错的话,他不就是钓鱼软件发往的地址么。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_b.jpg\& data-rawwidth=\&603\& data-rawheight=\&327\& class=\&origin_image zh-lightbox-thumb\& width=\&603\& data-original=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='603'%20height='327'&&\u002Fsvg&\& data-rawwidth=\&603\& data-rawheight=\&327\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&603\& data-original=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_b.jpg\& data-rawwidth=\&617\& data-rawheight=\&320\& class=\&origin_image zh-lightbox-thumb\& width=\&617\& data-original=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='617'%20height='320'&&\u002Fsvg&\& data-rawwidth=\&617\& data-rawheight=\&320\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&617\& data-original=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E打开这个数据包,发现它在请求一个txt文件,前面的那串文件名怎么感觉那么眼熟好像又不大一样\u003C\u002Fp\u003E\u003Cp\u003E不管那么多了,我也试试这钓鱼软件肿么样,我同样生成了一个“钓鱼木马”,当然这水平叫木马是不是有点太抬举自己的了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_b.jpg\& data-rawwidth=\&740\& data-rawheight=\&403\& class=\&origin_image zh-lightbox-thumb\& width=\&740\& data-original=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='740'%20height='403'&&\u002Fsvg&\& data-rawwidth=\&740\& data-rawheight=\&403\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&740\& data-original=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E重复注入步骤,做了很多次,就不再啰嗦了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_b.jpg\& data-rawwidth=\&666\& data-rawheight=\&278\& class=\&origin_image zh-lightbox-thumb\& width=\&666\& data-original=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='666'%20height='278'&&\u002Fsvg&\& data-rawwidth=\&666\& data-rawheight=\&278\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&666\& data-original=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E在生成的木马面前,输入测试的账号密码3C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_b.jpg\& data-rawwidth=\&901\& data-rawheight=\&573\& class=\&origin_image zh-lightbox-thumb\& width=\&901\& data-original=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='901'%20height='573'&&\u002Fsvg&\& data-rawwidth=\&901\& data-rawheight=\&573\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&901\& data-original=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E查看dump下来的数据包\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_b.jpg\& data-rawwidth=\&931\& data-rawheight=\&191\& class=\&origin_image zh-lightbox-thumb\& width=\&931\& data-original=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='931'%20height='191'&&\u002Fsvg&\& data-rawwidth=\&931\& data-rawheight=\&191\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&931\& data-original=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E复制到之前我们分析的文本文件当中,嘿,Name的参数发生了改变\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_b.jpg\& data-rawwidth=\&1006\& data-rawheight=\&245\& class=\&origin_image zh-lightbox-thumb\& width=\&1006\& data-original=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1006'%20height='245'&&\u002Fsvg&\& data-rawwidth=\&1006\& data-rawheight=\&245\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1006\& data-original=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E到了这里,我就大胆的猜想:\u003C\u002Fp\u003E\u003Cp\u003E1.钓鱼生成器,请求自己钓取到的账号密码是靠那个Name参数同名的txt文件\u003C\u002Fp\u003E\u003Cp\u003E2.钓鱼软件,通过一个Get请求,把自己的账号密码发送到name对应的txt文本文件下面\u003C\u002Fp\u003E\u003Cp\u003E通过浏览器,我访问了这个txt文件,同时也证实了这个猜想\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_b.jpg\& data-rawwidth=\&761\& data-rawheight=\&213\& class=\&origin_image zh-lightbox-thumb\& width=\&761\& data-original=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='761'%20height='213'&&\u002Fsvg&\& data-rawwidth=\&761\& data-rawheight=\&213\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&761\& data-original=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E嘛。那么这个txt文件是什么时候创建的呢,是我登陆那个钓鱼软件生成器时,还是钓鱼木马发送账号密码时,我偷偷摸摸地自己构造了一个请求,来证实我这个想法\u003C\u002Fp\u003E\u003Cp\u003E在下面这个请求中我构造了name为testtesttest,content为hellohello….\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-f4c2b2eeea1_b.jpg\& data-rawwidth=\&830\& data-rawheight=\&188\& class=\&origin_image zh-lightbox-thumb\& width=\&830\& data-original=\&https:\u002F\\u002Fv2-f4c2b2eeea1_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='830'%20height='188'&&\u002Fsvg&\& data-rawwidth=\&830\& data-rawheight=\&188\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&830\& data-original=\&https:\u002F\\u002Fv2-f4c2b2eeea1_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-f4c2b2eeea1_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E之后我去访问testtesttest.txt,嘿,还真有,真是作大死啊\u003Cbr\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-daef37b1b30_b.jpg\& data-rawwidth=\&781\& data-rawheight=\&183\& class=\&origin_image zh-lightbox-thumb\& width=\&781\& data-original=\&https:\u002F\\u002Fv2-daef37b1b30_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='781'%20height='183'&&\u002Fsvg&\& data-rawwidth=\&781\& data-rawheight=\&183\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&781\& data-original=\&https:\u002F\\u002Fv2-daef37b1b30_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-daef37b1b30_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003C\u002Fp\u003E\u003Cp\u003E现在我们再来看看这个,我创建了一个文本文件,里面只有一个字母,就是只有一字节,为什么会占用磁盘4KB的空间呢\u003C\u002Fp\u003E\u003Cp\u003E这个和文件系统有关,但文件系统最小粒度单位,常常是簇,而一个簇的大小,就是4KB\u003C\u002Fp\u003E\u003Cp\u003E所以,文件大小肯定是4KB的整数倍\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-aadd04fbda839ed_b.jpg\& data-rawwidth=\&683\& data-rawheight=\&525\& class=\&origin_image zh-lightbox-thumb\& width=\&683\& data-original=\&https:\u002F\\u002Fv2-aadd04fbda839ed_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='683'%20height='525'&&\u002Fsvg&\& data-rawwidth=\&683\& data-rawheight=\&525\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&683\& data-original=\&https:\u002F\\u002Fv2-aadd04fbda839ed_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-aadd04fbda839ed_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E除了这个,我还想试试更加excited的东西,比如参数中传递一些非常规字符,假如这个能成功,那就不仅仅是flood那么简单了。