俗话说,“最危险的地方也是最安全的”,然而,在网络界这句话却似乎行不通,无数的事实证明了不但危险的地方不安全,而且安全的地方也变得危险了!“最安全的地方也是最危险的”,相信看完以下的内容,你也会同笔者一同感叹这网络的危险,感叹我们必用的聊天工具QQ的危险! 一、拿什么“整治”你,我的好友 1.QQ好友号码手到擒来 要想盗取别人的QQ号,可不是一件容易的事,得分以下几种情况:如果遇上一位十足的菜鸟,他的密码就是“123456”或者“abcdef”等等,那么我们可以轻易“拿下”;或者密码稍微复杂一点的,我们可以使用专门的字典工具来进行破解!但是现在随着大家安全意识的提高,只设置简单密码的用户已经很少了,用字典工具来破解需要很长的时间,而且往往效果不是很好,有没有一种简单的办法让我们就能盗取他人的QQ号呢?答案是肯定的,那就跟随笔者一起来圆你多年的梦想吧! 这里我们要使用一个“道具”——好友号好好盗For QQ2004,它是一个特简单实用的盗QQ软件,专盗自己好友的QQ号。该软件全面支持QQ2003各简繁体版并支持到最新的QQ2004,该软件使用图片进行伪装,直接通过QQ传回密码,具有加密传递信息功能,下面就看看具体是如何操作的。 (1) 下载该软件,运行界面如图: 图1 (2) 在此界面中,只要你输入“你自己的QQ号”,在“选择一个JPEG图片”中点击“浏览”在自己的电脑上选择一个给朋友看的图片,然后指定好保存的路径以及文件名,之后点击“生成木马”按钮做出一个木马,最后把这个图片(木马)发给正在和你聊天的好友,如图。(此处你还可以设置运行的次数和强制关闭对方QQ的时间,如果你对选择图片和具体操作不熟悉,你还可以点击“我比较懒(一键OK)”来使用软件自带的图片,每一步都会有提示)。 图2 (3) 接下来我们的工作就是和自己的好友“周旋”,续继动拉西扯地聊上一会儿(可以设定为多少分钟),如果发现朋友突然下线了,那就可能是起作用了,等朋友上线后,发个信息过去,让他给你回信息。如果没有遇到问题,对方的帐号和密码就会通过QQ信息发过来了(如图)! 图3 (4) 帐号密码以明文显示,如果你认为在传输过程中大家都能看到信息不好,那可以使用加密功能。只要在主界面生成木马前选上了“加密”,生成的木马在发送信息时就会对信息进行加密。此时,不要马上关闭发过来的这个信息窗口,再次运行这个软件“好友号好好盗”,点中间的按钮“解密收到信息”就可以得到解密后的信息了。 (5) 一般来说,如果不关闭信息窗体,程序会自动的为你解密,如果关闭了,就要从聊天记录中复制那个聊天信息,粘贴到解密框中,再点“解密”即可。 结语:怎么样,你是否也为自己QQ的安全捏了一把汗?看来QQ好友也得提防着点! “害人之心不可有,防人之心不可无”的警钟不仅仅应该在我们的生活中敲响,在虚拟的网络世界里应该敲得更响! 二、掠夺者截取QQ帐号密码 前面介绍的是在线采取欺骗的方法获取QQ帐号密码,这种方法要成功需要骗得好友的信任,否则希望就会泡汤。其实,还可以采用下面的方法“神不知鬼不觉”地盗取好友的QQ帐号密码,。 此处我们要使用一个得力的助手——QQ掠夺者,该软件能轻轻松松截取QQ帐号密码,可在本机查询,也可将获得的帐号密码发到你指定的邮箱;它有智能判断能力,对已被获取帐号和密码的QQ,她不会重复获取;对尚未获取或未获取成功的QQ,她将不知疲倦的不断去获取该QQ帐号和密码,直到获取成功才罢休。 下面看看具体操作步骤: (1) 下载并安装该软件,安装完毕后,将自动运行“QQ掠夺者”,以后每次开机都自动载入(注意:先退出正在运行的QQ),主界面如图: 图4 (2)设置远程接收邮箱: ①如果要远程邮箱接收获取的帐号密码,必须勾选“远程邮箱接收”,然后才能进行下面框里各项设置; ②勾选“远程邮箱接收”后,用户只要在邮箱地址栏里输入正确的邮箱地址,系统会自动填充用户名、SMTP邮件服务器地址,然后在密码栏里输入你的邮箱密码。 ③设置完上面参数后,按“测试远程接收设置”按钮进行测试,如果测试通过说明所有设置正确,获取的帐号密码会自动发送到刚才设置的邮箱;如果测试未通过,可能你开始设置的密码或邮箱地址不正确,如果确定密码和邮箱地址无误,那么可能系统自动设置的用户名、SMTP邮件服务器地址不正确(这种情况很少),如果你能确定你的用户名、SMTP邮件服务器地址,可进行手工设置,设置完成后再进行测试。 (3)设置管理密码,就是设置调用参数设置窗口的密码,为便于记忆建议与邮箱密码一样,设置密码后,按热键“Ctrl Alt F6”再次调用窗口就必须输入密码。 (4)勾选“禁用任务管理器”,在用户按“Ctrl Alt F6”时会禁止使用windows任务管理器,保护软件非法中断。 注意:如果对邮箱地址作了修改,在按“保存”按钮前一定要先进行测试!请牢记调出\隐藏主窗口热键:Ctrl Alt F6(同时按下Ctrl Alt F6 三键) (5)这样设置好以后,如果在这台机器上登陆QQ,那么对应的密码将被记录下来,你可以点击“本地查看掠夺品”按钮来收取“战利品”,如图: 图5 没有登陆过的QQ会显示为“还没送上门,别急!”此外,登陆你的远程邮箱也能收到被“掠夺”的QQ帐号和密码! 这样,只要让你的好友在你的机器上登陆一次他的QQ或者在你的好友机器上安装并简单设置以上软件,那么你的好友便“在劫难逃”了! 三、利用QQ2004漏洞攻击“好友” 2004年9月20日,QQ2004 正式版SP1“新鲜出炉”,在这一版本中,加入了更多的新功能,如优化了网络硬盘的显示刷新速度、优化了自定义表情的传送逻辑、优化了小秘书功能的逻辑等。但这是否意味着这一国内最为强大的即时通讯软件在功能强大的同时也非常安全了呢?事实上,QQ2004 正式版SP1并非“坚不可摧”,也存在一些安全漏洞,下面就看看如何利用腾讯QQ漏洞攻击“好友”! 1.利用“自定义面板”漏洞 QQ的自定义面板服务是QQ2004正式版的一种免费功能,利用它可以让网友自由定制喜欢的网页作为QQ面板,但是享受“免费午餐”的同时小心是要付出代价的! 经过一番研究和准备,终于可以下手了:首先我“煞费苦心”地找了一个有非常精美的FLASH网页(其实是一个具有恶意脚本的网页,运行后能导致窗口越开越多,警告框一个接一个地出现,严重地消耗他的系统资源),然后告诉一个“Q友”:QQ2004正式版能自定义面板,只要单击QQ面板上的“用户自定义面板”按钮,然后选择“收藏→设置”,就能设置我们喜爱的网站作为面板。如图6: 图6 朋友一听,来劲了,“那让我也来试试,当一把追‘新’族”,我一看,有戏了,于是“顺手推舟”地做了一把“好人”,说道:“行啊,我这儿正好有一个非常漂亮的FLASH网页,我刚才还用了呢,你试试吧……”!下面就等着好戏上演啦…… 果然,一会儿“Q友”的头像变灰了,还不知道什么原因?呵呵,系统资源耗尽,只好重新启动机器了^-^。 这还不算,如果想玩更狠的,呵呵,找个包含格式化硬盘的代码的网页吧,或者将你写的病毒程序发到网页上,这时你就知道“入侵”别人的“乐趣”了,当然你的“Q友”就知道什么叫“欲哭无泪”了! 特别警示:由于恶意网页可以是任何可执行脚本的HTML网页,因此如果设置了恶意网页为面板时,其情形就像浏览器“中招”一样,轻则被修改系统,重则被格式化硬盘。电击恶意网页后,在IE浏览器里面还可以使用“Ctrl Enter“阻止弹出警告框的页面,在QQ面板里没有给予很好的支持,导致窗口越开越多,警告框一个接一个地出现,严重地消耗了系统的资源。 应对策略:网页中的恶意代码常常令人防不胜防,建议那些主要使用QQ聊天的用户不要使用该功能,更不要轻易接受“Q友”发给你网址,说不定鲜花的背后就是“定时炸弹”。对那些比较有经验而又想赶上潮流的朋友,在添加自定义面板之前,必须先确保该网页是安全可靠的,否则后果将不堪设想! 