[讨论]关于QQ2013正式版盗号-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于QQ2013正式版盗号

发表于: 2013-8-29 14:08 38230

[讨论]关于QQ2013正式版盗号

yugangyi

2013-8-29 14:08

38230

最近看了一些QQ盗号的一些分析资料，好像2013正式版，那些方案都不可行了。

2010年的时候，想到了从rong0（驱动）下手拦截密码数据，一直没去尝试。最近重新捡起来去试了一下，并写了一套拦截代码，证实方案是可行的。
从ring0拦截，还需要ring3做配合，才能判断出正确的待截获数据。

QQ2013正式版，破坏全局钩子的思路已经不行了。而且现在QQ的登录窗口采用双进程模式，登录成功后，QQ号所对应进程会退出。

为了不造成麻烦，这里不公开放出源码。

有时候发现兴趣真的是一种很好的驱动力，虽然早就不做安全这行了，但还是玩心很大。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・4

免费・0

支持

最新回复 (42) 1 2 ▶
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼汗死……啥都没有……您是… 用驱动没意思…… 2013-8-29 14:51 0
shuichon 雪币： 6934 活跃值： (2760) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 240 粉丝 1 关注私信	shuichon 3 楼你是在逗我们吗？我和我的小伙伴都惊呆了， 2013-8-29 15:36 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 4 楼呵呵，如果你是经常研究QQ盗号技术，我说的东西，非常容易理解。这个论坛有很多人做出过很多非常有价值的研究。我何必再重复。 2013-8-29 15:55 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 5 楼将来32位系统用户越来越少，用驱动始终不是个好办法。。。如果有不用驱动的就爽了，就不用那么麻烦了 2013-8-29 15:58 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 6 楼用驱动去拦截按键信息，并不是去读取内存数据，是否32位，没影响的。 2013-8-29 16:03 0
leeing 雪币： 1484 活跃值： (1145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	leeing 7 楼实际测试可行么。。还是只是理论上的。。 2013-8-29 23:56 0
雨之后雪币： 6 活跃值： (1282) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 173 粉丝 12 关注私信	雨之后 8 楼纳尼，只要QQ在r3下加密，那么就能在r3下获取密码，只不过我快开学了，给妹子准备礼物，没时间破解了。。 2013-8-30 00:20 0
zxiso 雪币： 302 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	zxiso 9 楼 64加驱麻烦。。。有什么好办法不要签名吗？ 2013-8-30 00:29 0
秦虞。雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	秦虞。 10 楼大神级别的人物，只能感慨 2013-8-30 00:33 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 11 楼最关键的是签名 2013-8-30 10:35 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼 qq保护在r3下有无数方法完虐……完全没必要用驱动…… 2013-8-30 11:12 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 13 楼 2010年的时候，觉得理论上可行，直到最近才去测试，测试后是可行的。我又不是整天搞这些事情的人 2013-8-30 12:25 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 14 楼希望你能找到一种r3下的方法，对2013正式版，一定的正式版，不是beta n版，然后拿来分享一下，这个帖子本来就是一个探讨帖子。 2013-8-30 12:28 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼应该是通杀，我认为……至少在我的电脑上2013正式版和腾讯tm都可以而且貌似这技术还是08年发现的…… 其实这个方法msdn里讲过…… 2013-8-30 12:39 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 16 楼思路是什么，不需要提供代码 2013-8-30 12:46 0
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 17 楼注入是1个好办法，乐此不疲 2013-8-30 12:52 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 18 楼注入，找数据地址，那个太费时间了，而且qq 一更新，又得重新找 2013-8-30 13:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼不需要注入全局hook即可建议你多看看微软关于消息钩子的介绍……有惊喜 2013-8-30 14:54 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 20 楼这个思路，早就有人尝试了，看论坛里面如下链接中的资料： http://bbs.pediy.com/showthread.php?t=143216 http://bbs.pediy.com/showthread.php?t=109207 我02年的时候，就写过钩子代码 2013-8-30 15:43 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 21 楼不是那种方法……那种方法都需要修改内存，现在已经无效了其实根本就不需要修改内存…… 2013-8-30 19:14 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 22 楼方法有N多 2013-8-30 19:25 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 23 楼不需要修改内存，键盘钩子 2013-8-30 19:54 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 24 楼直接用消息钩子行不通的……要特殊处理…… 2013-8-30 21:06 0
