首页
社区
课程
招聘
[原创]从底层分析某软件2011版的底层钩子
发表于: 2011-3-17 07:34 13030

[原创]从底层分析某软件2011版的底层钩子

2011-3-17 07:34
13030

无聊拿出来分享一下,送给和我一样菜的朋友,如果有什么不正确的欢迎大家指出
共同学习共同进步嘛,最近在研究WINDOWS的回调机制。又找不到什么好题材,干脆就分析一下
QQ2011 的底层键盘钩子啦,只为学习,希望大家不要拿来做什么违法的事。
     首先说下WINDOWS的回调吧,其实回调有点像APC。通俗点讲就是底层调用用户空间函数又
返回底层主要涉及到的函数就是KeUserModeCallback它的作用就是帮回调函数设计好用户空间堆栈
回调函数返回用户空间的时候让它指向用户空间的分派函数KiUserCallbackDispatcher再从  
KernelCallbackTable表中以ID找到对应的中继函数,再从底层传回来的结构中的PROC函数指针中
调用我们的(用户空间)回调函数 , 在调用KeUserModeCallback的时候会把三个参数写到用户空间
堆载,KernelCallbackTable的ID,回调函数结构,里面包含了很多信息比如PROC HOOKID
包括底层键盘钩子用到的 KBDLLHOOKSTRUCT结构(lParam),还有个就是这个结构的长度
在调用完用户空间的函数以后再通过NtCallbackReturn返回底层。
  顺便说下KernelCallbackTable在PEB+0X2C的位置 XPSP3
下图就是KiUserCallbackDispatcher调用啦 也就是底层回调到用户层的第一步


POP EDX
   MOV EAX,DWORD PTR FS:[18]
   MOV EAX,DWORD PTR DS:[EAX+30]
   MOV EAX,DWORD PTR DS:[EAX+2C] //得到KernelCallbackTable EDX保存着ID
   CALL DWORD PTR DS:[EAX+EDX*4]

  我们来加载QQ 设置个条件断点看看寄存器和堆栈有什么内容点击密码输入框
按个1,看下
   从图可以看到寄存器EDX=2D(ID)

   堆栈上

0013FABC   0000002D  //ID
0013FAC0   0013FAC8 //回调结构指针
0013FAC4   00000024  //大小
0013FAC8   000D0000  //HOOKID
0013FACC   00000100  //CODE
0013FAD0   020DC191  //回调函数地址 用户空间
0013FAD8   00000031  //这个就是我们输入的1
  我们进一步跟进去看看
下图是KernelCallbackTable表以ID调用的函数


//CALL DWORD PTR DS:[EAX+EDX*4] 来到这里
77D58D54    8BFF            MOV EDI,EDI
77D58D56    55              PUSH EBP
77D58D57    8BEC            MOV EBP,ESP
77D58D59    83EC 0C         SUB ESP,0C
77D58D5C    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]
77D58D5F    FF70 08         PUSH DWORD PTR DS:[EAX+8]//回调函数地址
77D58D62    8D48 10         LEA ECX,DWORD PTR DS:[EAX+10]//结构地址
77D58D65    51              PUSH ECX
77D58D66    FF70 04         PUSH DWORD PTR DS:[EAX+4] //CODE
77D58D69    C745 F8 1400000>MOV DWORD PTR SS:[EBP-8],14
77D58D70    FF30            PUSH DWORD PTR DS:[EAX]  //HOOKID
77D58D72    894D FC         MOV DWORD PTR SS:[EBP-4],ECX
77D58D75    FF50 0C         CALL DWORD PTR DS:[EAX+C]//CALL 77D318D1
到这里就用到我们从底层传上来的结构里的内容啦 我们继续进CALL

//CALL DWORD PTR DS:[EAX+C]//CALL 77D318D1来到这里省略一些钩子类型检测的代码
77D31912    8B75 08         MOV ESI,DWORD PTR SS:[EBP+8] //lParam
77D31915    53              PUSH EBX       //wParam
77D31916    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77D31919    0FB7FE          MOVZX EDI,SI
77D3191C    57              PUSH EDI //nCode
77D3191D    897D F8         MOV DWORD PTR SS:[EBP-8],EDI
77D31920    FF55 14         CALL DWORD PTR SS:[EBP+14]
这里一系列检测完钩子类型以后来到这个CALL这里就是
LRESULT CALLBACK LowLevelKeyboardProc(
  int nCode,     // hook code
  WPARAM wParam, // message identifier
  LPARAM lParam
这个时候就到了QQ的钩子回调函数啦

