辛辛苦苦的四个月，我在《魔兽世界》里拥有了数件紫装和一帮知心朋友。若是这个账号被人盗了，那我可真欲哭无泪啊，于是我请了位“大师”来检查，看看有没有人盯上了我的账号。
　　问:请问这位大师是谁啊？
　　答:顾名思义，《游戏木马检测大师》专门用于检测游戏木马，它可是捕获钩子、拦截发送信息的高手哦。
　　《游戏木马检测大师》有“最新消息”、“钩子列表”、“自动运行”、“网络钓鱼”和“发信检测”五个选项卡。其中“网络钓鱼”选项卡会列出用户的电脑里面HOST缓存和对应的主机名称。HOSTS表的原理是更改域名与IP的映射关系。通常情况下如果只有“127.0.0.1localhost”这一项，那么表示你的系统是安全的，否则可能会存在被网络钓鱼的危险（图1）。游戏木马检测大师的功能主要体现在“钩子列表”和“发信检测”上。
　　问:账号是怎样被木马捕捉到的？
　　答:盗号程序之所以能成功地获取游戏账号，就是通过钩子函数对所有键盘输入进行监控，接着盗取账号。
　　“钩子列表”选项卡可以显示系统已经安装的各种钩子,用鼠标右键选择“刷新”或对该钩子指向的进程进行定位。如果系统安装了键盘钩子（钩子类型为WH_KEYBOARD），那所有键盘输入都被监控了。
　　当然，有些正常程序（例如一些聊天工具）也会安装此种钩子，作用是当用户输入某些热键时触发特定功能。凡是程序判断为可疑的钩子类型都会以特别的颜色标记出来（图2）。如果发现游戏木马，可以切换到“自动运行”选项卡中找到可疑的启动项，并删除它。
　　问:账号信息是怎样发送给黑客的？
　　答:游戏木马获取账号信息后，会通过各种方法发送出去，其中最常见的就是将信息发送到指定的信箱或网址。
　　首先，我们关闭其他所有会扰乱网络数据捕捉的程序，在“发信检测”标签中选择“只捕获smtp发信端口（25）和Web发信端口（80）”。接着点击“开始”按钮并进入游戏，输入账号密码一直进入到游戏场景后退出游戏，回到“发信检测”窗口，如果木马发送数据就会被捕获到（图3）。
　　捕捉到的数据中包含有黑客的信息。从图3中我们可以清楚地看到，游戏木马通过21cn的邮件服务器发送账户信息。由于通过电子邮件发信都要通过用户验证，所以我们也获得了黑客21cn的账户密码，不过经过了Base64加密（通过Base64解码工具才可以得到邮件账号密码的原文）
　　程序还能查到黑客收取信息的信箱（如图3中的[email protected]），即使不会使用嗅探工具的朋友，也可以轻易地挖出那些盗取游戏账号的幕后黑手。不过有时候，账号信息是经过加密处理的，这时捕捉下来的数据就不是明文，而是一些乱码。
　　有的木马发信不一定会使用25或80端口，这时就要去掉“只捕获smtp发信端口（25）和Web发信端口（80）”选项。还有的木马不会马上把信息发送出去，那样在退出游戏后，可以继续捕捉几分钟数据包来进行判断。
　　本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。