|
|
从这次的修改来看,我个人认为不是没事找事,一定是事出有因的,谁会好好的去改没问题的系统呢?
从将军令的构造来说,必定是服务器端与用户端(即将军令)二者函数的同步,这个函数也必定是跟时间(分钟为单位)和将军令序列号有关的(其他还跟什么有关,或者有什么变量常量不得而知),因为将军令并不是一个通信器,所以两端的时间同步就是个很微妙的问题,(从刚启用将军令的激活,以及不能更换电池来看,这点是勿庸置疑的),那么盗号的关键就是这个动态mima的获取问题了,目前有一种用木马截获将军令动态mima,抢先登陆的方法,如果真是采用这种方法盗号,那么此次的修改就是必要的了,在你打开需要输入将军令的框,系统就随机给出一个需要输入的序列(应该每次打开都不一样才对),在你进行登陆的时候,你按照登陆界面要求输入的顺序输入了号码,当然正确的话,毫无疑问你能通过验证,因为服务器也同时获得了自己随机在界面上产生的数字序列,剩下的问题就是在系统端的匹配问题,那么我们假设,这时候你的序列被人截取了,但是盗号人拿到的这个序列,未必就是他面对的登陆界面要求他输入的序列,很显然他就不能登陆(人品爆发除外)....当然这确实可以稍微阻止这种盗号木马,但是,却又带来了一种猜序号的破解方法(-.-不排除有些人运气好)...有人已经算过了,中奖的几率是6/1000不要小看这6/1000,因为过10分钟我还可以继续猜那么1天24小时,我每小时尝试4次是可以的吧,那么1天有多少机会呢6/1000*4*24=57.6%,这个概率是不是很大了,当然这种方法比较慢,但是完全可以写个程序来代劳一点也不麻烦对于一个价值好几万的号用这种方法一点也不为过吧-.-
上面那些是我昨天写的,函数就只有一个,但是这个函数绝对是不可逆的!!!数学函数多了去了,不可逆的也很多,找规律很显然是找不到的,因为每个将军令的种子就不一样,所以将军令还是很安全的,不安全的是玩家的机器而已 不过现在改了后,就不那么安全了
有人提出输入6位乱序数字,其实也是有问题的,因为木马可以获得要求输入的序列,然后重排进入,网易设定3位就是从这方面考虑不过....唉....等着再改吧.... |
|
楼主: ggtiancai
发表于 2007-8-1 13:52:31
楼主
,你不累,WY还累列
):(将军序列号X当前时间)=前6位就是密码
