第一章，完美游戏帐号被盗被骗与防盗防骗 

正因为完美是一款不错的3D游戏，参加时间较长，花费精力财力较多，所以不少以窃取他人网络虚拟财产为营的不法分子也盯上可这款游戏中的利润。 

此类将受害人在游戏时输入的帐号**等信息通过传播设置各类木马传送到终端机器，然后利用已货信息进入他人帐号将其虚拟财产转移，因为有机器人设定好的程序，明偷暗抢转移虚拟财产的过程往往用不到一分钟就能完成。所以是造成他人损失最大的一种。 

事例1.某天上午本人在网吧上网，正常进入游戏五分钟后，开始每隔2分钟游戏程序莫名终止，并且弹出完美BUG提交表格。我没理会BUG提交，直到游戏反复中断3次后我开始有所警觉，决定换台机器。本来还准备更换游戏登陆**，不过邮箱迟迟收不到完美所发的**修改确认信链接，无奈之下遂作罢，考虑下午换张密保卡。可是下午再登陆的时候，却不再有密保验证的界面，而是直接裸露在面前一个只穿着白色裤衩的人物角色，无疑是被洗过了。进去后查下损失除了天人的装备夺天其他的都洗光了。仓库由于我换机器后临时更换了**所以幸免于难。我想盗号者获取了我9位密保数字之后，由于我没及时更换游戏**，他进入通行证页面后反复尝试密保卡解绑，虽然每3次失败就要停封一段时间，不过终究被他碰上了正好是这其中的3位编号对应的数。 

事例2.有次我在群里共享无意看到一个中文版的双开器，这边正好需要双开，便想着尝试一下这个双开而没有使用平时常用的韩版游戏双开器。打开发现这个双开器除了上面的功能键都是中文外和原来的没什么太大区别，便没注意太多。将现在已经开的大号程序名称用双开修改后双开小号进入游戏，待双开3分钟左右，我把2号需要转移的物品交易完成后。把大号开到组西准备接石头别墅，突然2个游戏程序突然终止。我习惯性重新打开游戏先登陆大号，密保验证还在而且固定的序号也没变，我松了口气，输入对应数字后，点确定。等待2秒后登陆界面提示：当前帐号已登陆，并且处于锁定状态。我懵了，关了提示再一次登陆结果仍旧如此…无奈的一次又一次强行登陆，终于在第6次登陆的时候通过密保进入了游戏。结果发现又一次被洗过了，包里2000WMISS。刚转来的新染好的时装MISS。一贯不主张合一的装备MISS。包里一张黄金蓝F却被带上了…还有一个幻境之主印记价值1800W也没拿走（估计是被当成圣殿石了）。很郁闷的和帮里人说了这事下线了。我再去群共享查找上传者却一无所获…估计那人退群了。 

事例3.日常性的和人组着跑别墅，路经剑仙的时候，有一小号密我，说她是新手，想找几个朋友玩这个游戏。小号名字取的不错，也容易鉴别是个女性名。本人也算比较热心吧，于是便答应了。然后那小号说加我Q吧，Q是XXX。我向来不怎么主动加人，把我Q告诉了她让她加。对方记着号码说好。我别墅又交了一卷，我好奇的问她，你怎么一个人玩这游戏？结果系统提示对方不在线…难道是掉了？不加游戏好友就急着下线，不是想玩游戏么？正想着，Q消息器响了，一个加好友的验证，估计是刚才那小号的，通过，顺便点了下查看资料。吖，不查不知道，资料那么填的那么诱人，头像还弄的一美女的半身照，你这，是真的吗？然后对方Q就开始闪了，打开窗口，以下为大致聊天内容： 

“我叫你哥哥可以吗？”“蒽。” 

“哥哥，你有照片吗？给妹妹看下。”“照片？没得。我不喜欢照相，网上更没我半张照片。”（半句实话） 

“呵呵，怎么还个这样的习惯哦”“……” 

“那我给你看我的照片吧。”“随便”（装君子的） 

于是一名为“我的照片”的文件从Q传到了我这，我打开文件。吖，文件里装的居然不是bmp或者jpg格式的东西！上面后缀着“exe”呢！哇，谁的照片还是个程序呢！我直接把文件删了。 

过了半晌，见我这边没动静，那边急了，“哥哥，看了我照片么？”“看了。” 

“觉得怎么样哦？”“还不错。” 

“是吗，那再给你看张。” 

**，又想把那东西再传一遍！真当我傻冒！二话没说，我关了Q窗口，接着把那人Q直接拉进黑名单，虽然开始我没想到那是来骗人的，但我又不是个大色狼，也不至于看着那么主动的“美女”不觉得怪异。 

事例4.一次看世界，有一人收号，看我条件合适加之我有些想处理这号，所以密了那人。他问过我号情况后，让我进组我去他那看过号后说价钱。于是我跑到万化，给他看了下。“还好，500怎么样？”“OK，5173交易，我去把号挂上去。” 

