新的盗号方式和木马发展动向

新的盗号方式和木马发展动向
这2天看到论坛不少人帐号被盗了，潜水N久，出来冒个泡。不知道还有人记得我不。直接正题--
这2天被盗号的朋友基本都有以下共性。杀毒软件反复查杀病毒并没有发现木马，MD5效验正确，下线的时候号才被盗(不少人密保卡是新换的)。

[::艾泽拉斯国家地理 BBS.NGACN.CC::]

现在的游戏木马大概是第四代游戏木马，基本是08年9月以后的产物，由于研究内核的人也越来越多，内核编写ROOTKIT的技术也越来越程序，发现到第四代已经可以直接和硬件打交道了。知道操作系统的人都知道，所有应用程序都遵从 用户模式(ring3)-内核模式(ring0)-硬件。现在的杀毒软件也只不过工作在RING0模式下，也就是说 最多只能反ROOTKIT，如果是直接硬编码形成的木马。现在都管他叫 BOOTKIT(比ROOTKIT更先进的木马后门技术),这样杀毒软件怎么可能查杀的到这样的木马？

第2个问题 不通过密保卡就能进游戏 虽然游戏是要验证密保卡的密码的。但是如果游戏验证程序本身出了问题呢？比如说某DLL出现了缓冲区堆栈溢出的漏洞，那么直接绕过验证程序不是什么难事。这世界上也没有完美的软件，微软光工程师都上万了，WINDOWS的漏洞曾出不穷，别说WOW了。

第3个问题 9C内鬼，这东西太不靠谱了。虽然9C没有游戏的原代码，但是游戏的数据库一定在9C手里吧。对于WOW来说，应该是Oracle一类的大型数据库吧。本地建个帐号，修改数据库里的一个参数(金币)想改多少改多少。这和游戏代码几乎无关。还至于从玩家手里拿吗？

第4个问题 这么先进的木马用在WOW上值不值？肯定值。圈内写这样一个木马现在行情也就10万到20万之间，假设每个服务器两个阵营各盗20万G。所有服务器加起来 3000万G有了吧，一个G就算2分钱，也60万了。收个0DAY 做个百度推广 10万打住了，这样的利润自然有人想做。

第5个问题 就目前来看，能这样盗号的就一家，而且这家实力很雄厚。一看就是大手笔，以往的木马一流传都是不同的盗号的，有洗G的、有卖装备的、有拿号刷外挂的。这次基本上就是拿G，剩的银也差不多相同。没动装备，没改密码。说白了，盗号的人也很有背景了。

第6个问题 如何防范 鉴于BOOTKIT的不可追踪性，一般人查都查不出来。重新分区，格式化硬盘，CMOS放电。重做系统，上网和打游戏分开。上网用虚拟机，打游戏用主操作系统。虚拟机现在还没人能穿透，即使虚拟机感染病毒了。也不会影响到主系统，怎么用？网上教程多的是，会做系统的人，半小时不用都能学会。


参考文章[ http://www.xfocus.net/articles/200903/992.html ]附测试木马。全部硬件实现，就写到这吧。

谢谢不少朋友的指正，查了查部分资料，不正确的地方已经修正。

树大招风
文章技术内容倒不怎么明白

貌似是真的……NGA已经出现无数被盗号的帖子了。我台服的号也不幸中招。
特征都差不多，所有的防护系统均没有报警，WOW执行程序的MD5码完全正常，只丢G，别的什么也不少。防护系统也完全没有检测到有木马活动的痕迹。并且只盗G，不改密码。
以上……

盗号其实在专业人士看来不过是小菜，只不过现在的专业人士越来越多了……

我学软件，虽然没有完全弄懂，但大概可以理解是什么意思。
用不恰当的话来描述，就是，以往的木马，都是活动在操作系统级别的，同处于操作系统级别的防护软件，自然有方法可以察觉到。但新出的木马，直接以更底层的机器语言为平台运行，这样，处在高层的防护软件就无法察觉。举个例子来说，就像是，人和人之间可以用人类语言交流，但对于更低层次的动物语言就会无法理解。

爱盗不盗，反正我不玩了，游戏都删了，我看他们怎么盗我

原来高端人士虽然多但是不会盗游戏这种价值低的号，现在自学成才的人多了，游戏号丢的也就多了。。。唉

哈哈哈哈，唉，自学成才。。。。。。。。。。。

看来科技真是双刃剑。