什么是冰河木马?

什么是冰河木马?,第1张

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。

从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。

冰河的服务器端程序为G-serverexe,客户端程序为G-clientexe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32exe和sysexplrexe,并删除自身。Kernel32exe在系统启动时自动加载运行,sysexplrexe和TXT文件关联。即使你删除了Kernel32exe,但只要你打开TXT文件,sysexplrexe就会被激活,它将再次生成Kernel32exe,于是冰河又回来了!这就是冰河屡删不止的原因。

清除方法:

1、删除C:Windowssystem下的Kernel32exe和Sysexplrexe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下扎根,键值为C:/windows/system/Kernel32exe,删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32exe的,也要删除。

4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplrexe %1改为正常情况下的C:/windows/notepadexe %1,即可恢复TXT文件关联功能。

如何识别木马

先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多木马,EML和EXE木马,其中的木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,

简单防治的方法:

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。

冰河木马原理

木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。

一、基础篇(揭开木马的神秘面纱)

无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。

1基本概念:

网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_serverexe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)

2程序实现:

在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):

服务端:

G_ServerLocalPort=7626(冰河的默认端口,可以改为别的值)

G_ServerListen(等待连接)

客户端:

G_ClientRemoteHost=ServerIP(设远端地址为服务器地址)

G_ClientRemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_ClientConnect (调用Winsock控件的连接方法)

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_ServerAccept requestID

End Sub

客户机端用G_ClientSendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_ServerClose (关闭连接)

G_ServerListen (再次监听)

End Sub

其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令

二、控制篇(木马控制了这个世界!)

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。

1远程监控(控制对方鼠标、键盘,并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2记录各种口令信息

(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

3获取系统信息

a取得计算机名 GetComputerName

b更改计算机名 SetComputerName

c当前用户 GetUserName函数

d系统路径

Set FileSystem0bject = CreateObject("ScriptingFileSystemObject") (建立文件系统对象)

Set SystemDir = FileSystem0bjectgetspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bjectgetspecialfolder(0)

(取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx

f当前显示分辨率

Width = screenWidth \ screenTwipsPerPixelX

Height= screenHeight \ screenTwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表

比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup

注册公司和用户名:HKEY_USERS\DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。

4限制系统功能

a远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程,然后注销

当uFlags=1 EWX_SHUTDOWN 关掉系统电源

当uFlags=2 EWX_REBOOT 重新引导系统

当uFlags=4 EWX_FORCE 强迫中止没有响应的进程

b锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的

d让对方掉线 RasHangUp

e终止进程 ExitProcess

f关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

5远程文件操作

无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现

6注册表操作

在VB中只要Set RegEdit=CreateObject("WScriptShell")

就可以使用以下的注册表功能:

删除键值:RegEditRegDelete RegKey

增加键值:RegEditWrite RegKey,RegValue

获取键值:RegEditRegRead (Value)

记住,注册表的键值要写全路径,否则会出错的。

7发送信息

很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。

8点对点通讯

呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑)

9换墙纸

CallSystemParametersInfo(20,0,"BMP路径名称",&H1)

值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。

三、潜行篇(Windows,一个捉迷藏的大森林)

木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!

1、在任务栏中隐藏自己:

这是最基本的了,如果连这个都做不到(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标@#!#@也太嚣张了吧!)

在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形:

在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿)。

在VB中如下的代码可以实现这一功能:

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)

End Sub

3、如何悄没声息地启动:

你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)

Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、winini、systemini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了怎么回事原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplrexe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本),sysexplrexe文件就会重新生成krnel32exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)

4、端口

木马都会很注意自己的端口(你呢你关心你的6万多个端口吗),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)

5最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术(冰河30会采用这种方法吗)。

驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作

事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马(江湖上又将掀起新的波浪)

四、破解篇(魔高一尺、道高一丈)

本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:

1端口扫描

端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)

但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。

2查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3检查注册表

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。

4查找文件

查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Serverexe吧 笨蛋!哪会这么简单,冰河是狡猾狡猾的)冰河的一个特征文件是kernl32exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlprexe(什么什么,不是超级解霸吗)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)

如果你只是删除了sysexlprexe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplrexe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:

a更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)

b在<我的电脑>-查看-文件夹选项-文件类型中编辑

c按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开>,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)

提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它你苦了!连regedit都不能运行了!

5杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)

另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)

五、狡诈篇(只要你的一点点疏忽)

只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。

1 木马种植伎俩

网上“帮”人种植木马的伎俩主要有以下的几条

a软哄硬骗法

这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的反正目的都一样,就是让你去运行一个木马的服务端。

b组装合成法

就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。

c改名换姓法

这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成或文本----在程序中把图标改成Windows的默认图标, 再把文件名改为jpg exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张就更完美了)

d愿者上钩法

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意

2. 几点注意(一些陈词滥调)

a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;

b.不要过于相信别人,不能随便运行别人给的软件;

(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间)

c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;

d改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)

e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;

最近,新浪科技发了一条简短的新闻,“工信部于10月12日约谈了涉事电信企业相关负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为……”

这段话有点难懂,其实是工信部希望堵住一条黑色产业链。

这条产业链上的人可以算是2020年新一代团伙盗窃犯,他们根本不在乎现金和实物,只在意我们的SIM卡。只要搞到了SIM卡,就可以盗走所有的资产。

普通人因为对各种App和平台的风险控制规则不熟悉,即便以最快的速度换掉SIM卡,冻结银行卡、信用卡,也往往赶不上盗窃犯的速度,于是几十万的资金嗖嗖嗖就在30分钟到2个小时的时间内没有了。

由于盗窃犯是利用现有的规则漏洞操作的,也就是说,他的一切动作都是合规的,不摸清所有相关App的金融信息安全系统,就两眼一抹黑,所以这类案件办理难度极高,后续索赔难度极大。很多人中招后,经历长达半年之久的索赔,也只能补回部分资金。

黑色产业链被曝光的经过

直到有一天,盗窃团伙把一位资深渗透工程师妻子的手机偷走了。这条黑产业链才完整曝光。

你可以粗糙的把渗透工程师理解为黑客。他们的工作就是研究各类安全防控体系,利用系统规则漏洞、木马、后门技术、密码破解技术等一切可用的手段破解系统防护,然后再把这些漏洞写成报告,提交给公司,公司再去优化。

这次事件的经过大致是这样的:

晚上7:30,妻子在小区门口水果店里华为手机被偷。

回家发现后,立刻给手机打了电话。电话接通了,但随后马上关机。

然后,丈夫利用电脑登录华为手机账号,使用“查找我的手机”功能。

这样做,一是可以看到手机关机前最后的地理位置,二是可以给手机发送锁定设备的命令。

这样一来,当手机再次开机时就会被自动锁定,无法操作。

他们从盗窃的时间点开始就做了精准规划,必须等营业厅下班后才行,所以晚上7点半很合适。我们之后说为什么选择这个时间点。

但你可能没想到,这个专业盗窃团伙的配合是如此严丝合缝。

晚上8:50,盗窃犯把SIM卡放在其他手机里,通过发短信的方式获取了这个SIM卡的手机号。

然后又登录社保官网,通过短信找回密码功能,获取了社保账户对应的身份证号和银行卡号。

而短信功能、身份证号、银行卡号,是实现后续所有操作中最重要的三个信息。

盗窃犯先用这些信息,修改了中国电信服务密码和华为账号的密码。然后把手机号和华为账号解绑,通过至今未知的方法绕过了华为手机的锁屏密码。

机主发现“查找我的手机”功能没法登陆了,意识到这不是普通的小偷,于是赶紧给10000打电话挂失手机号。

但是在提示“请输入服务密码”时发现,原来的密码已经被人改了。于是,马上按流程报上身份证号和过去联系过的3个电话号码,这才终于挂失成功。

因为丈夫是渗透工程师,所以并没有止步于此。

他警惕性很高,马上转移了所有的资金,主要是三部分:一,所有银行卡的活期余额都转到家人卡里;二,支付宝、微信的余额也转到家人卡里;三,所有绑定的信用卡全部解绑,最后再把所有信用卡冻结。其实,绝大部分人都不会做这些,以为挂失后就安全了。

