有人偷了我的QQ。我有办法把它偷回来吗？

很多朋友都有过QQ号被盗的经历，就是用“密码保护”功能拿回来后，里面的QQ币已经被小偷洗劫一空，遇到更恶毒的小偷，你的好友就会全部被删除，好友也就要永远离开你了。想过反击吗？什么，反击？别开玩笑了。我们只是新手，不是黑客。我们只是看看网页，聊聊天。我们甚至不知道QQ号是怎么被盗的。我们能拿黑客怎么办？其实，喜欢偷号的所谓“黑客”，只是利用了一些现成的偷号工具。只要了解QQ号被盗的过程，就可以采取相应的防范措施，甚至可以由守转攻，给黑客致命一击。

一、知己知彼，黑客技术不再神秘。

目前不断更新的QQ盗号软件很少，其中最著名、传播最广的就是“阿拉QQ大盗”。目前大部分QQ号被盗事件都是这个软件引起的。使用该软件的条件非常简单，只要你有一个支持smtp邮件的邮箱或者一个支持asp脚本的web空间。而且特洛伊可以自动将盗来的QQ号码分为漂亮号码和非漂亮号码两种，发送到不同的邮箱，这也是“阿拉QQ大盗”如此受欢迎的原因之一。接下来，我们先了解一下它的工作原理，以便找到一个好的反击方式。

1，选择偷号模式。

下载“阿拉QQ大盗”。解压后，有两个文件:alaqq.exe，永远的爱，和爱保姆qq.asp。其中，爱永恒的alaqq.exe是“阿拉QQ大盗”的配置程序，爱保姆的qq.asp是使用“网站接收”模式时要使用的文件。在正式使用之前，需要设置它的参数。

“邮件接收”配置:运行alaqq.exe，出现程序的配置界面。在“发送方式选择”选项中选择“邮件接收”，在“邮件接收”中填写邮箱地址(建议使用默认邮箱163.com网易)。这里以邮箱n12345@163.com(密码n_12345)为例介绍“邮箱接收”模式的配置，并进行以下测试。此外，在“接收邮箱(漂亮)”和“接收邮箱(普通)”中可以填写不同的电子邮件地址，以接受QQ漂亮号码和普通QQ号码。然后在“发件服务器”下拉框中选择你邮箱对应的smtp服务器，是smtp.163.com最后填写账号、密码、邮箱全名。

设置好之后，我们可以测试一下填写的内容是否正确。点击下面的“测试邮箱”按钮，程序会出现邮箱测试状态。如果所有测试项目都成功显示，则可以完成邮箱信息配置。

“网站接收”配置:除了选择“邮件接收”模式，我们还可以选择“网站接收”模式，将被盗QQ号自动上传到指定的网站空间。当然，在使用之前，需要做一些准备工作。

用FTP软件将爱永远和爱保姆qq.asp上传到支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永远和爱保姆qq.asp的URL地址。然后，当特洛伊截获QQ号码信息时，会将其保存在与《爱天长地久》和《爱保姆qq.asp》同目录的qq.txt文件中。

2.设置特洛伊马的附加参数

接下来，我们进行高级设置。如果勾选“运行后关闭QQ”，一旦对方运行“阿拉QQ大盗”生成的特洛伊马，60秒后QQ将自动关闭。当对方再次登录QQ时，其QQ号和密码会被特洛伊木马拦截并发送到黑客的邮箱或网站空间。此外，如果您希望特洛伊在网吧环境中使用，您需要选中“恢复向导自动保存”，以便特洛伊在系统重新启动后仍然可以运行。除了这两项，其他都可以默认保留。

3.窃取QQ号码信息

配置好“阿拉QQ大盗”后，点击程序界面中的“生成特洛伊木马”，即可生成一个可以盗取QQ号码的木马程序。我们可以把程序伪装成图片、小游戏，或者和其他软件捆绑在一起传播。当有人运行相应的文件时，特洛伊就会隐藏在系统中。当系统中有QQ登录时，特洛伊就会开始工作，拦截相关号码和密码，按照之前的设置将信息发送到邮箱或网站空间。

