警惕,帐号后的黑手!!!
作者:yzb82
昨天在家看书,朋友打电话问我:
“你的密码是不是改了?我进不去了,怎么搞的?”
我说:“没有啊,早上我还上去看了一下。”
“那你上上看,我是上不去了。”
“好”
打开冒险岛 ,敲出熟悉的不能在熟悉的密码,发现,密码错误!!??怎么搞的??我记得我告诉这个朋友号以后,他自己改过一次,我又试了试他改的密码,结果还是进不去!!!
我判断,号被洗了~~上盛大,先把号找回来。输入基本资料,10分钟以后按新的密码我进去了。74的冰雷,旁边有个37的小刀飞,冰雷上的药和1000多w没了,魔0没了,小号上的黑刺和装备也都没有了。
连小号上的2本葵花宝典也没有了,我就郁闷,盗号的,你一个人练2本葵花,你得自宫多少次啊???
而且大号只留了10块钱,小号1分钱都没有留,我又想,盗号的是不是心理BT,没见人盗号还精确到钱的个位数的!连刀飞上的白药水(回300)都拿走,疯狂到了几乎BT的程度了。
愤怒过后,反复想想:怎么会被盗号?我在家用卡巴,网吧基本都有还原卡的,上那么多次也没被盗过啊?排除所有干扰因素以后,我把目光集中在了我这个朋友的身上。
大家不要误会,不是他盗的号,但是的确是因为他的大意造成的!
他是网吧的网管,一次偶然的机会认识了他,他比较爽快,我也乐意交个朋友,他说:“你把号给我,我在网吧,有空就帮你练练。”我说好。
过了几天,我打电话给他“这几天盗号现象严重,你最好不要用外挂。”
“没事,我从来不随便用外挂,我只认准一个品牌的外挂,那就是嘉年华!”
“都是辅助性的,你不如用仙剑小挂了。”
“没事,放心好了。”
看他这么坚决,我也没说什么了,随便吧。但是第2天,我发现我自己进不去了(盗号前3天)!我问他,他说:“哦,你那天说小心,我把密码换了一个,新密码是xxxxxx”“哦。好的”
上线看到一切正常,我放心了。
结果第2天,他说,这几天我玩挑战,密码我又给你改回去了。
我又上线,确认没事,当日无话。
昨天,(后来听一个朋友说,我的号中午上了几分钟就下了)我的号被洗了。
就是这么防不胜防!我不甘心,我是搞安全的,我不能让这件事就这么算了,我要查出问题的原因!!!!
分析2次的密码,我发现了如下几个问题:
1。初始密码是一个熟悉的乐队的名字,全英文。
2。长度为7
3。中间有重复字母
4。如果用字母来表示初始密码,可以写成"ABCDBEF"的形式(2个B表示重复的字母)
5。朋友改过以后(这是关键!!!),密码和原来还是有重复!!!!而且重复率更高
改过以后的密码用字母表示,可以写成"CFGHAF"的形式(C和原密码的C表示同一个字母)
足够了!!!!
能用这种方法盗号的只能说是高手。因为这里面有大量的数组和比较,没有清晰的逻辑思路是做不到的。但是方法却是非常简单。先举个例子。
不知道大家玩过单机版的游戏没有,比如“仙剑奇侠传”,“3国英杰传”拿“3国英杰传”(以下简称“3国”),每个人升级的经验值都是固定的100,然后打一次敌人,加几点,那么,用gamebust,或者 gamewizard很容易的可以跟踪到内存中的数据变化量。比如,刘备,第一次攻击敌人获得8点经验,那么在gamebust的数据变化栏中输入/08,第2次攻击敌人获得10点经验,输入/10,OK,通过2次比较gamebust很容易的找到了刘备经验值存放的地址,然后把数据修改成/255。然后锁定。这样,以后刘备每次攻击都可以获得255点经验,也就是每次可以升2级!!
很多人也许看不明白我写的意思,接着望下看。
原始密码是ABCDBEF,就是说2个B是存在同一个存储地址里的,其他的不知道。CFGHAF,第2次的,自身有2个F,1个A,然后C,F和原本的C,F重复,并且地址有所变动。这样,盗号者很容易的就可以追踪到C,A,B,F的地址。7位的密码知道了4位了。
按照这个情况下去,如果盗号者知道是全字母的密码,那么还有3个字母,而查出这3个字母需要比较22*21*20=9240次,几天的时间足够了。但是,关键是他不知道啊!!如果加上大写字母,数字,特殊符号,那么计算量可能需要花一个多月,我估计在8000w次左右!!!
