[原创]在逆向一个核武级的木马时得到的秘密-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]在逆向一个核武级的木马时得到的秘密 0.00雪花

发表于: 2008-2-28 11:18 10612

[旧帖] [原创]在逆向一个核武级的木马时得到的秘密 0.00雪花

俏狐

2008-2-28 11:18

10612

它是一个在网上未公开的重量级的专门针对QQ2008的盗号木马,基本原理是这样的

1、通过枚举窗口,得到含有QQ相关标记的窗口,如果QQ对窗口caption加密则再枚举每个窗口的控件,如果发现控件中有三处以上的QQ窗口标记,则取父类句柄,一定是QQ窗口句柄.
2、在计时器里循环查得到句柄的窗口左上角坐标,画一个什么都不显的透明窗体,在一定常量偏移处的重画透明控件（主要是用户名和密码框)
3、这样当你QQ登录框出现后,你所有的用户名和密码输入是在木马的窗口进行的,而不是原来的QQ登录框(太历害了)，输完之后摸拟QQ提示密码错，自己则保存密码后把控制权交QQ程序本身.

通过以上原理发现,这重盗号思路适合所有要求输入密码的PE程序,很可怕.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・6

免费・0

支持

最新回复 (25) 1 2 ▶
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 2 楼附加窗口主动防御好像能检测到能共享程序看看吗或者你给出一个防止这样手法的方法建议！ 2008-2-28 11:31 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼一个惊天秘密 2008-2-28 12:02 0
wjswjsok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjswjsok 4 楼有没有防范的方法没？ 2008-2-28 12:09 0
学习者wort 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	学习者wort 5 楼没有多少实际的内容！ 2008-2-28 13:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼仿佛回到了2000年 2008-2-28 14:32 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 7 楼呵呵，作者太有才了 2008-2-28 16:11 0
andrewprc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	andrewprc 8 楼不相信！它要取得用户的输入就一定要有输入焦点，即它的窗口要激活。 WINDOWS只能有一个窗口在激活状态，没激活的窗口是灰的。所以用户很容易发现当前输入窗口并不是QQ的。 2008-2-28 16:37 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 9 楼很久很久前就见过类似的东东原理很像 2008-2-28 19:17 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 10 楼糟糕，被揭穿了。 2008-2-28 20:12 0
暗淡雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	暗淡 11 楼通过扑捉句丙高 2008-2-29 06:43 0
uncledo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	uncledo 12 楼通过窗口子类化，老早就有人提出来了。ring3 下通用的万能方法，防不住呀。。。 2008-2-29 09:43 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 13 楼路过```` 2008-2-29 18:34 0
askew 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	askew 14 楼那还不如循环检测QQ的窗口句柄，如果发现则隐藏，然后调用自己程序实现的窗口，判断输入，然后提示密码错误，在运行真正的QQ程序。。 2008-2-29 23:03 0
非法用户雪币： 205 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	非法用户 15 楼这些都没什么意思~~那是N年前的东西了~~现在只是加多防杀软的功能而已~ 2008-3-2 11:25 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 16 楼那既然这么危险,就用我写的这个工具吧,自动登陆QQ的,连输入密码都省了... 上传的附件： QQ自动登陆生成器.rar （32.52kb，21次下载） 2008-3-2 11:38 0
kangroo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	kangroo 17 楼晕，标题写的这么新意，进来看看空洞乏味，明显调人胃口，我还以为什么惊人发现呢。 2008-3-2 18:32 0
xinhuadlk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xinhuadlk 18 楼缺乏新鲜感土 2008-3-2 20:23 0
assistx 雪币： 400 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	assistx 19 楼思路不错。。。 2008-3-2 21:17 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 20 楼很有意思。呵呵。 2008-3-2 22:14 0
lsKaKaXi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	lsKaKaXi 21 楼出现N久了吧~~ 2008-3-3 13:25 0
俏狐雪币： 1889 活跃值： (193) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 141 粉丝 1 关注私信	俏狐 22 楼熊猫烧香病毒里面的各种思路也出现很久了,但经过作者改后,当时几乎杀死了所有杀软,不是老的知识就是没用的知识,我没贴一句代码的原因,只是说思路,一个软件的好坏,不是说代码如何,关键是看它的算法和思路,在可以预见的未来,算法仍然是程序的灵魂. 熊猫烧香如果这样改,就会更历害. 检查所有盘符的ghost文件,如果找到则把算法关键比较部分覆盖掉,让gho文件失效,测文件大小, 坏破或删除所以超过500M的文件,关联doc,xls,txt,com.scr和exe到毒病文件,捕获所有双面盘符事件,关且指向毒病执行件,让exe和dll里面都有病毒体，加壳免杀后且相互检测,同时同时在同命运运行.如果升级版的熊猫烧香能做到,很多人都会哭,不要以为所有用户都是逆向高手可以手工杀毒. 2008-3-5 07:30 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 23 楼人不要那么坏吧，问题是，你破坏人家的数据，你也没捞到什么好处。破坏不体现技术，窃取才是真正可怕的事 2008-4-29 10:51 0
dzhsurf 雪币： 261 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	dzhsurf 24 楼熊猫烧香即便这么改也不见得厉害多少，它的隐蔽性并没有增强，只是要删除它变得繁琐而已。如果系统被折腾成这样的话，重装就好了.... 关于盗号的，我有一点想法，例如检测qq的运行，然后截获它发送的消息，这里面肯定有用户名与密码的信息不论是否自动登录，不过信息的处理与解密并不是一件容易的事。 2008-4-29 14:01 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 25 楼 ring0级钩挂拦截键盘输入好像也没有什么新意，但效果好像可以的。呵呵闪人 2008-4-29 17:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

