在过去的一年中,可谓病毒木马严重泛滥,各类有害程序你方唱罢,我便登场,灰鸽子、熊猫烧香、金猪闹春、机器狗、磁碟机一一而来,好不热闹。经过众多安全人士的总结,病毒的泛滥源自当前物欲横流之时,几乎均和利益相关,如今的“毒枭”已非昔日存粹的技术高手,也为利益所趋。而在这其中,盗版软件则起着推波助澜的作用!也许有朋友不信,说我天天用盗版软件,也没发生意外嘛!其实不然,盗版软件和病毒木马的结合,会导致更大的危害!下面举一笔者身边的实际例子来说说。
某朋友开网吧,因为有段时间老被DDOS攻击导致掉线,于是在试用了多款抗DDOS防火墙之后,选择了冰盾。但是由于试用版只能使用2小时,所以最终去网上找了破解版本予以安装。
不曾想过了几天之后,听其说最近来网吧上网的用户经常出现网游帐号、QQ密码被盗的问题。于是便帮他找了搞安全方面的朋友帮忙去检查一下。经过一番摸索之后,最终发现了问题所在,既他网上搜索找到的冰盾破解版存在不可靠人的秘密。
将冰盾破解版解压后,发现除了两个是冰盾被破解过的主程序之外,还多了个.Dll文件。直接用PEiD查看,显示其是用“ASPack 2.12 -> Alexey Solodovnikov ”予以加壳,很明显制作者不想让大家看到其在里面到底放了什么。可见制作此破解程序者隐藏之深,不想让其他人脱壳而暴露出其隐藏在DLL中的真实代码,故而伪造了壳。
在运行冰盾破解版之后,使用Process Explorer观察到该.Dll文件被加载到内存空间。然后观察到在刚运行数分钟后的不确定时间段内主程序会向外网的某个IP发起反弹连接申请,然后又会迅速断开,就好比灰鸽子一样反弹取得指令后迅速断开连接,并执行指令以隐蔽其行为。通过技术手段捕捉到了这一行为的发起者,就是破解制作者加入的那个.Dll文件。至此朋友网吧用户密码帐号被盗窃的原凶终于现原形了。
通常来说,破解一个软件完全不必要单独加这么个.Dll文件,除非要完成非常非常复杂的功能,比如:灰鸽子的Dll虽然只有几百K,但其能实现强大的远程控制功能。
通过这件事情,我们可以总结到如下经验或教训:破解版软件需要慎用,尤其是直接对exe进行了修改,甚至是单独添加了Dll的破解版软件。同时,目前国内的一些汉化类软件也要慎用,因为有相当数量的汉化是破解版本,里面亦加了不少广告和流氓插件。此外,网上的木马盗号程序是不能购买的,因为里面大多有后门,你花钱买来的木马结果号码被先发到了卖马人那里,留给你的基本上是没有什么价值的。
在这个利欲横流、道德伦丧的网络时代,大家应该慎之又慎,对于盗版软件能不用尽量不用。除却盗版,其实我们还是有很多选择的,如开源软件,免费软件等,目前好多常用工具基本还是能找到这类替代品的。
网友评论