使用工具：、foxmail

當(dāng)前，郵件傳輸仍使用SMTP（Simple Mail ）（端口：25）協(xié)議，SMTP協(xié)議是整個(gè)郵件傳輸體系中最基礎(chǔ)的框架協(xié)議。1982年，協(xié)議協(xié)議首次作為互聯(lián)網(wǎng)標(biāo)準(zhǔn)被寫進(jìn)RFC文檔，此后經(jīng)過多次更新，最近的依次比較大的更新在2008年，更新標(biāo)準(zhǔn)為RFC5321。

STMP是一種比較老的協(xié)議了，安全性差，在郵件傳輸過程中，容易被第三方所竊取。STMP缺少身份驗(yàn)證機(jī)制，攻擊者可以很容易在傳輸鏈路上獲取明文的郵件內(nèi)容。在這次郵件抓包中，人為關(guān)閉SSL，從而使流量捕獲容易、密文解碼容易。

大致過程就是我發(fā)送一封郵件給別人，在發(fā)送之前打開并監(jiān)聽端口，發(fā)送完成后，即抓取到流量包，隨后進(jìn)行分析，得到郵件內(nèi)容。

詳細(xì)操作過程：

1、登錄foxmail，在設(shè)置中》賬號》服務(wù)器，去掉SSL勾選。

2、在中，監(jiān)聽自己電腦（WLAN等）接口：25

3、開始捕獲后，可以看到還沒有捕獲到即時(shí)流量包，這是正常現(xiàn)象，STMP協(xié)議使用25端口，郵件還未發(fā)送，沒有流量的產(chǎn)生。

4、前期準(zhǔn)備工作做好了，我們就可以開始寫郵件并發(fā)送了。郵件想寫啥寫啥，這只是一封測試郵件，你可以發(fā)給自己，發(fā)給別人，只要郵件能夠發(fā)送，你抓取到流量包即可。

在foxmail中可編輯郵件并發(fā)送：

5、郵件發(fā)送成功后，中即時(shí)捕獲流量包。

輸入smtp以過濾SMTP包，隨后選擇任意一組，鼠標(biāo)右擊追蹤TCP流。

6、分析TCP流

我們可以看到郵件內(nèi)容采用Base64的加密方式，并且使用GB2312字符集。

7、解碼工作：

可以使用在線的解碼工具，注意字符集要高級設(shè)置為“GB2312”，而不是“UTF-8”。

我們來簡單回顧下整個(gè)流程，整個(gè)抓取過程還是比較順利的，當(dāng)然，在真正郵件傳輸過程中，會使用SSL/TLS協(xié)議保障傳輸安全，同時(shí)會使用DMARC機(jī)制對發(fā)件人進(jìn)行身份驗(yàn)證，郵件內(nèi)容使用PGP與S/MIME協(xié)議進(jìn)行加密。常人還是較難以中間人的身份竊取郵件內(nèi)容的。

知識補(bǔ)充：

1、MIME協(xié)議

MIME（ Mail ）是一種標(biāo)準(zhǔn)，用于在郵件中傳輸非純文本的數(shù)據(jù)，如圖像、音頻、視頻等多媒體內(nèi)容。MIME From 是 MIME 標(biāo)準(zhǔn)中的一個(gè)字段，用于指示發(fā)送者的名稱和電子郵件地址。

MIME From 字段通過以下格式表示：

From: "Sender Name"

其中，"Sender Name" 是發(fā)送者的名稱，可以是用戶昵稱或真實(shí)姓名； 是發(fā)送者的電子郵件地址。

MIME From 字段允許發(fā)送者在電子郵件中顯示自定義的發(fā)送者名稱，而不僅僅是電子郵件地址。這有助于接收者更容易識別和辨認(rèn)郵件的來源。需要注意的是，MIME From 字段并不影響郵件的傳遞和路由過程，它主要是為了提供更人性化的發(fā)送者信息，并讓郵件看起來更正式和可信。郵件服務(wù)器和客戶端可能會根據(jù) MIME From 字段來顯示發(fā)送者的名稱，但并不保證所有郵件客戶端都會正確顯示該字段中的信息。總結(jié)而言，MIME From是MIME 標(biāo)準(zhǔn)中的一個(gè)字段，用于指示郵件發(fā)送者的名稱和電子郵件地址。它提供了更人性化的發(fā)送者信息，并使郵件看起來更正式和可信。

