网吧上网秘笈:捍卫隐私──聊天篇
评测市场
很多人都喜欢上网聊天,使用最多的聊天工具就是QQ、ICQ、MSN和网易泡泡了。但当你在网吧打开聊天工具的同时,是否想到过也许第二天就因为密码失窃而登录不上网了呢?盗窃聊天工具账号和密码、偷看聊天记录的手段很多,但适合于在网吧使用的却只有几种。
1.“乱输法”防键盘幽灵
原理:此类软件随开机而自动运行,可以记录键盘的每一个击键动作,功能强大的(比如键盘幽灵)还可以记录鼠标左键的动作及按左键时的屏幕位置和所在程序名称,并将记录结果存储为文件发送至指定邮箱。这样,包括你所有登录程序的用户名和密码、聊天记录在内的隐私就会赤裸裸地呈现在别人的邮箱里了。
分析:由于一切击键动作都将会被记录下来,在无法去除它的情况下,对这类软件我们就束手无策了么?先让我们以“键盘幽灵”为例,分析一下它所记录的击键记录:
[1999-11-27 0:11:38 ReadMe.txt 记事本] L(538,106) [Ctrl] c [Enter] [Ctrl] v [Left] [<-] [<-] [<-] [<-] sh [<-] [<-] [Ctrl][Space]shilifenxi[Space][Left][Left] [Left] [Left][PgDown] [Space] [Enter] [End][Enter][Space][Space]cunchu[Space] wenjian[Space][<-][<-]jilu[Space]wenjian[Space][Enter][Enter][Space][Space]
这个记录大意是用户打开了ReadMe.txt这个文本文件,然后进行了一次复制和粘贴操作,并打开了一个拼音输入法输入了一些文字。看到这里,你有什么感觉?是不是觉得这个记录翻译起来比较麻烦?对!这就是键盘记录软件最致命的地方。
防守:利用“乱输法”人为地使键盘记录高度复杂化,以隐藏真实的密码。以QQ为例,先假设你的密码是diannao。同时打开三个以上记事本,回到桌面,单击鼠标选中QQ(记住:是单击选中,不是打开!),再按几次回车,打开几个QQ登录口并依次选择好自己的号码,接下来就要输入密码了。先按“Alt+Tab”在各个窗口来回切换N次,最好是切换到你自己也糊涂了为止,然后在记事本里任意输入一段字符(以七到十六位为宜)。再按“Alt+Tab”切换到另一个记事本或者QQ登录框里输入一段,依此类推,反复几次后,可以开始输入正确的密码了:先输入N,再用鼠标点到另一个QQ登录框,随意输入一个字符,再切换回,输入i,再切换……依此而为,利用各种可能被记录的操作将密码打乱顺序输入完,再登录,一切OK!整个过程遵循一个原则:相同的登录窗口越多越好,击键记录越杂乱越好。如果还有心情的话,想像一下盗窃者看着一大堆毫无顺序可言的记录时的表情吧!不过,这种方法只能保住账号和密码,无法保住聊天信息。
也许你会觉得这种方法太麻烦,其实也有比较简单的办法。还记得输入法自带的“软键盘”吗?就用它!打开输入法,在输入条上点击最左边的图标,切换到英文输入法状态,再点击最右边的小键盘图标,打开软键盘,用鼠标直接在软键盘输入密码即可。这种方法很简单,虽然目前大部分此类软件还不能记录软键盘,但如果遇上的是可以记录的,就会让你欲哭无泪,所以不推荐使用。
提示:由于网吧的限制,我们常常无法知道机器上是否一定运行了木马。这就需要先破解网吧管理软件,再利用Msconfig或按“Ctrl+Alt+Del”组合键来查看是否有木马运行。最省事的办法是下载一个噬菌体密码防盗专家来保护你的各种账户和密码不被木马窃取(见后文)。
2.真假QQ程序
MSNTrick就是专门针对微软MSN的木马工具,它将用户MSN的ID和密码盗取后直接发到指定的邮箱;ICQ密码小偷则是专门针对ICQ设计的木马;至于QQ就更不用说了,到网上随便伸一扫帚,能装满两箩筐回来。在网吧中用QQ的网虫较多,面就以QQ为例。
原理:此类软件种类虽然繁多,但不外乎两种盗窃原理:一是通过修改聊天工具的主程序,抢在主程序运行之前弹出一个完全模仿原程序的登录窗口,当用户输入账号和密码后,就会提示“密码不对”或者“连接服务器超时”(图1),同时关闭自己,调出真正的原程序运行,并将获得的账户和密码记录下来;二是随开机自动运行,在后台实时监视聊天工具是否运行,如果发现用户运行该聊天工具,就会将账户、密码等资料记录下来。
分析:对于第一类木马,很容易辨识。因为它们有两个共同特征,一是需要往聊天工具的安装目录里写入一个程序,执行这个程序就会弹出那个模仿的登录窗口;二是在登录聊天工具时,不管你输入的账户和密码是否正确,都会弹出一个对话框,或者告诉你“密码不对”,或者“连接服务器超时”等等诸如此类的信息,总之需要你重新输入一次账户和密码。至于第二类,由于完全是后台运行,显得比较隐蔽。
