2023 Bit Binance完结——木马钱包盗币原理解析

2018年被公认为区块链的大年。 随着区块链经济价值的不断提升，促使不法分子使用各种攻击手段获取更多的敏感数据，例如“盗窃”、“勒索”、“挖矿”等，下面小编就对木马进行分析给你钱包偷币的原理。

近期比特币钱包修改器，比特币安全问题频发。 我想找一个钱包来窃取比特币进行分析。 这时，有网友smtp在彩云比特论坛发帖揭露了LTC木马钱包，并提供了LTC木马钱包样本。 我反了。 木马钱包的程序分析了从钱包中窃取LTC的原理，该窃取方法也可用于比特币等山寨币。

一、原理分析

这个LTC木马钱包窃取LTC的方式非常简单。 查看钱包收款地址时，隐藏了钱包的真实收款地址，显示的是黑客的LTC地址。 当向这个接收地址发送 LTC 时，发送的 LTC 自然会到达黑客的钱包中，永远不会到达这个钱包。

验证过程非常简单。 先安装LTC木马钱包，新建收款地址，然后卸载木马钱包，安装LTC官网钱包，查看收款地址。 两者显示的地址不同。 官网钱包显示的是真实地址，木马钱包显示的是黑客的LTC地址。

钱包中不存在黑客的LTC地址，导致私钥导出失败。 官网钱包显示的LTC地址存在，可以导出私钥。 可以通过命令 dumpprivkey 来验证。

2.钱包显示收款地址

LTC 的代码是开源的。 黑客下载LTC的代码，进行一些修改，重新编译代码，打包程序，放到网盘下载，盗取网友的LTC。

显示钱包的接收地址。 LTC和BTC的代码是一样的。 主要在列表中显示LTC地址。 木马钱包通过修改要在列表中显示的LTC地址字符串来隐藏真实地址。

显示LTC接收地址主要涉及2个模块：程序加载时显示接收地址，新建接收地址。 这里我们简单介绍一下如何在地址列表中显示地址。

钱包的接收地址存放在CWallet类的mapAddressBook中，接收地址列表是AddressTablePriv类的QListcachedAddressTable控件。

3、代码被黑客修改

木马钱包修改AddressTablePriv类的函数refreshAddressTable和函数updateEntry，在显示插入地址前修改显示的接收地址。

1.函数refreshAddressTable

在调用函数缓存的AddressTable.append 之前添加修改显示地址的代码。

2.函数updateEntry

CT_NEW时，调用函数parent->beginInsertRows后，调用函数cachedAddressTable.insert前，添加修改显示地址的代码。

黑客一共有10个LTC地址，这10个地址会按照显示和插入地址的先后顺序依次显示。 当地址超过10个时，会循环显示。

木马钱包中定义了一个数组，指向这10个LTC地址。 木马钱包中定义了一个整型变量比特币钱包修改器，标识地址索引，显示该索引指向的LTC地址，然后自增。 当它等于 10 时，它被重置为 0。

针对上述情况，可以对注册表进行一定程度的修改，使用一些第三方任务管理器停止任务，重启进入命令行模式手动​​清除木马，使用一些特殊的查杀手段。

相关文章：比特币公司的市值是多少【比特币市值十亿】比特币什么时候最贵【比特币价格什么时候最高】台湾最大比特币交易所【全球最大比特币交易所被盗】比特币交易平台【比特币交易平台Top 10】创纪录的比特币8年前触及4万美元 比特币快币“快比特币”比特币价格上涨的3大因素“推动比特币价格下跌的两大因素”亲 以太坊进入二次反弹阶段反对比特币 IMF 国际货币基金组织：比特币价格波动较大，不应列为法定货币。 一比特币等于多少人民币？ 【比特币】手头有多少比特币？ 现在有多少比特币？ 比特币第五大矿池BTC.com将落户哈萨克斯坦 首批矿机出货 以太坊能否成为下一个比特币？ 什么时候是买卖比特币的最佳时机？ 如何判断中国比特币CHBTC（中国比特币合法吗）btc钱包（btc钱包地址是什么意思）如何获取比特币（如何挖比特币）