但是,可惜的是,似乎这些字符都被过滤掉了00截断同样试了试,未果,他也很识相的写出了参数错误字样\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_b.jpg\& data-rawwidth=\&817\& data-rawheight=\&193\& class=\&origin_image zh-lightbox-thumb\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='817'%20height='193'&&\u002Fsvg&\& data-rawwidth=\&817\& data-rawheight=\&193\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_b.jpg\& data-rawwidth=\&929\& data-rawheight=\&128\& class=\&origin_image zh-lightbox-thumb\& width=\&929\& data-original=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='929'%20height='128'&&\u002Fsvg&\& data-rawwidth=\&929\& data-rawheight=\&128\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&929\& data-original=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E既然如此,我就只好用塞文件大法了,我只要发送几十个字节的Get请求,就能足足浪费这个钓鱼空间4KB的空间容量,同时产生大量的文件碎片\u003C\u002Fp\u003E\u003Cp\u003E这个就不是那么容易删掉了吧\u003C\u002Fp\u003E\u003Cp\u003E打开spacerFlood项目,重新构造数据包\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_b.jpg\& data-rawwidth=\&863\& data-rawheight=\&588\& class=\&origin_image zh-lightbox-thumb\& width=\&863\& data-original=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='863'%20height='588'&&\u002Fsvg&\& data-rawwidth=\&863\& data-rawheight=\&588\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&863\& data-original=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E恩,试了试,效果还不错,皮卡丘,就交给你了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8beb72ac3ea2_b.jpg\& data-rawwidth=\&1599\& data-rawheight=\&728\& class=\&origin_image zh-lightbox-thumb\& width=\&1599\& data-original=\&https:\u002F\\u002Fv2-8beb72ac3ea2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1599'%20height='728'&&\u002Fsvg&\& data-rawwidth=\&1599\& data-rawheight=\&728\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1599\& data-original=\&https:\u002F\\u002Fv2-8beb72ac3ea2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8beb72ac3ea2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E将这个flood扔到某个云主机上运行,然后我们去睡大觉。而这个dbflood在以每秒鈡10个数据包的速度,往这个空间不断塞着辣鸡数据包,而那个钓鱼空间也在以每秒10个文件,每小时36000个文件,每天864000文件塞着一个文件夹,很快这个文件夹就连资源管理器打开都得半个小时了\u003C\u002Fp\u003E\u003Cp\u003E————————————————————————————————————————————————————————\u003C\u002Fp\u003E\u003Cp\u003E分割线\u003C\u002Fp\u003E\u003Cp\u003E已经距离我们编写flood执行到现在已经3天时间了,期间dbflood因为连接问题重启了几次,到现在,这个空间这个文件夹下大概有200w以上个文件了,而今天,发现dbflood的请求从OK变为了全是error\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_b.jpg\& data-rawwidth=\&805\& data-rawheight=\&475\& class=\&origin_image zh-lightbox-thumb\& width=\&805\& data-original=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='805'%20height='475'&&\u002Fsvg&\& data-rawwidth=\&805\& data-rawheight=\&475\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&805\& data-original=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E再次访问这个目录,发现已经爆炸了,这也意}
【温馨提示:疑似钓鱼贴。不过也许是无意的。强烈建议大家不要公开自己所使用的密码、以及构建模式。不要使用公开的密码以及公开的密码模式。】【不要按照其他答案的模式来构建密码。无论是好意还是恶意公开,公开就不安全了。】【尤其是不要完全复制别人公开的密码!!!公开就不安全了。】――――――――如题,各种网站注册时起个昵称想半天,输入密码还得就结半天:所有帐号都用同一个密码不安全,编新密码又怕忘了――昨天订春运票,因为8点开抢,在地铁上用的,要我输入密码……输错几次被锁定一天。F*CK!幸亏借了别人的帐号才抢到!~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
用唐诗宋词!可以保证各个重要的密码不重复,而且很难忘记(这个创意不是我的发明)。基本原则:1. 诗意和使用场景有关;2. 把里面的中文数字替换成阿拉伯数字。举例(当然不是我自己真正的密码,真正的更偏):QQ:洛阳亲友如相问,一片冰心在玉壶――Lyqy…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
当然是使用一款密码生成和管理的软件了,这样只需记住一个密码就可以了。个人1password(收费)、lastpass(免费)、keepass(免费)引用内容来自异次元软件世界,作者为X-Force1Password - 可能是目前最完美的跨平台账号密码管理工具 (高安全性/一键自…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
网站名+某组喜欢的数字
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的密码规则:md5("网站注册名@网站域名,唯一密码");注:唯一密码是我所有密码都要用到的加密密码。md5也可以更换为其他你喜欢的hash算法。比如我的唯一密码是 123456如果我的qq号是,那我的qq密码就是md5(",123456")我的手机号是1…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的经验是设置各种专业词汇的英文。我的手机锁屏密码是gynaecology,学。淘宝登录密码是Cancer,寓意上淘宝是病。我家的WiFi密码是medicine,医学。其他密码我就不说了,诸如gastric胃癌,laparoscope腹腔镜,appendicitis阑尾炎之类。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的是两种密码,第一种,前面一段汉语翻译成一句话的数字!最后加上网站名,第二种,跟技术相关的网站,前面用法一样。最后加个特殊符号!(因为技术站容易被黑。。。)举例!14231zh(你是个傻逼 )14231db(你是个傻逼 豆瓣)14231 csdn&(你是个傻…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
1tdhblk.fcdhx2a一条大河波浪宽,风吹稻花香两岸
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
你们都是原始人吧。用1Password,记个毛线啊…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
先放咆哮点:在这个问题下得票越高的造密码方法,越是不安全!再放答案:使用密码库管理密码。这恐怕是目前唯一安全可行的方法了然后详解:为什么要用密码库???因为任何你能想到的有规律地构造、记忆密码的方法 都是严重降低密码复杂度的方法(容易记忆 …
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我的比较简单,密码为唯一数字密码的8421码+网站名。比如以为例,我的唯一数字密码是12306,我首先把里面的每一个数字转换成8421码,结果就变成了。在其末尾加上zhihu即可。其他以及类推。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
警惕,继骗照、骗炮、骗吃、骗喝又来了一种新的骗术,骗密码~~~~楼上的那些回答的,请注意,有心人己经全部截图,目前正在破解当中~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
“ppnn13%dkst-Feb.1st”杜牧《赠别》“娉娉袅袅十三余,豆蔻梢头二月初”。窗前明月光“bed7moonlight。”FLZX3000cY4yhl9day“飞流直下三千尺,疑似银河下九天”hanshansi.location()!∈[gusucity]――姑苏城外寒山寺hold?fish:palm――鱼和熊掌不可兼得…
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
生成一个,然后背下来。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
你知道我为什么要背出π后面三十多位吗?补充:可能单纯数字比较容易记忆单页太过简单,有时候我会根据自己的习惯加入一些字母字符。最近就幻想有自己的网站,所以我任取π一段数字再加上“@自己名字首字母缩写”。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
网站名+网站名拼音转换到九宫格输入法对应的数字
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
很简单啊。支付宝:zhifubaodemima微博:weibodemimaQQ:qqdemima:zhihudemimaTwitter:twitterdemima就是这么简单粗暴,微笑。什么?你说AppleID?我矛呢...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
相信现在手机上大多数人都使用九宫格输入法,熟练的人能做到盲拼。我的做法是,找一个词,用这个词的英文单词或者拼音加盲拼数字设置成密码,比如密码关键词为,那密码可以设置为zhihu94448
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
(????ω????)换个男票改个密码
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
我是用五笔输入法打了一句话,导致用手机登录时必须两只手,假装在机械键盘上才行
~~~~~~~~~~~~~~~~~~~~~~~~~~~~网友回复:
从初中开始我按照下面的方法设置密码个人账号分三类安全级别高级安全级别(涉及到支付,个人隐私信息,联系亲朋好友,主找回用邮箱账号,贵重游戏账号等)中级安全级别(翻墙,一般游戏账号,注册用邮箱帐号等)临时安全级别(临时注册诸如注册才能下载这种…
【如何给自己各种帐号编一个安全又不会忘记的密码?】
请将本文分享给你的朋友:
如何给自己各种帐号编一个安全又不会忘记的密码? 的相关文章
------分隔线----------------------------
北京联盟郑重声明:本文仅代表作者个人观点,与北京联盟无关。其原创性及文中陈述内容未经本站证实,北京联盟对本文及其中全部或者部分内容的真实性、完整性、及时性不作任何保证和承诺,请网友自行核实相关内容。一个钓鱼木马引发的血案10 months ago赞赏5 人赞赏480收藏分享举报文章被以下专栏收录网络如此多娇,引无数黑客竞折腰推荐阅读{&debug&:false,&apiRoot&:&&,&paySDK&:&https:\u002F\\u002Fapi\u002Fjs&,&wechatConfigAPI&:&\u002Fapi\u002Fwechat\u002Fjssdkconfig&,&name&:&production&,&instance&:&column&,&tokens&:{&X-XSRF-TOKEN&:null,&X-UDID&:null,&Authorization&:&oauth c3cef7c66aa9e6a1e3160e20&}}{&database&:{&Post&:{&&:{&isPending&:false,&contributes&:[{&sourceColumn&:{&lastUpdated&:,&description&:&90个黑客大佬做技术顾问,每周超过10篇的技术投稿,操心着全民的网络安全,普及着更多的安全技术。吹牛逼的~其实我只是个混黑客圈的运营小白,大家随便看看就好。&,&permission&:&COLUMN_PUBLIC&,&memberId&:,&contributePermission&:&COLUMN_PUBLIC&,&translatedCommentPermission&:&all&,&canManage&:true,&intro&:&网络如此多娇,引无数黑客竞折腰&,&urlToken&:&ichunqiu&,&id&:22597,&imagePath&:&v2-b7c9babdd38edff.jpg&,&slug&:&ichunqiu&,&applyReason&:&0&,&name&:&i春秋技术社区&,&title&:&i春秋技术社区&,&url&:&https:\u002F\\u002Fichunqiu&,&commentPermission&:&COLUMN_ALL_CAN_COMMENT&,&canPost&:true,&created&:,&state&:&COLUMN_NORMAL&,&followers&:4115,&avatar&:{&id&:&v2-b7c9babdd38edff&,&template&:&https:\u002F\\u002F{id}_{size}.jpg&},&activateAuthorRequested&:false,&following&:false,&imageUrl&:&https:\u002F\\u002Fv2-b7c9babdd38edff_l.jpg&,&articlesCount&:46},&state&:&accepted&,&targetPost&:{&titleImage&:&https:\u002F\\u002Fv2-4cdaca1ed366eede5a12b_r.jpg&,&lastUpdated&:,&imagePath&:&v2-4cdaca1ed366eede5a12b.jpg&,&permission&:&ARTICLE_PUBLIC&,&topics&:[,2823],&summary&:&本文原创作者:\u003Ca href=\&https:\u002F\\u002F?target=http%3A\u002F\\u002Fspace-uid-199935.html\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Eimmenma\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E 内容来源:\u003Ca href=\&https:\u002F\\u002F?target=http%3A\u002F\\u002Fportal.php%3Ffrom%3Dy\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Ei春秋社区\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E 未经许可禁止转载\u003Cb\u003E注意:长文多图预警,建议WIFI环境阅读,土豪请随意!