权限防木马：给你的魔兽客户端加上护盾

　　经过2年，我很高兴的看到现在木马技术的变化，从消息钩子到伪装界面再到进程插入。

　　下面，我将为大家介绍一种简便有效的WOW帐号安全防范措施。

　　本文所针对的系统环境为：win xp/2003/7和vista。

　　首先我简单的介绍一下现在常规WOW木马的运行模式：

　　1、进入系统(主要通过不良的上网习惯和电脑使用习惯)

　　2、运行木马下载器(大部分木马通过捆绑下载，使入侵变的简单高效，并降低成本。其代表就是下载器。通过感染运行下载器，再由下载器连接制定的服务器下载运行木马)。

　　3、多木马感染。

　　4、在wow客户端根目录内释放dll(这些dll主要以d3d系列的伪装dll为主)。

　　5、玩家运行wow客户端，客户端自动优先加载伪装的dll实现进程插入。

　　6、盗号者发出指令，通过外部程序(木马服务端和客户端实现)使WOW掉线(或消失)，引诱玩家重新登陆。

　　7、玩家登陆，服务端截获登陆信息，反馈给木马客户端，同时伪装游戏服务器返回登陆错误。

　　8、洗号。

　　那么，通过分析我们可以看到，如何让wow载入伪装的dll是这个过程的关键点。

　　WOW这个游戏在启动时，首先会载入一些dll，比如DirectX的一些dll。它的载入顺序是：wow客户端根目录>系统目录。

　　如果系统目录下有，比如vb，那么会载入，如果这个dll在wow的客户端下也有，那么优先载入wow客户端根目录下的。

　　通过这样的判断，使木马有机可乘，实现了wow启动同时启动木马的目的。

　　采用这种技术的木马，对wow.exe进行校验已经没办法检测是否中招了。

　　如何掐断不明程序对wow客户端读写就是我们现在要做的事。当然，这十分简单。