前一陣子，在論壇里看到一人，介紹他的盜QQ、游戲密碼的木馬，只要設置好E-mail的用戶名及該E-mail的密碼，就可以盜號了。是否知道這個木馬是包含后門的？在你用它來幫你盜號的同時，盜取的用戶名及密碼也都會發(fā)送給木馬作者一份，而我們就是要利用嗅探工具來得到這個木馬作者所用E-mail的用戶名及密碼。然后，來個“為民除害”。最后希望大家不要使用木馬，不然害人的同時還會害己(有些木馬還會盜取你的賬號及密碼)。

下面就以一款針對某網(wǎng)絡游戲的木馬來做分析，來看看如何得到木馬中的一些“隱藏”信息。首先要準備的一些必要的工具：

①下載我們所需要的嗅探工具，解壓后得到xsniff.exe;

②一個傳奇木馬軟件，網(wǎng)絡上有很多。

下面就來開始抓獲這個木馬中的諜中諜。

第一步：點擊“開始→運行”，輸入“CMD”(不含引號)，打開“命令提示符窗口”。

第二步：進入嗅探工具所在目錄，輸入“xsniff.exe -pass -hide -log pass.log”(不含引號)，這樣局域網(wǎng)里的明文密碼(包括本機)都會被記錄到pass.log中。

第三步：下面打開該網(wǎng)游的木馬，輸入你的郵箱地址，點擊發(fā)送測試郵件的按鈕，顯示發(fā)送成功后，再打開生成的pass.log文件(括號內的文字為注釋，并不包含在pass.log文件中)：

TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
(前面的IP是發(fā)信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口)
USER: ZXhlY3V0YW50[admin]
(USER是信箱用戶名，前面的ZXhlY3V0YW50為加密的數(shù)據(jù)，后面[]內的為用戶ID)

TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
PASS: YWRtaW5zdXA=[adminsup]
(PASS是郵箱的密碼，YWRtaW5zdXA=為加密數(shù)據(jù)，后面[]內的為密碼)

TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
MAIL FROM: 
(類似于發(fā)郵件時的信息，指信息發(fā)送的目的郵箱)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
RCPT T <1@1.***>
(測試信箱的地址)

第四步：現(xiàn)在我們已經知道了這個木馬是使用admin@1234.***郵箱來發(fā)信的，用戶名是admin，密碼是adminsup。于是，進入這個郵箱，刪掉那些信吧。

第五步：不要以為這就結束了，木馬是狡猾的，很多木馬還包含一個隱藏后門。執(zhí)行剛剛生成的木馬服務器端(沒有手動清理病毒能力的讀者請勿輕易嘗試，并對系統(tǒng)進行備份，以便還原)。

第六步：使用前面的命令，讓xsniff開始嗅探，進入該游戲，隨便申請一個ID，接著退出，再去看看pass.log文件。

TCP [04/08/04 19:20:39]
61.187.***.160->61.135.***.125 Port: 1157->25
PASS: YWRtaW5zdXA=[admin]

TCP [04/08/04 19:20:40]
61.187.***.160->61.135.***.125 Port: 1157->25
MAIL FROM:

第七步：最后，將該郵箱里的盜號郵件清除，然后恢復系統(tǒng)。

責任編輯: 雪花(TEL:（010）68476636-8008)