\u003C\u002Fb\u003E。。。。。。。。。。分割线。。。。。。。。。。故事发生于某个阳光明媚的某手绘交流群,不知什么时候,来了一位传奇般的雷锋级黑客。具体…&,©Permission&:&ARTICLE_COPYABLE&,&translatedCommentPermission&:&all&,&likes&:0,&origAuthorId&:0,&publishedTime&:&T17:24:37+08:00&,&sourceUrl&:&&,&urlToken&:,&id&:2344704,&withContent&:false,&slug&:,&bigTitleImage&:false,&title&:&一个钓鱼木马引发的血案&,&url&:&\u002Fp\u002F&,&commentPermission&:&ARTICLE_ALL_CAN_COMMENT&,&snapshotUrl&:&&,&created&:,&comments&:0,&columnId&:22597,&content&:&&,&parentId&:0,&state&:&ARTICLE_PUBLISHED&,&imageUrl&:&https:\u002F\\u002Fv2-4cdaca1ed366eede5a12b_r.jpg&,&author&:{&bio&:&一个懒散的家伙。。。&,&isFollowing&:false,&hash&:&df05f08bfe8b2a&,&uid&:824060,&isOrg&:false,&slug&:&yin-chang-ni&,&isFollowed&:false,&description&:&在安全圈打杂一年多,终于看破一件事,传说中神秘的黑客,其实都是一群可爱的逗比们,哈哈!【不定期更新技术文章哦】\n\n我已加入“维权骑士”()的版权保护计划。&,&name&:&坏蛋&,&profileUrl&:&https:\u002F\\u002Fpeople\u002Fyin-chang-ni&,&avatar&:{&id&:&d59e3b0d8&,&template&:&https:\u002F\\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&memberId&:,&excerptTitle&:&&,&voteType&:&ARTICLE_VOTE_CLEAR&},&id&:557608}],&title&:&一个钓鱼木马引发的血案&,&author&:&yin-chang-ni&,&content&:&\u003Cblockquote\u003E本文原创作者:\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\u002Fspace-uid-199935.html\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Eimmenma\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003Cbr\u003E内容来源:\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\u002Fportal.php%3Ffrom%3Dy\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003Ei春秋社区\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003Cbr\u003E未经许可禁止转载\u003C\u002Fblockquote\u003E\u003Cp\u003E\u003Cb\u003E注意:长文多图预警,建议WIFI环境阅读,土豪请随意!\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E。。。。。。。。。。分割线。。。。。。。。。。\u003C\u002Fp\u003E\u003Cp\u003E故事发生于某个阳光明媚的某手绘交流群,不知什么时候,来了一位传奇般的雷锋级黑客。\u003C\u002Fp\u003E\u003Cp\u003E具体他说了什么,就不再复述了,基本就是:“群里谁要QB,我可以帮你刷”。\u003C\u002Fp\u003E\u003Cp\u003E寡人回了一句,大概意思是:“这是手绘群,打广告别来,QB什么用”之类的云云。\u003C\u002Fp\u003E\u003Cp\u003E没想到这位雷锋黑客不但不放弃,秉着“我一定要为人民服务的中国梦”精神还加我好友,\u003C\u002Fp\u003E\u003Cp\u003E寡人也想看看这葫芦里卖的什么药\u003C\u002Fp\u003E\u003Cp\u003E于是有了已下的一幕:\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_b.jpg\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='764'%20height='761'&&\u002Fsvg&\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-2bde0c9783f5bda36d73c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来真是天下掉馅饼的好事,为什么不试试呢,但是感觉为什么有点不对劲\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-487ae1e5ddf_b.jpg\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-487ae1e5ddf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='764'%20height='761'&&\u002Fsvg&\& data-rawwidth=\&764\& data-rawheight=\&761\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&764\& data-original=\&https:\u002F\\u002Fv2-487ae1e5ddf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-487ae1e5ddf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E骚年,这意图要不要那么明显,顿时产生了一种:“总有刁民想害朕”的危机感。\u003C\u002Fp\u003E\u003Cp\u003E如果在平时,基本是已经是拉黑删除钓鱼程序结束了,但是今天寡人怨念尤其的深,不知道是不是昨晚喝的咖啡弄的一夜没睡,还是陪母上大人看了一上午的国产雷剧,浑身积攒了满满的负能量,我开始有了一些比较腹黑的想法 (╯°Д°)╯︵ ┻━┻\u003C\u002Fp\u003E\u003Cp\u003E我决定,看看这个钓鱼程序卖的是什么药\u003C\u002Fp\u003E\u003Cp\u003E先来看看这款软件闷骚的小图标\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0f570d40ced69c892dc2d5ffb767bd40_b.jpg\& data-rawwidth=\&124\& data-rawheight=\&101\& class=\&content_image\& width=\&124\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='124'%20height='101'&&\u002Fsvg&\& data-rawwidth=\&124\& data-rawheight=\&101\& class=\&content_image lazy\& width=\&124\& data-actualsrc=\&https:\u002F\\u002Fv2-0f570d40ced69c892dc2d5ffb767bd40_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E使用PEid进行查壳:发现加了UPX壳\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7edce318eef52_b.jpg\& data-rawwidth=\&432\& data-rawheight=\&253\& class=\&origin_image zh-lightbox-thumb\& width=\&432\& data-original=\&https:\u002F\\u002Fv2-7edce318eef52_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='432'%20height='253'&&\u002Fsvg&\& data-rawwidth=\&432\& data-rawheight=\&253\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&432\& data-original=\&https:\u002F\\u002Fv2-7edce318eef52_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7edce318eef52_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E当然这种这个难度约等于0的压缩壳,使用esp定律或者直接用工具能轻松搞定,脱去upx壳后再次查壳,发现变成了VC++6.0\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_b.jpg\& data-rawwidth=\&422\& data-rawheight=\&239\& class=\&origin_image zh-lightbox-thumb\& width=\&422\& data-original=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='422'%20height='239'&&\u002Fsvg&\& data-rawwidth=\&422\& data-rawheight=\&239\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&422\& data-original=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9bfcac23ca4f2696bbd66_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E这个年代,当然基本不会有人还在用VC++6.0了那么基本肯定,这一定是宇宙无敌易语言写的神奇玩意。\u003C\u002Fp\u003E\u003Cp\u003E在虚拟机中再次运行这个软件\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-14fd24ad7b64e733a0378f_b.jpg\& data-rawwidth=\&330\& data-rawheight=\&160\& class=\&content_image\& width=\&330\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='330'%20height='160'&&\u002Fsvg&\& data-rawwidth=\&330\& data-rawheight=\&160\& class=\&content_image lazy\& width=\&330\& data-actualsrc=\&https:\u002F\\u002Fv2-14fd24ad7b64e733a0378f_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E可以观察到,程序的意图基本就是钓取我们的账号密码,那么,这个账号密码会被发送到哪里呢?\u003C\u002Fp\u003E\u003Cp\u003E不过不管如何发送,我们至少能够猜到99%是通过网络发送出去的,易语言这个excited的东西啊。网络最一般是通过socket来进行的,socket进行网络通信,用的是tcp udp两种通讯协议,对应最常用的发送数据,应该就是send和sendto这两个函数了。