中国短道速滑男队:魔兽灵异被盗事件，求助啊！！！

原帖地址：http://bbs.ngacn.com/read.php?tid=633168

　　最近9C终于在帐号安全性问题上做了一些措施，之后有帖子捧上天以为万能的，有帖子不屑一顾并给出一些破解办法表示其无用的，有警告大家不要迷信结果遭到谩骂的，还有开启了双重密码仍遭盗号的。作为一个魔兽玩家，由于工作原因对木马外挂系统安全等技术还是比较了解（我的工作是正当职业，不要喷我-_-），希望写点东西，帮助各位对安全技术不了解的朋友降低被盗的风险（技术上太复杂了看不懂可以跳过直接看后面的建议）。由于只是初步研究，疏漏之处欢迎指正。

　　以下以三种最常见的木马为标准，一种是网络嗅探类型，直接抓取网络包；一种是键盘捕捉；还有一种是内存截取型。这三类都属于传统的盗号木马，基本上是基于字符、数据缓冲的，再加上要做的小巧、速度快、网络占用低，不会基于多媒体（图片等）进行处理。

　　第一，是9C通行证（9C网站）的安全性。这里，我可以负责任告诉大家，9C通行证安全性为0。因为是明码登录，帐号、密码在网络包里面是可以直接看到的。所以，除非你自家一条ADSL，否则不能保证你帐号安全（在这里我假定电信网通的人不会干龌龊事）。这里，我们看到9C在安全方面仍然偷懒，建议应该使用https来登录。

　　第二，9C帐号锁，总得来说，这个锁是比较安全的。对于键盘动作捕捉类的木马，这个当然就不存在任何问题了，之前有的人在帖子里说网络嗅探还有内存截取什么的，我肯定你没有实践过。软键盘是随机排列的，用户输入的和网络传输的也只是这个随机排列的索引而已，而索引跟pin码的联系，是在服务器端，你这边是个图片而已，不可能通过嗅探和内存截取得到你的pin码。这里我说的这么详细是因为这个问题并不是什么技术秘密，有心要盗号的人肯定已经研究过锁帐号页面的html代码和网络包了。

　　第三，WOW客户端程序帐号安全性，这个问题就跟9C无关了。在使用WOW客户端登录通信的时候，很不幸的，你们的帐号ID是直接暴露的，由此可以推断，玻璃渣没有很好的办法解决通信密钥的交换问题，因此采用了跟腾讯类似的登录认证模式（什么模式我就不解释了，网上多的是）。这种方法不存在很严重的安全漏洞，因为通过嗅探网络包直接轻松得到你的密码或者通信密钥是不可能的。但是该方法给哈希碰撞留下了思考空间，WOW的哈希是采用了SHA系列，并且采取了独特的变形，由于对其变形尚未深入研究，不能确定安全性，不过对于哈希算法的适当变形是可以有效避免碰撞问题的。另外还有暴力破解的问题，对于该问题，帐号安全性很大程度上就依赖于用户自己的密码设定了。

　　第四，WOW客户端双重密码，这个我没有开通，但是估计是跟帐号锁是一样的，软键盘、下载图片、上传索引验证。是比较安全的，而且由于是完成了登录过程过程建立了加密通道，因此安全性比9C帐号锁更加高一些。

　　可以看出，9C推出的两项措施，是实实在在提高了帐号的安全性，采用了这两项措施的其中一项之后，对于感染了传统木马的机器，可以达到相当好的帐号保护效果。但是，我们也要看到，pin码并不像9C宣扬的那么无懈可击。比如通过屏幕截取技术，完全可以盗取pin码，这一点我已经做过实验，盗取出来的图片数据不压缩不超过150K，无损压缩只有75K，如果做有损压缩则肯定更低，这样的数据量在今天的网络带宽下可以说不算什么了，如果用分割发送的方式，10分钟内发送干净的话可以说神不知鬼不觉。另外对于帐号锁，对于有能力的黑客，由于软键盘图片数据是http直接传输，也是可以通过嗅探得到图片，并根据你所提交的位置索引来得到你的pin码。

　　对于有能力并有兴趣开发出利用以上漏洞的工具的人，我可以肯定他们不需要看这篇文章，因为我也只是用了10来分钟来研究，所以大家不要喷我教会了盗号者什么什么，我什么都没教，没这个实力的人，就算看了也没有能力实现。

　　建议：

　　第一，请确保自己的9C帐号、9C注册邮箱名、WOW有关的各种论坛ID、各种论坛注册邮箱这4者之间无关。另外，你的注册邮箱请不要保存任何与9C、WOW相关论坛有关的信件。因为除了直接盗取游戏帐号之外，盗号者往往从邮箱入手。

　　第二，请不要随意登录9C主页，特别是在局域网环境尤其网吧等地方。

　　第三，确保自己的密码足够复杂，至于什么交错输入什么的，就免了吧。你交错输入能够欺骗记事本吗，都什么年代了，木马难道连个记事本都不如？

　　第四，请不要告诉别人帐号、密码。

　　第五，出于工会考勤，有时候确实需要别人帮你raid的，请开通帐号锁而不要开通双重密码（双重密码开通之后不能取消）。当需要别人帮你raid的时候，因为开锁需要登录9C主页，并且软键盘图片是http直接发送，会给有技术的盗号者通过嗅探并获取你的帐号、密码、pin码。找一台安全的机器在一个安全的上网环境（比如ADSL直连，网络安全比较好并且采用交换机的公司网络），解锁。等对方离开游戏之后，锁帐号。若对方网络环境以及服务器状况比较好，不会掉线，则在对方登录之后就可以锁帐号了。

　　第六，若你确定自己绝对不会让别人使用自己帐号的，特别是常在网吧游戏的，开通双重密码，但是不使用帐号锁。若你在网吧上网，绝对不要使用帐号锁。

　　第七，无论任何情况都不要让人知道你的pin码。

　　第八，最根本的请确保自己机器没有漏洞，以及保证自己机器没有木马，因为随着木马发展，pin码终有其完全失效的那天。

　　第九，若不幸被盗号了，不要急着上邮箱申请取回密码然后修改，否则你可能连邮箱都会丢掉。请先确保自己使用的机器以及网络安全或者使用短信服务，不要吝啬那两个钱。

　　pin码有效，并不完美。

　　最后，欢迎转贴，请注明出处，作者。

　　国际惯例……是啥，忘了-_-……

你肯定是头脑有问题.. 谁会去盗你一个16级的号 肯定是你朋友盗的