1、木馬測試分析報告報告編號：HJ_test_ztgame_muma01木馬測試載體：征途資料片世外桃源上海征途網絡科技有限公司文檔信息標題： 征途木馬測試分析文檔作者： 魏春雷創建日期：2007-4-4上次更新日期：2007-4-6版本：1.2部門名稱：測試部修訂文檔歷史記錄日期版本說明作者2007-4-41.0新建，信息搜集魏春雷2007-4-51.1木馬測試 信息記錄魏春雷2007-4-61.2問題分析 文檔匯總魏春雷一、 概述1 編寫目的 編寫本木馬測試報告的目的是為軟件開發項目管理者、質量測試管理者、公司領導、征途用戶提供關于木馬盜取用戶用戶名密碼功能的測試記錄、測試結果和測試分析。2

2、項目背景針對目前常見征途的盜號木馬進行測試分析其發作原因，并且提出合理化建議，以及防治木馬的必要手段。計算機一旦感染到這些木馬，就有可能被執行文件操作、注冊表操作、鍵盤記錄等任意網絡操作。最后極有可能導致游戲帳號、虛擬物品丟失，給玩家帶來損失，給游戲公司帶來損失。3 術語和縮寫詞征途：征途資料片世外桃源木馬：征途木馬Fx:Trojan.PSW.ZhengTu.fx 征途木馬變種FXXo:Trojan.PSW.ZhengTu.xo 征途木馬變種XOgz：灰鴿子2007 4 參考資料測試報告模板征途官方網站黑客木馬網站二、 測試概要此木馬測試分析報告針對征途搜集木馬，對所搜集到的2種征途密碼發送變

3、種木馬、1種遠程控制木馬進行相關功能的測試，從而發現其傳播途徑，攻擊手段，并且給出預防措施，以及預防建議。有效防止公司、玩家受到損害。2款殺毒軟件以及實時監控對木馬的遏制能力。以及游戲本身對木馬程序的免疫能力。1 測試用例設計關閉防火墻殺毒軟件開啟P2P終結者（也可用其他軟件監測） 抓包檢測 網絡數據流向。每一用例結束后使用殺毒軟件或專殺工具清除原木馬修復注冊表啟動項后進行下步測試。測試編號測試內容 輸入預期結果實際結果Tszt01Fx/xo對游戲帳號的攔截啟動木馬，進入征途，輸入帳號后鍵盤輸入密碼。帳號、密碼被攔截并且發送到制定郵箱同預期Tszt02Fx/xo 對軟鍵盤輸入密碼的攔截啟動木馬

4、，啟動征途，使用軟鍵盤輸入密碼帳號、密碼被攔截并發送到制定郵箱密碼未被攔截Tszt03Fx/xo對二級密碼的攔截使用財產保護，輸入密碼12345678二級密碼被攔截發送到指定地址同預期Tszt04Gz綁定后傳播，對用戶電腦的控制啟動GZ客戶端注冊表被感染、并在系統目錄下釋放G_Server.exe、G_Server.dll和G_Server_Hook.dll同預期Tszt05Gz對征途的密碼攔截啟動征途，輸入密碼，登陸。進行游戲。可以看到用戶的一切操作，對測試機擁有最高權限。同預期分別啟動殺毒軟件卡巴斯基，金山毒霸。測試編號測試內容 輸入預期結果實際結果Tszt11電腦內的Fx/xo，殺毒軟件

5、對Fx/xo 的處理情況啟動木馬，殺毒軟件報警，并提示是否清除木馬。木馬被清除同預期Tszt12網絡上的Fx/xo 殺毒軟件實時監控對其處理情況打開帶有Fx/xo的網頁，殺毒軟件報警，并提示是否阻止。木馬被阻擋在防火墻外同預期Tszt13下載帶有Fx/xo的軟件，殺毒軟件是否有效發現下載帶有fo/xo的征途外掛，下載后，殺毒軟件檢查并提示清除木馬。下載后自動檢查，并且提示清除木馬或者刪除文件。同預期Tszt14接受與圖片綁定的gz，殺毒軟件是否有效發現利用QQ傳送已經與gz綁定的征途圖片傳送后殺毒軟件，殺毒軟件并不檢查文件。同預期Tszt15已經被gz入侵，殺毒軟件對文件的處理使用殺毒軟件進行

