游戏木马检测大师的界面非常简洁,仅由几个标签组成,分为“最新消息”、“钩子列表”、“自动运行”、“网络钓鱼”和“发信检测”五个标签。其中“自动运行”标签中会列出用户电脑里随系统自动运行的程序列表,用户可以从列表中查找可疑的启动项并将其删除;“网络钓鱼”标签中会列出用户电脑里Host缓存和对应的主机名称,通常情况下如果只有“127.0.0.1 localhost”这一项,那么表示你的系统是安全的,否则有被网络钓鱼的危险;游戏木马检测大师的功能主要体现在“钩子列表”和“发信检测”上,下面重点对这两项功能进行讲解。
小知识:什么是钩子?钩子是Windows系统中一种特殊的消息处理机制,可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。
游戏木马之所以能获取游戏账号,就是通过钩子函数对所有的键盘输入进行监控,然后盗取游戏账号。“钩子列表”标签下显示了系统中已经安装的各种钩子,如果出现键盘钩子(钩子类型为WH_KEYBOARD),说明键盘输入已经被监控,那么你就要格外小心。凡是程序判断为可疑的钩子类型都会以显著颜色标记出来(如图1)。当然有些正常的程序也会安装这种钩子,例如一些聊天工具,作用是当用户输入某些热键时触发程序的一些设定功能。那么如何判断哪些程序是正常的,哪些程序是木马呢?每个钩子都有对应的程序文件和所属模块,我们可以在“详细路径”中查看某个钩子对应的具体程序,如果是我们熟悉的程序(如Maxthon),它就是正常的;如果是不熟悉的,就要提高警惕了。
图1
除了从“钩子列表”中分析木马,我们同样可以利用“发信检测”功能来判断系统是否被安装了游戏木马,这种方法非常灵验。但在使用该功能前,需要先选择正确的网卡。特别是安装了虚拟机的系统,有可能还存在虚拟网卡,更要注意选择,因为只有流经物理网卡的数据才能被捕获。在“网卡适配器”下拉菜单中选择物理网卡,然后点击“网卡信息”按钮来查看选择的网卡是否正确。一般来说,如果能得到正确的IP地址和网卡MAC地址,则说明网卡选对了。另外也可以点击“开始”按钮,然后随便浏览一个网页,如果列表中有数据包出现,说明选择的网卡是正确的。
游戏木马获取账号信息后,会通过各种方法将它发送出去,其中最常见的就是将信息发送到指定的邮箱或网址。我们先关闭其它一切会扰乱网络数据捕获的程序,然后选择“只捕获smtp发信端口(25)和Web发信端口(80)”,接着点击“开始”按钮让软件开始监控。现在进入游戏吧,输入账号密码一直进入到游戏场地后再退出游戏,查看“发信检测”窗口,如果有木马在发送数据就会被捕获到(如图2)。根据信息发送方式的不同,捕捉到的数据信息也不尽相同。比如通过邮箱接收信息的方式,我们就可以捕捉到接收信息的邮箱用户名和密码。而利用网址来接收信息的,可以捕捉到接收的网址信息等。这样就可以轻易地揪出那些盗取游戏账号的幕后黑手。不过有时候账号信息是经过加密处理的,这时我们捕捉下来的数据就不是明文,而是一些乱码。没关系,我们的主要目的是知道自己的系统中是否有木马,而不是要得到其它什么。
图2
有的游戏木马狡猾得很,发信不一定会使用25或80端口,对于这种情况就要去掉“只捕获smtp发信端口(25)和Web发信端口(80)”选项再开始监控;还有一些游戏木马不会在获取信息后马上发送出去,我们可以在退出游戏后,继续捕捉一段时间的数据包来判断是否有木马。由于不知道系统中是否有木马,或者不知道是什么种类的木马,最好使用多种监控方法相结合来判断。
通过笔者的测试发现,游戏木马检测大师不光能够对游戏木马进行检测,对其它的一些键盘记录程序也有很好的检测效果,但在使用时需要注意,被软件检测出来的程序并不一定都是有害的,如果不能确定,最好使用专用的杀毒软件来检查。赶快把自己的网络游戏武装起来吧。http://www.hack58.net/Article/60/61/2006/7255.htm