防守:对付第一类很简单,打开聊天工具前先查看一下所在的安装目录,仔细查找一下是否有两个或两个以上的.exe文件,如果有就说明存在木马。确认存在木马后,接下来就简单了。以QQ为例,可以进入到安装目录将可疑的EXE文件删除,找到真正的QQ原程序,执行它就可以了。如果不能确定哪个是真正的QQ原程序,可以不管它,直接在桌面上打开QQ快捷方式,在弹出的对话框中随意输入密码(当然是不正确的),再确定。木马就会记录下这个密码,然后弹出报错的对话框,点确定后就会运行真正的QQ,这时输入正确的密码就可以了。如果比较懒,也可以不去检查安装目录,直接先输入错误的密码,等报错后再输入正确的密码,木马记录的就只是第一次输入的错误密码了。另外,由于这种软件是“模仿”原程序的登录窗口,因而如果仔细的话,还可以辨识出真假启动图标、登录窗口的细微差别。以盗QQ的GOP为例(图2):从左至右依次是真正的QQ、QQ查IP版和假的QQ(GOP),看出来了么?假的图标比真的色彩要亮些,而且快捷方式名称也不同。
对于第二类比较隐蔽的木马则比较麻烦,由于网吧对下载文件的限制,除了杀毒之外没有什么好的办法。
提示:如果突破了网吧对下载文件的限制,可以到天空软件站下载安装《QQ密码防盗专家》(下载地址:http://www.skycn.com/soft/9086.html界面见图3),根本不必知道是否存在木马,就能预防几乎所有的QQ盗密软件(包括后台监控QQ窗口、后台记录键盘、伪装QQ登录界面三大类QQ盗密软件)。
3.8位密码防本地暴力破解盗取
对于一些粗心的网友来说,在登录聊天工具时如果不小心选中了“记住密码”(图4、图5)一次,别人只要运行相应的瞬间密码破解器,就可轻松得到你的密码。例如:只要用户曾经选择过“记住密码”,OICQ密码瞬间破解器就可以瞬间破解;功能更强大的如Advanced.Instant.Messengers.Password Recovery,可以获取包括QQ、MSN、ICQ、Yahoo! Messager在内几乎各种即时通讯工具的密码。如果没有选中过“记住密码”,但未将账户资料删除,则可以用诸如“QQ密码终结者”、“ICQr Information”之类的软件进行本地暴力破解。
防守:在登录时千万不要选中“记住密码”功能,下机时要先将自己的账户资料删除。另外,在设置聊天工具登录的密码时,一定要遵循一个原则:密码不要少于8位,最好能设为数字、字母混杂的。
提示:8位数密码可以有6.6千兆种组合,即使部分破解速度较快的软件在P4电脑上每秒可测800万种组合,全部测完也需要花费13年。
4.谨防窥屏盗取
这是最原始最直接最有效也是大家最不注意的方式。如果你在网吧感觉旁边有人正在偷偷看你,虽然大可不必“以小人之心度君子之腹”,但俗话说得好:害人之心不可有,防人之心不可无。对于一般的人,可以平静地与之对视,直至对方回头为止;但若是PLMM,不妨在送上深情一笑的同时快速输入完自己的用户名和密码^o^。
5.下机后清除聊天记录
账号和密码保住了,但你的聊天记录呢?如果不采取措施,该机上任何一个用户都可以轻松地查看你的聊天记录和好友列表。
QQ:针对QQ的此类软件特别多。比如有一种针对QQ的“QQ任我行”软件,只需要输入000000作密码,就可以脱机查看本机上所有QQ号码的聊天记录和好友列表。
ICQ:查看ICQ的聊天记录是所有聊天工具中最简单的。ICQ默认不保存聊天记录,但如果用户在ICQ的“首选参数”中选中了“自动保存外发的和传入的消息”选项(图6),则ICQ会自动将该用户所有的聊天记录分别存为文本文件,并以好友的名字和日期作为文件名,默认保存在“我的文档”的ICQ目录中。任何人只要进入此目录,就可知道你曾与哪几位好友在什么时候聊过天,打开任何一个文本文件,即可查看相应的聊天记录。
网易泡泡:目前网上尚未发现有专门针对泡泡的破解工具,但泡泡就真的安全了么?其实,只要借助记事本程序,就可轻松得到该账户的个人详细资料、好友列表及其详细资料,还可掌握本机上所有账户的登录、退出时间。
与QQ、ICQ一样,泡泡将在本机登录过的用户资料保存在以该用户账号命名的文件夹内。其中,泡泡虽然将该用户的聊天记录加了密,但却未对好友列表及好友的详细资料加密,只要用记事本打开其中的某个.dat文件,就可以查看该用户所有的包括昵称、邮箱、生日、个人说明等等在内的好友详细资料。
泡泡还将所有用户的登录、退出时间都记录成一个LOG文件,保存在安装目录下,用记事本打开就可以知道哪个账户在什么时间登录,什么时候退出,精确到秒!
防守:下机时要养成清除聊天记录的好习惯。QQ用户可以直接找到QQ安装目录,将目录下以自己的号码命名的文件夹删除即可;ICQ用户聊天记录默认保存在“我的文档”目录里,进入后找到ICQ目录下以自己号码命名的文件夹,删除;至于网易泡泡用户,进入安装目录中,先将LOG文件夹删除,再进入USER目录,将以自己账户命名的文件夹删除即可。