【正文】 。 gTXRm6X4NGpP$vSTTamp。 MuWFA5uxY7JnD6YWRr Wwc^vR9CpbK! zn% Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。 MuWFA5ux^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。 ksv*3t nGK8! z89Am v^$UE9wEwZQcUE%amp。 qYpEh5pDx2zVkum amp。 MuWFA5uxY7JnD6YWRrWwc^vR9CpbK! zn% Mz849Gx^Gj qv^$U*3t nGK8!z89Am YWpaza dNuKNamp。gTXRm 6X4NGpP$vSTTamp。MuWFA5uxY7JnD6YWRr Wwc^vR9CpbK!zn%Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。MuWFA5ux^Gjqv^$UE9wEwZQcUE% amp。 gTXRm 6X4NGpP$vSTTamp。 MuWFA5uxY7JnD6YWRrWwc^vR9CpbK! zn% Mz849Gx^Gjqv^$UE9wEwZQcUE% amp。 gTXRm 6X4NGpP$vSTTamp。 MuWFA5uxY7JnD6YWRrWwc^vR9CpbK! zn%Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。 gTXRm6X4NGpP$vSTTamp。 MuWFA5uxY7JnD6YWRr Wwc^vR9CpbK! zn%Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。 MuWFA5ux^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。MuWFA5uxY7JnD6YWRr Wwc^vR9CpbK! zn%Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。gTXRm 6X4NGpP$vSTTamp。 849Gx^Gj qv^$UE9wEwZQcUE% amp。gTXRm 6X4NGpP$vSTTamp。MuWFA5uxY7JnD6YWRrWwc^vR9CpbK!zn% Mz849Gx^Gj qv^$UE9wEwZQcUE% amp。 gTXRm 6X4NGpP$vSTTamp。MuWFA5ux^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。 MuWFA5uxY7JnD6YWRrWwc^vR9CpbK! zn% Mz849Gx^Gj qv^$UE9wEwZQcUE%amp。 gTXRm 6X4NGpP$vSTTamp。 849Gx^Gjqv^$UE9wEwZQcUE%amp。 QA9wkxFyeQ^! djsXuyUP2kNXpRWXm Aamp。 ksv*3t nGK8! z8vGt YM*Jgamp。 qYpEh5pDx2zVkum amp。 ksv*3t nGK8!z89Am YWpazadNuKNamp。qYpEh5pDx2zVkumamp。 ksv*3t nGK8! z89Am YWpazadNuKNamp。qYpEh5pDx2zVkumamp。 ksv*3t nGK8!z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkumamp。MuWFA5uxY7JnD6YWRrW wc^vR9CpbK!zn% Mz849Gx^G89Am UE9aQGn8xp$Ramp。 gTXRm 6X4NGpP$vSTTamp。849Gx^Gj qv^$UE9wEwZQcUE%amp。 QA9wkxFyeQ^! dj sXuyUP2kNXpRWXm Aamp。 ksv*3t nGK8! z8vGt YM*Jgamp。 qYpEh5pDx2zVkum amp。 ksv*3t nGK8! z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkumamp。 ksv*3t nGK8! z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkumamp。 ksv*3tnGK8! z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkumamp。 ksv*3tnGK8! z89Am UE9aQGn8xp$Ramp。 qYpEh5pDx2zVkumamp。 ksv*3t nGK8! z89Am YWpa zadNuKNamp。 qYpEh5pDx2zVkum amp。 