这个时候,盛大,帮了忙了。说实话,这也不能完全怪盛大,因为现在的每家网游代理使用的数据库都是MS-SQL的,在这个数据库中,每个区域存放一个玩家信息。这个区域里变化最大的是玩家身上的装备,金钱。所以它的存储方式肯定是指针式的,而且是非顺序型结构。而变化最不大的就是玩家的帐号(没办法变),密码(没人会1个星期改1次密码),所以,它的存储结构是顺序性非指针式的,也就是说,密码被存放在一个一维数组里。而大部分人设置密码的时候都是不会大小写一起用的。所以,小写字母和大写字母、数字、符号之间都是有界定的,26的小写字母结束以后才会到大写字母,然后到数字,最后到符号。所以,盗号者很容易的查出我的密码设定是处于完全小写的范围内。
哎,被盗号了,心情不爽,提醒大家保管好自己的帐号,不要让这些犯罪分子有机可乘。
给大家的密码设置建议:
1。大小写,数字,符号混用
2。不要用自己的帐号做密码(有的笨蛋这样干过,送号,我无语。。)
3。尽量不要用外挂,辅助型的推荐:变速齿轮
4。挂机外挂我没用过,建议3思。我朋友用,我一般都是叫她把装备和钱转移到其他号上。
5。建一个小号,只有你一个人知道的。永远不要在公共场所上这个号!!!!把重要的装备和钱转到这个号上
6。不要随便告诉别人你的密码,宁可别人骂你小气,也不要随便给不认识的人号和密码。(除非你不想玩了)
7。不要在公共场所炫耀自己的装备,树大招风
8。不要在公共场所随地吐痰(这是不好的习惯,开个玩笑,看后一句),尽量不要在公共场所使用注册时候的邮箱。如果你只有一个邮箱,那么赶紧去申请第2个。
9。不要访问非法网站,不要相信天上会掉馅饼。
10。定期检查计算机,及时打补丁。杀毒软件建议用江民,卡巴。
就写到这了,希望大家的号以后都平平安安的。
“你的密码是不是改了?我进不去了,怎么搞的?”
我说:“没有啊,早上我还上去看了一下。”
“那你上上看,我是上不去了。”
“好”
打开冒险岛 ,敲出熟悉的不能在熟悉的密码,发现,密码错误!!??怎么搞的??我记得我告诉这个朋友号以后,他自己改过一次,我又试了试他改的密码,结果还是进不去!!!
我判断,号被洗了~~上盛大,先把号找回来。输入基本资料,10分钟以后按新的密码我进去了。74的冰雷,旁边有个37的小刀飞,冰雷上的药和1000多w没了,魔0没了,小号上的黑刺和装备也都没有了。
连小号上的2本葵花宝典也没有了,我就郁闷,盗号的,你一个人练2本葵花,你得自宫多少次啊???
而且大号只留了10块钱,小号1分钱都没有留,我又想,盗号的是不是心理BT,没见人盗号还精确到钱的个位数的!连刀飞上的白药水(回300)都拿走,疯狂到了几乎BT的程度了。
愤怒过后,反复想想:怎么会被盗号?我在家用卡巴,网吧基本都有还原卡的,上那么多次也没被盗过啊?排除所有干扰因素以后,我把目光集中在了我这个朋友的身上。
大家不要误会,不是他盗的号,但是的确是因为他的大意造成的!
他是网吧的网管,一次偶然的机会认识了他,他比较爽快,我也乐意交个朋友,他说:“你把号给我,我在网吧,有空就帮你练练。”我说好。
过了几天,我打电话给他“这几天盗号现象严重,你最好不要用外挂。”
“没事,我从来不随便用外挂,我只认准一个品牌的外挂,那就是嘉年华!”
“都是辅助性的,你不如用仙剑小挂了。”
“没事,放心好了。”
看他这么坚决,我也没说什么了,随便吧。但是第2天,我发现我自己进不去了(盗号前3天)!我问他,他说:“哦,你那天说小心,我把密码换了一个,新密码是xxxxxx”“哦。好的”
上线看到一切正常,我放心了。
结果第2天,他说,这几天我玩挑战,密码我又给你改回去了。
我又上线,确认没事,当日无话。
昨天,(后来听一个朋友说,我的号中午上了几分钟就下了)我的号被洗了。
就是这么防不胜防!我不甘心,我是搞安全的,我不能让这件事就这么算了,我要查出问题的原因!!!!
