看完这篇，盗号者的末日就已经来了

作者：文青住隔壁

话说当年全国第一大工会“我大清”破灭在八国盗号集团手里之前，已拥有会员四万万，其规模之大简直是史无前例，从“东临海”到“西高原”，整整占据了九百六十多个服务器。

而在工会内部，却是污吏横行世风日下——小官吏上各种乱七八糟的网站想寻找游戏BUG；大官僚四处找打钱外挂想发笔横财；衙门里的差人聊Q看到别人传来个“清凉MM图片”就猴急地收入囊中；连宫里的宦官都要上上黄色网站。于是便有八国盗号集团猛如虎豹连取会中多个高级账号，两大领导“薸喨慈禧乖々”、“愛WÒ光绪皇”吓得一个月不敢上线，连工会高价仓库号“颐和”都落入魔掌。

浩劫之后工会论坛终于设立防盗大学堂，请来外地教员开设帐号保护新学课程，以求在日益汹涌的盗号大潮中拯救危亡的工会……

盗号者到底有多厉害

自从有了网游以来就有了盗号，这两年网游发展迅速，自然也催生了盗号行业的蓬勃发展，盗号这个话题也因此更引人关注了一些。可以想象盗号与防盗的较量会永远持续下去，只要我们继续玩网游，这个话题也将永远地陪伴着我们，这都是很自然的事情犯不着大惊小怪。

我自己为例，以前参加过一个某热门游戏的小工会，总共的活跃分子不超过二十人。一开始还没什么，等大家陆陆续续到了六十级，盗号的事情就跟着来了。今天是A君，大后天是B君，下周又是C君……于是在两三个月的时间里，不算不知道一算吓一跳，二十多个人的工会几乎有近十个人先后被盗，有些甚至被盗了两次……整个工会竟然就被盗去了一半！

这个比例算起来很可怕，该游戏据说至少有50万在线，那不是有整整25万人被盗过了？！这还不闹翻了天？实际情况却又完全不是这样，虽然每次总是少一两个人，我们那个小工会却还是其乐融融一点没有什么异样的感觉，而整个游戏虽然总是伴随着盗号的话题，却也搞得红红火火没什么大问题。

当然，哪怕统计出来只有0.1%的被盗，对于被盗者来说，这就是一件100%事情，其痛苦之处也只有经历过的人能够体会。也正因为这种痛苦，人们不由自主地也夸大了盗号者能够危害的程度，似乎他们一下子就无所不能了，被盗者总是想证明：“不是我不小心，实在是敌人太狡猾！”

打个比方就好像非典，由于其综合的危害性而引起全国重视，实际上死于非典的人数却还不如狂犬病的死亡病例多。盗号者也是这样，以少数的案例就能造成很大的威胁，而实际上如果盗号者真的像他们看上去的那样厉害，所有网游公司都干脆不用经营了。

所以，看到什么游戏出现盗号问题，大可不必惊慌失措惶惶不可终日，那终究还是小概率事件。而且邪不压正，这个事情的主动权还是在玩家手上，只要自己有所注意你完全可以把被盗的概率降低到0%。

防盗号的最高境界是……

有一点必须相信，游戏运营公司对于帐号安全，恐怕比很多玩家自己都要重视得多。这毕竟是游戏公司的饭碗——他巴不得玩家全部掌握一切安全知识让盗号者无从下手，玩家高兴公司也高兴。

所以，如果谁告诉你游戏运营公司偷玩家账号卖钱，或者偷了你的让你重新练级，那你得记住那句话：“珍惜生命，远离SB”。

正因为饭碗的原因，各个游戏运营企业莫不是投入了相当大的力量来提供安全保障手段。当普通的帐号密码方式被监听键盘的木马破解之后，又出现了鼠标点击屏幕键盘输入密码的方式；当账号被盗成为经常性问题的时候，就出现了邮箱绑定、手机绑定等保障手段。

话说回来，有了这些手段你还要用是不是？在某游戏里面被偷了两次的那个朋友，我问他你的pin码和手机绑定呢？他说麻烦，还没来得及启用；那绑定邮箱呢？一起被偷了；那快用身份证去把账号要回来吧？当初乱填的……我那个感觉，真是恨不得……

当然，防盗，真正的技术革新是最有效的。最近发现网易在这方面搞得挺有新意。“将军令”这个新鲜玩意我还研究过一段时间（我朋友研究密码学的，所以对这些挺好奇）。发现这种方法还从来没有人想到过，我自己理解，将军令实际上是一个计时器加运算器，是以将军令的序号和时间为条件，通过某种算法给出机动密码，而账号和序号是绑定的，服务器端根据帐号相应的序号和时间，也可以运算出相同的机动密码。这种使用硬件的核对方式应该是万无一失了，只要注意一些防盗基础知识（见下篇），不流失自己的将军令序号和账号、邮箱，理应可以高枕无忧，这个方式要是普及开来，恐怕对盗号行业是一个相当大的打击。

