qq盗号秘籍
运行木马后,如果没有运行QQ进程,没有任何反应,若运行qq程序并且点击QQ程序后会弹出钓鱼框,欺骗用户输入,已到达盗号目的。
木马我就不分享了。
简单分析:
调用LoadStringW函数从资源里加载字符串资源到Buffer 中为后面窗口类名做准备
乱序填充字符到前面开辟的空间中, a=x12x&b=_)&c=(*.) 字符串用于后面qq号, 密码 匹配, 还有字符串进程名, 窗口类名(TXGuiFoundtion) 通过Spy++工具,我们可以知道QQ的窗口类名就是 TXGuiFoundtion。
进人call 4010C0
创建互斥体保证只有一个进程运行
h_Mutex = CreateMutex(NULL, FALSE, "wanxinyi");//创建一个互斥对象
if (h_Mutex)
{
if (ERROR_ALREADY_EXISTS == GetLastError())
{
ExitProcess();
}
} 拷贝字符串PE绝对路径到 lpDaddr缓冲区 此段代码就是注册窗口类, 创建主窗口,与两个子窗口, 并且通过调用API设置创建风格, 其中【45F7D4】子窗口(edit)文本框只读
【45F7D8】子窗口(edit)文本框设置为密文文本, 调用MoveWindws函数移动主窗口到指定位置, SetWindowsLongW为子窗口设置回调函数。
并且调用setWindows函数设置窗口隐藏。
获取字符串大小(SizeLength), 并将前面开辟空间压栈(lpaddr+[arg2])
call 004065A0 有一个参数edx = 【ecx+1C】,获取拷贝的目的地址lpDaddr
然后调用call 407B50 此call相档于memset(lpaddr, lpDaddr, SizeLength);
打开病毒同目录下的sed文件, 通过调用GetFileSzie 得到文件尺寸,eax = Filesize . 通过eax = eax-16得到文件偏移 ,通过调用
SetFilePointer函数设置文件指针,最后调用ReadFile函数读取sed文件中的 arm字符串。
调用此call 隐藏主窗口
,,,,,,,,,继续跟跟,
走出call 4010C0 之后来到, ,,,,初始化Winsock库, 然后将从文件sed中读出的”amr“字符串压入
跟进403AB0
信息量太大了,,,粘出关键部分, 跟根根,,,,,来到这里 首先开辟一个空间,然后将amr 字符串拷贝到该空间中
之后创建定时器没100ms, 回调函数为系统默认的OnTimer, 当发送WM_TIMER时调用此函数, 调用ShowWindows使窗口隐藏, UndateWindows函数更新当前窗口
继续跟,下面是对设备上下文DC设定,窗口外观等的设置
接下来将进入消息循环:这里要注意要在前面的创建窗口时在窗口的回调函数下断点,这样dispatchMassage 函数才会找到窗口回调函数
通过创建窗口我们可以找到窗口回调函数FuncPro(HWND, MSG, PWARAM, LPARAM); 地址401DD0 ,在此下断
进入401A30 call
乱序填充字符user.dll 与 GetForegroundWindow 最后调用 HWNA GetForegroundWindow()函数 返回用于当前工作窗口 得到前台窗口
就是通过这个函数当只有用户点击QQ进程时, 他才会弹出钓鱼框。
(GetForegroundWindow() 是整个Windows系统的当前激活的窗口 比如桌面。
与之相对应的是 GetActiveWindow() 是你的程序的当前激活的窗口)
跟进401C10 call
同样的方法填入字符串user.dll与GetClassNameA 调用intGetClassName( GetForegroundWindow() ,buffer,intnMaxCount),返回buffer长度
因为当前工作窗口为olldbg, 所以得到窗口类名为OllyDbg
[size=-1]调用 GetClassName后 数据窗口信息
0012F994 4F 6C 6C 79|44 62 67 00|00 00 00 00|00 00 00 00| OllyDbg. 79|44 6
接下来是
拼接QQ窗口类名 调用FindWindow 得到窗口句柄
调用GetWindowTextA 后得到QQ窗口类文本信息
后面是对得到字符串处理 得到qq号
hWnd = FindWindow(_T("ClassNameQQ"), NULL);
if (hWnd != NULL)
{
GetWindowThreadProcessId(hWnd, &dwProcessId1);
GetWindowThreadProcessId(HwndTXGuiFoundtion, &dwProcessId2)
if(dwProcessID1 == dwProcessID2)
{
goto __ess;
}
}
设置只读文本框为QQ号,密码文本框空,调用GetSystemMetrics函数得到以像素为单位的屏幕尺寸
之后钓鱼框弹出;
点击登录按钮后来到,,,,,这里是得到qq,密码文本,然后处理,将其填入a=x12x&b=_)&c=(*.)后面将作为发送数据发到目的地
使用套接字,将数据(a=qq号&b=密码&c=amr(验证信息))发送到指定目的地址,已达到盗号目的
以上就是整个盗号木马真个分析流程
总结与反思:为什么他能过360等杀毒软件喃?