俏狐

发帖

141

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 2 楼附加窗口主动防御好像能检测到能共享程序看看吗或者你给出一个防止这样手法的方法建议！ 2008-2-28 11:31 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼一个惊天秘密 2008-2-28 12:02 0
wjswjsok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjswjsok 4 楼有没有防范的方法没？ 2008-2-28 12:09 0
学习者wort 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	学习者wort 5 楼没有多少实际的内容！ 2008-2-28 13:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼仿佛回到了2000年 2008-2-28 14:32 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 7 楼呵呵，作者太有才了 2008-2-28 16:11 0
andrewprc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	andrewprc 8 楼不相信！它要取得用户的输入就一定要有输入焦点，即它的窗口要激活。 WINDOWS只能有一个窗口在激活状态，没激活的窗口是灰的。所以用户很容易发现当前输入窗口并不是QQ的。 2008-2-28 16:37 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 9 楼很久很久前就见过类似的东东原理很像 2008-2-28 19:17 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 10 楼糟糕，被揭穿了。 2008-2-28 20:12 0
暗淡雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	暗淡 11 楼通过扑捉句丙高 2008-2-29 06:43 0
uncledo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	uncledo 12 楼通过窗口子类化，老早就有人提出来了。ring3 下通用的万能方法，防不住呀。。。 2008-2-29 09:43 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 13 楼路过```` 2008-2-29 18:34 0
askew 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	askew 14 楼那还不如循环检测QQ的窗口句柄，如果发现则隐藏，然后调用自己程序实现的窗口，判断输入，然后提示密码错误，在运行真正的QQ程序。。 2008-2-29 23:03 0
非法用户雪币： 205 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	非法用户 15 楼这些都没什么意思~~那是N年前的东西了~~现在只是加多防杀软的功能而已~ 2008-3-2 11:25 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 16 楼那既然这么危险,就用我写的这个工具吧,自动登陆QQ的,连输入密码都省了... 上传的附件： QQ自动登陆生成器.rar （32.52kb，21次下载） 2008-3-2 11:38 0
kangroo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	kangroo 17 楼晕，标题写的这么新意，进来看看空洞乏味，明显调人胃口，我还以为什么惊人发现呢。 2008-3-2 18:32 0
xinhuadlk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xinhuadlk 18 楼缺乏新鲜感土 2008-3-2 20:23 0
assistx 雪币： 400 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	assistx 19 楼思路不错。。。 2008-3-2 21:17 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 20 楼很有意思。呵呵。 2008-3-2 22:14 0
lsKaKaXi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	lsKaKaXi 21 楼出现N久了吧~~ 2008-3-3 13:25 0
俏狐雪币： 1889 活跃值： (193) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 141 粉丝 1 关注私信	俏狐 22 楼熊猫烧香病毒里面的各种思路也出现很久了,但经过作者改后,当时几乎杀死了所有杀软,不是老的知识就是没用的知识,我没贴一句代码的原因,只是说思路,一个软件的好坏,不是说代码如何,关键是看它的算法和思路,在可以预见的未来,算法仍然是程序的灵魂. 熊猫烧香如果这样改,就会更历害. 检查所有盘符的ghost文件,如果找到则把算法关键比较部分覆盖掉,让gho文件失效,测文件大小, 坏破或删除所以超过500M的文件,关联doc,xls,txt,com.scr和exe到毒病文件,捕获所有双面盘符事件,关且指向毒病执行件,让exe和dll里面都有病毒体，加壳免杀后且相互检测,同时同时在同命运运行.如果升级版的熊猫烧香能做到,很多人都会哭,不要以为所有用户都是逆向高手可以手工杀毒. 2008-3-5 07:30 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 23 楼人不要那么坏吧，问题是，你破坏人家的数据，你也没捞到什么好处。破坏不体现技术，窃取才是真正可怕的事 2008-4-29 10:51 0
dzhsurf 雪币： 261 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	dzhsurf 24 楼熊猫烧香即便这么改也不见得厉害多少，它的隐蔽性并没有增强，只是要删除它变得繁琐而已。如果系统被折腾成这样的话，重装就好了.... 关于盗号的，我有一点想法，例如检测qq的运行，然后截获它发送的消息，这里面肯定有用户名与密码的信息不论是否自动登录，不过信息的处理与解密并不是一件容易的事。 2008-4-29 14:01 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 25 楼 ring0级钩挂拦截键盘输入好像也没有什么新意，但效果好像可以的。呵呵闪人 2008-4-29 17:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复