进入论坛 返回游久网首页 收藏本页 设为首页

您的位置:魔兽世界 >> 魔兽人生 >> 魔兽世界囧事

用权限防木马:给你的魔兽世界客户端加上护盾

[挑战编辑部] [已跟帖0 条,共0人参与] 2010-4-12 11:07:34  作者:boo  来源:网络

导读:..

  我在08年的时候,曾经在写了一篇小谈安全的稿件。经过2年,我很高兴的看到现在木马技术的变化,从消息钩子到伪装界面再到进程插入。下面,我将为大家介绍一种简便有效的WOW帐号安全防范措施。

  另,本文所针对的系统环境为:win xp/2003/7和vista。

权限防木马:给你的魔兽世界客户端加上护盾

  首先简单介绍一下现在常规WOW木马的运行模式:

  1、进入系统(主要通过不良的上网习惯和电脑使用习惯)

  2、运行木马下载器(大部分木马通过捆绑下载,使入侵变的简单高效,并降低成本。其代表就是下载器。通过感染运行下载器,再由下载器连接制定的服务器下载运行木马)。

  3、多木马感染。

  4、在wow客户端根目录内释放dll(这些dll主要以d3d系列的伪装dll为主)。

  5、玩家运行wow客户端,客户端自动优先加载伪装的dll实现进程插入。

  6、盗号者发出指令,通过外部程序(木马服务端和客户端实现)使WOW掉线(或消失),引诱玩家重新登陆。

  7、玩家登陆,服务端截获登陆信息,反馈给木马客户端,同时伪装游戏服务器返回登陆错误。

  8、洗号。

  那么,通过分析我们可以看到,如何让wow载入伪装的dll是这个过程的关键点。

  WOW这个游戏在启动时,首先会载入一些dll,比如DirectX的一些dll。它的载入顺序是:wow客户端根目录>系统目录。如果系统目录下有,比如vb,那么会载入,如果这个dll在wow的客户端下也有,那么优先载入wow客户端根目录下的。通过这样的判断,使木马有机可乘,实现了wow启动同时启动木马的目的。采用这种技术的木马,对wow.exe进行校验已经没办法检测是否中招了。

  如何掐断不明程序对wow客户端读写就是我们现在要做的事。当然,这十分简单。

  (我现在拿被广泛使用的winxp做示范,其他系统的方法大同小异)

  1、打开我的电脑

  2、工具—文件夹选项—查看选项卡—去掉“使用简单文件共享(推荐)”选项前的钩子—确定

  3、找到wow客户端目录

  4、右键,属性,安全,高级

  5、去掉“从父继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”,确定。

  6、高级—双击名称为“Everyone”的条目。

  7、只保留“遍历”、“列出”、“读取属性”、“读取扩展属性”、“读取权限”。其他权限一律去掉。

  8、确定。

  这样,对WOW客户端的根目录设定就结束了。

  这样设定以后,任何修改操作对于wow客户端都是无效的。

  但是,这样同时也产生了一些问题,既无法保存游戏设定,没办法再安装插件,宏也不能保存在本地等等。

  我们来解决这些问题。

  针对存在的问题,我们来看几个目录的功能:

  1、Interface — 此目录用来放插件。

  2、WTF — 游戏配置(个人配置及宏存放点)。

  3、Cache — 客户端缓存,用来缓存游戏数据,例如装备属性、贴图编号等数据。

  4、Data — 各种被打包为MPQ的游戏资源(音效、模型、贴图),改模er至爱 -_-。

  5、Screenshots — 游戏截图。

  6、Logs — 日志(wmo需要的战斗数据开启命令后也保存于此,此外还有很多聊天插件支持的聊天记录保存也在这里)。

  下面,我们需要对这些目录设置完全控制。

  1、选中他们,右键,属性,高级

  2、去掉“从父继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”,确定

  3、在“Everyone 的权限”区域,给除“特别的权限”以外都打上“允许”(既 完全控制),确定。

  4、检查这些目录,确保他们可以完全控制。

  好了,现在我们来看看吧,需要保护的文件都无法修改了,而且游戏的正常使用仍然可以进行。防御完毕!

  当需要升级客户端的时候,还原权限设定即可。

  当然,再好的防范措施也不能万无一失,真正的安全来自你自己的上网习惯。

热门评论

最新评论

暂时没有新评论,快来抢沙发...

已经有评论0条,,共0人参与, 查看全部评论