2、TLS協(xié)議

TLS（ Layer ）是一種加密協(xié)議，用于在網(wǎng)絡(luò)通信中提供安全和私密性。它的前身是 SSL（Secure Sockets Layer）協(xié)議，后來由于協(xié)議改進(jìn)而更名為 TLS。 TLS 協(xié)議通過對數(shù)據(jù)進(jìn)行加密和認(rèn)證來保護(hù)通信的安全性。

SSL/TLS協(xié)議被設(shè)計(jì)為一個(gè)兩階段協(xié)議，分為握手階段和應(yīng)用階段：

握手階段也稱協(xié)商階段，在這一階段，客戶端和服務(wù)器端通過第三方（CA） 認(rèn)證對方身份。

3、PGP/GPG協(xié)議

PGP/GPG（Pretty Good Privacy/GNU Privacy Guard）：PGP 和 GPG 是兩個(gè)類似的開放標(biāo)準(zhǔn)，用于在電子郵件中實(shí)現(xiàn)端到端的加密和數(shù)字簽名。這些標(biāo)準(zhǔn)允許用戶生成和管理自己的密鑰對，并使用公鑰對郵件進(jìn)行加密，以保護(hù)郵件內(nèi)容的機(jī)密性。

PGP加密由一系列散列、數(shù)據(jù)壓縮、對稱密鑰加密，以及公鑰加密的算法組合而成。每個(gè)步驟支持幾種算法，可以選擇一個(gè)使用。每個(gè)公鑰均綁定唯一的用戶名和/或者E-mail地址。這個(gè)系統(tǒng)的第一個(gè)版本通常稱為可信Web或X.509系統(tǒng)；X.509系統(tǒng)使用的是基于數(shù)字證書認(rèn)證機(jī)構(gòu)的分層方案，該方案后來被加入到PGP的實(shí)現(xiàn)中。當(dāng)前的PGP加密版本通過一個(gè)自動密鑰管理服務(wù)器來進(jìn)行密鑰的可靠存放。

4、DKIM

DKIM（ Mail）并不是一個(gè)獨(dú)立的協(xié)議，而是一種郵件驗(yàn)證技術(shù)。它通過在郵件的頭部添加數(shù)字簽名來驗(yàn)證郵件的來源和完整性。

DKIM使用公鑰加密算法，將發(fā)送方域名的私鑰生成的數(shù)字簽名添加到郵件頭部的DKIM-字段中。接收方的郵件服務(wù)器可以使用發(fā)送方域名的DNS記錄中的公鑰來驗(yàn)證該簽名，從而確定郵件是否經(jīng)過篡改并確認(rèn)郵件的來源是合法的。通過使用DKIM，接收方可以驗(yàn)證郵件的真實(shí)性，防止郵件被篡改和偽造。這有助于減少垃圾郵件、欺詐和網(wǎng)絡(luò)釣魚等郵件安全問題。

雖然DKIM不是一個(gè)獨(dú)立的協(xié)議，但它通常與SMTP協(xié)議一起使用，以確保郵件的安全性和可信度。

5、DMARC

DMARC（Domain-based Message , , and ）是一種用于電子郵件的認(rèn)證和報(bào)告機(jī)制，旨在提供對域名的郵件發(fā)送者身份驗(yàn)證，減少偽造郵件的風(fēng)險(xiǎn)，并提供有關(guān)郵件傳遞的詳細(xì)報(bào)告。DMARC 的主要目標(biāo)是防范釣魚攻擊、偽造郵件和垃圾郵件，通過以下方式實(shí)現(xiàn)：