不出所料,晚上9:50,妻子给失窃的手机打电话,竟然拨通了,不过没人接。

按说,手机号挂失后不应该能拨通。妻子就打电话询问10000这是怎么回事,对方回复说,一小时前执行的那次挂失确实成功了,但随后又解除了挂失。

原来,挂失和解挂的操作是一样的,只要知道手机卡的身份证号和三个曾经拨打过的号码就行。

而手机就在盗窃犯那里,已经通过华为新账号解开了锁屏,于是通话记录就可以看到了。而他又知道身份证号,所以无论机主如何挂失号码,总会在几分钟后被盗窃犯解除挂失。

又因为这个时段营业厅不上班,总是不能拿到一张新的实体SIM卡,于是老SIM卡就总能在盗窃犯手里原地复活。

机主的老公发现对方不好对付,就根据银联云闪付上的记录把所有储蓄卡都冻结了。但谁都难免有些长久不用的、记不起来的卡,所以难免有遗漏。而这些卡,就是在这次事故中最后被盗刷的。

夜里00:30,支付宝提示“在其他设备上已登录”,机主只能继续扩大防御范围,把所有带支付功能的App全部冻结,然后更换这些App绑定的手机号。

但他不知道,盗窃团伙在晚上10:00-12:00这两个小时里已经完成了大部分的操作。他们的方法非常独特,利用盗来的手机号在各个App上注册新用户,然后和他们分析出的那张银行卡绑定。

接下来,就是从夜里00:30到第二天05:00,机主几十次的挂失,盗窃犯又几十次的解除挂失。因为次数太多,客服还劝机主说:“你们自己的私事,不要再占用公共资源了”。客服之所以这么说,是因为盗窃犯拨打客服电话时说,他们是男女朋友吵架,女方要冻结男朋友的手机号。

到了05:00,机主发现网上营业厅还有一个功能——关闭短信业务,就抱着试一试的心态执行了关闭。这一点是盗窃犯也没有想到的。因为关闭了短信业务,他们就再也收不到验证码这个关键短信了,于是犯罪行为就停了下来。

事故的真相

早上9:00,营业厅一开门,夫妻俩就进去补办了SIM卡,然后清点损失。

结果发现了奇怪的事,除了支付宝绑定的手机号被改过,并且又注册了一个同样身份信息的小号之外,其他账号都没有异常。

但在之后更详细的清点中发现,盗窃犯根本不对机主手机里那些App的账户下手,而是利用身份证和银行卡,在很多个App里另外注册新账户,然后用这些新账户,在花呗、京东白条、美团贷款等一切你知道和不知道的网贷平台申请贷款。有些贷款,批了以后直接转走,更多的是购买虚拟商品、充值卡、游戏装备,然后转走。因为机主夫妻俩防范及时,大平台的网贷只成功了一个。

虽然机主老公的本职是渗透工程师,但还是有好几处疑惑,不知道盗窃犯是怎么绕过去的。比如,华为锁屏密码是怎么绕过去的,美团贷款人脸识别是怎么绕过去来的,遗弃十多年的一张建行卡号是怎么被知道的……

也幸好机主老公是渗透工程师,把证据和线索保留得很完整,支付公司、网贷公司、金融平台都承担了相关的责任,赔偿了损失。

如果是普通人想找回损失,那简直太难了,一是很难封住资金外流的所有通道,二是很难说清到底损失了什么。因为那些消费都是用他们根本不知道的账号操作的,大概率下,只有等贷款逾期后、追债的找上门来,才能意识到和几个月前手机被偷有关。等到那时候再报案,当初的所有细节基本都想不起来了。

如何守护网上资产安全?