分析2次的密码,我发现了如下几个问题:
1。初始密码是一个熟悉的乐队的名字,全英文。
2。长度为7
3。中间有重复字母
4。如果用字母来表示初始密码,可以写成"ABCDBEF"的形式(2个B表示重复的字母)
5。朋友改过以后(这是关键!!!),密码和原来还是有重复!!!!而且重复率更高
改过以后的密码用字母表示,可以写成"CFGHAF"的形式(C和原密码的C表示同一个字母)
足够了!!!!
能用这种方法盗号的只能说是高手。因为这里面有大量的数组和比较,没有清晰的逻辑思路是做不到的。但是方法却是非常简单。先举个例子。
不知道大家玩过单机版的游戏没有,比如“仙剑奇侠传”,“3国英杰传”拿“3国英杰传”(以下简称“3国”),每个人升级的经验值都是固定的100,然后打一次敌人,加几点,那么,用gamebust,或者 gamewizard很容易的可以跟踪到内存中的数据变化量。比如,刘备,第一次攻击敌人获得8点经验,那么在gamebust的数据变化栏中输入/08,第2次攻击敌人获得10点经验,输入/10,OK,通过2次比较gamebust很容易的找到了刘备经验值存放的地址,然后把数据修改成/255。然后锁定。这样,以后刘备每次攻击都可以获得255点经验,也就是每次可以升2级!!
很多人也许看不明白我写的意思,接着望下看。
原始密码是ABCDBEF,就是说2个B是存在同一个存储地址里的,其他的不知道。CFGHAF,第2次的,自身有2个F,1个A,然后C,F和原本的C,F重复,并且地址有所变动。这样,盗号者很容易的就可以追踪到C,A,B,F的地址。7位的密码知道了4位了。
按照这个情况下去,如果盗号者知道是全字母的密码,那么还有3个字母,而查出这3个字母需要比较22*21*20=9240次,几天的时间足够了。但是,关键是他不知道啊!!如果加上大写字母,数字,特殊符号,那么计算量可能需要花一个多月,我估计在8000w次左右!!!
这个时候,盛大,帮了忙了。说实话,这也不能完全怪盛大,因为现在的每家网游代理使用的数据库都是MS-SQL的,在这个数据库中,每个区域存放一个玩家信息。这个区域里变化最大的是玩家身上的装备,金钱。所以它的存储方式肯定是指针式的,而且是非顺序型结构。而变化最不大的就是玩家的帐号(没办法变),密码(没人会1个星期改1次密码),所以,它的存储结构是顺序性非指针式的,也就是说,密码被存放在一个一维数组里。而大部分人设置密码的时候都是不会大小写一起用的。所以,小写字母和大写字母、数字、符号之间都是有界定的,26的小写字母结束以后才会到大写字母,然后到数字,最后到符号。所以,盗号者很容易的查出我的密码设定是处于完全小写的范围内。
哎,被盗号了,心情不爽,提醒大家保管好自己的帐号,不要让这些犯罪分子有机可乘。
给大家的密码设置建议:
1。大小写,数字,符号混用
2。不要用自己的帐号做密码(有的笨蛋这样干过,送号,我无语。。)
3。尽量不要用外挂,辅助型的推荐:变速齿轮
4。挂机外挂我没用过,建议3思。我朋友用,我一般都是叫她把装备和钱转移到其他号上。
5。建一个小号,只有你一个人知道的。永远不要在公共场所上这个号!!!!把重要的装备和钱转到这个号上
6。不要随便告诉别人你的密码,宁可别人骂你小气,也不要随便给不认识的人号和密码。(除非你不想玩了)
7。不要在公共场所炫耀自己的装备,树大招风
8。不要在公共场所随地吐痰(这是不好的习惯,开个玩笑,看后一句),尽量不要在公共场所使用注册时候的邮箱。如果你只有一个邮箱,那么赶紧去申请第2个。
9。不要访问非法网站,不要相信天上会掉馅饼。
10。定期检查计算机,及时打补丁。杀毒软件建议用江民,卡巴。
就写到这了,希望大家的号以后都平平安安的。
