在火热的证券＼股市上股票大盗也疯了“股票大盗”木马主要通过监视键盘输入盗取用户账号和密码的木马病毒，根据其技术特点，介绍其技术实质――即键盘钩子的工作原理；并通过技术分析，给出了在应用程序中如何防范此类计算机木马病毒的实现方法。

先说股票大盗前身证券大盗：

一、“证券大盗”概述

曾在2004年，互联网上出现了一种专门盗取证券网上交易系统交易账号和密码的木马病毒“证券大盗”，一度在网上投资者中造成不小的恐慌，如何防范“证券大盗”病毒成为当务之急。

股名要防范“证券大盗”病毒，首先要了解它的技术特点。根据互联网上反病毒软件商公布的“证券大盗”信息，其作案过程如下：

1）用户访问f网站，该网页利用用户计算机系统的安全漏洞，把“证券大盗”木马病毒在用户不知觉中植入用户计算机中并运行。

病毒运行后，将创建自身复本于：%windir%，201216字节，在windows任务管理器中可以看到system32进程在运行。

3）在注册表中添加下列自启动项，当计算机重启时，该木马都会自动运行：[hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun]"system"dir%。

4）木马运行时寻找部分证券网上交易系统窗口，如果发现该口就开始启动键盘钩子对用户登录信息进行记录，包括交易账号和密码。

在记录键盘信息的同时，通过屏幕快照将用户登录时窗口画面保存为图片，存放于：c：文件中。

6）当记录指定次数后，将账号密码信息和图片通过电子邮件发送到如：

ebady。

7）发送成功后，病毒将自身删除。

从“证券大盗”病毒作案过程看，它是一种典型的以盗取账号和密码为目的的木马病毒。类似这样的木马病毒已出现多次，如2004年6月出现的针对网上银行的“银行大盗”木马，以及目前针对网络游戏、即时通讯工具的木马病毒等，将来类似的木马还会大量出现，如果防范不及时，账号和密码被盗取，可能给用户造成重大损失。所以针对这一类木马病毒的防范措施，显得尤为重要。

那么到底该如何防范这类木马病毒呢？反病毒软件商开出的方子是安装防病毒软件，并更新具有查杀“证券大盗”的病毒代码库。这是一个被动防御的权益之计，治标不治本。因为这样是先有矛，后有盾。现在能预防“证券大盗”木马，但一旦又出个“期货大盗”或类似的其他大盗，或者相同工作原理的其他证券木马病毒，你又束手无策了。杀毒软件的更新有一个滞后期，等杀毒软件能查杀该病毒，已经有用户因为密码泄密而损失惨重了。所以要从根源上采取必要的措施，才能防范此类木马病毒。

二、“证券大盗”木马工作原理

现在对付传染性流行病最好的办法是让易感人群接种疫苗。对付“证券大盗”这一类木马病毒的最好方法，也是搞清他们的工作原理，在应用软件中植入预防此类病毒的抗体。“证券大盗”实质上是利用键盘钩子技术进行做案的，搞清楚钩子的工作原理，就不难找到对付“证券大盗”木马的有效方法了。

在微软的msdrosoftdeveloppework，微软开发者网络）中，对钩子（hooks）有非常详细的介绍。这里是部分内容的译文，原文省略。

钩子（hook）是windows消息处理机制的一个要点（p。应用程序可以安装钩子处理程序去监视window消息传输并可以在一些消息传递到目标窗口之前处理这些消息。

dows系统支持许多不同类型的钩子；每种钩子提供处理不同方面的消息处理机制，如可以用wh_mouse鼠标钩子来监视鼠标消息的传递。

dows系统实际支持如下13种类型的钩子，对“证券大盗”病毒而言，我们关心的是键盘消息“钩子”（wh_keyboardhook）：

h_callwndproc：系统将消息发送到指定窗口之前的“钩子”

h_callwndprocrethooks：消息已经在窗口中处理的“钩子”

h_cbthook：基于计算机培训的“钩子”

h_debughook：差错“钩子”

h_foregroundidlehook：前台空闲窗口“钩子”

h_getmessagehook：接收消息投递的“钩子”

h_journalplaybackhook：回放以前通过wh_journalrecord“钩子”记录的输入消息wh_journalrecordhook：输入消息记录“钩子”

h_keyboardhook：键盘消息“钩子”

h_mk：鼠标消息“钩子”

h_msgfilter：对话框、消息框、菜单或滚动条输入消息“钩子”

h_sysmsgfilterhooks：系统消息“钩子”

h_shellhook：外壳“钩子”

系统为每种类型的钩子维护一个钩子链表。钩子链表是一个指向专门定义的钩子处理回调函数处理程序的指针列表。当一个消息传递发生时，系统按次序接替传递消息给相应的钩子链表中处理程序。不同钩子的处理行为不同，与钩子的类型有关。有些钩子只能监视传递的消息，有些可以修改传递的消息，或者通过钩子链表终止消息的传递，保护系统传递的消息传递到钩子链表中的下一个钩子或目标窗口。

使用一个特殊类型的钩子，系统提供了钩子处理程序模板，并且使用setwikex函数安装处理程序到相应的钩子链表中。钩子处理函数的语法必须如下：lresultcallbackhookprde，wparamwparam，lparamlparam）；setwikex函数总是安装一个钩子处理程序到钩子链表的开始处。

当不同类型钩子监视到消息传递事件发生时，系统总是调用钩子链表中最新的处理程序。每个钩子处理程序控制是否把该消息传递给下一个钩子处理程序。钩子处理程序通过调callnexthookex函数来传递消息。

通过对钩子工作原理的描述可以看出，钩子的本质是一个用以处理系统消息或特定事件的回调函数。钩子的种类有多种，每一种钩子负责截获并处理相应的消息。钩子机制允许应用程序截获并处理发往指定窗口的消息或特定事件。在特定的消息发出后，却还没有到达目的窗口前，钩子程序拥有对其控制权，此时的钩子函数除了可以对截获的消息进行各种处理外，甚至还可以强行终止消息的继续传递。

对于多个同类型钩子的，通过setwikex函数最近安装的钩子将被放置于钩子链表的开始，最早安装的钩子则放在最后。在钩子监视的消息出现时，操作系统调用链表开始处的第一个钩子函数进行处理，也就是说最后加入的钩子优先获得控制权，像一个堆栈，后进先出。

三、防范类“证券大盗”木马病毒的解决方案

明白了键盘钩子的技术原理，即“证券大盗”这一类木马病毒的工作原理，就不难发现，对付此类病毒的有效措施是以毒攻毒，以键盘钩子对付键盘监视：即在应用程序中需要键盘输入的时候，应用程序自己创建并安装一个键盘监视钩子，并使其处于钩子链的顶端，这样键盘输入的消息将被自己的钩子处理程序截获。只要在钩子处理程序中不再调用callnexthookex函数，即不把消息传递给下面的钩子，“证券大盗”这类木马病毒就对你的输入信息望洋兴叹了。在实际应用中，以键盘钩子预防键盘监视如何实现，msdn中有比较详细的关于钩子使用说明，当然，这种方案有其局限性，它只对采用这种方案的应用程序本身有效，对系统中其他应用程序无效。所以在此基础上，安装安全证书和下载相关安全补丁是相当重要的！

「每章一句」网络游戏的好处在于大学生能够去学习更多的文化知识。