当这一切极为专业的盗窃操作第一次比较透明的公布出来以后,就出现了开头工信部约谈涉事电信企业相关负责人,目的就是要在刚刚几个薄弱点上堵住漏洞。工信部对这个事件的反应这么迅速,确实要点赞。

现在,我来说说哪些方面已经堵上了。

首先是各省的社保官网。它们会陆续把短信找回密码登录后,身份证号、银行卡号全部数位可见改为部分字段可见。这样一来,最关键的三个信息中的两个就减少了被看到的可能性。虽然还有其他渠道可以看到,但起码给盗窃犯增加了困难。其次是电信部门对异常时段,比如夜里2-3点,异常频繁的挂失、解除挂失设置了限制。

这两个机构的改进,会在不久后马上见效。

而还有一些,是见效比较慢的。比如有些网站和App,仅仅使用手机短信验证码就可以登录,还能查看身份信息、银行卡信息;还有一些网贷平台,对注册不到一天的用户就同意借钱。这些短期内不会有改变。因为这类有瑕疵的App实在太多了,具体情况要挨个摸排。在它们没有主动改进意愿的情况下,全都增加多重验证、提高风险评级是比较慢的。

最后,就是我们自己能加强的保护。有一招是绝妙的,只要做到了,上面所有的改进哪怕一项都没有,也可以堵住盗窃团伙,那就是给手机SIM卡加上密码。

操作以后,每次手机重启或者SIM卡拔出来再插到其他手机上时,都需要输入SIM卡密码才能和基站正常通信。盗窃犯不把这一步搞定,永远也不知道这张SIM卡的电话号码是多少,当然也就收不到短信,于是我们就安全了。

如果他们用穷举法硬来呢?不怕。SIM卡密码如果连续输入三次错误,就只能输入PUK码才能解锁。你可能都忘了什么是PUK码了。我们去营业厅办卡时,SIM卡不都镶嵌在一张更大的卡上吗?PUK码就在那张大卡片上写着呢。当然,估计你已经找不到这张卡了,不过可以在网上营业厅或者线下营业厅查询。

但现在,请不要着急去设置SIM卡密码。因为不同品牌手机的设置方法不同,一旦操作失误、SIM卡被锁,就挺麻烦的。

我现在正对着苹果官网的技术支持页面一步步操作。最开始,系统让我输入默认的PIN码,我就打10086问过了默认值。然后要注意的是,操作时,每一步都要留意屏幕上的提示,分清是让你输入当前的,还是修改后的,或者是第二次确认修改值。一定要对着官网的提示,每个字每个字的认真阅读,一步步的来。

如果她是个小女孩,你就带她看遍世界风水。如果她已经放下一切,你就让她恢复纯真。如果她想有个喜欢的人,你就和她。。。你懂得。如果他(注意是他了)喜欢的人多了那事也发生多了或者人事见多了,你就和他结婚吧。

新时代男性典范,睡的了地板,睡得了走廊,跪得起主板补得了衣裳,吃得剩饭,买得起楼房

1、面对失恋,她们会说,假使你不再爱我,我不会难过,我必找个更好的,凯旋而归。我们要的是爱情,不是爱情载体。我们失去的仅仅是载体,而不是爱情。爱情载体可以变,而爱情永不死。

2、你来我认为你不会走,你走了我当你没来过。

3、只有花男人的钱,你成为他投资的一部分的时候,他才不会随便丢弃你,就好像男人不会随便丢弃自己的财产一样。如果靠纯爱来维系,那化学反应结束,感情也就差不多了。不花他的钱,他怎会珍惜你?

4、明天你是否会想起 昨天你下的日剧 明天你是否还惦记 曾经红火的越狱 网友们都已想不起 下载了多少个G 我也是偶然翻硬盘 才想起CHINABT 谁封了你的服务器 谁锁了你的IP 谁把你的资源清洗 谁给你做的寿衣~

5、新世纪女性:上得了厅堂,下得了厨房,杀得了木马,翻得了围墙,开得起好车,买得起新房,斗得过二奶,打得过流氓。

6、超现代醒世恒言:我能容忍身材是假的,脸是假的,胸是假的,臀是假的!!!但就是不容忍钱是假的!!!!

7、吵架了,又和好了,又吵架了,就分手了,转眼毕业了,立马傻眼了,好歹工作了,挣钱了,花完了,看破红尘了,十年过去了,三十好几了,也该结婚了,说办就办了,孩子早有了,安定了,团结了,觉得幸福了,孩子长大了,我们也老了,孩子结婚了,不管老的了,生气了,生病了,突然觉悟了,不过也死了!

