可笑的“可人强制视频”(发这个东西的人来看看吧)_派派后花园

用户中心 游戏论坛 社区服务
发帖 回复
阅读:2904 回复:10

可笑的“可人强制视频”(发这个东西的人来看看吧)

刷新数据 楼层直达
tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看楼主 使用道具 楼主   发表于: 2008-03-13 0
可笑的“可人强制视频”(发这个东西的人来看看吧)
看到第一眼我就觉得怀疑,只要你知道对方的IP地址以及对方安装了摄像头,就能在对方不知情的情况下,打开对方视频了,这是用的什么漏洞,根据什么协议,如果能这样还不天下大乱了,没事直接看看小布什做什么呢?别说50IP,半小时我能构造500IP访问官方,不过只是骗访问量的罢了。于是GOOGLE发现N多的受骗者。

这是GOOGLE的文章:
可笑的“可人强制视频”
一个名叫"可人强制视频"的软件,传说可以在不经过对方的同意的情况下就直接看对方视频,并且这个软件是共享软件,需要注册后才能"查看"远程视频,注册的方法也很简单,用不同的IP访问这个软件的"官方网站"100次,可怜而且厚道的人竟然真的通过断开连接ADSL 100次进行了访问,结果仍然是注册失败(在这里对他们表示严重的友情同情),通过在Google搜索"可人强制视频"。发现有很多论坛都有人在发同样的帖子和网址,勾引人们访问,网址是大家熟悉的 http://www.不蒙你蒙谁.cn/id=王二驴子这种形式(太木有创意,让人一看就不想访问)。本人首先对这种"技术"的出现表现了惊诧,继而感到有些佩服,真的能实现单方面远程强行开启对方视频,那所谓的网络安全还有个鸟用?于是非常有兴致的表示想研究一下,剑哥将压缩包发给我。解压后发现有如下5个文件: 可人强制视频.exe Camera.dll netdrv.dll vk.dll 说明.txt 其中"说明.txt"内容如下:软件说明:
可人远程强制视频是一款远程视频强制连接的监控软件.
不需要任何第三方通讯软件的支持.
直接强制与对方视频.对方是否同意.并不重要.
因为是在对方不知情的情况进行的.
只要你知道对方的IP地址以及对方安装了摄像头.
就能在对方不知情的情况下.
打开对方视频.数据高效传输到你的电脑.实时观看。
由于使用本软件随时涉及到个人隐私问题.
本软件仅供学习和研究交流之用,如因使用而触犯法律.
后果自负.本站及作者概不承担法律责任 .
其中表达的意思还是很牛B的。于是开始简单分析。首先习惯性的用卡巴杀了毒,木有报警。从文件名上来判断,可人强制视频.exe是主执行文件,krplmnyh.dll可以看作是和摄像头有关的一些函数封装,Systemvsa.dll可以看作是网络驱动有关的函数封装。首先分析这三个Dll文件,通过ExeScope查看导出函数列表,发现krplmnyh.dll文件有如下导出函数: Md5Class::`vftable' Md5Class::~Md5Class Md5Class:ecode Md5Class::Encode Md5Class::GetFileMD5 Md5Class::GetMD5 Md5Class::HexChange Md5Class::MD5_memcpy Md5Class::MD5_memset Md5Class::Md5Class Md5Class::Md5Class Md5Class::MD5Final Md5Class::MD5Init Md5Class::MD5Transform Md5Class::MD5Update Md5Class:perator= 应该是一个MD5的导出类,但是文件名起个krplmnyh.dll,多少有点文不对题,不过这也可以理解,很多程序员不希望别人猜出他程序的模块组成,名字可以乱起的。再看资源中,有自定义类型"DRV"的资源两个,一个的ID是6000,先将其导出为drv6000.dat(这个文件是重点),另一个ID 是6001,文件头是"Microsoft C/C++ program database 2.0"什么什么的,暂时没有猜出是干什么用的。另外还有一个自定义类型为"GA"的ID是6002的资源,文件头和6001的一样,暂时略过。再看netdrv.dll文件,没有导出函数,只有三个自定义的资源,一个是类型为"CA"的ID为7003的,文件头是"MZ",这应该是一个EXE和 Dll这种可执行文件,于是将其导出为ca7003.exe,还有一个类型为"IM"的ID为7004的资源,文件内容比较乱,文件内容如:"皑蔼碍 爱袄奥坝罢摆败颁。。。"十分象是一个汉字码表,用ASCII码为0x02的字符隔开了,这有虾米用处呢,实在奇怪。第三个资源是类型为"NET"的ID为7002的资源,文件头也是"MZ",没啥说的,直接另存为net7002.exe(这时发现net7002.exe的图标和可人强制视频.exe的图标一样,大小也相符,不过文件内容稍有差异) 最后看看vk.dll文件,6.86KB,ExeScope认为不是一个合法的Dll或EXE文件,于是用UltraEdit将其打开,文件内容部分 "DQogICAgyP3Krr7FvdrKp7b4uLS1ww0KDQogICAg",貌似64进制编码,通过解码后那些内容把偶笑坏了,部分正如下三十九节失而复得"姐姐,姐姐。"姚君武大呼小叫的冲进了病房。。。汗。。这是什么玩意?通过Google搜索才知道,这是小说《纨绔才子》的一部分,呵呵,真是搞笑。回头看"可人强制视频.exe",资源中也有几个自定义的,一个是类型为"DRIVE"的ID为134,另存为drive134.dat(这个文件很有意思,和上面的drv6000.dat有异曲同工之处),经过比对发现和drv6000.dat文件一模一样,用UltraEdit打开后发现文件头是 "FWS",熟悉Flash的朋友可能知道这是什么文件了。呵呵,将后缀更名为swf,用播放器或IE打开,哈哈哈哈,原来是录制的一段视频,有号称是两个“美女”在镜头前活动的一段录像。结合有人访问100次网站不能注册这个问题,再通过对这个“软件”的分析,可以大概看出,这应该是个比较搞笑的骗局,即使有人真的通过100次点击得到了注册码经过"注册"以后,主程序将资源中的SWF视频释放出来,再通过界面上的"远程视频窗口"播放出来,让使用者以为真的是看到了对方的视频,等视频播放完以后(很短的一截),再来个"网络故障,连接断开"之类的错误或者重复播放这个假视频文件让使用者蒙在鼓里。呵呵。创意不错,可惜细节上不太完美。不过尽管如此,这个"软件"应该是获得了成功,为其"官方网站"获得了不少的流量,听说第一个通过赠送6位QQ的骗局增加流量的网站居然进了Alxea前 100就可以知道,网络的力量是很恐怖的。 将这个故事写出来,木有他意。网络Bao4民横行的时代,低调才是王道。