1、SPF（Sender Policy ）：SPF 是 DMARC 的一部分，用于驗(yàn)證發(fā)件人服務(wù)器是否被授權(quán)發(fā)送特定域名的郵件。通過在域名的 DNS 記錄中設(shè)置 SPF 記錄，發(fā)件人可以指定哪些服務(wù)器有權(quán)發(fā)送該域名的郵件。

2、DKIM（ Mail）：DKIM 也是 DMARC 的一部分，用于驗(yàn)證郵件的完整性和真實(shí)性。發(fā)件人使用私鑰對郵件進(jìn)行簽名，并將公鑰發(fā)布到 DNS 中。接收方使用公鑰解密簽名并驗(yàn)證郵件是否被篡改。

3、郵件處理政策：通過 DMARC，域名所有者可以指定郵件的處理政策，如是拒絕、放行或進(jìn)行進(jìn)一步審查。這樣，接收方可以根據(jù)域名的 DMARC 記錄來判斷如何處理未經(jīng)驗(yàn)證或不符合策略的郵件。

4、報(bào)告機(jī)制：DMARC 提供了詳細(xì)的報(bào)告功能，讓域名所有者了解有關(guān)郵件傳遞情況的信息。這些報(bào)告包括未經(jīng)驗(yàn)證的郵件、失敗的驗(yàn)證嘗試、通過的驗(yàn)證嘗試等，幫助域名所有者監(jiān)測和分析郵件流量。

通過使用 DMARC，域名所有者可以加強(qiáng)對其域名下郵件的控制，減少偽造郵件和釣魚攻擊的風(fēng)險(xiǎn)，并提供有關(guān)郵件傳遞的實(shí)時(shí)報(bào)告。然而，為實(shí)現(xiàn)最佳的效果，DMARC 的配置需要一定的技術(shù)知識和正確的設(shè)置?？偨Y(jié)而言，DMARC 是一種用于電子郵件的認(rèn)證和報(bào)告機(jī)制，通過 SPF 和 DKIM 驗(yàn)證發(fā)件人身份，并提供處理政策和詳細(xì)報(bào)告。通過使用 DMARC，域名所有者可以增強(qiáng)對郵件的控制，防范郵件欺詐和偽造，并獲得有關(guān)郵件流量的可視化報(bào)。

偽裝激活工具實(shí)施病毒傳播，火絨曾報(bào)道的“小馬激活”再度出現(xiàn)！

近期，韓國知名在線文件共享服務(wù)網(wǎng)站 出現(xiàn)了一種新型惡意軟件，這款惡意軟件本質(zhì)上是偽裝成 Windows 激活工具的 BitRAT 遠(yuǎn)程訪問木馬。

在這款惡意工具壓縮包內(nèi)部，一共包含三個(gè)文件，其中“.exe”為真實(shí)的激活工具，而另一個(gè)“_Temp”則是木馬病毒。

在用戶運(yùn)行激活工具的同時(shí)，惡意程序也會一起執(zhí)行，從而給受害者一種激活工具很安全的感官錯(cuò)覺。

而當(dāng)木馬執(zhí)行之后，會通過命令和控制服務(wù)器下載其他惡意文件，并將其添加到開機(jī)啟動項(xiàng)中。

這樣一來，受害者的電腦也就成為了木馬竊取個(gè)人隱私和惡意彈窗廣告的平臺。

一直以來，由于微軟對 Windows 激活工具的放任，使得網(wǎng)絡(luò)上出現(xiàn)了大量參差不齊、魚目混珠的激活工具，雖然部分激活工具很安全，但更多的是有一部分不法分子利用這一機(jī)會制造木馬進(jìn)行惡意傳播。

除了韓國，其實(shí)我國也是 Windows 系統(tǒng)盜版現(xiàn)象非常嚴(yán)重的國家之一，長期一來，大部分國人都使用著由激活工具激活的非官方授權(quán)系統(tǒng)，激活工具擁有廣泛的用戶市場。因此國內(nèi)這些木馬病毒制造者同樣愿意在激活工具上下心思。