第49集:秀衡听秀莲说恩娇拿着花束去看尹社长,就为了恩娇准备了晚餐。秀衡请求尹社长接受恩娇这个儿媳妇,尹社长只是冷淡地说说还不是时候。明子腌了泡菜给恩娇送去,还打扫了卫生,拜托秀衡在自己公司给民九找份工作。

第50集:再次来到秀莲的照片展的宇燮发现了拍摄自己的照片,问秀莲照片是怎么回事。可是秀莲并没想到照片里的人是宇燮。珍娇重新开始改衣服的工作,成彪劝说她要为了孩子着想,可珍娇却说后悔结了婚,怀了孩子。听了这话的成彪气得跑出去喝酒,二人的自尊心都很强,谁也不愿意先服软。

第51集:恩娇和小姑子秀莲一起逛街,被秀莲强拉着回了家。尹社长正在家里和田女士一起吃晚饭,田女士是来感谢留学的事情。尹社长看到恩娇以后非常冷淡,把恩娇撵了出去。秀莲认为尹社长太过分了,柳会长也劝说尹社长。尹社长表面上不接受恩娇,心里却早就后悔了。秀莲送给宇燮钢笔做留学礼物,还开玩笑说,为了见照片里的主人,要到纽约去留学。仁哲告诉成淑,要想在夜总会上班,就要把成彪的乐队带过来。成淑去找成彪,可成彪却说以后再也不会在那种地方唱歌,成淑非常失望。

第52集:几年的时间过去了,恩娇和珍娇都已是六岁孩子的母亲了。恩娇的儿子书贤英语也好,还喜欢打游戏。珍娇的女儿成珍歌唱得好,也很可爱。成彪的乐队出了第二张专辑,还经常出演收音机节目。珍娇也怀上了第二个孩子。进出中国市场的秀衡就算是出差,也要努力提前完成工作尽早回国,为了心爱的儿子书贤。成淑也成了明星,只要一提甜心朴,无人不知。托成淑的福,仁哲也当上了经纪人。和成淑一起开化妆品店的明子经常拿着账簿,到夜总会想成淑报告经营状况。秀莲结束了美国留学生活回到了韩国。还说自己努力学习摄影,连约会的时间也没有。

第53集:姜宇燮刚从纽约归来就直奔总公司报到。这次公司交给他一项新的工程,对他期望颇高。全秀莲完全不知道姜宇燮的归来,去自己哥哥家拜访,并告诉嫂子成恩娇自己有一个男朋友在纽约,而且承诺要介绍给成恩娇认识。朴成彪和他的沙漠绿洲受到了里程传媒的赏识,准备一起合作出片。同时,在马上就要签约的时候,朴成彪接受了里程传媒崔室长的要求:隐瞒自己已婚的事实。柳秀莲一直抱怨姜宇燮回国后不跟她联系,同时姜宇燮答应了柳秀莲在回国晚宴时将他们的恋情公诸于世。全秀衡和成恩娇也期待着柳秀莲男友的出现。

第54集:姜宇燮在柳秀莲的回国晚宴上目睹了成恩娇一家三口甜蜜、和睦的场面,令他十分彷徨。可他并不知道,因为全书贤肚子疼领着孩子离开的全秀衡就是柳秀莲的哥哥。柳秀莲的父母见到自己女儿挎着姜宇燮甚是不得其解,最后,两个年轻人向柳秀莲的父母提出了结婚的请求。刘明子化好妆要去给朴成珍的姑姑送账本,结果朴成淑以庆祝李民九光荣退伍为由招待了母子俩。李民九看着舞池中的男男女女,告诉自己的母亲以后不要再来夜总会送账本了。

第55集:成珍娇告诉朴成彪希望自己怀的孩子是一个男孩儿,同时希望她可以成为购买预售房屋的中签者。同时,朴成彪也信誓旦旦地承诺说如果他和里程传媒合作发片,就可以买一大栋房子给成珍娇。看到以秀莲男友身份出现的宇燮,恩娇大吃一惊。二人在亲家会面的场所始终沉默,假装不认识。秀莲说就算是尹社长不同意,自己也要跟宇燮结婚,还让恩娇站在自己这边。

