?

免費教程_免費網賺教程_破解版軟件-寂涯網絡學習基地

當前位置: 主頁 > 系統綜合 > qq相關 > 淺談QQ密碼保護原理

淺談QQ密碼保護原理

時間:2011-11-09 13:59來源:未知 整理:寂涯網絡 點擊:

QQ 是大家常用的通訊工具之一,所以針對QQ 的盜號木馬也非常多,所以騰訊也做出了
相應的反擊,2005 年騰訊購買韓國人的技術對QQ的登錄對話框的密碼輸入框采用了驅動程
序進行保護,但是因為設計驅動的安裝,導致了軟硬件不兼容的問題,07 年的時候也就放
棄了。
目前我們就以 QQ2010 為例,當我們用 WH_ WH_KEYBOARD 的鉤子來掛鉤系統進行鍵盤記
錄的時候,我們可以試一下密碼輸入框中是記錄不到任何鍵盤輸入的,但是用
WH_KEYBOARD_LL 就可以記錄到一些鍵盤輸入,但是認真對比就會發現記錄的這些輸入是錯
的,這是為什么呢?
經過思考和驗證,目前的 QQ2010 安裝目錄中并沒有驅動,所以也就不可能將密碼保護
進行到驅動級別,問題還是出在 R3 下,QQ 肯定是利用了某些 R3 下的比 WH_ WH_KEYBOARD
更為底層的鉤子,或者管理鉤子的鉤子,有了這個猜測思路就明確了,首先看看 QQ 安裝了
哪些鉤子吧,我找了一款小工具可以查看卸載鉤子,很方便(在附帶的文件里)。結果如下
圖:  

我們可以看到QQ 安裝了兩個重要的鉤子WH_DEBUG和 WHKEYBOARD_LL,原來,WH_DEBUG
可以用來管理很多種類型的鉤子,有這么多種:
 WH_CALLWNDPROC 
WH_CALLWNDPROCRET 
WH_CBT 
WH_DEBUG 
WH_JOURNALPLAYBACK
WHJOURNALRECORD

WH_KEYBOARD 
WH_MOUSE 
WH_MSGFILTER  
WH_SHELL 
WHSYSMSGFILTER  

在這些鉤子的鉤子過程將要被系統調用的時候,系統總是先執行調試鉤子的鉤子過程。
而 MS的這個調試鉤子,允許我們決定是否執行這些被管理的鉤子。 當我們卸載掉WH_DEBUG,
WH_ WH_KEYBOARD就能輕松記錄下鍵盤輸入,這也就難怪我們安裝的WH_KEYBOARD不能到達
目的的原因了,至于為什么 WHKEYBOARD_LL 可以記錄到鍵盤記錄呢,很簡單因為 WH_DEBUG
不能管理 WHKEYBOARD_LL。
顯然 QQ 對鉤子的保護已經了解了,那么再來看看我們記錄下來什么鍵盤輸入呢?都是
一些不相干的輸入,看來 QQ 對我們的鍵盤鉤子還是有另外的招數防備的,他傳遞給我們的
記錄鉤子一些假的鍵盤信息,導致我們鉤子記錄下來的和我們的鍵盤輸入有很大差異。
到了 QQ2011,我們發現在QQ 的 bin目錄下多了兩個文件分別是ABL.sys和 PBL.sys這
兩個文件是不是內核文件呢?但是我在用本文的修改分發函數的方法驗證的時候,還是可以
順利的截獲到鍵盤記錄,實踐是檢驗真理的唯一標準,用 16 進制文件編輯器查看一下,這
兩個文件都不是以MZ 開頭的,也就是說不是驅動文件,那么就只能說有可能是QQ對自己的
信息的一種保護把。
說了這么多,那么怎樣更為簡單的盜取 QQ 密碼呢?無疑轉向了驅動截獲鍵盤記錄了,
在驅動級我們可以不用考慮QQ在 R3下用什么復雜嚴密的方法來保護鍵盤記錄,因為我們的
驅動程序比他更加底層,所以在此我們用修改系統驅動對象的分發函數的方法來截獲鍵盤記
錄,下面我們來看看程序。
首先申明一些函數和全局變量,這里就不多說了。

ULONG gC2pKeyCount=0;           //全局變量記錄IRP個數
extern POBJECT_TYPE IoDriverObjectType;//聲明這個函數
PDRIVERDISPATCH OldDispatchRead;//原 IRPMJREAD函數的入口地址

然后我們來寫入口函數。當一個請求(IRP)來的時候,說明 Windows 要從鍵盤驅動讀
取一個掃描碼值,我們要獲得的是按下鍵的掃描碼的值,所以就只能把這個請求發下去在看
返回的這個值是多少,于是我們修改IRP的完成函數,使得IRP 完成以后調用我們的函數,
這個實現起來還是很容易的,只要用我們定義的一個函數地址替換掉原來的額完成函數的地
址就可以了。
另外一個問題是,我們的分發函數要實現什么功能呢?記錄郵件發送?這個就隨大家的
意思了,本文為了簡便只是做了簡單的的打印。打印完之后呢?當然是要調用原來的完成函
數來實現他原本的功能了,否則沒有IRP的返回,系統很容易就崩潰了。
   NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING

本頁地址 http://www.ionrce.tw/qqxiangguan/20111109594.html

百度搜索更多

谷歌搜索更多

頂一下
(2)
100%
踩一下
(0)
0%
------分隔線----------------------------
?
評價:
昵稱: 驗證碼:點擊我更換圖片
推薦內容
贊助商
贊助商
?

關于本站免責聲明視頻更新google百度地圖視頻地圖RRS訂閱

如有什么問題請在本站留言,或發郵件到 hxt167#foxmail.com

内蒙古十一选五基本走势图手机版