2.利用腾讯“短讯通”进行短信轰炸 短信作为现今各大营运商的重要赢利工具,它的新功能不断地被发掘出来。当然腾讯也不会放过这个好机会。在QQ2004正式版中,QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。我们正是利用了这一点,才得以实现对已绑定手机的QQ用户进行“短信轰炸”。 这一“轰炸”实施起来比较简单,不需要鲜花美女的诱惑,只要你的好友绑定了手机,那他就“在劫难逃”,首先用鼠标左键点击你要“轰炸”的朋友,从弹出的菜单中选择“手机短信通”,然后从弹出的“手机短讯通”界面中选择短信类别,然后点击“发送”即可。如图7: 图7 使用QQ的短讯通功能可以向好友发送不同的短消息,用一个未绑定手机的用户可以进行短消息的连续发送,而接收方只能被动地接受这些短信。在很短的时间内发送N多条信息给“Q友”,现在就等着他的手机被“炸爆”吧!现在想象“好友”的手机不间断地响起接收短信的音乐,他只好一边删除一边接收新的信息,让他忙得“不亦乐乎”! 特别警示:这种密集型的手机短消息发送,作为被动接收的一方,可以在短时间内被短消息批量攻击而无还手之力,严重地影响了手机用户正常的生活和工作,相信大部分用户都“恨之入骨”。然而,腾讯并没有对短消息的发送进行一些必要的设置和防御,比如说在1分钟之内不得发送多少条信息,或者限制QQ用户每个小时的短信息发送量,以减轻短消息轰炸手机的可能性。因此,这一“漏洞”肯定会被一些“别有用心之徒”所利用! 应对策略:要彻底避免这一“轰炸”,唯一的办法就是取消手机绑定,取消手机服务,但同时也失去了一个功能:再也不能接收到朋友从QQ上给我们发送的“货真价实”的短消息了。 腾讯提供了一个可以拒绝QQ发送短消息给手机的功能:分项取消服务指令“0000”:如你想取消手机定制的单项包月服务,可编辑短信“0000”发送到“1700”,过一会儿你的手机将会收到以下短消息: 1.“回复QX+序号,取消所订购的包月服务:0 所有订制包月服务;1 第一项服务(你开通的包月业务名称);2 第二项服务(你开通的包月业务名称)。 2.如果你想取消移动聊天(161)包月服务,请编辑短信00000发送至161取消服务。 3.如果你想取消WAP服务中的QQ聊天包月服务,请用手机WAP功能登录梦网首页取消包月服务。 此外,还有一招“必杀技”:即一步退订所有服务指令“00000”:如果想取消手机所定制的所有包月服务,可编辑短信“00000”发到“1700”,你的手机将会收到以下短信息: “你已取消由腾讯公司提供的所有包月服务,从下月起不再收费,腾讯客服电话:0755-83765566”。 四、“QQ密码保护”也作祟 如今,QQ密码被恶意窃取的事情现在已经屡见不鲜,盗取QQ的第三方软件非常多,大多是利用一些本地监听程序或者发送木马给对方,这里我们介绍一种“善意”的盗取方式,让对方在感激中把自己的QQ拱手相送,我们要使用一个软件“QQ密码反保精灵”! “QQ密码反保精灵”虽然只有13KB大小,但是它的功能却很强大。它可以将自已伪装成一个“QQ在线申请密码保护”程序文件,只要被攻击者按照提示输入了他的相关信息,你就轻松盗取他的QQ密码了。首先来对这个程序进行基本的设置,运行“QQ密码反保精灵”,可以看到如图8所示界面。 图8 双击上方“申请密码保护”的绿色字样,弹出 “QQ密码反保精灵1.0”后台控制程序。如图9所示 图9 在进行密码保存文件的位置设定或者指定发送密码的邮箱后,你就可以将伪装好的“QQ在线申请密码保护”程序文件发送给对方。只要对方运行了该软件,并填好相关的密码保护选项,那么你就等着收取你的战果吧! 提示:此方法非常适合盗取初学上网的用户,开始关心地问他是否申请了密码保护,对方回答没有,那么你就可以顺水推舟地发送这个软件给他,看来,网上的好心人也得提防着点!