020DC191    55              PUSH EBP
020DC192    8BEC            MOV EBP,ESP
020DC194    83EC 30         SUB ESP,30
020DC197    56              PUSH ESI
020DC198    57              PUSH EDI
020DC199    C745 FC 78BF0D0>MOV DWORD PTR SS:[EBP-4],20DBF78
/*注意这里这里有个基址很重要很多函数的定位和数据的定位都是它*/
020DC1A0    8D7D D0         LEA EDI,DWORD PTR SS:[EBP-30]
020DC1A3    B9 07000000     MOV ECX,7
020DC1A8    33C0            XOR EAX,EAX
020DC1AA    FC              CLD
020DC1AB    F3:AB           REP STOS DWORD PTR ES:[EDI]
020DC1AD    8B45 10         MOV EAX,DWORD PTR SS:[EBP+10]//获取KBDLLHOOKSTRUCT

020DC1B0    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX//保存
020DC1B3    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]//基地址定位判断
020DC1B6    8379 0C 00      CMP DWORD PTR DS:[ECX+C],0
020DC1BA    74 21           JE SHORT 020DC1DD
020DC1BC    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC1BF    FF52 54         CALL DWORD PTR DS:[EDX+54]// GetForegroundWindow调用判断
窗口                                
          HWND hwnd=GetForegroundWindow();
            _asm{
                mov edx,0x20DBF78
                mov edx,[edx+0x1c]
                cmp  hwnd,edx
                jnz  020DC1DD
               }
020DC1C2    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]//取基地址
020DC1C5    3B42 1C         CMP EAX,DWORD PTR DS:[EDX+1C]//+1C位置存放着窗口句柄比较
020DC1C8    75 13           JNZ SHORT 020DC1DD
020DC1CA    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC1CD    8B41 08         MOV EAX,DWORD PTR DS:[ECX+8]
020DC1D0    8945 CC         MOV DWORD PTR SS:[EBP-34],EAX
020DC1D3    B8 10000000     MOV EAX,10
020DC1D8    F7D0            NOT EAX
020DC1DA    2141 08         AND DWORD PTR DS:[ECX+8],EAX
020DC1DD    C745 F4 0000000>MOV DWORD PTR SS:[EBP-C],0
020DC1E4    E8 20000000     CALL 020DC209     //上面的跳转如果不成立就到这个CALL
       {020DC209    5F              POP EDI          //此时EDI等下返回地址 也就是-》 020DC1E9
       020DC20A    8B4D F4         MOV ECX,DWORD PTR SS:[EBP-C]
       020DC20D    833C8F 00       CMP DWORD PTR DS:[EDI+ECX*4],0
       020DC211    74 1D           JE SHORT 020DC230
        020DC213    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]
         020DC216    8B0497          MOV EAX,DWORD PTR DS:[EDI+EDX*4]//取020DC1E9的代码
         020DC219    50              PUSH EAX
         020DC21A    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
        020DC21D    FF51 50         CALL DWORD PTR DS:[ECX+50]
         /* 调用GetAsyncKeyState判断被按下 餐宿EAX=020DC1E9的代码
          实际上20DC1E9 是020DC1E9  00000010
                          020DC1ED  00000011
                          020DC1F1  00000012
                          020DC1F5  00000013
                           020DC1F9  00000009
                           020DC1FD  0000005B
                           020DC201  0000005C
                          循环判断知道遇到0结束
*/
       020DC220    0FBFD0          MOVSX EDX,AX
        020DC223    81E2 00800000   AND EDX,8000
        020DC229    75 05           JNZ SHORT 020DC230
        020DC22B    FF45 F4         INC DWORD PTR SS:[EBP-C]
        020DC22E  ^ EB DA           JMP SHORT 020DC20A
        020DC230    8B55 F8         MOV EDX,DWORD PTR SS:[EBP-8]//KBDLLHOOKSTRUCT
       020DC233    8B02            MOV EAX,DWORD PTR DS:[EDX] //KBDLLHOOKSTRUCT->vkCode也就是我们按下的1=31
     020DC235    C745 F0 0000000>MOV DWORD PTR SS:[EBP-10],0
     020DC23C    E8 3C000000     CALL 020DC27D   
    这里来到下个CALL进入这个CALL再下面大家往下看            

