主動出擊 教你奪回被人盜走的QQ號碼

很多朋友都有過QQ號被盜的經歷，即使用「密碼保護」功能找回來后，裡面的Q幣也已經被盜號者洗劫一空，碰到更惡毒的盜號者，還會將你的好友統統刪除，朋友們將會永遠得離開你。想過反擊嗎?什麼，反擊?別開玩笑了，我們只是菜鳥，不是黑客，我們只會看看網頁，聊聊天，連QQ號是怎麼被盜的都不知道，還能把盜號者怎麼樣呢?其實喜歡盜號的所謂「黑客」們，也只是利用了一些現成的盜號工具，只要我們了解了QQ號被盜的過程，就能作出相應防範，甚至由守轉攻，給盜號者以致命一擊。

　　一、知己知彼，盜號技術不再神秘

　　如今，還在持續更新的QQ盜號軟體已經所剩無幾，其中最為著名，流傳最廣的則非「啊拉QQ大盜」莫屬，目前絕大多數的QQ號被盜事件都是由這個軟體引起的。軟體的使用條件很簡單，只要你有一個支持smtp發信的郵箱或者一個支持asp腳本的網頁空間即可。而且該木馬可以將盜取的QQ號自動分為靚號和非靚號兩種，並將它們分別發送到不同的信箱中，這也是「啊拉QQ大盜」如此流行的原因之一。接下來，便讓我們先來了解一下其工作原理，以便從中找到反擊的良方。

　　1、選擇盜號模式

　　下載「啊拉QQ大盜」，解壓後有兩個文件：alaqq.exe、愛永恆，愛保姆qq.asp。其中alaqq.exe是「啊拉QQ大盜」的配置程序，愛永恆，愛保姆qq.asp是使用「網站收信」模式時需使用的文件。正式使用之前，還需要設置其參數。

　　「郵箱收信」配置：運行alaqq.exe，出現程序的配置界面。在「發信模式選擇」選項中選中「郵箱收信」，在「郵箱收信」填寫電子郵箱地址(建議使用程序默認的163.com網易的郵箱)。這裡以郵箱n12345@163.com(密碼n_12345)為例來介紹「郵箱收信」模式時的配置，並進行下文中的測試。此外，在「收信箱(靚)」和「收信箱(普)」中可以填入不同的郵箱地址用來接受QQ靚號和普通QQ號。然後在「發信伺服器」下拉框中選擇自己郵箱相應的smtp伺服器，這裡是smtp.163.com。最後填入發信箱的帳號、密碼、全稱即可。

　　設置完畢后，我們可以來測試一下填寫的內容是否正確，點擊下方「測試郵箱」按鈕，程序將會出現郵箱測試狀態。如果測試的項目都顯示成功，即可完成郵箱信息配置。

　　「網站收信」配置：除了選擇「郵箱收信」模式之外，我們還可以選擇「網站收信」模式，讓盜取的QQ號碼自動上傳到指定的網站空間。當然，在使用之前，也需要做一些準備工作。

　　用FTP軟體將愛永恆，愛保姆qq.asp上傳支持ASP腳本的空間，運行alaqq.exe，在「Asp介面地址」中輸入愛永恆，愛保姆qq.asp所在的URL地址，那麼，當木馬截獲QQ號碼信息后，就會將其保存於愛永恆，愛保姆qq.asp同目錄下的qq.txt文件中。

　　2、設置木馬附加參數

　　接下來我們進行高級設置。如果勾選「運行后關閉QQ」，對方一旦運行「啊拉QQ大盜」生成的木馬，QQ將會在60秒后自動關閉，當對方再次登錄QQ后，其QQ號碼和密碼會被木馬所截獲，併發送到盜號者的郵箱或網站空間中。此外，如果希望該木馬被用於網吧環境，那就需要勾選「還原精靈自動轉存」，以便系統重起后仍能運行木馬。除這兩項外，其他保持默認即可。

　　3、盜取QQ號碼信息

　　配置完「啊拉QQ大盜」，點擊程序界面中的「生成木馬」，即可生成一個能盜取QQ號碼的木馬程序。我們可以將該程序偽裝成圖片、小遊戲，或者和其他軟體捆綁後進行傳播。當有人運行相應的文件后，木馬會隱藏到系統中，當系統中有QQ登錄時，木馬便會開始工作，將相關的號碼及密碼截取，並按照此前的設置，將這些信息發送到郵箱或者網站空間。