如果你想真的注册的话,也很简单.
输入123456789

然后点注册,提示错误.取消后直接再次输入1234567899,即可注册成功.呵呵

最好提示那些无聊的人不要去弄这些没有用的东东。。。TMD88600
[ 此贴被tmd88600在2008-03-13 21:00重新编辑 ]
u-know允浩

ZxID:1268211


等级: 文学大师
举报 只看该作者 沙发   发表于: 2008-03-13 0
那个我下过啊,要钱的。没啥用









tmd88600

ZxID:1279065

等级: 禁止发言
配偶: 琳儿来也
举报 只看该作者 板凳   发表于: 2008-03-13 0
http://bbs.houdao.com/read.php?tid=76190&u=279065
我定的新版规
去看看1314的签名
u-know允浩

ZxID:1268211


等级: 文学大师
举报 只看该作者 地板   发表于: 2008-03-13 0
举报有钱啊
我管好自己就得了.1贡献=12刀币    1贡献30秒
                举报6帖=10                未知数啊。
花香、中寂寞

ZxID:1085167

等级: 派派贵宾
小号
举报 只看该作者 4楼  发表于: 2008-03-18 0
  高手啊!  我要好好看下
╲_‘★.原來、激情過後菂莪們"。╱━‘★’━━━芷剩下⒈堆卫笙纸、。愛)‵⒏在㈡腿间.、⒐在錢袋裡╱/╱ ゛性生活.’誰把誰娱樂
wamaa

ZxID:2076276

等级: 派派新人
举报 只看该作者 5楼  发表于: 2008-10-12 0
高手啊!  我要好好看下
malin23

ZxID:1018497

等级: 读书识字
举报 只看该作者 6楼  发表于: 2008-10-12 0
谢谢···
4978497526

ZxID:1939036


等级: 略有小成
系统怀疑我灌水所以............
举报 只看该作者 7楼  发表于: 2008-10-13 0
   哇林大啥鸟都有
daizhang219

ZxID:2031146

等级: 牙牙学语
我就是我,嘿嘿
举报 只看该作者 8楼  发表于: 2008-10-17 0
真是的,那些人太不象话了,
532135300

ZxID:2084803

等级: 禁止发言
举报 只看该作者 9楼  发表于: 2008-10-19 0
这种坏事 你都干
zengkaa

ZxID:1678452

等级: 读书识字
举报 只看该作者 10楼  发表于: 2008-10-24 0
你们在说什么阿
发帖 回复