(当然也有WSAsend之类IOCP的做法,不过既然是易语言这种宇宙级语言写出来的东西,我们就不用想的那么复杂)\u003C\u002Fp\u003E\u003Cp\u003E到这里,寡人决定做一个小小的工具,把这个软件发送的数据给dump下来\u003C\u002Fp\u003E\u003Cp\u003E到这里,想到一个被用烂了十几年但是仍然有效的技术--------inline hook\u003C\u002Fp\u003E\u003Cp\u003E至于什么是inline hook,这里我也不继续复述,毕竟这东西网上存在的资料已经非常非常多了,自己动手丰衣足食,不过我还是使用两张图来简单描述一下inline hook\u003C\u002Fp\u003E\u003Cp\u003E图1.0\u003C\u002Fp\u003E\u003Cp\u003E首先这是原来正常的函数\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8c1da5cdce5f888a4386c66abae54951_b.jpg\& data-rawwidth=\&345\& data-rawheight=\&555\& class=\&content_image\& width=\&345\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='345'%20height='555'&&\u002Fsvg&\& data-rawwidth=\&345\& data-rawheight=\&555\& class=\&content_image lazy\& width=\&345\& data-actualsrc=\&https:\u002F\\u002Fv2-8c1da5cdce5f888a4386c66abae54951_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E然后这是被hook过的函数\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_b.jpg\& data-rawwidth=\&723\& data-rawheight=\&555\& class=\&origin_image zh-lightbox-thumb\& width=\&723\& data-original=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='723'%20height='555'&&\u002Fsvg&\& data-rawwidth=\&723\& data-rawheight=\&555\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&723\& data-original=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-4ce80a4f49ac52daec0a27b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E显然的,在我们的函数里,我们就可以做一点坏事,比如把传递给原函数的参数进行过滤修改,当然,在这里我们只是想dump下这个软件发送出去的数据,废话就不多说了,打开visualstudio创建项目\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_b.jpg\& data-rawwidth=\&1718\& data-rawheight=\&883\& class=\&origin_image zh-lightbox-thumb\& width=\&1718\& data-original=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1718'%20height='883'&&\u002Fsvg&\& data-rawwidth=\&1718\& data-rawheight=\&883\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1718\& data-original=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-29fc404c5b8e3d4c646e2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写注入用的DLL(为什么使用DLL呢,因为DLL能够避免很多直接代码注入修改的很多问题,比如代码重定向,例如aslr保护……最主要的是,直接写起来也方便)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_b.jpg\& data-rawwidth=\&864\& data-rawheight=\&439\& class=\&origin_image zh-lightbox-thumb\& width=\&864\& data-original=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='864'%20height='439'&&\u002Fsvg&\& data-rawwidth=\&864\& data-rawheight=\&439\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&864\& data-original=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-878c8c033a7c10d62ced485f6c510121_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写hook类,自己放大图片看吧,具体代码在附件当中自行查阅\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_b.jpg\& data-rawwidth=\&1678\& data-rawheight=\&584\& class=\&origin_image zh-lightbox-thumb\& width=\&1678\& data-original=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1678'%20height='584'&&\u002Fsvg&\& data-rawwidth=\&1678\& data-rawheight=\&584\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1678\& data-original=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-140bb9fd0b1cd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编写DLLMain\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_b.jpg\& data-rawwidth=\&1053\& data-rawheight=\&660\& class=\&origin_image zh-lightbox-thumb\& width=\&1053\& data-original=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1053'%20height='660'&&\u002Fsvg&\& data-rawwidth=\&1053\& data-rawheight=\&660\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1053\& data-original=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ca79e12542febf937f768c96_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E到这里,我们需要HookSend和sendto这两个函数,在上面说到的“我们的函数中”,我们就是把数据给dump下来(就是保存下来)\u003C\u002Fp\u003E\u003Cp\u003E保存的文件名格式是(通讯协议_发送IP地址_端口_索引.bin)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_b.jpg\& data-rawwidth=\&935\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb\& width=\&935\& data-original=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='935'%20height='300'&&\u002Fsvg&\& data-rawwidth=\&935\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&935\& data-original=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-1d81da0f453b5ce48d3c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_b.jpg\& data-rawwidth=\&1033\& data-rawheight=\&238\& class=\&origin_image zh-lightbox-thumb\& width=\&1033\& data-original=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1033'%20height='238'&&\u002Fsvg&\& data-rawwidth=\&1033\& data-rawheight=\&238\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1033\& data-original=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-5beb8ef518fd1f44b36f798b2df201ae_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E最后在DLLMainattach中让hook执行并生效\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_b.jpg\& data-rawwidth=\&697\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb\& width=\&697\& data-original=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='697'%20height='300'&&\u002Fsvg&\& data-rawwidth=\&697\& data-rawheight=\&300\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&697\& data-original=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8ce70cbd44eeca28677a5_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编译,一次成功(苍天保佑)\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_b.jpg\& data-rawwidth=\&1037\& data-rawheight=\&259\& class=\&origin_image zh-lightbox-thumb\& width=\&1037\& data-original=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1037'%20height='259'&&\u002Fsvg&\& data-rawwidth=\&1037\& data-rawheight=\&259\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1037\& data-original=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7dc6a33c4601c14cbb995fedc23a656b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E最后我们还需要编写一个注入器(这个比较复杂点,但是我们可以用复制黏贴大法在网上抄一段)注入器的功能,就是把让这个DLL在程序执行之前加载进去,打个比方嘛就是在程序里插入一个内奸。这个内奸就是我们的hook程序,他会不断把这个钓鱼程序的信息报告给我们。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_b.jpg\& data-rawwidth=\&1233\& data-rawheight=\&447\& class=\&origin_image zh-lightbox-thumb\& width=\&1233\& data-original=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1233'%20height='447'&&\u002Fsvg&\& data-rawwidth=\&1233\& data-rawheight=\&447\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1233\& data-original=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-e1646efbd638c0dcec8e_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E编译,Release,那么到这里,我们的准备工作也就完成了\u003C\u002Fp\u003E\u003Cp\u003E现在万事俱备,只欠东风,当然,这个程序表面上看“是个钓鱼程序”,但是我们也不得不防一手,万一这个程序还有些别的什么动作,那不就神不知鬼不觉被它搞了个大新闻么,所以,我们打开虚拟机环境以防万一。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_b.jpg\& data-rawwidth=\&1235\& data-rawheight=\&893\& class=\&origin_image zh-lightbox-thumb\& width=\&1235\& data-original=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1235'%20height='893'&&\u002Fsvg&\& data-rawwidth=\&1235\& data-rawheight=\&893\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1235\& data-original=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-64aac53839ebe1030753_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E把这个“2016刷qb软件”和我们编写好的hook程序一起放入虚拟机,我们把这个钓鱼程序重命名为Sample.exe\u003C\u002Fp\u003E\u003Cp\u003E其中Injector就是注入器,他会把当前目录的inlineHooker.dll注入到Sample.exe当中,这样我们就能够监视这个程序了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_b.jpg\& data-rawwidth=\&1238\& data-rawheight=\&892\& class=\&origin_image zh-lightbox-thumb\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1238'%20height='892'&&\u002Fsvg&\& data-rawwidth=\&1238\& data-rawheight=\&892\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-b7835365aaa72bb3e9c1c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E运行Injector,没有出现错误,目标程序也被顺利的打开了。