雨之后雪币： 6 活跃值： (1282) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 173 粉丝 12 关注私信	雨之后 25 楼表示今天下载qq正式版，在开学前研究研究 2013-8-31 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yugangyi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼汗死……啥都没有……您是… 用驱动没意思…… 2013-8-29 14:51 0
shuichon 雪币： 6934 活跃值： (2760) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 240 粉丝 1 关注私信	shuichon 3 楼你是在逗我们吗？我和我的小伙伴都惊呆了， 2013-8-29 15:36 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 4 楼呵呵，如果你是经常研究QQ盗号技术，我说的东西，非常容易理解。这个论坛有很多人做出过很多非常有价值的研究。我何必再重复。 2013-8-29 15:55 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 5 楼将来32位系统用户越来越少，用驱动始终不是个好办法。。。如果有不用驱动的就爽了，就不用那么麻烦了 2013-8-29 15:58 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 6 楼用驱动去拦截按键信息，并不是去读取内存数据，是否32位，没影响的。 2013-8-29 16:03 0
leeing 雪币： 1484 活跃值： (1145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	leeing 7 楼实际测试可行么。。还是只是理论上的。。 2013-8-29 23:56 0
雨之后雪币： 6 活跃值： (1282) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 173 粉丝 12 关注私信	雨之后 8 楼纳尼，只要QQ在r3下加密，那么就能在r3下获取密码，只不过我快开学了，给妹子准备礼物，没时间破解了。。 2013-8-30 00:20 0
zxiso 雪币： 302 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	zxiso 9 楼 64加驱麻烦。。。有什么好办法不要签名吗？ 2013-8-30 00:29 0
秦虞。雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	秦虞。 10 楼大神级别的人物，只能感慨 2013-8-30 00:33 0
renpl 雪币： 63 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	renpl 11 楼最关键的是签名 2013-8-30 10:35 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼 qq保护在r3下有无数方法完虐……完全没必要用驱动…… 2013-8-30 11:12 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 13 楼 2010年的时候，觉得理论上可行，直到最近才去测试，测试后是可行的。我又不是整天搞这些事情的人 2013-8-30 12:25 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 14 楼希望你能找到一种r3下的方法，对2013正式版，一定的正式版，不是beta n版，然后拿来分享一下，这个帖子本来就是一个探讨帖子。 2013-8-30 12:28 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼应该是通杀，我认为……至少在我的电脑上2013正式版和腾讯tm都可以而且貌似这技术还是08年发现的…… 其实这个方法msdn里讲过…… 2013-8-30 12:39 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 16 楼思路是什么，不需要提供代码 2013-8-30 12:46 0
东方容克雪币： 90 活跃值： (82) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 144 粉丝 1 关注私信	东方容克 17 楼注入是1个好办法，乐此不疲 2013-8-30 12:52 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 18 楼注入，找数据地址，那个太费时间了，而且qq 一更新，又得重新找 2013-8-30 13:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼不需要注入全局hook即可建议你多看看微软关于消息钩子的介绍……有惊喜 2013-8-30 14:54 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 20 楼这个思路，早就有人尝试了，看论坛里面如下链接中的资料： http://bbs.pediy.com/showthread.php?t=143216 http://bbs.pediy.com/showthread.php?t=109207 我02年的时候，就写过钩子代码 2013-8-30 15:43 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 21 楼不是那种方法……那种方法都需要修改内存，现在已经无效了其实根本就不需要修改内存…… 2013-8-30 19:14 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 22 楼方法有N多 2013-8-30 19:25 0
yugangyi 雪币： 127 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 48 粉丝 0 关注私信	yugangyi 2 23 楼不需要修改内存，键盘钩子 2013-8-30 19:54 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 24 楼直接用消息钩子行不通的……要特殊处理…… 2013-8-30 21:06 0
雨之后雪币： 6 活跃值： (1282) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 173 粉丝 12 关注私信	雨之后 25 楼表示今天下载qq正式版，在开学前研究研究 2013-8-31 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复