[原创]密码控件安全技术浅析及攻击实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

103

[原创]密码控件安全技术浅析及攻击实例

发表于: 2013-7-14 16:09 39167

[原创]密码控件安全技术浅析及攻击实例

tishion

2013-7-14 16:09

39167

ntdll!DbgBreakPoint:
00000000`77410530 cc int 3
0:209> bp USER32!SetWindowsHookExW
0:209> g

(271c.4d7c): Break instruction exception - code 80000003 (first chance)
Breakpoint 0 hit
USER32!SetWindowsHookExW:
76d77603 8bff mov edi,edi
0:173:x86> kvn L10
# ChildEBP RetAddr Args to Child 
00 4000ba84 73e94267 0000000d [COLOR=red]5c1cca08 5c1c0000[/COLOR] USER32!SetWindowsHookExW (FPO: [Non-Fpo])
*** WARNING: Unable to verify checksum for npAliSecCtrl.DLL
*** ERROR: Symbol file could not be found. Defaulted to export symbols for npAliSecCtrl.DLL - 
01 4000bab4 5c1ccaf5 0000000d 5c1cca08 5c1c0000 IEShims!NS_SetWindowsHookEx::APIHook_SetWindowsHookExW+0x6b (FPO: [Non-Fpo])
WARNING: Stack unwind information not available. Following frames may be wrong.
02 4000bb04 5c1c62d2 00140154 [COLOR=red]00000007[/COLOR] 0014050a npAliSecCtrl!NP_Initialize+0x21c7
03 4000bb50 76d662fa 4e1c3070 00000007 0014050a npAliSecCtrl!NP_Shutdown+0x269a
04 4000bb7c 76d66d3a 05940920 00140154 [COLOR=red]00000007[/COLOR] USER32!InternalCallWinProc+0x23
05 4000bbf4 76d66de8 00000000 05940920 00140154 USER32!UserCallWinProcCheckWow+0x109 (FPO: [Non-Fpo])
06 4000bc50 76d66e44 010e22c0 00000000 00000007 USER32!DispatchClientMessage+0xe0 (FPO: [Non-Fpo])
07 4000bc8c 775b010a 4000bca4 00000000 4000bde0 USER32!__fnDWORD+0x2b (FPO: [Non-Fpo])
08 4000bcc4 5c1c9054 00140154 4e1c2f1c 00000001 ntdll_775a0000!KiUserCallbackDispatcher+0x2e (FPO: [0,0,0])
09 4000bcfc 5c1c5d79 0014050a 00000007 000c0822 npAliSecCtrl!NP_Shutdown+0x541c
0a 4000bd4c 76d662fa 4e1c2f1c 4000c01c 000c0822 npAliSecCtrl!NP_Shutdown+0x2141
0b 4000bd78 76d66d3a 05940d80 0014050a 00000007 USER32!InternalCallWinProc+0x23
0c 4000bdf0 76d66de8 00000000 05940d80 0014050a USER32!UserCallWinProcCheckWow+0x109 (FPO: [Non-Fpo])
0d 4000be4c 76d66e44 00e9fdf0 00000000 00000007 USER32!DispatchClientMessage+0xe0 (FPO: [Non-Fpo])
0e 4000be88 775b010a 4000bea0 00000000 4000bf38 USER32!__fnDWORD+0x2b (FPO: [Non-Fpo])
0f 4000bec0 5c1c6df4 0014050a 00000000 4e1c2ed4 ntdll_775a0000!KiUserCallbackDispatcher+0x2e (FPO: [0,0,0])

170:x86> bp USER32!SetWindowsHookExW ".printf \"Hit USER32!SetWindowsHookExW\\r\\n\"; g"
170:x86> bp USER32!NtUserUnhookWindowsHookEx ".printf \"Hit USER32!UnhookWindowsHookEx\\r\\n\"; g"
170:x86> bl
e x86 76d8f52b 0001 (0001) 0:**** USER32!NtUserUnhookWindowsHookEx ".printf \"Hit USER32!UnhookWindowsHookEx\\r\\n\"; g"
e x86 76d77603 0001 (0001) 0:**** USER32!SetWindowsHookExW ".printf \"Hit USER32!SetWindowsHookExW\\r\\n\"; g"
170:x86> g