说明注入成功\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_b.jpg\& data-rawwidth=\&1238\& data-rawheight=\&888\& class=\&origin_image zh-lightbox-thumb\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1238'%20height='888'&&\u002Fsvg&\& data-rawwidth=\&1238\& data-rawheight=\&888\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1238\& data-original=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8ddfdda2db5c082e370069_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E在QQ号码和密码中,我们随便输入一串数字,比如1111111之类的,然后点击“一键刷qb”,在这个“您已成功刷取QB,24小时到账”的忽悠弹窗后,我们发现了桌面上多了点东西.\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_b.jpg\& data-rawwidth=\&1084\& data-rawheight=\&793\& class=\&origin_image zh-lightbox-thumb\& width=\&1084\& data-original=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1084'%20height='793'&&\u002Fsvg&\& data-rawwidth=\&1084\& data-rawheight=\&793\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1084\& data-original=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9ab61ce2228acc2f880a_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E首先我们成功dump到了这个程序往外发送的一些数据包,我们可以看到这些数据包是以send函数的形式发送出去的,也就是这个钓鱼程序与某个IP进行了某些肮脏的屁眼交易 \u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_b.jpg\& data-rawwidth=\&1028\& data-rawheight=\&807\& class=\&origin_image zh-lightbox-thumb\& width=\&1028\& data-original=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1028'%20height='807'&&\u002Fsvg&\& data-rawwidth=\&1028\& data-rawheight=\&807\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1028\& data-original=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-6f09bddbb88a52974b78_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E从文件名可以看到,这个TCP连接到了27.152.181.114这个地址,而端口是80,显而易见这八成是一个Http协议的通讯,我们用记事本直接打开这个文件,发现它访问了\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\\& class=\& external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003E\u003Cspan class=\&invisible\&\u003Ehttp:\u002F\u002F\u003C\u002Fspan\u003E\u003Cspan class=\&visible\&\\u003C\u002Fspan\u003E\u003Cspan class=\&invisible\&\u003E\u003C\u002Fspan\u003E\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E并且Get x\u002F56636里的东西\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_b.jpg\& data-rawwidth=\&902\& data-rawheight=\&662\& class=\&origin_image zh-lightbox-thumb\& width=\&902\& data-original=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='902'%20height='662'&&\u002Fsvg&\& data-rawwidth=\&902\& data-rawheight=\&662\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&902\& data-original=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-fab3a7f77c7e0b5fcc381c7fad1cf5d2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E那么到底是什么玩意呢。不妨打开浏览器浏览一下那个地址,2345????.exe,\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_b.jpg\& data-rawwidth=\&956\& data-rawheight=\&650\& class=\&origin_image zh-lightbox-thumb\& width=\&956\& data-original=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='956'%20height='650'&&\u002Fsvg&\& data-rawwidth=\&956\& data-rawheight=\&650\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&956\& data-original=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-73880ebec76d4bc9849c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来就是桌面上多出的这个玩意了。真是钓鱼也不忘打广告捞一笔。真不知道这个钓鱼程序和2345间存在着什么更多的py交易\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e14e42a26364c3aaac4376_b.jpg\& data-rawwidth=\&343\& data-rawheight=\&363\& class=\&content_image\& width=\&343\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='343'%20height='363'&&\u002Fsvg&\& data-rawwidth=\&343\& data-rawheight=\&363\& class=\&content_image lazy\& width=\&343\& data-actualsrc=\&https:\u002F\\u002Fv2-e14e42a26364c3aaac4376_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E我们接着分析第一个数据包,发现它指向了\u003Ca href=\&http:\u002F\\u002F?target=http%3A\u002F\u002Fvip.\& class=\& external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003E\u003Cspan class=\&invisible\&\u003Ehttp:\u002F\u002F\u003C\u002Fspan\u003E\u003Cspan class=\&visible\&\u003Evip.\u003C\u002Fspan\u003E\u003Cspan class=\&invisible\&\u003E\u003C\u002Fspan\u003E\u003Ci class=\&icon-external\&\u003E\u003C\u002Fi\u003E\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E这是百度网盘还是什么。看这又臭又长的Get请求,那个File字样深深出卖了它似乎又下载了一些别的什么东西.\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_b.jpg\& data-rawwidth=\&920\& data-rawheight=\&711\& class=\&origin_image zh-lightbox-thumb\& width=\&920\& data-original=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='920'%20height='711'&&\u002Fsvg&\& data-rawwidth=\&920\& data-rawheight=\&711\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&920\& data-original=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-a00bcbb3f14b591b62e0ecd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E接着看之后另一个数据包,似乎也是在下载什么东西。我们复制下这个链接\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-de9e308cf7bd_b.jpg\& data-rawwidth=\&854\& data-rawheight=\&528\& class=\&origin_image zh-lightbox-thumb\& width=\&854\& data-original=\&https:\u002F\\u002Fv2-de9e308cf7bd_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='854'%20height='528'&&\u002Fsvg&\& data-rawwidth=\&854\& data-rawheight=\&528\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&854\& data-original=\&https:\u002F\\u002Fv2-de9e308cf7bd_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-de9e308cf7bd_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_b.jpg\& data-rawwidth=\&817\& data-rawheight=\&223\& class=\&origin_image zh-lightbox-thumb\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='817'%20height='223'&&\u002Fsvg&\& data-rawwidth=\&817\& data-rawheight=\&223\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-5fa41ff3d2c5bc8f147f26c_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E发现迅雷弹出来了,掀桌子,怎么又是这个2345网址导航,看来这个钓鱼程序的作者从一个地方下载还不大放心,从另外的一些地方又下载了一次,莫非下载的多就能进行更多的交易?\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_b.jpg\& data-rawwidth=\&565\& data-rawheight=\&344\& class=\&origin_image zh-lightbox-thumb\& width=\&565\& data-original=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='565'%20height='344'&&\u002Fsvg&\& data-rawwidth=\&565\& data-rawheight=\&344\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&565\& data-original=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-7f10deff34ecbaf853ba_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我索然无味的关掉前几个数据包,显然没有发现什么特别有价值的东西,我接着打开最后一个数据包,恩,似乎出现了一些有意思的东西\u003C\u002Fp\u003E\u003Cp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_b.jpg\& data-rawwidth=\&1022\& data-rawheight=\&532\& class=\&origin_image zh-lightbox-thumb\& width=\&1022\& data-original=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1022'%20height='532'&&\u002Fsvg&\& data-rawwidth=\&1022\& data-rawheight=\&532\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1022\& data-original=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-67a6339bce0dc5c05a55_b.jpg\&\u003E\u003C\u002Ffigure\u003E通过数据包,我们发现它指向了www.