“恩，你号上好多少WMB？”“你只给500我就不留WMB了，本来还3000W的。” 

“别，WMB留着吧。”“那好，你加50，我挂600，多出的交易费算我的。” 

“恩，加Q吧。”…… 

我一边挂号一边和他聊着，因为他是个YJ号，而且还说她是学生，收个号玩。我说你既然是女生要我这男号做什么？她马上解释说也给她男朋友收个。这没什么好奇怪，我便没再问。 

挂好后，我告诉她，说好了，让她去下单。几分钟她说正在交易，她付钱了。KF让她等等。我查了下我开的出售单信息，上面显示的是交易中，不过状态却是未付款。 

这边又有Q加好友，资料上说明的是5173KF，上次刚好看过有些人伪5173KF来骗人游戏帐号信息，我仔细的查看了资料，发现几处和原来和我联系的KF资料有所不同的地方，一个是QQ开通的代表功能的图标，还有就是上面写的地址也有差异，因为我Q上刚好还有一个还没删除的交易过的KF好友。我确定是假5173KF后，想着静观其变。这个KF发过来一个信息，说我号有人要买了，让我把帐号相关信息再发一便给他确认一下。然后那个联系要买我号的人又在故意催促说怎么好没好啊。得，你就演吧。 

我回假5173KF一句：“吖！5173什么时候开始交易号前还要问卖家帐号信息了？我要不在线你是不是要问鬼去？怎么不打我电话？”那KF没回。 

我回到买号那人Q聊天窗口，截了张那KF要帐号信息的图发过去，说：“这个是你丫的发的吧，你买号？回家问清楚**5173是怎么交易的？我X！”那Q几秒钟黑了。 

以上4次都是本人经历之事实，绝对没有半点虚假。 

被盗无疑都是木马惹的祸，所以要防止，电脑的安全工作要抓好。在网吧上游戏，由于网吧的情况很复杂，很多人都用过这些机器，安全是最困难的。为了防止在网吧因木马被盗帐号，我建议每次上网前都要重启一下你要登陆的电脑，特别是当前已经开着的电脑（借用一下网吧电脑的还原功能）。另外进入电脑后，最好用QQ医生检查一下电脑是否有木马，这是最简易的办法，也许QQ医生能查的病毒不多，不过至少也能检测一下最基本的一些木马，我曾经就用QQ医生查出3个经常出现的木马，而且QQ医生还能解决这些木马。然后就是尽量少在玩游戏的同时进入一些带恶意插件的网站。在网吧能做的防御工作也就这些，另外在登陆游戏的时候提示一下帐号密码建议使用软键盘和键盘相结合输入，所谓软键盘就是输入密码时登陆框下方的那个小键盘。而输入密保的时候最好不按当前序号的顺序来输，比如可以先输入最后一个序号再回输入第一个序号等等。如果出现游戏程序多次无故中断，最好更换一下机器并且更换密码密保，即事例1所出现的情况。如果出现被T下线而且无法再上号的情况，建议玩家停封帐号，需要拨打KF电话提供游戏帐号、注册时填写的超级身份验证码，核对正确后，帐号会封停。游戏角色会掉线，帐号封停7天（168小时），7天后，帐号自动解封，请您在封停期间，尽快更改游戏密码及注册资料。在解封前，帐号不能登入游戏。 

在家里的话相对网吧要安全些，毕竟各类保护电脑的软件都能自主的选择安装，个人觉得如果你需要玩游戏，可以下载一个360保险箱，可以起一定的保护作用。另外就是个人电脑最基本的安全检查工作了。这个就不多说，有电脑的人相信都多少会些。至于用G问题大家多注意就是，这个方面太敏感在论坛上不好公开讨论，我保持个人意见，尊重完美，也尊重G开发商，都不容易。 

接下来就是被骗号了，有警觉感的人在前面的第3第4事例中应该都和我一样的能意识到骗局。所谓防人之心不可无。对陌生人警觉一点还是一件好事，不随意接受陌生人传发的任何文件。关于帐号交易，完美官F一直持不支持的态度，但这种事情是难免要产生的，有人要离开有人要加入，现实的东西都生不带来死不带去的，更别说虚拟的东西能有多重要。交易除了能当面交易外建议都去5173，即使收费也比被骗的好，还要提醒一下5173买号的人，买的号要注意信息要完整，尽可能的拿到号本人的身份证复印件以保万一。因为那买的号也可能被人找回去，这类事情发生的不会少了。 

第二章，完美玩家虚拟物品骗术及防范措施 

不少不法分子和恶意玩家在游戏中以歪门骗术骗一些不知情的玩家，从中牟利。其中很多招术都很笨拙，只是玩家的不熟悉情况及粗心贪心所造成的。 

有段时间，经常能在组龙西发现在普通频道刷频的，其大致内容：最新发现的完美新BUG，组队打开铁匠买卖物品对话框，然后点包里的钱，写上99999，确定后你会发现包里的钱满了，要刷钱的速度点我进组。 