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

#调试逆向

上传的附件：

image00001.jpg （18.14kb，34次下载）
image006.jpg （22.17kb，3次下载）
image008.jpg （63.58kb，50次下载）
image010.jpg （65.35kb，47次下载）
image00000.jpg （22.83kb，6次下载）
SWHEMonitor.7z （27.22kb，385次下载）
image011.jpg （198.20kb，496次下载）
GIF图.7z （2.01MB，688次下载）

收藏・103

免费・5

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 05:40

QinBeast

为你点赞~

2024-5-31 05:32

飘零丶

为你点赞~

2024-4-3 00:41

shinratensei

为你点赞~

2024-2-17 00:50

PLEBFE

为你点赞~

2023-3-7 00:30

最新回复 (72) 1 2 3 ▶
Rookietp 雪币： 1042 活跃值： (630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 798 粉丝 2 关注私信	Rookietp 2 楼精华好文，坐沙发~ 2013-7-14 16:34 0
小试锋芒雪币： 558 活跃值： (117) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	小试锋芒 2 3 楼此贴必火啊~ 2013-7-14 16:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 4 楼指出一个小小错误，qq不是修改WM_KEYDOWN，而是使用WH_KEYBOARD_LL钩子截获所有的键盘消息并且使用NtSendInput随机模拟按键。 2013-7-14 16:49 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼嗯，具体我就没分析过，受教了。 2013-7-14 16:51 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼其实记录支x宝可以从网页上着手攥改一下页面中的CryptoMode值即可…… 2013-7-14 17:13 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 7 楼坐等律师涵 2013-7-14 17:14 0
我是小三雪币： 3880 活跃值： (6634) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 274 关注私信	我是小三 11 8 楼不错。分析得很有感觉。。 2013-7-14 17:31 0
yijun8354 雪币： 1925 活跃值： (906) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 9 楼学习了，不错~~ 2013-7-14 19:14 0
hgkj 雪币： 763 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	hgkj 10 楼学习了，，不错分析的。。 2013-7-14 22:10 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 11 楼大神哈，扣扣貌似是SendInput做的干扰 2013-7-14 22:19 0
zhczf 雪币： 11792 活跃值： (18643) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 425 粉丝 0 关注私信	zhczf 12 楼楼主是安全界的高手啊，牛人啊，来支持啊 2013-7-14 22:31 0
HOWMP 雪币： 3507 活跃值： (3404) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 13 楼膜拜123456，分析的好 2013-7-14 22:47 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 14 楼法涵太可恶了 2013-7-14 23:04 0
jylaxp 雪币： 108 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jylaxp 15 楼 Mark一下，学习 2013-7-14 23:19 0
tihty 雪币： 27 活跃值： (122) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 16 楼 tishion兄的好贴 2013-7-14 23:24 0
BlackSnake 雪币： 93 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	BlackSnake 1 17 楼大牛，参拜一下... 2013-7-15 00:07 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 18 楼表示木拜各种受教 2013-7-15 02:58 0
evilor 雪币： 297 活跃值： (300) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 662 粉丝 2 关注私信	evilor 19 楼为了避免律师函，还是选择支x宝吧宝。。。。 2013-7-15 09:12 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 20 楼不过即使加一个调试钩子，也并不是毫无破绽的调试钩子也是在ll钩子后面的。他只能调试非底层钩子。 2013-7-15 10:47 0
zyicai 雪币： 453 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 21 楼受教了。 2013-7-15 12:07 0
涅槃小鸟雪币： 54 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 96 粉丝 0 关注私信	涅槃小鸟 22 楼精华，干货啊 2013-7-15 17:08 0
PPTV 雪币： 10090 活跃值： (2947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 162 粉丝 0 关注私信	PPTV 23 楼分析的很详细！！！ 2013-7-15 23:44 0
nicaicaiwo 雪币： 1552 活跃值： (1288) 能力值： ( LV9，RANK：160 ) 在线值：发帖 26 回帖 65 粉丝 10 关注私信	nicaicaiwo 2 24 楼应该在驱动层，中断，ioapic,来做安全防护，越底层越好 2013-7-15 23:58 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 25 楼膜拜之。唔~求带 tishion哥 2013-7-16 00:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tishion