****.cc这个地址,而qqdaohao怎么看怎么觉得像QQ盗号的汉语拼音,这命名手法确实很“易语言”,而name和content这两个参数在传递什么东西。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E我蹑手蹑脚地把这个地址放入浏览器然后访问,结果浏览器显示出了ok这个字样,这又代表着什么呢?钓鱼成功?\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_b.jpg\& data-rawwidth=\&1089\& data-rawheight=\&129\& class=\&origin_image zh-lightbox-thumb\& width=\&1089\& data-original=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1089'%20height='129'&&\u002Fsvg&\& data-rawwidth=\&1089\& data-rawheight=\&129\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1089\& data-original=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c7ba4fe69413deb21100b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E带着疑问,我意识到信息取得的不够多,我第二次执行了这个钓鱼程序,同时刻意把账号和密码设置成了 和 看看这个与name content这两个参数到底有什么关系。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_b.jpg\& data-rawwidth=\&952\& data-rawheight=\&673\& class=\&origin_image zh-lightbox-thumb\& width=\&952\& data-original=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='952'%20height='673'&&\u002Fsvg&\& data-rawwidth=\&952\& data-rawheight=\&673\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&952\& data-original=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-738a5c3b8c315a66c6ced7_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E可以看到,数据包被再次dump了下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-2feeede2c408_b.jpg\& data-rawwidth=\&878\& data-rawheight=\&674\& class=\&origin_image zh-lightbox-thumb\& width=\&878\& data-original=\&https:\u002F\\u002Fv2-2feeede2c408_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='878'%20height='674'&&\u002Fsvg&\& data-rawwidth=\&878\& data-rawheight=\&674\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&878\& data-original=\&https:\u002F\\u002Fv2-2feeede2c408_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-2feeede2c408_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我们再次打开这个数据包,把数据记录下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_b.jpg\& data-rawwidth=\&1014\& data-rawheight=\&546\& class=\&origin_image zh-lightbox-thumb\& width=\&1014\& data-original=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1014'%20height='546'&&\u002Fsvg&\& data-rawwidth=\&1014\& data-rawheight=\&546\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1014\& data-original=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-9c934cd3dc1abfd602dda4f43d5053d5_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E然后我们用账号密码都是,重复以上步骤再做一遍,然后把数据剪切出来对齐分析\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_b.jpg\& data-rawwidth=\&998\& data-rawheight=\&529\& class=\&origin_image zh-lightbox-thumb\& width=\&998\& data-original=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='998'%20height='529'&&\u002Fsvg&\& data-rawwidth=\&998\& data-rawheight=\&529\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&998\& data-original=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-abc0b12c1f9f936e3308a_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E结果就变得非常显而易见了,第一部分似乎是没有什么改变,第二部分,清楚的看到\u003C\u002Fp\u003E\u003Cp\u003EContent是 21 22 23 24…… B1FF 28 27 26 25 24 23……,这B1FF应该是作分隔用的\u003C\u002Fp\u003E\u003Cp\u003E傻子都看得出来。21代表1;22代表2以此类推、\u003C\u002Fp\u003E\u003Cp\u003E既然是易语言这种宇宙级编程语言,先有易语言后又天的大神写出来的玩意,不得不怀疑下,他的网站空间是否有做完整的数据长度检查呢\u003C\u002Fp\u003E\u003Cp\u003E就算没有,我是否可以以流量的形式,1kb 1kb地蚕食他的钓鱼空间已绝后患\u003C\u002Fp\u003E\u003Cp\u003E既然如此,无需客气,打开SpacerFloodProject,修改config.h代码,把我们的请求代码构造一下,我们每次发送3KB的数据,那么就能消耗其至少3KB的空间,假设一秒发送十次的话30kb的速度,一天就能蚕食它24GB的网络空间,那么不出意外,这个损人利己的钓鱼空间不出2天八成就爆炸了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_b.jpg\& data-rawwidth=\&1254\& data-rawheight=\&642\& class=\&origin_image zh-lightbox-thumb\& width=\&1254\& data-original=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1254'%20height='642'&&\u002Fsvg&\& data-rawwidth=\&1254\& data-rawheight=\&642\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1254\& data-original=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-0a7cfe6cc09a046b8c0bda_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E执行dbFlooder,发现数据发送成功,我们尽量地调整发送的数据速度,使其不被其防火墙过滤而拉黑我们。看了看,效果似乎还不错。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_b.jpg\& data-rawwidth=\&1290\& data-rawheight=\&655\& class=\&origin_image zh-lightbox-thumb\& width=\&1290\& data-original=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1290'%20height='655'&&\u002Fsvg&\& data-rawwidth=\&1290\& data-rawheight=\&655\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1290\& data-original=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-0c0fc5d935bdde868c1195083ebaf3af_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E但是,这个速度还是太慢了,况且就算我们flood成功了,等这家伙发现,删去我们的数据,还不是分分钟的问题,总不能我们一直和他耗着。\u003C\u002Fp\u003E\u003Cp\u003E带着这个疑问,我打算更加深入一步,在这个HTTP Get请求包当中,可以明显的看到,这个GET请求被发往了一个www.****.cc网页下面\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ff2bd678a3cf_b.jpg\& data-rawwidth=\&514\& data-rawheight=\&177\& class=\&origin_image zh-lightbox-thumb\& width=\&514\& data-original=\&https:\u002F\\u002Fv2-ff2bd678a3cf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='514'%20height='177'&&\u002Fsvg&\& data-rawwidth=\&514\& data-rawheight=\&177\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&514\& data-original=\&https:\u002F\\u002Fv2-ff2bd678a3cf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ff2bd678a3cf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E我蹑手蹑脚地打开这个网站,一股浓浓的中二病杀马特风扑鼻而来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_b.jpg\& data-rawwidth=\&1418\& data-rawheight=\&395\& class=\&origin_image zh-lightbox-thumb\& width=\&1418\& data-original=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1418'%20height='395'&&\u002Fsvg&\& data-rawwidth=\&1418\& data-rawheight=\&395\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1418\& data-original=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-542ccf490fc67b15e16ab9df2bb21234_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cbr\u003E\u003Cp\u003E在这个网站得的软件上,我发现了一个有趣的东西,会不会这个钓鱼软件就是这个东西生成的呢?,不顾羞耻病发作,我点开链接下载了这个程序\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-d4cc_b.jpg\& data-rawwidth=\&409\& data-rawheight=\&368\& class=\&content_image\& width=\&409\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='409'%20height='368'&&\u002Fsvg&\& data-rawwidth=\&409\& data-rawheight=\&368\& class=\&content_image lazy\& width=\&409\& data-actualsrc=\&https:\u002F\\u002Fv2-d4cc_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_b.jpg\& data-rawwidth=\&640\& data-rawheight=\&586\& class=\&origin_image zh-lightbox-thumb\& width=\&640\& data-original=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='640'%20height='586'&&\u002Fsvg&\& data-rawwidth=\&640\& data-rawheight=\&586\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&640\& data-original=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-aed0d0894cded0030758bb_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E下载之后发现是一堆乱码命名的文件,一脸黑人问号,不过这个不影响我们继续分析,不如先打开试试?