在admin5论坛看到有人反应过这个问题,但是没有写的很细,现在特别将这个强行视频软件的骗局分析更深刻一点,所谓的强行视频软件只不是个骗局, 骗局,骗子。 所谓的强行视频软件只不是个骗局,说只要你知道对方的ip地址以及对方安装了摄像头,就能在对方不知情的情况下,打开对方视频了,这是用的什么漏洞,根据什么协议,又是什么原理能在端口被封的情况下仍然可以强行视频,如果这一切都是真的,那么安防软件还有什么用?可笑的远程视频嗅探器 前两天有个哥们问起我是否能够破解一个名叫"远程视频嗅探器"的软件,传说可以在不经过对方的同意的情况下就直接看对方视频,并且这个软件是共享软件,需要注册后才能"查看"远程视频,注册的方法也很简单,用不同的ip访问这个软件的"官方"100次,可怜而且厚道的剑哥竟然真的通过断开连接adsl 100次进行了访问,结果仍然是注册失败(在这里对剑哥表示严重的友情同情),通过在google搜索"远程视频嗅探器"。发现有很多论坛包括本论坛都有人在发同样的帖子和网址,勾引人们访问,网址是大家熟悉的:www.不蒙你蒙谁.cnid=某某某 这种形式(太木有创意,让人一看就不想访问)。 本人首先对这种"技术"的出现表现了惊诧,继而感到有些佩服,真的能实现单方面远程强行开启对方视频,那所谓的网络安全还有个鸟用?于是非常有兴致的表示想研究一下,哥们将压缩包发给我。解压后发现有如下5个文件:远程视频嗅探器.exe camera.dll netdrv.dll vk.dll 说明.txt 其中"说明.txt"内容如下:本软件可以在不使用任何第三方通讯软件的前提下,直接看到对方视频。只要您知道对方的ip,对方安装了网络摄像头。很简单的操作,直接在软件的正下放输入对方ip地址,就能在对方不知情的情况下打开对方将的网络摄像头,远程视频直接发送到您的电脑里。时实观看远程视频。本软件涉及到个人隐私问题,仅供学习和研究使用。请广大网友不要用与非法途径,如因为使用本软件触犯法律,本站概不负责。 远程视频嗅探想看更多美女可以访问www.****.com看这说明,尽管有一些错别字,但其中表达的意思还是很牛b的。于是开始简单分析。 首先我习惯性的用卡巴杀了毒,木有报警。从文件名上来判断,远程视频嗅探器.exe是主执行文件,camera.dll可以看作是和摄像头有关的一些函数封装,netdrv.dll可以看作是网络驱动有关的函数封装。 首先分析这三个dll文件,通过exescope查看导出函数列表,发现camera.dll文件有如下导出函数: md5class::`vftable' md5class::~md5class md5class: ecode md5class::encode md5class::getfilemd5 md5class::getmd5 md5class::hexchange md5class::md5_memcpy md5class::md5_memset md5class::md5class md5class::md5class md5class::md5final md5class::md5init md5class::md5transform md5class::md5update md5class: perator= 应该是一个md5的导出类,但是文件名起个camera.dll,多少有点文不对题,不过这也可以理解,很多程序员不希望别人猜出他程序的模块组成,名字可以乱起的。再看资源中,有自定义类型"drv"的资源两个,一个的id是6000,先将其导出为drv6000.dat(这个文件是重点),另一个id 是6001,文件头是"microsoft cc++ program database 2.0"什么什么的,暂时没有猜出是干什么用的。另外还有一个自定义类型为"ga"的id是6002的资源,文件头和6001的一样,暂时略过。再看 netdrv.dll文件,没有导出函数,只有三个自定义的资源,一个是类型为"ca"的id为7003的,文件头是"mz",这应该是一个exe和 dll这种可执行文件,于是将其导出为ca7003.exe,还有一个类型为"im"的id为7004的资源,文件内容比较乱,文件内容如:"皑蔼碍爱袄奥坝罢摆败颁。。。"十分象是一个汉字码表,用ascii码为0x02的字符隔开了,这有虾米用处呢,实在奇怪。第三个资源是类型为"net"的id为 7002的资源,文件头也是"mz",没啥说的,直接另存为net7002.exe(这时发现net7002.exe的图标和远程视频嗅探器.exe的图标一样,大小也相符,不过文件内容稍有差异) 最后看看vk.dll文件,6.86kb,exescope认为不是一个合法的dll或exe文件,于是用ultraedit将其打开,文件内容部分 "dqogicagyp3krr7fvdrkp7b4uls1ww0kdqogicag",貌似64进制编码,通过解码后那些内容把偶笑坏了,部分正如下三十九节失而复得"姐姐,姐姐。"姚君武大呼小叫的冲进了病房。。。汗。。这是什么玩意?通过google搜索才知道,这是小说《纨绔才子》的一部分,呵呵,真是搞笑。 回头看"远程视频嗅探器.exe",资源中也有几个自定义的,一个是类型为"drive"的id为134,另存为drive134.dat(这个文件很有意思,和上面的drv6000.dat有异曲同工之处),经过比对发现和drv6000.dat文件一模一样,用ultraedit打开后发现文件头是 "fws",熟悉flash的朋友可能知道这是什么文件了。呵呵,将后缀更名为swf,用播放器或ie打开,哈哈哈哈,原来是录制的一段视频,有号称是两个美女在镜头前活动的一段录像。 结合哥们访问100次不能注册这个问题,再通过对这个软件的分析,可以大概看出,这应该是个比较搞笑的骗局,即使有人真的通过100次点击得到了注册码经过"注册"以后,主程序将资源中的swf视频释放出来,再通过界面上的"远程视频窗口"播放出来,让使用者以为真的是看到了对方的视频,等视频播放完以后(很短的一截),再来个"网络故障,连接断开"之类的错误或者重复播放这个假视频文件让使用者蒙在鼓里。 呵呵。创意不错,可惜细节上不太完美。不过尽管如此,这个"软件"应该是获得了成功,为其"官方"获得了不少的流量,听说第一个通过赠送,,,的骗局增加流量的居然进了alxea前100就可以知道,网络的力量是很恐怖的。 如果能实践这几点,全国网上110报警平台定能独树一帜,成为行业的佼佼者,并不断的前行着。