   
}

020DC1E9    1000            ADC BYTE PTR DS:[EAX],AL
020DC1EB    0000            ADD BYTE PTR DS:[EAX],AL
020DC1ED    1100            ADC DWORD PTR DS:[EAX],EAX
020DC1EF    0000            ADD BYTE PTR DS:[EAX],AL
020DC1F1    1200            ADC AL,BYTE PTR DS:[EAX]
020DC1F3    0000            ADD BYTE PTR DS:[EAX],AL
020DC1F5    1300            ADC EAX,DWORD PTR DS:[EAX]
020DC1F7    0000            ADD BYTE PTR DS:[EAX],AL
020DC1F9    0900            OR DWORD PTR DS:[EAX],EAX
020DC1FB    0000            ADD BYTE PTR DS:[EAX],AL
020DC1FD    5B              POP EBX
020DC1FE    0000            ADD BYTE PTR DS:[EAX],AL
020DC200    005C00 00       ADD BYTE PTR DS:[EAX+EAX],BL
020DC204    0000            ADD BYTE PTR DS:[EAX],AL
020DC206    0000            ADD BYTE PTR DS:[EAX],AL
020DC208    005F 8B         ADD BYTE PTR DS:[EDI-75],BL
020DC20B    4D              DEC EBP
020DC20C    F4              HLT
020DC20D    833C8F 00       CMP DWORD PTR DS:[EDI+ECX*4],0
020DC211    74 1D           JE SHORT 020DC230
020DC213    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]
020DC216    8B0497          MOV EAX,DWORD PTR DS:[EDI+EDX*4]
020DC219    50              PUSH EAX
020DC21A    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC21D    FF51 50         CALL DWORD PTR DS:[ECX+50]
020DC220    0FBFD0          MOVSX EDX,AX
020DC223    81E2 00800000   AND EDX,8000
020DC229    75 05           JNZ SHORT 020DC230
020DC22B    FF45 F4         INC DWORD PTR SS:[EBP-C]
020DC22E  ^ EB DA           JMP SHORT 020DC20A
020DC230    8B55 F8         MOV EDX,DWORD PTR SS:[EBP-8]
020DC233    8B02            MOV EAX,DWORD PTR DS:[EDX]
020DC235    C745 F0 0000000>MOV DWORD PTR SS:[EBP-10],0
020DC23C    E8 3C000000     CALL 020DC27D
020DC241    1000            ADC BYTE PTR DS:[EAX],AL
020DC243    0000            ADD BYTE PTR DS:[EAX],AL
020DC245    1100            ADC DWORD PTR DS:[EAX],EAX
020DC247    0000            ADD BYTE PTR DS:[EAX],AL
020DC249    1200            ADC AL,BYTE PTR DS:[EAX]
020DC24B    0000            ADD BYTE PTR DS:[EAX],AL
020DC24D    1300            ADC EAX,DWORD PTR DS:[EAX]
020DC24F    0000            ADD BYTE PTR DS:[EAX],AL
020DC251    5B              POP EBX
020DC252    0000            ADD BYTE PTR DS:[EAX],AL
020DC254    005C00 00       ADD BYTE PTR DS:[EAX+EAX],BL
020DC258    005D 00         ADD BYTE PTR SS:[EBP],BL
020DC25B    0000            ADD BYTE PTR DS:[EAX],AL
020DC25D    90              NOP
020DC25E    0000            ADD BYTE PTR DS:[EAX],AL
020DC260    00A0 000000A1   ADD BYTE PTR DS:[EAX+A1000000],AH
020DC266    0000            ADD BYTE PTR DS:[EAX],AL
020DC268    00A2 000000A3   ADD BYTE PTR DS:[EDX+A3000000],AH
020DC26E    0000            ADD BYTE PTR DS:[EAX],AL
020DC270    00A400 0000A500 ADD BYTE PTR DS:[EAX+EAX+A50000],AH
020DC277    0000            ADD BYTE PTR DS:[EAX],AL
020DC279    0000            ADD BYTE PTR DS:[EAX],AL
020DC27B    0000            ADD BYTE PTR DS:[EAX],AL