重复之前的注入步骤,把这个生成器重命名为Sample.exe,执行injector注入\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_b.jpg\& data-rawwidth=\&871\& data-rawheight=\&355\& class=\&origin_image zh-lightbox-thumb\& width=\&871\& data-original=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='871'%20height='355'&&\u002Fsvg&\& data-rawwidth=\&871\& data-rawheight=\&355\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&871\& data-original=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-e3d2fb015edf767f3a3ae_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E看来,这个软件真是至死不渝的打广告啊,除了广告,还有各种忽悠\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_b.jpg\& data-rawwidth=\&958\& data-rawheight=\&613\& class=\&origin_image zh-lightbox-thumb\& width=\&958\& data-original=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='958'%20height='613'&&\u002Fsvg&\& data-rawwidth=\&958\& data-rawheight=\&613\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&958\& data-original=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c48f69a8d4a32d4bab8d693c6cea5245_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E居然还有二维码登陆,本着我不下地狱谁下地狱的精神,我使用我的账号进行登陆,很快,一堆数据包被dump了下来\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_b.jpg\& data-rawwidth=\&647\& data-rawheight=\&481\& class=\&origin_image zh-lightbox-thumb\& width=\&647\& data-original=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='647'%20height='481'&&\u002Fsvg&\& data-rawwidth=\&647\& data-rawheight=\&481\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&647\& data-original=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-728b1ebf3eb56dfd2928eeeaa0a4fe11_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E其中大部分,应该和企鹅的快速登陆有关系,但是我还是找到了一个比较特别的数据包,\u003C\u002Fp\u003E\u003Cp\u003E115.238.240.152,没错的话,他不就是钓鱼软件发往的地址么。\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_b.jpg\& data-rawwidth=\&603\& data-rawheight=\&327\& class=\&origin_image zh-lightbox-thumb\& width=\&603\& data-original=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='603'%20height='327'&&\u002Fsvg&\& data-rawwidth=\&603\& data-rawheight=\&327\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&603\& data-original=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-de11ba44ca95fbd9d8195f_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_b.jpg\& data-rawwidth=\&617\& data-rawheight=\&320\& class=\&origin_image zh-lightbox-thumb\& width=\&617\& data-original=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='617'%20height='320'&&\u002Fsvg&\& data-rawwidth=\&617\& data-rawheight=\&320\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&617\& data-original=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-1d3ebd8bfb9cda54bc30e97_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E打开这个数据包,发现它在请求一个txt文件,前面的那串文件名怎么感觉那么眼熟好像又不大一样\u003C\u002Fp\u003E\u003Cp\u003E不管那么多了,我也试试这钓鱼软件肿么样,我同样生成了一个“钓鱼木马”,当然这水平叫木马是不是有点太抬举自己的了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_b.jpg\& data-rawwidth=\&740\& data-rawheight=\&403\& class=\&origin_image zh-lightbox-thumb\& width=\&740\& data-original=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='740'%20height='403'&&\u002Fsvg&\& data-rawwidth=\&740\& data-rawheight=\&403\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&740\& data-original=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-bd418cbc62d7da7c1b182dfb7bfc939e_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E重复注入步骤,做了很多次,就不再啰嗦了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_b.jpg\& data-rawwidth=\&666\& data-rawheight=\&278\& class=\&origin_image zh-lightbox-thumb\& width=\&666\& data-original=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='666'%20height='278'&&\u002Fsvg&\& data-rawwidth=\&666\& data-rawheight=\&278\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&666\& data-original=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-961aba223ed3bceab93f064_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E在生成的木马面前,输入测试的账号密码3C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_b.jpg\& data-rawwidth=\&901\& data-rawheight=\&573\& class=\&origin_image zh-lightbox-thumb\& width=\&901\& data-original=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='901'%20height='573'&&\u002Fsvg&\& data-rawwidth=\&901\& data-rawheight=\&573\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&901\& data-original=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-6f2e65d804f507ece813_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E查看dump下来的数据包\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_b.jpg\& data-rawwidth=\&931\& data-rawheight=\&191\& class=\&origin_image zh-lightbox-thumb\& width=\&931\& data-original=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='931'%20height='191'&&\u002Fsvg&\& data-rawwidth=\&931\& data-rawheight=\&191\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&931\& data-original=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-4e87b5ac5c8ccd8d6fb75_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E复制到之前我们分析的文本文件当中,嘿,Name的参数发生了改变\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_b.jpg\& data-rawwidth=\&1006\& data-rawheight=\&245\& class=\&origin_image zh-lightbox-thumb\& width=\&1006\& data-original=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1006'%20height='245'&&\u002Fsvg&\& data-rawwidth=\&1006\& data-rawheight=\&245\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1006\& data-original=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-a034b7bec4e735efda6bcce10cd42edf_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E到了这里,我就大胆的猜想:\u003C\u002Fp\u003E\u003Cp\u003E1.钓鱼生成器,请求自己钓取到的账号密码是靠那个Name参数同名的txt文件\u003C\u002Fp\u003E\u003Cp\u003E2.钓鱼软件,通过一个Get请求,把自己的账号密码发送到name对应的txt文本文件下面\u003C\u002Fp\u003E\u003Cp\u003E通过浏览器,我访问了这个txt文件,同时也证实了这个猜想\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_b.jpg\& data-rawwidth=\&761\& data-rawheight=\&213\& class=\&origin_image zh-lightbox-thumb\& width=\&761\& data-original=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='761'%20height='213'&&\u002Fsvg&\& data-rawwidth=\&761\& data-rawheight=\&213\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&761\& data-original=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-c4c8c9f53c8de2b871a916c81ba473f7_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E嘛。