这个qq钓鱼木马做的比较隐藏,伪装的比较好,当普通用户点击后,没有点击qq窗口他会一直常驻内存,当用户点击qq窗口,就会弹出自己伪造的框。
该木马没有使用任何反跟踪技术和变形技术,也没有对注册表,服务等操作,对一些关键的函数,字符串也是做了处理 比如 GetForegroundWindow, TXGuiFoundtion(因为以前的盗号木马都包含这个字符信息),没有危险api的操作,所以一开始跟多杀毒软件无动于衷。
本次分析主要收获:
1,函数CreateMutes的使用 ,保证内存中只存在一个当前进程在运行.
2.函数 GetForegroundWindow ,GetClassName, FindWindow,GetWindowsThreadProcessId,使用
当前台窗口与指定的TXGuiFoundtion窗口PID相等时,就弹出钓鱼窗口。
盗号的高手是怎么盗好的
一、观察法:
初级:站在别人的身后看着他输入密码。
成功率73% 高级:卖通网吧管理员,在网吧装上摄象机。
成功率100%
二、收买法:
初级:随便抓一个上网的人,掏出一万人民币,叫他说出亲朋好友的一个QQ密码。
成功率71% 高级:收购腾讯公司,要什么号码有什么号码。
成功率100%。
三、威逼法
初级:拿把菜刀、砍刀之类架在上网人的脖子上逼他说出密码。
成功率100% 高级:叫来自己的部下道:“俺看见你上班上网,说出密码。
”成功率100%
四、诱惑法:
初级:准备毛巾、纸巾若干,在网吧做痛苦欲绝状,并做好持久、连续做战准备。
成功率31% 高级:找一个看得顺眼的上网人,发展成为丈夫、妻子、情人之类的角色,怕他(她)不把密码双手奉上?成功率100%。
五、瞎蒙法:
初级:闭上眼睛,乱敲键盘,看自己的运气。
成功率0.67%。
高级:出钱雇民工敲键盘。
成功率1.81%。
如何盗号QQ
我觉得盗号是不道德的。
不过 有一个办法你可以试试。
先加这个号为好友。
然后用qq登录。
随便打个密码,会提示密码错误,然后点击 账号申诉,里面的东西随便填,然后有一个需要好友的辅助,然后填邮箱 不过我建议你最好用手机,这样方便。
等8个小时,如果成功,就可以收到短信验证码,然后就可以重新设置密码。
Friendhosting商家在前面的篇幅中也又陆续介绍到,是一家保加利亚主机商,主要提供销售VPS和独立服务器出租业务,数据中心分布在:荷兰、保加利亚、立陶宛、捷克、乌克兰和美国洛杉矶等。这不近期黑色星期五活动,商家也有推出了黑五优惠,VPS全场一次性45折,虚拟主机4折,全球多机房可选,老用户续费可获9折加送1个月使用时长,VDS折后最低仅€14.53/年,有需要的可以看看。Friendhos...
imidc怎么样?imidc彩虹网路,rainbow cloud知名服务器提供商。自营多地区数据中心,是 Apnic RIPE Afrinic Arin 认证服务商。拥有丰富的网路资源。 在2021年 6.18 开启了输血大促销,促销区域包括 香港 台湾 日本 莫斯科 等地促销机型为 E3係,参与促销地区有 香港 日本 台湾 莫斯科 等地, 限量50台,售罄为止,先到先得。所有服务器配置 CPU ...
mineserver怎么样?mineserver是一家国人商家,主要提供香港CN2 KVM VPS、香港CMI KVM VPS、日本CN2 KVM VPS、洛杉矶cn2 gia端口转发等服务,云服务器网(yuntue.com)介绍过几次,最近比较活跃。现在新推出了3款特价KVM VPS,性价比高,香港CMI/洛杉矶GIA VPS,2核/2GB内存/20GB NVME/3.5TB流量/200Mbps...
盗号为你推荐
魔兽世界配置要求玩WOW电脑需要什么配置?大概多少钱?cdn加速教程CDN如何实现互联网动态加速?阿里云服务器账号密码阿里云服务,administrator密码错误怎么解决手机号收验证码请问连信手机号收不到验证码怎么办?服务器防护产品服务器安全加固产品有哪些?技术路线有什么不同?华为云服务找回手机我的华为手机刚刚丢了,处于关机状态下可以定位找回吗华为云服务登录电脑版华为账户必须要华为手机登入吗?dc4电脑中ASCLL码是 指什么?vc9运行库下载微软的运行库在哪下载在线接收验证码y码验证码接收平台网址是多少了
中文域名注册查询 三级域名网站 云网数据 bandwagonhost 512av godaddy域名转出 回程路由 php探针 hnyd 165邮箱 129邮箱 美国堪萨斯 重庆双线服务器托管 paypal注册教程 怎么建立邮箱 跟踪路由命令 免费asp空间 服务器防火墙 免费网络 wordpress中文主题 更多