第56集:秀衡说妈妈也很满意宇燮,迟早会答应二人的婚事。珍娇和女儿一同外出,女儿说想要看看爸爸工作的地方,就来到了成彪的企划公司。成彪正好在接受记者访问,按照室长的指示,假装不认识她们。室长说成彪的结婚事实一定要保密,成彪对此也很难接受。宇燮接到恩娇的电话,要求见面,有事情要说。宇燮感到自己和秀莲的关系不能继续维持,陷入苦恼。秀莲来到宇燮家,管宇燮的妈妈也叫妈妈,还做了晚饭,完全就像是儿媳妇一样。全女士看到二人的样子,感到很欣慰。在练习室作曲到很晚的成彪发现崔柔真悄悄过来,虽然很惊慌,但没有表现出来。成彪感谢崔柔真在很多方面帮了自己的忙,崔柔真提议一起出去喝酒。看到无法回答的成彪,民九觉得很是疑惑。

第57集:恩娇见到宇燮,希望宇燮不要再和秀莲见面,继续孽缘。宇燮决定按照恩娇说的去做,不接秀莲的电话。秀莲已经得到了尹社长的同意,并开始安排两家人的见面。宇燮更加坚定了和秀莲分手的决心,不知实情的田女士和亲家见面,遇到了恩娇,大吃一惊。坐立不安。排到了公寓的一家人聚在一起庆祝,成彪却没有出现,珍娇觉得很奇怪。民九没办法告诉珍娇成彪和室长单独两个人出去喝酒的事情。同一时间,成彪和室长喝着葡萄酒,受到了隐隐的诱惑。珍娇看到成彪坐室长的车回家。

第58集:珍娇虽然吃惊,却假装毫不知情。宇燮告诉恩娇,就是因为秀莲全身心的爱,才有了今天的自己。恩娇却要求宇燮不要再继续欺骗秀莲,早日分手。宇燮告诉秀莲自己还没有做好结婚的准备,要和秀莲分手,可是秀莲并不相信宇燮的话。宇燮告诉秀莲自己并不爱她。

第59集:回到家的秀莲听到父亲同意自己的婚事,却推说很累。成彪告诉珍娇,室长不喜欢外人到练习室来,让珍娇不要去练习室找自己。成淑的公演时间被后辈润子抢走,十分气愤。成淑在公演时间没有出现,仁哲焦急万分。和醉酒的客人争吵的润子因为民九的帮助,避免了灾祸。宇燮辞去了公司的职务。听到消息的秀莲去寻找宇燮,可是宇燮不接电话。宇燮告诉妈妈自己已经和秀莲分手的事实。

第60集:恩娇手机响起,秀衡无意中接了起来,没想到是宇燮打来的,他以为是恩娇接的电话,便说和秀莲分手了,为“我们两个人的过去”使让秀莲受到惩罚而感到心痛,听后秀衡惊讶的一句话也说不出来,马上挂断了电话。秀衡陷入了深深的苦闷。全女士责怪宇燮,让他和恩娇两个人装作不知道就会没事了。柳会长以公私事要分开为由拒绝宇燮的辞呈,而宇燮却坚持要辞职。全女士找到恩娇,让她和宇燮装作不知道,恩娇说那样会欺骗所有人,表示拒绝。成彪和崔柔美宴请电视台的人,有些醉意,结果去了柔美的家,无意中睡着了。珍娇整夜等成彪回来,一早到企划公司前面被成彪与柔美一起上班的情景惊呆了。秀莲强忍失恋的苦痛,外面却硬装坚强。

第61集:秀衡打电话约宇燮出来见面。恩娇因为一直没有再怀孕的迹象,便向秀衡提出一起去医院检查一下。珍娇表示非常讨厌崔柔真,坚决不让成彪再出专辑,成彪与珍娇吵了起来。珍娇生气的说以后再这样就不让成彪回家,而成彪继续接受专访,积极排练,为出专辑做准备。秀衡分别约宇燮和恩娇在同一场所见面,秀衡偷偷看着秀衡和恩娇的眼光,让宇燮解释和秀莲分手的原因。宇燮只留下抱歉之类的话,打电话埋怨恩娇为什么非要跟他当面确认。