6、全盤掃描 有效清除gz文件同預期Tszt16已經被gz入侵，殺毒軟件對注冊表的處理使用殺毒軟件進行全盤掃描有效修復被感染注冊表并不能有效修復注冊表被竄改文件2 測試環境與配置測試產品：征途資料片世外桃源 木馬軟件環境：Microsoft Windows XP Professional版本：5.1.2600 Service Pack 2卡巴斯基反病毒軟件6.0版本：2007-4-5 7:29:33金山毒霸2007病毒庫版本：2007P2P終結者 2.07Trojan.PSW.ZhengTu.fxTrojan.PSW.ZhengTu.xo灰鴿子2007硬件環境：個人電腦 CPU:Ce

7、leron(R)2.66GHz 內存:512MB 虛擬內存：1G 顯卡:ATI RADEON 9550硬盤：160G 系統區空間15G 可用空間10G 征途安裝區空間30G 可用空間20G網絡環境：歌華有線寬帶 上行10K 下行100K3 測試方法此次主要是對木馬功能的測試包括發送信息的獲取，信息包括用戶名，密碼，二級密碼，數字密碼信息，以及殺毒軟件對木馬的處理，以手工方式測試并搜集相關木馬更新服務器。三、 測試結果及缺陷分析1 測試執行情況與記錄使2臺測試機保持相對孤立，切斷其在局域網內與其他計算機的聯系。2臺測試機進行木馬傳送。每個用例執行后清除病毒。測試結束后對2臺電腦進行全面木馬檢測，

8、查殺病毒。2 測試組織參與測試人員：魏春雷3 測試時間 Fx2007-4-509：0012：00Xo2007-4-513：0016：00gz2007-4-516：0022：00gz2007-4-609：3018：004 測試版本Fx xo gz2007變種5 木馬的統計與分析Windows 的漏洞比較多，不單可以通過木馬侵入用戶計算機，還可以通過系統漏洞侵入系統，控制用戶計算機，竊取用戶資料。征途最新發現的高危險ANI鼠標指針漏洞，該漏洞非常嚴重，危害面積非常廣！ 已有大量木馬、惡意程序、蠕蟲病毒使用該漏洞進行傳播,絕大多數反病毒軟件、防漏洞軟件、主動防御軟件失效！必須更新XP最新補丁Wind

9、owsXP-KB925902-x86-CHS 遏止其傳播。由于時間倉促只對密碼發送木馬和遠程控制木馬做了比較淺顯的測試及分析密碼發送木馬一旦被執行，木馬會記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼，自動搜索內存，Cache，臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會利用免費的電子郵件服務將密碼發送到指定的郵箱。從而達到獲取密碼的目的，所以這類木馬大多使用25號端口發送E-mail。大多數這類的木馬不會在每次Windows重啟時重啟。這種特洛伊木馬的目的是找到所有的隱藏密碼并且在受害者不知道的情況下把它們發送到指定的信箱，如果體育隱藏密碼，這些特洛伊木馬是危險的。遠程控制

10、木馬，此木馬的危害性及其嚴重，它是各種木馬的雜和體。可以說這種木馬的危害程度超越了其他種類木馬數倍。一身間具各種木馬的能力，是木馬中的王牌。中了此種木馬控制這在操作被控制機時猶如在自己的電腦上操作一樣。如以上二種還有破壞型的木馬、DOS攻擊型木馬、反彈端口型木馬、程序殺手型、代理木馬、FTP木馬等諸多類型。木馬重要是通過網絡傳播的，所以網頁，外掛，軟件下載等可以直接被用戶使用的元素成為木馬傳播的主要途徑。木馬越來越變化多端，加密自身，規避殺毒軟件甚至是令防病毒軟件失效，隱藏自身。是使清除木馬造成一定的困難，所以要在木馬進入用戶系統之前遏止它。用戶不能利用手上的現有手段對付木馬，這也是木馬猖獗，使用戶蒙受損失的一個弊病。四、 測試結論與建議1 測試結論由于時間倉促此次測試并不充分，對系統的漏洞，殺毒軟件，木馬種類的搜集并不全面，無法做出更加具體詳盡的測試。相對于殺毒軟件可以隨時更新到最新版本。不過新型病毒總是先出現，殺軟才能更新。系統補丁重中之重，不過和殺毒軟件一樣也處在比較被動的位置。所以防御手段只能靠個人主動防護，有一定的