020DC27D    5E              POP ESI
020DC27E    8B4D F0         MOV ECX,DWORD PTR SS:[EBP-10]
020DC281    833C8E 00       CMP DWORD PTR DS:[ESI+ECX*4],0
020DC285    74 0A           JE SHORT 020DC291
020DC287    3B048E          CMP EAX,DWORD PTR DS:[ESI+ECX*4]
020DC28A    74 05           JE SHORT 020DC291
020DC28C    FF45 F0         INC DWORD PTR SS:[EBP-10]
020DC28F  ^ EB ED           JMP SHORT 020DC27E
/*
我们按下的虚拟键和下面的值比较
020DC241  00000010
020DC245  00000011
020DC249  00000012
020DC24D  00000013
020DC251  0000005B
020DC255  0000005C
020DC259  0000005D
020DC25D  00000090
020DC261  000000A0
020DC265  000000A1
020DC269  000000A2
020DC26D  000000A3
020DC271  000000A4
020DC275  000000A5
020DC279  00000000
*/
020DC291    837D 08 00      CMP DWORD PTR SS:[EBP+8],0
020DC295    7C 4E           JL SHORT 020DC2E5
020DC297    817D 0C 0001000>CMP DWORD PTR SS:[EBP+C],100
020DC29E    74 09           JE SHORT 020DC2A9
020DC2A0    817D 0C 0101000>CMP DWORD PTR SS:[EBP+C],101
020DC2A7    75 3C           JNZ SHORT 020DC2E5
020DC2A9    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC2AC    8139 FF000000   CMP DWORD PTR DS:[ECX],0FF
020DC2B2    75 31           JNZ SHORT 020DC2E5
/*
比较钩子类型状态和虚拟键最终跳到020DC2E5
*/
020DC2B4    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC2B7    8B51 0C         MOV EDX,DWORD PTR DS:[ECX+C]
020DC2BA    81F2 56B7C7E8   XOR EDX,E8C7B756
020DC2C0    3951 10         CMP DWORD PTR DS:[ECX+10],EDX
020DC2C3    75 20           JNZ SHORT 020DC2E5
020DC2C5    6A 00           PUSH 0
020DC2C7    6A 00           PUSH 0
020DC2C9    68 04140000     PUSH 1404
020DC2CE    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC2D1    8B42 18         MOV EAX,DWORD PTR DS:[EDX+18]
020DC2D4    50              PUSH EAX
020DC2D5    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC2D8    FF51 44         CALL DWORD PTR DS:[ECX+44]
020DC2DB    B8 01000000     MOV EAX,1
020DC2E0    E9 54020000     JMP 020DC539
020DC2E5    837D 08 00      CMP DWORD PTR SS:[EBP+8],0
020DC2E9    0F8C E1010000   JL 020DC4D0
020DC2EF    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC2F2    8379 0C 00      CMP DWORD PTR DS:[ECX+C],0
020DC2F6    0F84 D4010000   JE 020DC4D0
020DC2FC    817D 0C 0001000>CMP DWORD PTR SS:[EBP+C],100
020DC303    74 0D           JE SHORT 020DC312
020DC305    817D 0C 0101000>CMP DWORD PTR SS:[EBP+C],101
020DC30C    0F85 BE010000   JNZ 020DC4D0
020DC312    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC315    8379 10 20      CMP DWORD PTR DS:[ECX+10],20
020DC319    0F84 B1010000   JE 020DC4D0
020DC31F    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC322    8379 10 21      CMP DWORD PTR DS:[ECX+10],21
020DC326    0F84 A4010000   JE 020DC4D0
020DC32C    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC32F    8379 10 22      CMP DWORD PTR DS:[ECX+10],22
020DC333    0F84 97010000   JE 020DC4D0
020DC339    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC33C    8B51 24         MOV EDX,DWORD PTR DS:[ECX+24]
020DC33F    33C0            XOR EAX,EAX
020DC341    8A02            MOV AL,BYTE PTR DS:[EDX]
020DC343    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC346    3901            CMP DWORD PTR DS:[ECX],EAX
020DC348    0F82 82010000   JB 020DC4D0
/*经过一系列参数的比较来到这里注意下面*/
020DC34E    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4] //取出刚才的基址20DBF78
020DC351    8B42 24         MOV EAX,DWORD PTR DS:[EDX+24]//[20DBF78+0X24]
020DC354    33C9            XOR ECX,ECX
020DC356    8A48 01         MOV CL,BYTE PTR DS:[EAX+1]
020DC359    8B55 F8         MOV EDX,DWORD PTR SS:[EBP-8]
020DC35C    390A            CMP DWORD PTR DS:[EDX],ECX
020DC35E    0F87 6C010000   JA 020DC4D0
020DC364    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC367    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC369    81E1 FF000000   AND ECX,0FF
020DC36F    81F9 A0000000   CMP ECX,0A0
020DC375    0F84 55010000   JE 020DC4D0
020DC37B    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC37E    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC380    81E1 FF000000   AND ECX,0FF
020DC386    81F9 A1000000   CMP ECX,0A1
020DC38C    0F84 3E010000   JE 020DC4D0
020DC392    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC395    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC397    81E1 FF000000   AND ECX,0FF
020DC39D    81F9 A2000000   CMP ECX,0A2
020DC3A3    0F84 27010000   JE 020DC4D0
020DC3A9    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC3AC    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC3AE    81E1 FF000000   AND ECX,0FF
020DC3B4    81F9 A3000000   CMP ECX,0A3
020DC3BA    0F84 10010000   JE 020DC4D0
020DC3C0    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC3C3    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC3C5    81E1 FF000000   AND ECX,0FF
020DC3CB    81F9 A4000000   CMP ECX,0A4
020DC3D1    0F84 F9000000   JE 020DC4D0
020DC3D7    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC3DA    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC3DC    81E1 FF000000   AND ECX,0FF
020DC3E2    81F9 A5000000   CMP ECX,0A5
020DC3E8    0F84 E2000000   JE 020DC4D0
/*
      打字好麻烦我上面一段用伪代码来表示
       a=0x31;//我们按下的虚拟键1
      if(a==0||(a&0xff)==0xa1||(a&0xff)==0xa2||(a&0xff)==0xa3||(a&0xff)==0xa4||(a&0xff)==0xa5)
      {
           JMP 20DC4D0 这里调用 CallNextHookEx 钩子链下个钩子

