QQkey盗号木马的总结和解决方案
本帖最后由 lipinhe 于 2018-12-30 05:32 编辑第一种获取方式:https://xui.ptlogin2.qq.com/div/qlogin_div.html qqkey的获取方式
首先用 Webbrowser 控件访问,http://xui.ptlogin2.qq.com/cgi-bin/qlogin
通过 ReadState 属性判断页面是否加载完成
通过 Document.url 判断加载时候为 https://xui.ptlogin2.qq.com/div/qlogin_div.html 页面
true 之后通过 Webbrowser.Document 来获取页面上的 QQ 信息
然后模拟点击快速登陆按钮,不需要通过本地获取,全程也就是一个对浏览器组件的调用
第二种获取方式:
https://localhost.ptlogin2.qq.com qqkey的获取方式
主要部分
访问http://localhost.ptlogin2.qq.com ... =0.3858416392467916
(端口范围4300-4308)
返回clientkey=
(常用获取手段)
如果您的QQkey已经被获取了,请立即下线QQ,并查找木马,在测试中,假设QQkey已经被他人获取的情况下,
使用key在其他计算机上登陆,在未登录的情况下,主机下线 qqkey 不到10秒即失效 在已经登陆的情况下未经操作,30分钟登陆失效
QQkey盗号木马免疫方式:
移除QQ快速登录控件(可导致快速登陆不可用)
C:\Program Files (x86)\Common Files\Tencent\TXSSO\1.2.5.14\Bin\npSSOAxCtrlForPTLogin.dll
移除以下关联注册表
注册表
HKCR\TypeLib\{29A32150-EA24-42c2-882E-879152560C1E}
HKLM\SOFTWARE\Classes\CLSID\{eaaed308-7322-4b9b-965e-171933add473} : (SSOForPTLogin2 Class)
HOSTS处理方式:
hosts文件位置
c:\windows\system32\drivers\etc
添加规则
0.0.0.0 localhost.ptlogin2.qq.com(本地取qqkey)
0.0.0.0 xui.ptlogin2.qq.com(可选 会导致qq登陆接口无法加载) 添加规则
0.0.0.0 localhost.ptlogin2.qq.com(本地取qqkey)这个有啥用?偷不了key了? 本帖最后由 Makraov 于 2019-1-10 14:58 编辑
用处还是有的,不过我已经见到变种的QKEY盗取方式了...根本就不在本机执行,全部post到服务器,还有salt加密根本追踪不到,本地的话会直接创建一个守护进程来导致你即使通过任务管理器关闭掉QQ进程也没用。
不过可以尝试D一下那些盗号者的机器~ 感谢楼主分享 不错的又学习了 学习了 感谢楼主 不错的又学习了 还没有用到过快速登陆 QQ现在很难盗号了吧。异地登录,客户端,网页都需要验证。 感谢分享 还以为快速登录不用输入密码是最安全的。。。。。