　二、練就慧眼，讓木馬在系統中無處可逃

　　現在，我們已經了解了「啊拉QQ大盜」的一般流程，那麼如何才能從系統中發現「啊拉QQ大盜」呢?一般來說，如果碰到了以下幾種情況，那就應該小心了。

　　·QQ自動關閉。

　　·運行某一程序后其自身消失不見。

　　·運行某一程序后殺毒軟體自動關閉。

　　·訪問殺毒軟體網站時瀏覽器被自動關閉。

　　·如果殺毒軟體有郵件監控功能的，出現程序發送郵件的警告框。

　　·安裝有網路防火牆(例如天網防火牆)，出現NTdhcp.exe訪問網路的警告。

　　出現上述情況的一種或多種，系統就有可能已經感染了「啊拉QQ大盜」。當然，感染了木馬並不可怕，我們同樣可以將其從系統中清除出去。

　　1、手工查殺木馬。發現系統感染了「啊拉QQ大盜」后我們可以手工將其清除。「啊拉QQ大盜」運行後會在系統目錄中的system32文件夾下生成一個名為NTdhcp.exe的文件，並在註冊表的啟動項中加入木馬的鍵值，以便每次系統啟動都能運行木馬。我們首先要做的就是運行「任務管理器」，結束其中的木馬進程「NTdhcp.exe」。然後打開資源管理器中的「文件夾選項」，選擇其中的「查看」標籤，將其中「隱藏受保護的操作系統文件」選項前面的勾去掉。接著進入系統目錄中的system32文件夾，將NTdhcp.exe文件刪除。最後進入註冊表刪除NTdhcp.exe鍵值，該鍵值位於HKEY_LOCAL_MACHINESoftware Microsoft Windows Currentversion Run。

　　2、卸載木馬。卸載「啊拉QQ大盜」很簡單，只要下載「啊拉QQ大盜」的配置程序，運行後點擊其中的「卸載程序」按鈕即可將木馬完全清除出系統。

三、以退為進，給盜號者以致命一擊

　　忙乎了半天，終於把系統中的「啊拉QQ大盜」徹底清除，那麼，面對可惡的盜號者，我們是不是應該給他一個教訓呢?

　　1、利用漏洞，由守轉攻

　　這裡所謂的「攻」，並不是直接入侵盜號者的電腦，相信這種「技術活」並不適合大家。這裡只是從盜號軟體幾乎都存在的漏洞入手，從而給盜號者一個教訓。

　　那麼這個漏洞是什麼呢?

　　從此前對「啊拉QQ大盜」的分析中可以看到，配置部分填寫了收取QQ號碼信息郵件的郵箱帳號和密碼，而郵箱的帳號和密碼都是明文保存在木馬程序中的。因此，我們可以從生成的木馬程序中找到盜號者的郵箱帳號和密碼。進而輕鬆控制盜號者的郵箱，讓盜號者偷雞不成反蝕把米。

　　提示：以上漏洞僅存在於將QQ號碼信息以郵件發送方式的木馬，如果在配置「啊拉QQ大盜」的過程中選擇使用網站接收的方式則不存在該漏洞。

　　2、網路嗅探，反奪盜號者郵箱

　　當木馬截取到QQ號碼和密碼后，會將這些信息以電子郵件的形式發送到盜號者的郵箱，我們可以從這裡入手，在木馬發送郵件的過程中將網路數據包截取下來，這個被截獲的數據包中就含有盜號者郵箱的帳號和密碼。截取數據包時我們可以使用一些網路嗅探軟體，這些嗅探軟體可以很輕鬆得截取數據包並自動過濾出密碼信息。

　　·x-sniff

　　x-sniff是一款命令行下的嗅探工具，嗅探能力十分強大，尤其適合嗅探數據包中的密碼信息。

　　將下載下來的x-sniff解壓到某個目錄中，例如「c：」，然後運行「命令提示符」，在「命令提示符」中進入x-sniff所在的目錄，然後輸入命令「xsiff.exe -pass -hide -log pass.log」即可(命令含義：在後台運行x-sniff，從數據包中過濾出密碼信息，並將嗅探到的密碼信息保存到同目錄下的pass.log文件中)。

　　嗅探軟體設置完畢，我們就可以正常登錄QQ。此時，木馬也開始運行起來，但由於我們已經運行x-sniff，木馬發出的信息都將被截取。稍等片刻后，進入x-sniff所在的文件夾，打開pass.log，便可以發現x-sniff已經成功嗅探到郵箱的帳戶和密碼。

　　·sinffer

　　可能很多朋友對命令行下的東西都有一種恐懼感，所以我們可以使用圖形化的嗅探工具來進行嗅探。例如適合新手使用的sinffer。

　　運行sinffer之前，我們需要安裝WinPcap驅動，否則sinffer將不能正常運行。

　　運行sinffer。首先我們需要為sinffer.exe指定一塊網卡，點擊工具欄上的網卡圖標，在彈出的窗口中選擇自己使用的網卡，點「OK」后即可完成配置。確定以上配置后，點擊sinffer工具欄中的「開始」按鈕，軟體即開始了嗅探工作。

　　接下來，我們正常登陸QQ，如果嗅探成功，就會在sinffer的界面中出現捕獲的數據包，其中郵箱帳號密碼信息被很清晰得羅列了出來。

　　得到盜號者的郵箱帳號和密碼以後，我們可以將其中的QQ號碼信息郵件全部刪除，或者修改他的郵箱密碼，給盜號者一個教訓，讓我們菜鳥也正義一把。

要看看

不錯啊

說的很好，謝謝分享。