黑客告诉你木马生成器不能随便碰

前一阵子，在一些论坛里看到有些人，介绍他们盗QQ、游戏密码的木马，只要设置好E-mail的用户名及该E-mail的密码，就可以盗号了。是否知道这个木马是包含后门的？在你用它来帮你盗号的同时，盗取的用户名及密码也都会发送给木马作者一份，而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后，来个“为民除害”。最后希望大家不要使用木马，不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。
s5X;| \J1F/B0下面就以一款针对某网络游戏的木马来做分析，来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具：★黑基空间★ CN4AxB![d

h-V@6F2\'v~l'R2N0★黑基空间★q(bu8`HO/iV
★黑基空间★,ASCk'j;H(\W:x6b.W
★黑基空间★op"u"gB#F
①下载我们所需要的嗅探工具，解压后得到xsniff.exe;
"i&KB!e.VNrX"QO0
6W6?:a,^j.K0②一个传奇木马软件，网络上有很多。★黑基空间★I P.Jh g4Z1x2F&t1N.@
★黑基空间★B#gi L{4r*{)l
下面就来开始抓获这个木马中的谍中谍。★黑基空间★;f(RY8dKR4PMv3Q"k
★黑基空间★ L.r?Z
V]
nXI
第一步：点击“开始→运行”，输入“CMD”(不含引号)，打开“命令提示符窗口”。★黑基空间★k*EyO#ZZz
★黑基空间★5y8\
k1GX
第二步：进入嗅探工具所在目录，输入“xsniff.exe -pass -hide -log pass.log”(不含引号)，这样局域网里的明文密码(包括本机)都会被记录到pass.log中。★黑基空间★rO~r]BY-F
★黑基空间★p\%_2Y
~i-ft0s
第三步：下面打开该网游的木马，输入你的邮箱地址，点击发送测试邮件的按钮，显示发送成功后，再打开生成的pass.log文件(括号内的文字为注释，并不包含在pass.log文件中)：
b I!~"MBtH[9s.Z0
o2c F7]H^UOTE:★黑基空间★_5b2x6~OS~!u
TCP [04/08/04 19:14:10]★黑基空间★D9x i,Wt{i
61.187.***.160->202.102.***.114 Port: 1140->25
;Br"tTiTkaFA1C2z0(前面的IP是发信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口)★黑基空间★[e![cOO Kn
USER: ZXhlY3V0YW50[admin]
R.| G3dlHf0(USER是信箱用户名，前面的ZXhlY3V0YW50为加密的数据，后面[]内的为用户ID)
y$@3h7g-u-x&K0TCP [04/08/04 19:14:10]★黑基空间★3fx7\*p%h!C?#uj(Cf
61.187.***.160->202.102.***.114 Port: 1140->25★黑基空间★*Q q iT0Knf
PASS: YWRtaW5zdXA=[adminsup]★黑基空间★:IA+e4|
a8zY*a4T
(PASS是邮箱的密码，YWRtaW5zdXA=为加密数据，后面[]内的为密码)
gbG#y0N+_0
1UK,ZX \Km)F&w0TCP [04/08/04 19:14:10]
6npCG*ZV061.187.***.160->202.102.***.114 Port: 1140->25★黑基空间★bNAt5a
MAIL FROM:★黑基空间★"z-tDd/Af!tLK4q8o
(类似于发邮件时的信息，指信息发送的目的邮箱)
o:c V%o [;@
l0TCP [04/08/04 19:14:10]★黑基空间★`]/]4JLV O
61.187.***.160->202.102.***.114 Port: 1140->25
Gn7Ru8J6?1zDf.e0RCPT T <1@1.***>
x3J*Vy;R0(测试信箱的地址)★黑基空间★+@z+C#SC$i
★黑基空间★L Q:V(OoO
R]
第四步：现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的，用户名是admin，密码是adminsup。于是，进入这个邮箱，删掉那些信吧。★黑基空间★C!m`4kY
F4SY6g

:X`g(Ur8x7N'O0第五步：不要以为这就结束了，木马是狡猾的，很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试，并对系统进行备份，以便还原)。
A r4z)z5K;AJ0★黑基空间★MS(^D,[6_}5v3d
第六步：使用前面的命令，让xsniff开始嗅探，进入该游戏，随便申请一个ID，接着退出，再去看看pass.log文件。
mzs(L Zh1[u0
oF}\oo4F0QUOTE:
x7i(jI^n|0TCP [04/08/04 19:20:39]
5x'o!["|(tko$c9X061.187.***.160->61.135.***.125 Port: 1157->25★黑基空间★Kn&U,`\+?U
PASS: YWRtaW5zdXA=[admin]
H9}p"O4_7C?0TCP [04/08/04 19:20:40]★黑基空间★!hj m-b~J2D#qX_
61.187.***.160->61.135.***.125 Port: 1157->25★黑基空间★-s%d1W?#c
MAIL FROM:★黑基空间★9N6d"EL+WvQ+ps
★黑基空间★mPzZRX5QZk

"TPH`1r5q/E0★黑基空间★0MB l%e K{_G j)E
★黑基空间★8I]6R+cl!P,YD
★黑基空间★,I-crHUff0XK
看到了吗？木马终于漏出了狐狸尾巴，用户名为admin，密码为admin，邮箱是为admin@12345.***，这个邮箱才是作者的后门程序，木马真正的后门。★黑基空间★ O3g1V'Xs+mVa

&I
r6cW#A2bO6c6B0第七步：最后，将该邮箱里的盗号邮件清除，然
d1i@ ^(ln#F0★黑基空间★'KlR{&k;FM+f3U

★黑基空间★(}xgrifh