那么这个txt文件是什么时候创建的呢,是我登陆那个钓鱼软件生成器时,还是钓鱼木马发送账号密码时,我偷偷摸摸地自己构造了一个请求,来证实我这个想法\u003C\u002Fp\u003E\u003Cp\u003E在下面这个请求中我构造了name为testtesttest,content为hellohello….\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-f4c2b2eeea1_b.jpg\& data-rawwidth=\&830\& data-rawheight=\&188\& class=\&origin_image zh-lightbox-thumb\& width=\&830\& data-original=\&https:\u002F\\u002Fv2-f4c2b2eeea1_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='830'%20height='188'&&\u002Fsvg&\& data-rawwidth=\&830\& data-rawheight=\&188\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&830\& data-original=\&https:\u002F\\u002Fv2-f4c2b2eeea1_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-f4c2b2eeea1_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E之后我去访问testtesttest.txt,嘿,还真有,真是作大死啊\u003Cbr\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-daef37b1b30_b.jpg\& data-rawwidth=\&781\& data-rawheight=\&183\& class=\&origin_image zh-lightbox-thumb\& width=\&781\& data-original=\&https:\u002F\\u002Fv2-daef37b1b30_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='781'%20height='183'&&\u002Fsvg&\& data-rawwidth=\&781\& data-rawheight=\&183\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&781\& data-original=\&https:\u002F\\u002Fv2-daef37b1b30_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-daef37b1b30_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003C\u002Fp\u003E\u003Cp\u003E现在我们再来看看这个,我创建了一个文本文件,里面只有一个字母,就是只有一字节,为什么会占用磁盘4KB的空间呢\u003C\u002Fp\u003E\u003Cp\u003E这个和文件系统有关,但文件系统最小粒度单位,常常是簇,而一个簇的大小,就是4KB\u003C\u002Fp\u003E\u003Cp\u003E所以,文件大小肯定是4KB的整数倍\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-aadd04fbda839ed_b.jpg\& data-rawwidth=\&683\& data-rawheight=\&525\& class=\&origin_image zh-lightbox-thumb\& width=\&683\& data-original=\&https:\u002F\\u002Fv2-aadd04fbda839ed_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='683'%20height='525'&&\u002Fsvg&\& data-rawwidth=\&683\& data-rawheight=\&525\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&683\& data-original=\&https:\u002F\\u002Fv2-aadd04fbda839ed_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-aadd04fbda839ed_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E除了这个,我还想试试更加excited的东西,比如参数中传递一些非常规字符,假如这个能成功,那就不仅仅是flood那么简单了。但是,可惜的是,似乎这些字符都被过滤掉了00截断同样试了试,未果,他也很识相的写出了参数错误字样\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_b.jpg\& data-rawwidth=\&817\& data-rawheight=\&193\& class=\&origin_image zh-lightbox-thumb\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='817'%20height='193'&&\u002Fsvg&\& data-rawwidth=\&817\& data-rawheight=\&193\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&817\& data-original=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-fe0a2cc4db14e4de0673952_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_b.jpg\& data-rawwidth=\&929\& data-rawheight=\&128\& class=\&origin_image zh-lightbox-thumb\& width=\&929\& data-original=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='929'%20height='128'&&\u002Fsvg&\& data-rawwidth=\&929\& data-rawheight=\&128\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&929\& data-original=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-23d10cbe62c561c9b4cd8eeaacfb642d_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E既然如此,我就只好用塞文件大法了,我只要发送几十个字节的Get请求,就能足足浪费这个钓鱼空间4KB的空间容量,同时产生大量的文件碎片\u003C\u002Fp\u003E\u003Cp\u003E这个就不是那么容易删掉了吧\u003C\u002Fp\u003E\u003Cp\u003E打开spacerFlood项目,重新构造数据包\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_b.jpg\& data-rawwidth=\&863\& data-rawheight=\&588\& class=\&origin_image zh-lightbox-thumb\& width=\&863\& data-original=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='863'%20height='588'&&\u002Fsvg&\& data-rawwidth=\&863\& data-rawheight=\&588\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&863\& data-original=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-01c6d7afffaae29ce3a7b_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E恩,试了试,效果还不错,皮卡丘,就交给你了\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-8beb72ac3ea2_b.jpg\& data-rawwidth=\&1599\& data-rawheight=\&728\& class=\&origin_image zh-lightbox-thumb\& width=\&1599\& data-original=\&https:\u002F\\u002Fv2-8beb72ac3ea2_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='1599'%20height='728'&&\u002Fsvg&\& data-rawwidth=\&1599\& data-rawheight=\&728\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&1599\& data-original=\&https:\u002F\\u002Fv2-8beb72ac3ea2_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-8beb72ac3ea2_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E将这个flood扔到某个云主机上运行,然后我们去睡大觉。而这个dbflood在以每秒鈡10个数据包的速度,往这个空间不断塞着辣鸡数据包,而那个钓鱼空间也在以每秒10个文件,每小时36000个文件,每天864000文件塞着一个文件夹,很快这个文件夹就连资源管理器打开都得半个小时了\u003C\u002Fp\u003E\u003Cp\u003E————————————————————————————————————————————————————————\u003C\u002Fp\u003E\u003Cp\u003E分割线\u003C\u002Fp\u003E\u003Cp\u003E已经距离我们编写flood执行到现在已经3天时间了,期间dbflood因为连接问题重启了几次,到现在,这个空间这个文件夹下大概有200w以上个文件了,而今天,发现dbflood的请求从OK变为了全是error\u003C\u002Fp\u003E\u003Cfigure\u003E\u003Cnoscript\u003E\u003Cimg src=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_b.jpg\& data-rawwidth=\&805\& data-rawheight=\&475\& class=\&origin_image zh-lightbox-thumb\& width=\&805\& data-original=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_r.jpg\&\u003E\u003C\u002Fnoscript\u003E\u003Cimg src=\&data:image\u002Fsvg+utf8,&svg%20xmlns='http:\u002F\u002Fwww.w3.org\u002FFsvg'%20width='805'%20height='475'&&\u002Fsvg&\& data-rawwidth=\&805\& data-rawheight=\&475\& class=\&origin_image zh-lightbox-thumb lazy\& width=\&805\& data-original=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_r.jpg\& data-actualsrc=\&https:\u002F\\u002Fv2-ed6facbcc1c588dbf819_b.jpg\&\u003E\u003C\u002Ffigure\u003E\u003Cp\u003E再次访问这个目录,发现已经爆炸了,这也意}
我要回帖
更多推荐
- ·这个数学数列解题技巧题怎么做?
- ·跪求。圆的二重积分怎么算的计算过程
- ·"MTPA"缩写代表的化学物质“α-甲氧基三甲基硅烷-α-三氟甲基苯乙酸”在学术界的应用广泛吗?
- ·ios麦克风权限苹果怎么打开无访问权限?
- ·高等数学的计算,数二考二重积分吗?
- ·王者荣耀国服最强图标兰陵王是谁
- ·SKY3DS口袋妖怪黑2存档类型型YES和ON之间能不能转换
- ·周瑜小乔和周瑜啪啪小说单挑司马嘉有几成胜率
- ·天龙八部手游天山珍兽宝宝带什么技能 天龙手游天山珍兽
- ·mg里歇尔队长机机的武器有几个
- ·要描写英雄的句子,哪怕只有几分钟,这样的句子
- ·橙光旧城故梦攻略游戏无妄之城所有背景音乐
- ·如果敏魔是三级纳米神兵敏敏,带忽视吸的好还是无属性的好
- ·王者荣耀收徒为什么我收了两个徒,都没用半天之后,系统提示就自动出师了?我确信他们没故意出师。
- ·现在巫医怎么那么喜欢点古得宾,点植物大战僵尸坚果墙墙
- ·王者荣耀百穿适合英雄而荣耀哪个英雄适合上分
- ·LOLS8赛季dopa卡萨丁天赋符文s7怎么样 符文加点出装攻略
- ·倩女幽魂手游赤炎金猊兽为什么没死怎么样
- ·美团众包抢单技巧外挂 有可以不被封的吗
- ·我刚刚点进了一个游戏什么是钓鱼网站站,随便输入了一个账号密码 但一看显示的我的游戏ID我就赶紧改密码了
- ·阿拉德之怒怎么赚钱能赚人民币?
- ·航海王启航单机破解版有单机吗
- ·我的男人 电影跑了,是我总是打他,跑了就跑了,我还巴不得他跑了,这样我就放松了,他在我这里的时候,
- ·世界上最美的情诗陆龟有哪些
- ·吉赛尔好友地狱好,还是冰龙王者好
- ·跑男奔跑吧兄弟5跑男小镇哪些关系不好
- ·地下城文件被占用名字被自己建的号占用,占用的那个号改名字 ,等一段时间大号再改回那个名字这样可以吗?
- ·卢克卢克第二图bosss是怎么回事
- ·QAQ 亲们有没有什么免费亲子游戏书籍推荐推荐下
- ·诺亚达摩出装与装备区别推荐 机动战警诺亚出什么装备
- ·音波龙技能的剩下两个技能槽配什么技能比较适合
- ·阿卡丽阿卡丽的神秘商店钥匙怎么获得神秘钥匙
- ·为什么前三回合赢了第四回合打麻将总是先赢后输输的
- ·光明大陆符文升级怎么升级最快啊 光明大陆符文升级如何快速升级指南
- ·纯炉石传说新手橙卡,问下,没用的橙卡怎么办
