黄晓润先生：网络游戏账号密码被盗的案例，不胜枚举。因此我们做过一项关于网上密码信息安全状况的调查，调查结果显示：39.43%的用户有过密码被盗的经历，34.50%的用户没有对自己的密码采取任何保护措施，13.61%网民表示采取过密码保护措施，但仍然被盗。

    59.34%的用户认为造成密码丢失的原因是因为中了木马病毒，24.19%的网民认为密码被盗主要原因是自我保护意识差，被网络钓鱼，14.27%的网民认为主要原因是密码太简单，被暴力破解。

    在这种情况下，开发这样一款密码保护的工具，是非常有必要的。

赛迪网编辑：据我了解，KV2005中就可以设置隐私保护来防范证券大盗，请问为什么又推出了专用的“江民密保”新品？跟前者相比，后者在哪些方面做了升级？

黄晓润先生：在KV2005中确实是有隐私保护功能的，但那只是一个模块，功能也比较单一。我们新推出的“江民密保”跟前者相比，增加了许多功能，主要针对网络游戏的特点设计开发，可以对网游的账号、密码进行有效保护。

黄晓润先生：是的，用到了KV2005中密码保护模块的技术。

赛迪网编辑：“江民密保”保护用户的密码，成功率有多高？只能针对现有的木马病毒钓鱼程序，还是对未知的窃取密码的攻击行为都有防范能力？从技术上来讲，是基于什么原理实现的？

黄晓润先生：从目前测试的情况看，“江民密保”保护用户密码的成功率是100%。

    对于现有的木马病毒、钓鱼程序，我们采用的是黑名单技术，也就是说，利用我们江民公司多年来在技术上的积累，把已经出现过的木马列在黑名单中，如果用户遇到黑名单中的恶意程序，就可以马上识别出来。

    对于新的恶意程序，我们采用行为判断技术，总结已有的恶意行为的特征，将可能的恶意程序行为和这些特征进行比照，从而做到防患于未然。当然这种防范可能不能取得100%的效果，但这只是第一道防线，即时黑客侥幸过了这道关，后续的防范措施还是会把它杀死，成功保护用户的利益。

赛迪网编辑：一般对待像“传奇终结者”这样的典型的，以盗取账号和密码为目的的木马病毒，反病毒厂商开出的方子都是安装防病毒软件，并更新查杀它的病毒代码库。这是一个被动防御的权益之计，治标不治本。因为这样是先有矛，后有盾。杀毒软件的更新有一个滞后期，等杀毒软件能查杀该病毒，已经有用户因为密码泄密而损失惨重了。请问你们在主动防御方面有没有好的方法和比较成熟的产品？

黄晓润先生：前面我们提到的行为判断技术，就是主动防御的实例。可以在用户还没有损失的情况下就展开保护，这比事后的亡羊补牢当然要好得多。

赛迪网编辑：很多盗号木马实质上是利用键盘钩子技术进行做案的，他们最关心的是键盘消息“钩子”（WH_KEYBOARD Hook）。对付此类病毒的有效措施是以毒攻毒，以键盘钩子对付键盘监视：即在应用程序中需要键盘输入的时候，应用程序自己创建并安装一个键盘监视钩子，并使其处于钩子链的顶端，这样键盘输入的消息将被自己的钩子处理程序截获。只要在钩子处理程序中不再调用CallNextHookEx函数，即不把消息传递给下面的钩子，这类木马病毒就对你的输入信息望洋兴叹了。

    这里我想知道两个问题，一是“江民密保”中是否用到了这一点？二是有没有针对其它操作系统，比如Linux等的防范措施？另外，防范了键盘钩子之后，黑客还会通过屏幕快照将用户的登录界面连续保存为两张黑白图片，然后通过自带的发信模块发向指定的邮件接受者。怎样防范这一点？

黄晓润先生：网游用户在登录的时候，我们采用的是您前面提到的“以毒攻毒”的技术。因为网络游戏每一款都有不同的特点，难以统一对待，不像网银交易，都是通过访问网站。

赛迪网编辑：对于网游只是在登录的时候进行保护，还是后续也会有相应的保护措施？

黄晓润先生：在后续的过程中，比如，交易网游商品的时候和其他交互的时候，都会有保护。

黄晓润先生：占用资源方面我们进行过非常大的努力，现在占用的资源是非常少的，“密保”比江民的杀毒程序占用的资源都要少，一般网游用户的机器配置都比较高，基本感觉不出响应上的任何滞后。