火絨在 2016 年就報(bào)道過一次有人利用“小馬激活”實(shí)施病毒傳播的事件（點(diǎn)擊底部閱讀原文查看）。

這款“小馬激活”病毒在當(dāng)時(shí)傳播非常廣泛，其后甚至演變出了五個(gè)變種，但無論如何更新?lián)Q代和演變，總之萬變不離其宗，這款病毒的目的就是在用戶電腦中通過篡改瀏覽器主頁以及為桌面添加快捷方式的手段實(shí)施流量變現(xiàn)。

在火絨這份幾千字報(bào)告中還提到，“小馬激活”病毒與一家叫做陽泉市 XXXX 有限責(zé)任公司有著千絲萬縷的關(guān)系。

在這家公司的簡介中，我們看到，這家公司主要從事電腦圖文設(shè)計(jì)、網(wǎng)站制作、廣告、電腦軟件開發(fā)等。

當(dāng)然，以上只是這家公司對外所宣傳的業(yè)務(wù)范圍，其重點(diǎn)還是落在以木馬病毒傳播為主要核心的黑色產(chǎn)業(yè)鏈上。

那么 6 年過去了，這些打著激活工具名義的病毒木馬是否還存在呢？

為了搞清楚這一點(diǎn)，本人在百度搜索上以”kms 激活“為關(guān)鍵詞進(jìn)行了相關(guān)的搜索。

搜索結(jié)果的第一頁頂部位置，是百度發(fā)布的兩個(gè)競價(jià)排名推廣位，頭條排名發(fā)布公司叫做湛江市余鮮家水產(chǎn)品有限公司，次條排名發(fā)布公司為郴州航景電子商務(wù)有限公司。

在分別點(diǎn)開這兩個(gè)推廣鏈接之后，我發(fā)現(xiàn)，兩個(gè)推廣網(wǎng)址雖然不完全相同，但網(wǎng)頁內(nèi)容居然出奇的一致，不難看出，百度發(fā)布的這兩個(gè)推廣位本質(zhì)屬于一個(gè)公司。

在推廣網(wǎng)站首頁頂部位置，存在非常顯眼的”使用工具前，請退出安全軟件“的提示。

網(wǎng)站上提供了多款不同激活工具的下載，網(wǎng)站甚至還聲稱可以全面支持 Windows 及 Office 全系列。

為了驗(yàn)證這里下載的激活工具是否夾雜木馬病毒程序，我特地下載了全部的三款激活工具。

在解壓之后，火絨瞬間攔截并刪除了激活文件，為了更安全地測試，我挑選了其中的一款”小馬激活“，并在虛擬機(jī)中進(jìn)行了激活測試。

實(shí)驗(yàn)證明，這款”小馬激活“確實(shí)存在篡改瀏覽器首頁行為。

更有意思的是，我在打開”郴州航景電子商務(wù)有限公司“的公司官網(wǎng) 之后還發(fā)現(xiàn)，這家公司官網(wǎng)居然和 6 年前火絨提到的陽泉市 XXXX 有限責(zé)任公司官網(wǎng)介紹完全雷同。

這不禁讓人懷疑，這家 6 年前就已經(jīng)被火絨全網(wǎng)曝光的病毒制作公司是否在改頭換面之后再度歸來?

更令我詫異的是，這種以病毒傳播為目的的公司居然還能通過百度的資格審查讓百度為他光明正大地搞病毒推廣。

總結(jié)

根據(jù)本人多年的互聯(lián)網(wǎng)經(jīng)驗(yàn)，一般正常的 Windows 激活工具在激活過程中除了 Windows 之外，都不需要退出安全軟件，凡是想千方百計(jì)引導(dǎo)用戶退出安全軟件的激活工具往往不懷好意，最好不用！

大家在下載激活工具的時(shí)候也要睜大雙眼，不要去不認(rèn)識的陌生網(wǎng)站下載任何軟件工具。