      }

*/
020DC3EE    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC3F1    FF52 54         CALL DWORD PTR DS:[EDX+54]

020DC3F4    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC3F7    3B42 1C         CMP EAX,DWORD PTR DS:[EDX+1C]
020DC3FA    0F85 D0000000   JNZ 020DC4D0
/*继续比较窗口不是就跳
EDX=20dbf78刚才的基址
EDX+1C=QQ登陆框的句柄
EDX+18=QQ密码框的句柄
*/
020DC400    8365 CC 10      AND DWORD PTR SS:[EBP-34],10
020DC404    837D CC 00      CMP DWORD PTR SS:[EBP-34],0
020DC408    74 2C           JE SHORT 020DC436
/*这里跳到020DC436*/
020DC40A    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC40D    8B11            MOV EDX,DWORD PTR DS:[ECX]
020DC40F    52              PUSH EDX
020DC410    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
020DC413    8B48 0C         MOV ECX,DWORD PTR DS:[EAX+C]
020DC416    51              PUSH ECX
020DC417    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC41A    8B42 20         MOV EAX,DWORD PTR DS:[EDX+20]
020DC41D    8B08            MOV ECX,DWORD PTR DS:[EAX]
020DC41F    51              PUSH ECX
020DC420    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C]
020DC423    52              PUSH EDX
020DC424    E8 13FDFFFF     CALL 020DC13C
020DC429    85C0            TEST EAX,EAX
020DC42B    75 09           JNZ SHORT 020DC436
020DC42D    C745 E0 2200000>MOV DWORD PTR SS:[EBP-20],22
020DC434    EB 07           JMP SHORT 020DC43D