第二，练就慧眼，让特洛伊这匹马在体制内无处可逃。

既然已经了解了“阿拉QQ大盗”的大致流程，那么如何从系统中找到“阿拉QQ大盗”呢？一般来说，遇到以下情况就要小心了。

QQ自动关闭。

运行一个程序后，它就消失了。

反病毒软件在运行一个程序后会自动关机。

访问杀毒软件网站时浏览器自动关闭。

如果杀毒软件有邮件监控功能，会出现程序发送邮件的警告框。

安装了网络防火墙(如天网防火墙)，并出现NTdhcp.exe访问网络的警告。

出现上述一种或多种情况，系统可能已经感染了“阿拉QQ大盗”。当然，感染特洛伊马并不可怕，我们也可以将其从系统中清除。

1，手动查杀木马。发现系统感染了“阿拉QQ大盗”后，我们可以手动清除。“阿拉QQ大盗”运行后，会在系统目录下的system32文件夹中生成一个名为NTdhcp.exe的文件，并将特洛伊的键值添加到注册表的启动项中，这样每次系统启动时特洛伊都能运行。我们需要做的第一件事是运行任务管理器并结束特洛伊木马进程“NTdhcp.exe”。然后在资源管理器中打开文件夹选项，选择查看选项卡，并选中“隐藏受保护的操作系统文件”选项前面的框。然后进入系统目录下的system32文件夹，删除NTdhcp.exe文件。最后，进入注册表删除NTdhcp.exe键值，该键值位于HKEY _本地_机器\软件\微软\ Windows \当前版本\运行。

2.卸载特洛伊。卸载“阿拉QQ大盗”很简单。只需下载“阿拉QQ大盗”的配置程序，运行后点击“卸载程序”按钮，即可将特洛伊从系统中彻底删除。

第三，以退为进，给黑客致命一击。

忙活了半天，终于把系统里的“阿拉QQ大盗”彻底清除了。那么，面对可恶的黑客，我们是不是应该给他一个教训？

1，利用漏洞，由守转攻。

这里所谓的“攻击”并不是黑客直接入侵电脑。我相信这种“技术活”并不适合所有人。这里我们就从几乎所有黑客软件都存在的漏洞入手，给黑客们一个教训。

那么这个漏洞是什么呢？

从之前对“Ala QQ大盗”的分析可以看出，配置部分已经填写了接收QQ号信息邮件的邮箱账号和密码，邮箱账号和密码都是明文存储在木马程序中的。因此，我们可以从生成的木马程序中找到黑客的邮箱账号和密码。那么就很容易控制黑客的邮箱，让黑客偷不到鸡。

提示:以上漏洞仅存在于通过邮件发送QQ号码信息的木马中。如果在配置“Ala QQ小偷”的过程中选择使用网站接收的方式，就不存在这样的漏洞。

2、网络嗅探，防窃取黑客的邮箱

当特洛伊截获QQ号码和密码后，它会将信息以电子邮件的形式发送到黑客的邮箱。我们可以从这里开始，通过特洛伊拦截发送邮件过程中的网络数据包。这个被拦截的数据包中包含了黑客邮箱的账号和密码。在拦截数据包的时候，我们可以使用一些网络嗅探软件，可以轻松拦截数据包，自动过滤掉密码信息。

x嗅嗅

X-sniff是命令行下的嗅探工具，具有非常强大的嗅探能力，特别适合嗅探数据包中的密码信息。

将下载的x-sniff解压到一个目录下，比如“C: \”，然后运行命令提示符，在命令提示符下输入x-sniff所在的目录，然后输入命令“xsiff.exe-pass-hide-pass.log”(命令含义:后台运行x-sniff，过滤掉数据包。

设置好嗅探软件后，我们就可以正常登录QQ了。此时，特洛伊马也开始跑了，但由于我们已经运行了x-sniff，特洛伊马发送的信息将被拦截。等待一段时间后，进入x-sniff所在的文件夹，打开pass.log可以发现x-sniff已经成功嗅探到了邮箱的账号和密码。

辛费尔

可能很多朋友对命令行下的东西有一种恐惧感，所以我们可以用图形化的嗅探工具来嗅探。比如sinffer，适合初学者。

在运行sinffer之前，我们需要安装WinPcap驱动程序，否则sinffer无法正常运行。

跑辛菲尔。首先，我们需要为sinffer.exe指定一个网卡，点击工具栏上的网卡图标，在弹出的窗口中选择我们使用的网卡，点击确定完成配置。确认上述配置后，点击sinffer工具栏中的“开始”按钮，软件将开始嗅探。

接下来，我们正常登录QQ。如果嗅探成功，捕获到的数据包会出现在sinffer的界面中，其中明确列出了邮箱账号的密码信息。

拿到黑客的邮箱账号和密码后，我们就可以删除所有的QQ号信息邮件，或者修改他的邮箱密码，给黑客一个教训，让我们这些新手正义。

本文来自& gt|/原文链接:/safe/hacker/2009/0326/540 . html