人们也一直在寻找一个真正毫无破绽的保密方式，用鼠标点击屏幕上的乱序数字来输入密码曾经被认为非常安全了，可是在未来木马功能足够强大的话，它还是可以通过截屏的方式，加上跟踪鼠标坐标获得你的输入。其实手机绑定就非常有效，还从来没听说谁账号连着手机一起丢了的。可惜它只能在被盗之后用来收回账号，多有点事后诸葛亮的味道。

在这里又不得不说起网易，他们的新玩意——“电话密保”。个人觉得这是值得整个行业关注的新动态。

说起来原理也简单，实际上是在平时禁止通常方式的登陆，只有在绑定的电话号码打到网易服务器之后的几十秒里面，才开通账号的登陆功能。

种方式跨越了“网络—电话”之间的鸿沟，引入电话号码的唯一性、不可更改性作为终极加密手段。在这种方式下，盗号者哪怕完全拿到了你的帐号密码，他也完全不可能知道你会在什么时候打通这个电话。

你悟到了吗？寡人已经悟到了，原来“防”的最高境界就是——“不防”！

万国盗号集团的各类木马，都到我机器里面来开博览会吧；IDIPIQ账号密码我都写在桌面上你拿去吧——只要一个电话在手，谁又能奈我何？

哎……说起来本人在网游上混了这么长时间，本来以为能够和盗号者长期地斗争下去。想不到这么快，防盗手段就达到了无敌的境界……最最过分的是，每次登录拨通网易的这个密保电话号码，竟然是不要钱的！！以前我们逢年过节用手机改一次密码，都要被扣一两块，这密保电话天天打，竟然一分钱不要！！

——矣兮，要不怎么说科技发展是第一生产力呢，网易这个专利一上场，简直是不给盗号从业人员留一点活路了呀……

关注防盗号基础知识、各类木马工作原理

请看下一页：《看完这篇，盗号者的末日就已经来了（下）》

看完这篇，盗号者的末日就已经来了（下）

防盗号，容易被忽略的最基础知识

要想不吃亏，必须有一个清醒的头脑。在各种事情上莫不如此。人贩子能用糖果骗走幼儿园的小朋友，而一个高中生要是这么被骗走了就首先应该自己检讨智商。

帐号和密码在你手里，只要眼睛没有瞟到你的键盘、木马没有种进你的机器，纵是神仙也盗不走你的号，所以防盗号的第一要务就是防止木马入侵。相关的技术资料网上很多，但基本原则大概有这么几条：

1、不管经过任何形式的伪装，各种木马本质上都是“可执行程序”。也就是说在原则上是以.exe为扩展名。而且他们必须以某种形式至少“运行”一次才能在你的机器上扎根。

——所以，接收一个来自网上的可执行文件有可能成为一个最低级的错误。特别是通过QQ传来的文件、不知名下载站点下载的各类小游戏、自解压包等等，运行之前务必三思。如果你看到身边有人下了一个“丰满MM偷拍,jpg.exe”然后欣喜地运行之，那么请记住这句话：“珍惜生命，远离SB”

2、真正有效的木马会对自己进行伪装，包括网页木马、图片木马和声音木马等，图片木马是将自己伪装成为图片的格式一旦被浏览就会下载到机器当中，这个时候它还是安全的（机器不会自己“运行”一个图片），但同一个网页上还有一小段程序欺骗IE将木马还原，同时恶毒地将木马程序添加到启动项，直到这一刻都没有任何程序被“运行”，但你下一次启动机器的时候木马便会完成种植过程。

——各种伪装都与这个类似，你可以看出仅仅是一张经过处理的图片不会带来什么后果，它们都必须隐藏在一个“含有恶意程序的网页”才能发作。因此安全的网站是安全的，而危险的网页——就总是充满了危险。

3、网页很难从安全变得危险。危险的网页往往从一开始就是危险的。盗号者只有两条道路：要么自己编写恶意网页，要么修改其他网页的内容。前者当然很简单，而后者却要复杂得多：他们必须首先盗取网页的修改权限，因此网站拥有者的安全技术水准就决定了它的网页的安全性。