第62集:秀莲和秀衡喝酒喝得不省人事,看到妹妹因为失恋而受到伤害,秀衡感到非常心痛,同时也感到非常无奈。宇燮告诉母亲自己准备去美国,全女士为儿子的选择感到非常伤心。秀莲再次找到宇燮,恳求他回到自己的身边,遭到拒绝之后,向宇燮提出最后的要求,让他带自己去东海海边。

第63集:到达海边之后,秀莲在宇燮转身回去之后,失去意识无力的晕倒在地。柔真来找珍娇,告诉珍娇不要误会自己和成彪之间的关系,可是珍娇不听她的解释,反而让她立即中止和成彪的合作关系。看到珍娇态度坚决,柔真只好无功而返。宇燮打电话给恩娇,告诉恩娇秀莲在海边晕倒,自己正在开车把秀莲送往首尔的医院,恩娇犹豫再三,终于鼓起勇气告诉秀衡秀莲晕倒的消息。秀莲在医院刚刚醒过来就开始寻找宇燮,秀衡只好给宇燮打电话让他尽快过来。

第64集:看到秀莲抓住宇燮的手不放,宇燮也同样显得很痛苦,秀衡感到非常苦恼。成彪跟珍娇闹翻,说他在出专辑之前不会再回到家里。随后搬到公司为新歌手准备的公寓去住,崔室长安慰成彪不要太沮丧,还带成彪到超市购物。秀莲向恩娇告白,只要宇燮能够回到她身边,她愿意在医院一直躺下去,恩娇虽然也感到很心痛,但也不法找到合适的语言安慰她。珍娇来找恩娇想向她倾诉自己的苦恼,而同样倍感煎熬的恩娇,终于按奈不住内心的伤楚,抱住珍娇失声痛哭。秀衡回想起与恩娇举行婚礼的那一天,陷入沉思之中。秀衡终于鼓起勇气问恩娇当年他们举行婚礼的那天为什么没来参加,可是恩娇始终不肯回答,只说出她和宇燮过去是恋人关系。秀衡虽然觉得很对不起秀莲,但也只好同意秀莲和宇燮是不能在一起的。全女士很难接受宇燮和秀莲分手的事实,想要把宇燮和恩娇过去的那段历史告诉给秀莲父母,宇燮只好哭着向母亲坦白恩娇结婚前一天晚上他绑架恩娇的事情。柳会长亲自出面想挽回秀莲和宇燮的关系,秀莲出院之后也非常积极的靠近宇燮。成彪不顾珍娇的反对,执意要在柔真的公司出专辑。成彪为了制作专辑封面在摄影棚照相的时候,突然接到幼儿园打来的电话,便急急忙忙去把成珍接到摄影棚。在摄影棚柔真答应成珍去百货店给她买礼物,于是在摄影之后带成珍去逛百货店。

第65集:珍娇为了接成珍回家,来到成彪的宿舍,看到成彪他们三人像一家人那样亲亲热热,受到了很大的打击。恩娇最终没有答应秀衡的请求,不同意秀莲和宇燮在一起。听到恩娇说为了儿子也不能让秀莲和宇燮成为恋人,秀衡陷入更大的苦恼,决定去做亲子鉴定。

第66集:看到珍娇拿出离婚协议书,成彪非常生气,跟珍娇说要在法庭见面。两个人同时回想起他们相知相爱,共同度过的那些苦日子。另一边,柔真向成彪告白自己很喜欢他。珍娇又一次出现流产的症状,被送往医院。醒来之后看到成彪坐立不安的守在自己身边,珍娇感到自己也有不对之处,于是两个人相互反省、相互道歉,终于和好如初。秀莲苦苦哀求,让恩娇允许自己和宇燮的婚事,并向恩娇保证结婚之后永远都不出现在她面前。秀衡拿着儿子的头发,去研究所做亲子鉴定。恩娇终于做出决定,告诉秀衡自己也同意秀莲和宇燮的婚事。秀衡哭着拿出儿子的头发,说自己差点就因为误会酿成不可挽回的大错。(全剧终)

欢迎分享,转载请注明来源:浪漫分享网

原文地址:https://hunlipic.com/qinggan/11753349.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-12-08
下一篇2023-12-08

发表评论

登录后才能评论

评论列表(0条)

    保存