上一篇： 清除常见的“QQ尾巴”   |   安全研究:端口攻击详解 下一篇：

UC以其占用资源少，功能齐全等特点，吸引了越来越多的聊天用户。由于现在针对UC的攻击方式并不多，所以很多用户都对UC的安全掉以轻心。这里我给大家介绍一个UC漏洞，希望大家加强安全意识。

　　轻松偷窥——修改UC实现免密码自动登录

　　为了方便使用，大家经常会把UC设置为“自动登录”。这样当我们连网运行UC的时候，UC就会自动登录，避免了我们输入密码的麻烦。而我要说的这个漏洞就隐藏在“自动登录”功能里面。

　　为了验证这个漏洞的正确性，我们在机器中安装两个UC客户端。分别采用“自动登录”和“普通登录”两种方式登录UC，用文件编辑器“UltraEdit”分别打开经过自动登录和普通登录的两个“UC.exe”文件。很明显可以看出两者的区别（图1为自动登录后的UC可执行文件，图2为普通登录模式下的UC可执行文件）。

图1自动登录模式下的UC主程序


图2普通登录模式下的UC主程序

　经过对比分析可以发现，同一号码的前四行和最后三个字节代码都是相同的，在最后一行只有倒数第四个字节和第六个字节不同（图2和图3中以深色标记部分）。而且有一个特征，那就是自动登录方式的值要比正常登录的值大“1”（16进制数值）。


　　在我们使用其他UC号码进行登录时，发现都有相同的规律。看到这里，相信很多朋友都知道只要将没有选择“自动登录”的UC文件用“UltraEdit”在相应位置加“1”就可以修改为自动登录了。这样，别人就可以不用输入你的登录密码而直接登录UC了。用UC还有什么隐私可言！

　　深度挖掘——密码查看软件找出UC密码


　　通过修改主程序文件这个办法虽好，但是对技术要求比较偏高。下面我们要介绍的这个办法既简单又实用，这个也是大部分人普遍采用的办法，只是没有刚才修改主程序文件那个办法那样灵活。


　　“星号查看器”这类的软件现在是遍地开花，随处可见。当我们选择了“自动登录”，那么UC的密码就会以“*”号显示。这里以“Viewpass”这个密码查看软件为例（图3）。

图 3“Viewpass”是一款命令行下的星号查看器

　　根据软件的提示，你只要把鼠标移动到密码框，星号密码就会自动显示。采用“UltraEdit”修改UC登录模式为“自动登录”后。依次选择“菜单”→“更改用户”。在更改用户界面，只要把鼠标移向密码框，密码马上就显示出来了（图4）。

图4将鼠标移到密码框就可以看见密码了

　　这两种方法破解UC密码，时间都不会超过一分钟。无论什么软件，还是那句老话“安全第一”。

  4评论