ksv*3t nGK8! z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkum amp。ksv*3t nGK8!z89Am YWpazadNuKNamp。 qYpEh5pDx2zVkumamp。 UE9aQGn8xp$Ramp。 6a*CZ7H$dq8Kqqf HVZFedswSyXTyamp。當(dāng)然也要感謝這篇論文所涉及到的學(xué)者，若沒有 這些 學(xué)者的研究成果的幫助和啟發(fā)，我將很難完成本篇論文的寫作。 14 參考文獻 [1]易宗向 . 登錄協(xié)議安全性分析和改進研究， 16711122（ 2021） 06008503 [2]俞凱，張怡，王勇軍 . 登錄協(xié)議安全性研究與分析 [J]. 信息網(wǎng)絡(luò)安全， 2021，（ 11）： 5557. [3]騰訊 安全頻道， [4] 的工作原理及加密方式 ,盜號 .20210706 01:36 通信協(xié)議介紹 [5]吳世忠 譯，應(yīng)用密碼學(xué)（協(xié)議算法與 C 語言程序），機械工業(yè)出版社， 2021年 1 月 [6]邱仲潘 等譯，密碼學(xué)與網(wǎng)絡(luò)安全，清華大學(xué)出版社， 2021 年 09月 15 [7]楊曉元 著，計算機密碼學(xué)，西安交通大學(xué)出版社， 2021 年 3 月 [8] 協(xié)議分析 登錄 [9]2021 協(xié)議淺析析 致謝 首先 ， 我要 真誠地 感謝我的論文指導(dǎo)老師費晶晶老師，費老師平日里工作繁多，但在我做畢業(yè)設(shè)計的每個階段，從選題到查閱資料，論文的修改及格式調(diào)整等各個環(huán)節(jié)中都給予了我悉心的指導(dǎo)。 在整個論文設(shè)計過程中，出現(xiàn)過 一些問題，但通過咨詢老師和同學(xué)以及查詢相關(guān)資料順利解決了。 13 結(jié)束語 本文在前人研究和分析的基礎(chǔ)上，深入探討了 的安全通信，主要通過研究 登錄協(xié)議的安全性，認真分析了其存在的漏洞，并給出了相關(guān)的改進意見。一定要全盤殺毒后，查殺木馬后，確定無毒，再登陸。如果需要打開，請利用虛擬機打開。 使用比較復(fù)雜的而且方便自己記憶的密碼（建議定時更新密碼），并盡量避免密碼和您在其他網(wǎng)站使用的密碼相同。 綁定 qq安全中心。 別人留下讓你登陸的網(wǎng)頁一定要小心，凡是要輸入 號碼和登陸密碼的請不要進入，除非是自己認識的人或是安全網(wǎng)址。還可以設(shè)置在木馬運行時，自動打開一個文件文本等，它是黑客常用的一款盜取 密碼的工具。 盜 Q 黑俠 盜 Q 黑俠是一款專門盜取 密碼的工具，該程序運行后，自身分為 3 個文件來相互守護，終止便自動復(fù)活，從而增加了存貨率。 阿拉 大盜 阿拉 大盜是一款竊取 密碼的工具，具有很高的破壞性和隱 蔽性，該工具通過轉(zhuǎn)存密碼信息和偽裝圖標等方式來竊取 密碼。 12 好友號好好盜 好友號好好盜是一款非常實用的遠程盜號軟件，可在對方好友在線時對其 號碼進行盜取。 黑客常用盜號軟件： 機器人 機器人是一款可以同時機密多個用戶號碼的 在線解密工具、如果用戶的 密碼不小心丟失了，也可以采用該軟件找回自己的密碼 簡單盜 簡單盜是一款經(jīng)典的盜號軟件，采用插入技術(shù)，本身不產(chǎn)生進程，因此難以被發(fā)現(xiàn)，它會自動生成一個木馬，只要將生成的木馬發(fā)送給目標用戶， 并誘騙器運行該木馬文件，就達到了入侵的目的。黑客通常將盜號木馬進行打扮成 (查看圖片相關(guān)的重要文件 )等軟件必不可少的模塊，然后釋放并隱藏到 等軟件安裝目錄，當(dāng)這些程序使用的時候按照操作系統(tǒng)的規(guī)矩會先用安裝目錄下的模塊，于是這些傀儡軟件一轉(zhuǎn)眼就變成了盜號木馬（假的）的幫兇。 方式 3： :有一些木馬，它們把自己偽裝成電腦操作系統(tǒng) 中很關(guān)鍵的一個模塊。 方式 2：木馬的種類繁多，它們就像是安裝在用戶電腦里面的竊聽器，時刻監(jiān)控著用戶電腦的一舉一動，神不知鬼不覺的就把黑客感興趣的賬號密碼信息記錄并發(fā)送給黑客。然后留下一個網(wǎng)址，當(dāng)你點擊進入后 ，提示要輸入 號碼和登陸密碼， 很難會想到 這是 盜號的人 留下 的 盜號窗口， 盜號的人 從后臺可以看到登陸密碼。 常用 盜號方式及軟件 ： 方式 1：冒充 用戶 的 親人、 朋友、同學(xué)等，向 用戶 發(fā) 送 信息。 賬號被盜后，其危害和影響是可怕的， 用戶 丟失 的 大量好友資料和聯(lián)系方式 在 短時間內(nèi) 是 很難完全找回 的。而 DLL 文件需要 exe 文件加載才能夠運行。 11 最近新發(fā)現(xiàn)，某實驗室最近截獲到一種名為 的 盜號木馬，會盜取用戶 信息并發(fā)送給遠程黑客。 