黄晓润先生：好的。我们可以把网络窃密分为以下几种。我们可以逐一分析一下，一起来看看普通用户平常应该注意些什么。

    第一是暴力破解。比较原始的窃密技术是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如网上银行账号，而恰巧你的密码又十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破释出密码来。比较典型的案例是QQ密码破解工具，2004年底，江民反病毒中心监测到，QQ本地密码验证的加密算法已被破解，获得QQ本地密码验证加密算法后，像“800612”这样的6位生日数字密码，可以在1分钟之内被破解出来。不过，江民的专家介绍，如果网络用户把密码设的较长一些，而且没有明显规律特征（如用一些特殊字符和数字字母组合），这种破解工具的破解过程则仍“非常困难”。

    因此，为了保护自己的密码，首先应确保所设的密码“够乱”，其次尽量不要使用QQ或WINDOWS“记住密码”的功能。用户应该把自己的账户号码与密码放在同等重要的位置进行保护，特别注意不要在公用的电脑上使用网上交易系统，不要在与好友通过QQ、MSN等即时聊天工具聊天时透露你的账号密码。

    第二是我们上面提到的击键记录与软键盘输入。在大部分用户意识到简单的密码在黑客面前形同虚设后，人们开始把密码设置的尽可能复杂一些，这就使得暴力破解工具开始无计可施。这时候，黑客开始在木马病毒身上做文章，他们在木马程序里设计了勾子程序，一旦用户的电脑感染了这种特制的病毒，系统就被种下了“勾子”，黑客通过“勾子”程序监听和记录用户的击键动作，然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。

    比较典型的案例如“密码大盗”。2005年1月26，江民反病毒中心率先截获特洛伊木马“密码大盗”（TrojanSpy.MimaThief.10），该木马伪装成QQ升等级的挂机工具，通过安装windows钩子和子类化 IE 服务器窗口（Internet Explorer_Server）来盗取用户在网页上输入的敏感信息。“密码大盗”病毒运行后，在感染计算机上释放下列四个文件：用来记录病毒原始目录的文件mmdat.dat ；病毒主程序intrenat.exe，以及钩子模块ntdll32.dll和记录用户输入数据的文件wdata32.dll。病毒运行后安装钩子模块，子类化IE服务器窗口（Internet Explorer_Server），当发现网页上有“ Password”“密码”“Submit”等字符时开始记录用户输入信息，并将记录的用户信息发往指定邮箱。

    对付击键记录，目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘，用户在输入密码时，先打开软键盘，然后用鼠标选择相应的字母输入，这样就可以避免木马记录击键，另外，为了更进一步保护密码，用户还可以打乱输入密码的顺序，这样就进一步增加了黑客破解密码的难度。

    第三是屏幕快照突破软键盘输入技术。软键盘输入使得使用击键记录技术的木马失去了作用，这时候，黑客仍不甘心，又开始琢磨出通过屏幕快照的方法来破解软键盘输入。2004年江民反病毒中心截获“证券大盗”病毒，该病毒作者已考虑到软键盘输入这种密码保护技术，病毒在运行后，会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片，然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的登陆账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。

    第四就是花样不断翻新的网络钓鱼。除了通过木马技术进行窃秘外，网络钓鱼也是黑客进行网络窃秘的主要手段。近年来，江民反病毒研究中心监测到各种花样翻新的网络钓鱼事件。2004年7月19日，一个恶意网站伪装成联想主页，通过恶意脚本程序，利用多种IE漏洞种植木马病毒，并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息，诱使更多用户访问该网站造成感染。该恶意网站的利用数字1和小写字母l的相似性，令钓鱼网站域名看起来竟然与联想官方网站没有任何差别！

    2005年2月16日，一种新型“网络钓鱼”企图诱骗美邦银行（Smith Barney）用户的账号和密码。与以往的“钓鱼”邮件相比，该邮件不仅利用了IE浏览器的地址欺骗漏洞，还精心设计了脚本程序，遮挡IE浏览器的地址栏，令用户很难发觉被骗。随后，假工商银行网站、假中国银行网站、假政府网站相继出现，网络骗子利用这些假网站，盗取登陆者账号、密码，给相关部门和行业带来巨大损失，使人们对于网上交易行为的安全性产生更大的质疑，严重阻碍了电子商务行业的发展。

    在这种情况下，建议用户安装保护工具，借助保护工具的提示再详细判断。我想，有了我们安全厂商和用户的共同努力，我国网上交易系统的安全指数一定会大大提高。