——通常所说的“黑了某个网站”有时候是指得到了某网站的修改权限，既然能够修改其内容，当然就能够把恶意程序等等附加在网页上面，让浏览的机器感染木马。但这又比想象的困难得多，像搜狐等大型站点的网页，如果谁能黑掉，恐怕就不会干盗号卖钱这样的小事了，不如直接去黑银行。真正危险的是一些缺乏安全保障的小站点，特别是游戏玩家比较集中的地方。比如著名的传奇，曾经有无数的站点提供外挂和脚本下载，这样的小站就算是真心实意提供下载服务，也缺乏相应的技术实力保证自身的安全，更别说有些小站本来就是盗号者自己做的了。

4、以上说明了“不明文件”的危险性，“不明站点”的危险性。这几乎是种植木马仅有的两个方式。但就算明白了这两点还是很有可能上当，因为盗号者干这个不是一天两天了，他们有无数种方式诱惑你，去运行他们的文件、去浏览的他们的站点——无可否认，这是一场智力水平的较量。而且残酷的事实证明，他们是经常成功的。

——这也是任何一个官方渠道都一再告诫玩家切勿试图寻找游戏外挂的原因之一，就算你用真的找到可用外挂真的获得一些收益，也难保未来的某一天（养肥了的那一天）盗号者就把你给屠了。再比如那个著名的贴子标题：“XXXX惊现无敌装备骑上神兽可秒一切职业”，点进去就给你个链接，你点不点？论坛里突然有人推荐某网站，有美女图片无数完全免费下载，你看不看？群里面有人说快去看看，某某交易网站某游戏币大甩卖两块钱能买一亿，你信不信？

说到底，俗话说人为财死鸟为食亡，圣人曰饮食男女人之大欲。防盗号，第一步还是要从自己入手。

防盗号基础知识二年级

最最最最最最最最重要的一点就是——千万不要用“同一个密码”走遍天下！这是经过几十年来无数位玩家鲜血证明的教训。某热门游戏就曾经发生过这么一个事件，好几个大型工会、上百个高级ID，在一夜之间被偷得干干净净——这同时发生显然十分蹊跷，后来人们注意到这些工会的共同点是都使用了一个地方提供的工会论坛，而提供这个论坛的，原来和一个提供魔兽币交易的网站是同一个公司……原来大部分被盗玩家注册论坛用的ID和密码就是在游戏中使用的帐号和密码。玩家的安全保障就这么通过他们自己的手，存入了无良公司的数据库。

不光是无良论坛的威胁，网络游戏程序本身的保密能力往往比较高，而一些论坛、邮箱等等就有可能差一些有被破解的危险。正是由于“同一个密码”的习惯，很多被盗者都是连同绑定邮箱一起丢失的。他们连通过邮箱找回密码的功能都无法使用了。

增加密码强度是必须提到的一个行之有效的方式，二十一世纪了谁对“密码”的理解还停留在“一串数字”这个程度的话，那他在盗号者面前简直就和刚刚识数的北京猿人一样赤裸裸。

一个超越猿人水准的优秀的密码应该包括大小写字母、数字、符号，这将使盗号者非常烦恼——一个纯数字的密码或许只需要几个小时就能用穷举法破解，而一个高强度密码能用掉他们一两年的运算时间。

值得注意的是，在过去，很多邮箱、论坛、甚至ＱＱ的密码都是可以用穷举法破解的，也就是俗称的“暴力破解”。如果盗号者用这种方法取得了你的邮箱密码，肯定还会用在你的游戏帐号上，这也说明了使用多个密码的重要性。

当然，这样的密码会带来难以记忆这个缺点，解决方式引用一句至理名言来说就是：Dont use password, use passPhrase——别用密码，用密句。

比如[Wojiazuzai7#]——我家住在7号——一个标准的12位高强度密码。[5deCATguai]——我的猫乖——高强度的10位密码；[touBUdao8:)]——这个用穷举法绝对偷不到。

还有一些小技巧，比如应对曾经流行的用监听键盘鼠标的方式盗取，在网吧上游戏就最好采用错位输入，比如输入“touBUdao8:)”的时候先输入“toudao8:)”，再用鼠标移动光标到中间输入“BU”，如此多错位几次更好。

另外网吧的机器通常有系统还原功能，所以哪怕上面已经种上了木马，在上游戏之前重新启动一次机器，就有很大概率能消灭之。

每年车祸死人那么多，但你总很难相信自己会成为其中的一员。每天被盗号的也那么多，真正有所警惕的人被盗的却很少。

上街遵守交通规则、上网注意最基本的安全手段，这些最简单的知识能够在很大程度上保障你的帐号安全。再加上利用好运营商提供的先进的保密科技，就是二十一世纪的黎叔见了你的帐号，也好说一句话——此地有高人，不打猎！