盜號木馬的一般運行模式為：監(jiān)視用戶登陸窗的操作 → 通過遠程端口把操作記錄 傳輸給事先設(shè)定好的的地點 → 制作者收到后，把密碼和 賬號 竊取 → 修改密碼，洗劫所有有價值的虛擬物品。如果在運行，則顯示一個假冒的登錄窗口，提示用戶輸入賬號和密碼重新登錄。盜號木馬是具有盜取 賬號 能力的木馬病毒，在瀏覽帶有盜號木馬病毒的網(wǎng)站時或者打開帶有木馬病毒的文件時，它會入侵計算機，伺機盜取 密碼。這些惡意程序大多目的都是盜取 登錄賬號和密碼 ，將賬號出售，或進一步實施網(wǎng)絡(luò)犯罪或詐騙。那么我們可以通過增加字典攻擊的復(fù)雜度來抵御攻擊： （ 1） 增加 TEA 變換的輪次（因為 TEA 加密算法的迭代次數(shù)可以改變，建議的迭代次數(shù)為 32輪。但是這一類協(xié)議需要一定的存儲量和計算量，并不太適合一些 終端。首先我們嘗試采用安全的密鑰交換協(xié)議來抵御離線字典攻擊，但是目前使用的密鑰交換協(xié)議至少是基于 DiffieHellman 密鑰交換協(xié)議 /算法 (DiffieHellman Key Exchange/Agreement Algorithm)。其實，除了有隨機數(shù)的參數(shù)之外，還可與MD5({Number,Password,Time}) 進行一次異或操作，這樣攻擊者便無法通過簡單的隨機數(shù)預(yù)測來獲得 K0 的信息 。 （ 2） K0：關(guān)于 K0，主要是增加其被預(yù)測到的難度。 D(key, crypted)： 表示使用密鑰 key 對密文 登陸協(xié)議的改進意見 本章給出的改進方法，主要是針對上文中兩種攻擊提出的。 否則，返回信息 “ 錯誤的密鑰 key” 。 e. 判斷是否滿足條件： plain 的最后 7個字節(jié)都是 0x00。 否則，返回信息 “ 錯誤的密鑰 key” 。 該判斷原因：對于正確的身份驗證來說，服務(wù)器返回的數(shù)據(jù)包大小總是為 285Byte明文，按照填充規(guī)則，填充的頭一個字節(jié)的最低 8 位應(yīng)該等于 （ 8（ 285+2） %8）=1 9 d. 判斷是否滿足條件： plain[4,5,6,7]等于 0x01,0x19,0x00,0x00。 下面 將 講解測試密鑰驗證程序（相關(guān)數(shù)據(jù) 參照本文第 2章 TEA 算法 ）： a. 輸入測試密 鑰 key,前 8 個字節(jié)的密文 crypted b. 使用測試密鑰解密得到明文 plain=D(key, crypted) c. 判斷 是否滿足條件： plain[0]amp。這樣一來，第一個分組便沒有反饋，而且第一個字節(jié)的最低的三位包含著已知信息（隨機填充的字節(jié)數(shù)）。 在參考文獻 [1]中 已經(jīng) 提出了一種針對 2021 的 離線字典攻擊的方法，在參考文獻 [2]也簡要提到了關(guān)于2021 的離線字典攻擊，其實這些方法對于 2021 來說同樣適用，本文對這個攻擊 方法 將不再贅述。 2離線字典攻擊 所謂字典攻擊， 指的是 收集好密碼可能包含的字符串，然后通過各種方式組合， 逐一測試。 另外需要注意的是，這種攻擊方式并不是適用于所有的情況，至少在 “ 登錄保護 ” 情況下就是是無效的。復(fù)雜的客戶端登錄操作可能會改變這個偏移量，所以需要采用搜索的方式，而 offset16 這 個偏移量位置在大部分情況下 是正確的。如果這個周期比較大，通過合理的組織數(shù)據(jù)結(jié)構(gòu)和預(yù)先的計算，可以在更快的時間內(nèi)找到其對應(yīng)的偏移量。 相關(guān)說明： dport： 表示 UDP 數(shù)據(jù)包的目的端口 sport： 表示 UDP 數(shù)據(jù)包的源端口 ： 使用上一節(jié)提到的方法生成的隨機數(shù)的完整一個周期的數(shù)據(jù)文件。 f. 判斷數(shù)據(jù)包是否滿足條件： sport=8000 并 且 包 含 En(Key3,SessionKey) ； 滿 足 使 用 Key3 解密En(Key3,SessionKey)獲得并且保存 Key3。 e. 判斷數(shù)據(jù)包是否滿足條件： sport=8000 并且包含 En(Key2,{Key3,Key4}) ； 滿 足 使 用 Key2 解密En(Key2,{Key3,Key4})獲得并且保存 Key3，再執(zhí)行步驟 b。 8 d. 判斷數(shù)據(jù)包是否滿足條件： sport=8000 并且包含 En(Key0,{Key1,Key2})；滿足便在 中從 offset開始測試每一個可能的密鑰 ,得到 Key0，使用 Key0 解密 En(Key0,{Key1,Key2})獲得并且保存 Key2，再執(zhí)行步驟 b。