发帖

319

回帖

400

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (72) 1 2 3 ▶
Rookietp 雪币： 1042 活跃值： (630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 798 粉丝 2 关注私信	Rookietp 2 楼精华好文，坐沙发~ 2013-7-14 16:34 0
小试锋芒雪币： 558 活跃值： (117) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 41 粉丝 0 关注私信	小试锋芒 2 3 楼此贴必火啊~ 2013-7-14 16:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 4 楼指出一个小小错误，qq不是修改WM_KEYDOWN，而是使用WH_KEYBOARD_LL钩子截获所有的键盘消息并且使用NtSendInput随机模拟按键。 2013-7-14 16:49 0
tishion 雪币： 496 活跃值： (311) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼嗯，具体我就没分析过，受教了。 2013-7-14 16:51 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼其实记录支x宝可以从网页上着手攥改一下页面中的CryptoMode值即可…… 2013-7-14 17:13 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 7 楼坐等律师涵 2013-7-14 17:14 0
我是小三雪币： 3880 活跃值： (6634) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 274 关注私信	我是小三 11 8 楼不错。分析得很有感觉。。 2013-7-14 17:31 0
yijun8354 雪币： 1925 活跃值： (906) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 9 楼学习了，不错~~ 2013-7-14 19:14 0
hgkj 雪币： 763 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 84 粉丝 0 关注私信	hgkj 10 楼学习了，，不错分析的。。 2013-7-14 22:10 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 11 楼大神哈，扣扣貌似是SendInput做的干扰 2013-7-14 22:19 0
zhczf 雪币： 11792 活跃值： (18643) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 425 粉丝 0 关注私信	zhczf 12 楼楼主是安全界的高手啊，牛人啊，来支持啊 2013-7-14 22:31 0
HOWMP 雪币： 3507 活跃值： (3404) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 13 楼膜拜123456，分析的好 2013-7-14 22:47 0
ygd 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	ygd 14 楼法涵太可恶了 2013-7-14 23:04 0
jylaxp 雪币： 108 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jylaxp 15 楼 Mark一下，学习 2013-7-14 23:19 0
tihty 雪币： 27 活跃值： (122) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 16 楼 tishion兄的好贴 2013-7-14 23:24 0
BlackSnake 雪币： 93 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	BlackSnake 1 17 楼大牛，参拜一下... 2013-7-15 00:07 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 18 楼表示木拜各种受教 2013-7-15 02:58 0
evilor 雪币： 297 活跃值： (300) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 662 粉丝 2 关注私信	evilor 19 楼为了避免律师函，还是选择支x宝吧宝。。。。 2013-7-15 09:12 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 20 楼不过即使加一个调试钩子，也并不是毫无破绽的调试钩子也是在ll钩子后面的。他只能调试非底层钩子。 2013-7-15 10:47 0
zyicai 雪币： 453 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 21 楼受教了。 2013-7-15 12:07 0
涅槃小鸟雪币： 54 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 96 粉丝 0 关注私信	涅槃小鸟 22 楼精华，干货啊 2013-7-15 17:08 0
PPTV 雪币： 10090 活跃值： (2947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 162 粉丝 0 关注私信	PPTV 23 楼分析的很详细！！！ 2013-7-15 23:44 0
nicaicaiwo 雪币： 1552 活跃值： (1288) 能力值： ( LV9，RANK：160 ) 在线值：发帖 26 回帖 65 粉丝 10 关注私信	nicaicaiwo 2 24 楼应该在驱动层，中断，ioapic,来做安全防护，越底层越好 2013-7-15 23:58 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 25 楼膜拜之。唔~求带 tishion哥 2013-7-16 00:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]密码控件安全技术浅析及攻击实例

账号登录 验证码登录

账号登录

验证码登录