远程视频嗅探器的真面目,一定要看,小心以后上当。
% f7 v# \; O& N( I& n) d6 V* w. {8 u# V+ b9 I" s+ \; W. {# a
前两天有个朋友问起我是否能够破解一个名叫"远程视频嗅探器"的软件,传说可以在不经过对方的同意的情况下就直接看对方视频,并且这个软件是共享软件,需要注册后才能"查看"远程视频,注册的方法也很简单,用不同的IP访问这个软件的"官方网站"100次,可怜而且厚道的朋友竟然真的通过断开连接ADSL100次进行了访问,结果仍然是注册失败,通过在Google搜索"远程视频嗅探器"。发现有很多论坛都有人在发同样的帖子和网址,勾引人们访问,网址是大家熟悉的
http://www.不蒙你蒙谁.cn/id=王二驴子 这种形式(太木有创意,让人一看就不想访问)。本人首先对这种"技术"的出现表现了惊诧,继而感到有些佩服,真的能实现单方面远程强行开启对方视频,那所谓的网络安全还有个鸟用?于是非常有兴致的表示想研究一下,我那个朋友将压缩包发给我。解压后发现有如下5个文件:
' P3 D& o9 Q# F+ @9 r, u) ^* M, B
. s6 b& p1 _5 `! F" M 远程视频嗅探器.exe
- z3 R) Q; D' j1 x6 E- B: y; L Camera.dll
9 _/ w0 L$ O9 p netdrv.dll
: E8 Q2 d2 l8 b: C4 p' \: ?
vk.dll
B2 L% D5 M. S- a' V6 } 说明.txt
7 g* W$ A$ o& ~* q 4 d" O; B/ V6 I C% ?9 f# t
其中"说明.txt"内容如下:
/ R) Q) a4 p! t. V) u) B
本软件可以在不使用任何第三方通讯软件的前提下,直接看到对方视频。只要您知道对方的IP,对方安装了网络摄像头。很简单的操作,直接在软件的正下放输入对方IP地址,就能在对方不知情的情况下打开对方将的网络摄像头,远程视频直接发送到您的电脑里。时实观看远程视频。
0 D, G! O) D0 Z7 a; o
6 R u: N0 j4 Y% _0 a
本软件涉及到个人隐私问题,仅供学习和研究使用。请广大网友不要用与非法途径,如因为使用本软件触犯法律,本站概不负责。
4 g4 S" n. d: X! [, \/ g1 J5 X( _
; c4 F7 v" t: @6 J* j www.***jw.cn
5 ~7 `9 P$ B( f" i5 ~+ c 远程视频嗅探
" j; C' ~1 ^$ q& K. j* I
, Q/ _3 m' `! X; }, y- \2 W
想看更多美女可以访问www.***sw.cn
2 E, b* B% g" |: y; `; }
a: c, U; @, W; B- \6 N& h
看这说明,尽管有一些错别字,但其中表达的意思还是很牛B的。于是开始简单分析。首先习惯*的用卡巴杀了毒,木有报警。从文件名上来判断,远程视频嗅探器.exe是主执行文件,Camera.dll可以看作是和摄像头有关的一些函数封装,netdrv.dll可以看作是网络驱动有关的函数封装。
' _1 H# l/ c& k 1 M9 g1 C! f" e
首先分析这三个Dll文件,通过ExeScope查看导出函数列表,发现Camera.dll文件有如下导出函数:
* o8 ~$ U; @* H- g
Md5Class::`vftable'
) p2 `, J! O3 R7 g( U' S& H) { Md5Class::~Md5Class
3 @! V6 B8 U/ F
Md5Class:ecode
- _& w2 s4 g& T0 l" Z# j Md5Class::Encode
( A: X7 S% E- M: V; d; W
Md5Class::GetFileMD5
1 a% i/ R2 ?( G. H1 P
Md5Class::GetMD5
! v* {9 R( C3 w% @, `( q- q: d% k2 r
Md5Class::HexChange
5 i2 f3 ~; R( s0 v Md5Class::MD5_memcpy
) |" ^6 B9 F: j0 G# d& a Md5Class::MD5_memset
$ I; S: b$ Y* T0 E, N
Md5Class::Md5Class
/ Q$ W0 h/ |! q
Md5Class::Md5Class
, G b& H/ _0 f; n7 ?* J0 A$ F* P
Md5Class::MD5Final
9 m& U9 I6 j, k" ^% T. O( _ Md5Class::MD5Init
9 U2 Y( G% m3 H, ~, M4 D Md5Class::MD5Transform