020DC436    C745 E0 2100000>MOV DWORD PTR SS:[EBP-20],21
020DC43D    C745 D0 0100000>MOV DWORD PTR SS:[EBP-30],1
020DC444    8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]
020DC447    833C87 00       CMP DWORD PTR DS:[EDI+EAX*4],0
020DC44B    75 2E           JNZ SHORT 020DC47B
020DC44D    8B45 F0         MOV EAX,DWORD PTR SS:[EBP-10]
020DC450    833C86 00       CMP DWORD PTR DS:[ESI+EAX*4],0
020DC454    75 25           JNZ SHORT 020DC47B
020DC456    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]//取基地址
020DC459    8B51 24         MOV EDX,DWORD PTR DS:[ECX+24]//取基地址+24
020DC45C    8BCA            MOV ECX,EDX //送到ECX
020DC45E    33C0            XOR EAX,EAX
020DC460    8A01            MOV AL,BYTE PTR DS:[ECX]
020DC462    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]//取KBDLLHOOKSTRUCT
020DC465    8B09            MOV ECX,DWORD PTR DS:[ECX]//取我们的虚拟键
020DC467    2BC8            SUB ECX,EAX
020DC469    81E1 FF000000   AND ECX,0FF
020DC46F    66:0FB65411 02  MOVZX DX,BYTE PTR DS:[ECX+EDX+2]
/*
这段是最终的结果啦 以我们的虚拟键为下标从 基地址+24下的地址再+2取出值(就是AS的38也就是8)
这下面是什么值呢我们看下图 看见吗就是我们所说的乱码啦
*/

020DC475    66:8955 D4      MOV WORD PTR SS:[EBP-2C],DX
/*
这个时候DX变成了38=[ECX+EDX+2]
ECX=我们按下的虚拟键 EDX=[20DBF78+24]*/

020DC479    EB 16           JMP SHORT 020DC491 //跳到20DC491
020DC47B    C745 E0 2000000>MOV DWORD PTR SS:[EBP-20],20
020DC482    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
020DC485    8B09            MOV ECX,DWORD PTR DS:[ECX]
020DC487    81E1 FF000000   AND ECX,0FF
020DC48D    66:894D D4      MOV WORD PTR SS:[EBP-2C],CX
/*跳到这里*/
020DC491    6A 00           PUSH 0
020DC493    0FB745 D4       MOVZX EAX,WORD PTR SS:[EBP-2C]
020DC497    50              PUSH EAX
020DC498    8B55 FC         MOV EDX,DWORD PTR SS:[EBP-4]
020DC49B    FF52 48         CALL DWORD PTR DS:[EDX+48]
/*这里调用MapVirtualKeyA函数转换虚拟键

*/
020DC49E    66:8945 D6      MOV WORD PTR SS:[EBP-2A],AX//保存其实这里[EBP-2A]是个结构我们往下看
020DC4A2    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
020DC4A5    8B48 0C         MOV ECX,DWORD PTR DS:[EAX+C]
020DC4A8    894D DC         MOV DWORD PTR SS:[EBP-24],ECX
020DC4AB    817D 0C 0101000>CMP DWORD PTR SS:[EBP+C],101
020DC4B2    75 07           JNZ SHORT 020DC4BB //这里跳啦
020DC4B4    C745 D8 0200000>MOV DWORD PTR SS:[EBP-28],2
/*这里就是最终结果啦*/
020DC4BB    6A 1C           PUSH 1C //结构大小cbSize  
020DC4BD    8D55 D0         LEA EDX,DWORD PTR SS:[EBP-30]
020DC4C0    52              PUSH EDX//就是[EBP-2A]是个结构  
020DC4C1    6A 01           PUSH 1//nInputs
020DC4C3    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
020DC4C6    FF50 4C         CALL DWORD PTR DS:[EAX+4C]//SendInput
/*
调用SendInput
typedef struct tagINPUT {
    DWORD   type;
    union
    {
        MOUSEINPUT      mi;
        KEYBDINPUT      ki;//TYPE为键盘时的结构typedef struct tagKEYBDINPUT {
                                           WORD    wVk;
                                           WORD    wScan;
                                           DWORD   dwFlags;
                                            DWORD   time;
                                           DWORD   dwExtraInfo;
}                                         KEYBDINPUT, *PKEYBDINPUT, FAR* LPKEYBDINPUT;