很明显，这种骗术实在太暴露了，一个不错的3D游戏怎么可能出这种低级程序错误，而且基本常识组队扔钱再拾取后是队里人平分。相信上这类当的人为数不多，就不重点说。 

还有一类，摆摊骗局，主要分成3种。 

①.  摊名大多于“离开完美送钱3000W”之类。人为将某类便宜的物品售出单价设置在10W-50W不等，再购进同类物品单价设置在100W-300W不等。很多不熟练的玩家单纯的看到买卖间的差价而以为有利可图，孰不知当买下后，却再也卖不了这摊了。玩家正常对应商品无法被设摊收购时，一般分2种，一个是当前收购玩家包中金钱数量不足，一个是当前收购玩家包中无足够的物品格。我想，这个低买高收的摊人物角色里包裹应该装满了一支一支的狼牙箭。玩家要记得世上没有免费的午餐。当然，也许有极个别玩家受了某刺激打击一时的情绪激动要送游戏物品然后拂袖离开游戏，这类例外，但他也不可能设摊来送，绝对是狂刷世界说在某地扔东西要的快来。 

②.  恶意玩家在出售物品时故意将单价设置差价及差位，或者利用同一图标表示不同物品来出售某些便宜物品。例如千里传音，市价本是3，2000一个左右，但某些玩家恶意设置成28，0000。一些心粗心急的玩家便买了这类超价的物品。而利用完美部分不同物品拥有相同的图标的行为，则可能是造成损失较大的一种，比如说拿市价4000左右的成形的内丹来当成上古恶魔之魂出售，且价格比市价的魂要便宜些。还有拿幸运卡来说成是未开的凤凰大力卡出售。如果玩家有一点点耐心细心便完全可以避免这些没必要的损失。我们无法阻止恶意商家的虚价行为和做假行为，毕竟从理论上说，一个是损失不大，一个终究是自愿买卖。还有一句，无女干不商。如果已经上当，建议在饭后之余诅咒一下就好了，刷世界骂人并不能解决问题，也许可以提醒下其他玩家吧。 

③.  恶意玩家用低价差价收购物品。曾经在苍穹区出过这样一台戏，具体ID我就不提了。两玩家商谈买卖上古魂之事，达成协议定好价格后，买家便设摊用原有的一个魂以350，0000的价格收购一魂，而卖家因为事先谈好了价和急着出手便以此价格将魂扔进了摊子。不得而知，事后世界翻了天。对买魂的玩家人品我们不做谈论，单说买卖的细节，如果卖家能细心一点，就不至于产生错误了。给我们的教训就是，凡是事事要细心。当然还有其他骗价收购物品，也许损失要小些，但终究玩家还是要放亮眼睛些。 

再说交易中的骗术。一个是拿前面所说的用同图标不同物品来蒙蔽玩家的，一个是金 钱位数差异，都是看清楚就能避免的情况。可能和你交易的玩家几次在物品金钱都放入完全后无故取消交易，请不要不耐烦，也许骗局就在其中要发生了。 

以上是本人暂时想到的一些已经发生过的骗术和盗号事件。如果玩家有遇到其他不同的骗术和盗号情节，欢迎写出来大家一起讨论作为借鉴，以做详细内容。 

另外提醒一下玩家在设摊和拍卖时请注意填写的物品**后面的“0”的位数，以免造成不必要的损失。 

我想，即使造成的损失不大，也不要因为这些不必要的损失而搞砸了我们玩游戏的心情。所以细心为好，如果已经出现被骗被盗的事，那么记得吃一智长一堑。 

现在附加点木马处理措施适用于个人电脑...新手... 

一、通过自动运行机制查木马 

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处: 

1)注册表启动项 

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以Run开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe%1%”。 

2)系统服务 

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。 

3)开始菜单启动组 

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders]，键名为Startup。 

4)系统INI文件Win.ini和System.ini 

系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。 

5)批处理文件 

如果你使用的是Win9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echooff”，启动时就只显示命令的执行结果，而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。 

二、通过文件对比查木马 

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以WinXP系统为例): 

1)对照备份的常用进程 

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist/svc>X:\processlist.txt”(提示:不包括引号，参数前要留空格，后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist/?”可以显示该命令的其它参数。 

2)对照备份的系统DLL文件列表 

对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir*.dll>X:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录，输入“fclistdll.txtlistdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。 

3)对照已加载模块 

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开“系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。 

4)查看可疑端口 

所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat-an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，LocalAddress是本地计算机的IP地址和连接正在使用的端口号，ForeignAddress是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。WindowsXP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat/?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如“Windows优化大师”目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用网络嗅探软件(如:Commview)来了解打开的端口到底在传输些什么数据。