[求助]奇怪的键盘记录－向高手请教-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼按钮事件地址 00402538 . 53 PUSH EBX 然后跳到这里 00E8CE0E B8 EB110000 MOV EAX,11EB 00E8CE13 BA 0003FE7F MOV EDX,7FFE0300 00E8CE18 FF12 CALL DWORD PTR DS:[EDX] 00E8CE1A C2 0C00 RETN 0C 进入内核，11EB不知道是什么,lx继续 2012-4-27 14:28 0
zhxfl 雪币： 145 活跃值： (105) 能力值： ( LV7，RANK：110 ) 在线值：发帖 33 回帖 108 粉丝 1 关注私信	zhxfl 2 3 楼 SetWindowsHookEx不是唯一方法 2012-4-27 15:03 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 4 楼能不能指点一下，你是怎么找到这个处理函数的，我只找到了消息处理函数，不知道怎么找到这个按钮的处理函数的 2012-4-27 22:44 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 5 楼这个程序是以什么方式获取的键盘输入，能否指点下 2012-4-27 22:52 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 6 楼通过RegisterRawInputDevices进行注册，注册后可以在消息过程中处理WM_INPUT消息，调用GetRawInputData可以得到按键记录。但这种方法比较上层的，得不到QQ的密码输入。。。 2012-4-28 09:01 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 7 楼我追到代码上看到调用了一个ntDll.KiFastSystemCall后记录就生效了，KiFastSystemCall和RegisterRawInputDevices有什么吗，我下的RegisterRawInputDevices函数断点没断下来是怎么回事？ 2012-4-28 09:52 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 8 楼跟踪程序发现下图中所示的疑惑，请高手指点下上传的附件： question.JPG （50.80kb，294次下载） 2012-4-28 10:24 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 9 楼我发现为什么下RegisterRawInputDevices断点，断不下来了，发现实现RegisterRawInputDevices函数的地方有两个，产生了疑惑，请指点下，疑惑在下图 2012-4-28 10:27 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 10 楼原始输入方式截获键盘输入信息，在r3下算是比较底层的了，我这有demo需要不 2012-4-28 10:44 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 11 楼 0x0040225D->mov RegisterRawInputDevices, eax eax为RegisterRawInputDevices地址，在eax所指向的地址下断点就可以断下来。 2012-4-28 12:36 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 12 楼如果方便你可以发我邮箱吗？我主要想看看怎么能使这个程序失效。 2012-4-28 16:03 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 13 楼 402255 call keyboard.00401c64是不是把RegisterRawInputDevices函数读取到F4C9AA了，这样也就解释了为什么我在上边问的有两个RegisterRawInputDevices这个函数的地址的问题了？还望指教另外F4C9AA在什么地方，我怎么在汇编窗口和数据窗口都找不到,我跟到F4C9AA这段代码时，程序领空好像进入“主线程”，是怎么回事，如下图当进入F4C9AA时od 标题从原来的变为上传的附件： ss2.JPG （269.71kb，55次下载） ss3.JPG （15.99kb，150次下载） ss4.JPG （15.79kb，153次下载） 2012-4-28 16:27 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 14 楼有两个有什么奇怪了，主程序模拟了那段指令而已，你下断只能断到USER里的那个函数。记得某大牛分析QQ的时候，就是模拟了一个SetWindowsHookEx函数。 2012-4-29 00:07 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 15 楼数字就能拦截到，应该是在内核拦截的。 2012-4-29 00:09 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 16 楼如果是模拟就不奇怪了，我看了两个地方指令完全相同，我看这个地方（如图）应该是把RegisterRawInputDevides读取到了F4C9AA。不知道高人分析这段程序没 2012-5-7 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼按钮事件地址 00402538 . 53 PUSH EBX 然后跳到这里 00E8CE0E B8 EB110000 MOV EAX,11EB 00E8CE13 BA 0003FE7F MOV EDX,7FFE0300 00E8CE18 FF12 CALL DWORD PTR DS:[EDX] 00E8CE1A C2 0C00 RETN 0C 进入内核，11EB不知道是什么,lx继续 2012-4-27 14:28 0
zhxfl 雪币： 145 活跃值： (105) 能力值： ( LV7，RANK：110 ) 在线值：发帖 33 回帖 108 粉丝 1 关注私信	zhxfl 2 3 楼 SetWindowsHookEx不是唯一方法 2012-4-27 15:03 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 4 楼能不能指点一下，你是怎么找到这个处理函数的，我只找到了消息处理函数，不知道怎么找到这个按钮的处理函数的 2012-4-27 22:44 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 5 楼这个程序是以什么方式获取的键盘输入，能否指点下 2012-4-27 22:52 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 6 楼通过RegisterRawInputDevices进行注册，注册后可以在消息过程中处理WM_INPUT消息，调用GetRawInputData可以得到按键记录。但这种方法比较上层的，得不到QQ的密码输入。。。 2012-4-28 09:01 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 7 楼我追到代码上看到调用了一个ntDll.KiFastSystemCall后记录就生效了，KiFastSystemCall和RegisterRawInputDevices有什么吗，我下的RegisterRawInputDevices函数断点没断下来是怎么回事？ 2012-4-28 09:52 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 8 楼跟踪程序发现下图中所示的疑惑，请高手指点下上传的附件： question.JPG （50.80kb，294次下载） 2012-4-28 10:24 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 9 楼我发现为什么下RegisterRawInputDevices断点，断不下来了，发现实现RegisterRawInputDevices函数的地方有两个，产生了疑惑，请指点下，疑惑在下图 2012-4-28 10:27 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 10 楼原始输入方式截获键盘输入信息，在r3下算是比较底层的了，我这有demo需要不 2012-4-28 10:44 0
bagempty 雪币： 388 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 18 回帖 335 粉丝 0 关注私信	bagempty 11 楼 0x0040225D->mov RegisterRawInputDevices, eax eax为RegisterRawInputDevices地址，在eax所指向的地址下断点就可以断下来。 2012-4-28 12:36 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 12 楼如果方便你可以发我邮箱吗？我主要想看看怎么能使这个程序失效。 2012-4-28 16:03 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 13 楼 402255 call keyboard.00401c64是不是把RegisterRawInputDevices函数读取到F4C9AA了，这样也就解释了为什么我在上边问的有两个RegisterRawInputDevices这个函数的地址的问题了？还望指教另外F4C9AA在什么地方，我怎么在汇编窗口和数据窗口都找不到,我跟到F4C9AA这段代码时，程序领空好像进入“主线程”，是怎么回事，如下图当进入F4C9AA时od 标题从原来的变为上传的附件： ss2.JPG （269.71kb，55次下载） ss3.JPG （15.99kb，150次下载） ss4.JPG （15.79kb，153次下载） 2012-4-28 16:27 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 14 楼有两个有什么奇怪了，主程序模拟了那段指令而已，你下断只能断到USER里的那个函数。记得某大牛分析QQ的时候，就是模拟了一个SetWindowsHookEx函数。 2012-4-29 00:07 0
HOWMP 雪币： 2815 活跃值： (2608) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 15 楼数字就能拦截到，应该是在内核拦截的。 2012-4-29 00:09 0
lancer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	lancer 16 楼如果是模拟就不奇怪了，我看了两个地方指令完全相同，我看这个地方（如图）应该是把RegisterRawInputDevides读取到了F4C9AA。不知道高人分析这段程序没 2012-5-7 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复