9 G7 h( Z8 Y' p( [$ T Md5Class::MD5Update
3 a3 ^: \4 G! W& O
Md5Class:perator=
$ w2 T) ^- H- I 应该是一个MD5的导出类,但是文件名起个Camera.dll,多少有点文不对题,不过这也可以理解,很多程序员不希望别人猜出他程序的模块组成,名字可以乱起的。再看资源中,有自定义类型"DRV"的资源两个,一个的ID是6000,先将其导出为drv6000.dat(这个文件是重点),另一个ID是6001,文件头是"Microsoft C/C++ program database2.0"什么什么的,暂时没有猜出是干什么用的。另外还有一个自定义类型为"GA"的ID是6002的资源,文件头和6001的一样,暂时略过。
6 w+ v5 R" ^4 U; x/ O
( V' `2 d+ w0 y+ T; x3 v* P
再看netdrv.dll文件,没有导出函数,只有三个自定义的资源,一个是类型为"CA"的ID为7003的,文件头是"MZ",这应该是一个EXE和Dll这种可执行文件,于是将其导出为ca7003.exe,还有一个类型为"IM"的ID为7004的资源,文件内容比较乱,文件内容如:"皑蔼碍爱袄奥坝罢摆败颁。。。"十分象是一个汉字码表,用ASCII码为0x02的字符隔开了,这有虾米用处呢,实在奇怪。第三个资源是类型为"NET"的ID为7002的资源,文件头也是"MZ",没啥说的,直接另存为net7002.exe(这时发现net7002.exe的图标和远程视频嗅探器.exe的图标一样,大小也相符,不过文件内容稍有差异)
$ m( v3 k! ~5 o V2 ]9 M 9 i- Y) X4 d9 i1 k
最后看看vk.dll文件,6.86KB,ExeScope认为不是一个合法的Dll或EXE文件,于是用UltraEdit将其打开,文件内容部分"DQogICAgyP3Krr7FvdrKp7b4uLS1ww0KDQogICAg",貌似64进制编码,通过解码后那些内容把偶笑坏了,部分正如下
, Y. g- O& O8 t2 x) a7 b- v 三十九节失而复得"姐姐,姐姐。"姚君武大呼小叫的冲进了病房。。。
7 r! K9 A% @# m1 c* c
汗。。这是什么玩意?通过Google搜索才知道,这是小说《纨绔才子》的一部分,呵呵,真是搞笑。
; g) v `3 R# s
" l0 D% [# L* T& U 回头看"远程视频嗅探器.exe",资源中也有几个自定义的,一个是类型为"DRIVE"的ID为134,另存为drive134.dat(这个文件很有意思,和上面的drv6000.dat有异曲同工之处),经过比对发现和drv6000.dat文件一模一样,用UltraEdit打开后发现文件头是"FWS",熟悉Flash的朋友可能知道这是什么文件了。呵呵,将后缀更名为swf,用播放器或IE打开,哈哈哈哈,原来是录制的一段视频,有号称是两个“美女”在镜头前活动的一段录像。
& U- a4 M7 i( ~: N4 ]' k* h + [; P/ {: x) J- ]5 }7 K6 D- E
结合我那个朋友访问100次网站不能注册这个问题,再通过对这个“软件”的分析,可以大概看出,这应该是个比较搞笑的骗局,即使有人真的通过100次点击得到了注册码经过"注册"以后,主程序将资源中的SWF视频释放出来,再通过界面上的"远程视频窗口"播放出来,让使用者以为真的是看到了对方的视频,等视频播放完以后(很短的一截),再来个"网络故障,连接断开"之类的错误或者重复播放这个假视频文件让使用者蒙在鼓里。呵呵。创意不错,可惜细节上不太完美。不过尽管如此,这个"软件"应该是获得了成功,为其"官方网站"获得了不少的流量,听说第一个通过赠送6位QQ的骗局增加流量的网站居然进了Alxea前100就可以知道,网络的力量是很恐怖的。
* S! i$ R4 ]5 s t
( G+ R2 N' D" x! ~1 ?; D. }, O$ F( I4 Y
1、注册码要求为35位,不为注册码则提示位数不对,
. s! I+ B ?, O2 r" g
2、通过C库函数MSVCRT.isdigit返回值较验注册码是否为数字,是数字则取下一位
- k* o+ g) R( {% @! t) H
3、较验注册码是否为大小写字母,是则取下一位,一直到取完,然后提示你无效的注册码,
. t! R4 c) X% Q; m
4、若注册码即不是字母也不是数字,直接提示你有非法字符
- V ]$ C. F% Z
5、软件注册码不存在,纯属骗人的软件
- s* Q7 | ~! _2 L) _7 s& R7 [
, q: h2 T1 X0 p
[
本帖最后由 gzz88 于 2008-4-2 01:33 编辑 ]
