文/孤独一枝

游戏账号被盗，一直是网络游戏玩家的一块心病，自己付出的大量时间和精力就在那一刻付之东流。所以笔者要把这位游戏木马检测大师介绍给大家，用来检测你的系统是否被安装了游戏木马程序。下面我们就来看看这位保护神到底有多神奇。

游戏木马检测大师的界面非常简洁，仅由几个标签组成，分为“最新消息”、“钩子列表”、“自动运行”、“网络钓鱼”和“发信检测”五个标签。其中“自动运行”标签中会列出用户电脑里随系统自动运行的程序列表，用户可以从列表中查找可疑的启动项并将其删除；“网络钓鱼”标签中会列出用户电脑里Host缓存和对应的主机名称，通常情况下如果只有“127.0.0.1 localhost”这一项，那么表示你的系统是安全的，否则有被网络钓鱼的危险；游戏木马检测大师的功能主要体现在“钩子列表”和“发信检测”上，下面重点对这两项功能进行讲解。

小知识：什么是钩子？钩子是Windows系统中一种特殊的消息处理机制，可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。

游戏木马之所以能获取游戏账号，就是通过钩子函数对所有的键盘输入进行监控，然后盗取游戏账号。“钩子列表”标签下显示了系统中已经安装的各种钩子，如果出现键盘钩子（钩子类型为WH_KEYBOARD），说明键盘输入已经被监控，那么你就要格外小心。凡是程序判断为可疑的钩子类型都会以显著颜色标记出来（如图1）。当然有些正常的程序也会安装这种钩子，例如一些聊天工具，作用是当用户输入某些热键时触发程序的一些设定功能。那么如何判断哪些程序是正常的，哪些程序是木马呢？每个钩子都有对应的程序文件和所属模块，我们可以在“详细路径”中查看某个钩子对应的具体程序，如果是我们熟悉的程序（如Maxthon），它就是正常的；如果是不熟悉的，就要提高警惕了。

除了从“钩子列表”中分析木马，我们同样可以利用“发信检测”功能来判断系统是否被安装了游戏木马，这种方法非常灵验。但在使用该功能前，需要先选择正确的网卡。特别是安装了虚拟机的系统，有可能还存在虚拟网卡，更要注意选择，因为只有流经物理网卡的数据才能被捕获。在“网卡适配器”下拉菜单中选择物理网卡，然后点击“网卡信息”按钮来查看选择的网卡是否正确。一般来说，如果能得到正确的IP地址和网卡MAC地址，则说明网卡选对了。另外也可以点击“开始”按钮，然后随便浏览一个网页，如果列表中有数据包出现，说明选择的网卡是正确的。

游戏木马获取账号信息后，会通过各种方法将它发送出去，其中最常见的就是将信息发送到指定的邮箱或网址。我们先关闭其它一切会扰乱网络数据捕获的程序，然后选择“只捕获smtp发信端口（25）和Web发信端口（80）”，接着点击“开始”按钮让软件开始监控。现在进入游戏吧，输入账号密码一直进入到游戏场地后再退出游戏，查看“发信检测”窗口，如果有木马在发送数据就会被捕获到（如图2）。根据信息发送方式的不同，捕捉到的数据信息也不尽相同。比如通过邮箱接收信息的方式，我们就可以捕捉到接收信息的邮箱用户名和密码。而利用网址来接收信息的，可以捕捉到接收的网址信息等。这样就可以轻易地揪出那些盗取游戏账号的幕后黑手。不过有时候账号信息是经过加密处理的，这时我们捕捉下来的数据就不是明文，而是一些乱码。没关系，我们的主要目的是知道自己的系统中是否有木马，而不是要得到其它什么。