        HARDWAREINPUT   hi;
    };
} INPUT, *PINPUT, FAR* LPINPUT;<------[EBP-30]
我们开始输入的31 这个时候变成了38所以说很多情况下抓不到正确的数据
主要是通过这一系列的转换最终由SendInput结束。
MOVZX DX,BYTE PTR DS:[ECX+EDX+2] 这个是转换的关键,记得那个基地址很重要
*/
020DC4C9    B8 01000000     MOV EAX,1
020DC4CE    EB 69           JMP SHORT 020DC539//这里就跳到结束啦
020DC4D0    8B55 F8         MOV EDX,DWORD PTR SS:[EBP-8]
020DC4D3    8B02            MOV EAX,DWORD PTR DS:[EDX]
020DC4D5    C745 EC 0000000>MOV DWORD PTR SS:[EBP-14],0
020DC4DC    E8 0C000000     CALL 020DC4ED
020DC4E1    5D              POP EBP
020DC4E2    0000            ADD BYTE PTR DS:[EAX],AL
020DC4E4    0079 00         ADD BYTE PTR DS:[ECX],BH
020DC4E7    0000            ADD BYTE PTR DS:[EAX],AL
020DC4E9    0000            ADD BYTE PTR DS:[EAX],AL
020DC4EB    0000            ADD BYTE PTR DS:[EAX],AL
020DC4ED    5E              POP ESI
020DC4EE    8B4D EC         MOV ECX,DWORD PTR SS:[EBP-14]
020DC4F1    833C8E 00       CMP DWORD PTR DS:[ESI+ECX*4],0
020DC4F5    74 0A           JE SHORT 020DC501
020DC4F7    3B048E          CMP EAX,DWORD PTR DS:[ESI+ECX*4]
020DC4FA    74 05           JE SHORT 020DC501
020DC4FC    FF45 EC         INC DWORD PTR SS:[EBP-14]
020DC4FF  ^ EB ED           JMP SHORT 020DC4EE
020DC501    837D 08 00      CMP DWORD PTR SS:[EBP+8],0
020DC505    7C 19           JL SHORT 020DC520
020DC507    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC50A    8379 0C 00      CMP DWORD PTR DS:[ECX+C],0
020DC50E    74 10           JE SHORT 020DC520
020DC510    8B55 EC         MOV EDX,DWORD PTR SS:[EBP-14]
020DC513    833C96 00       CMP DWORD PTR DS:[ESI+EDX*4],0
020DC517    74 07           JE SHORT 020DC520
020DC519    B8 01000000     MOV EAX,1
020DC51E    EB 19           JMP SHORT 020DC539
020DC520    8B4D 10         MOV ECX,DWORD PTR SS:[EBP+10]
020DC523    51              PUSH ECX
020DC524    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C]
020DC527    52              PUSH EDX
020DC528    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]
020DC52B    50              PUSH EAX
020DC52C    8B4D FC         MOV ECX,DWORD PTR SS:[EBP-4]
020DC52F    8B51 14         MOV EDX,DWORD PTR DS:[ECX+14]
020DC532    52              PUSH EDX
020DC533    8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
020DC536    FF50 38         CALL DWORD PTR DS:[EAX+38]
020DC539    5F              POP EDI
020DC53A    5E              POP ESI
020DC53B    8BE5            MOV ESP,EBP
020DC53D    5D              POP EBP
020DC53E    C2 0C00         RETN 0C
        
            
由于时间比较匆忙只能写这么多啦,大家注意文中我说的那个基址很多函数的定位
和一些数据都靠它来定位。 还有一些内存校验呀,反调试功能等东西
下次有时间再写啦,如果有什么不对的地方,请大家指正,共同学习共同进步嘛!
我相信很多人能写出截取密码的代码,连我这么笨的人都能有几种方法截取,何况论坛上的大牛
们,所以代码我就不放上来啦,第一 怕一些人拿代码做些违法的事,我是以学习技术为主。
第二 我代码写得比较烂,不好意思拿出来丢人。所以大家谅解一下拉。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (10)
雪    币: 7892
活跃值: (2622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
学习一下...
2011-3-17 08:23
0
雪    币: 677
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
要发就发代码 顺便把发邮件的模块带上 如果有编译好的木马发上来就更好了  做了免杀的更好
2011-3-17 12:32
0
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
嗯 思路不错  BS某些人
2011-3-17 13:08
0
雪    币: 677
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
http://bbs.pediy.com/showthread.php?t=121438  人家把原理都给了吧
2011-3-17 13:43
0
雪    币: 172
活跃值: (212)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
写的很不错.
2011-3-18 19:29
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
谢谢分享,向你学习!
2011-3-20 20:05
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
8
设置条件断点  可否给个详细说明
2011-3-22 21:47
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
9
好贴 标记。。。
2011-3-22 22:01
0
雪    币: 437
活跃值: (110)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
10
帮顶一下。
2011-3-22 22:13
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习思路和分析方法, 感谢分享。
2011-8-22 20:45
0
游客
登录 | 注册 方可回帖
返回
//