上面分别简单介绍了病毒的注入、自启动和感染方式,想要详细了解具体细节的读者可以阅读我开头介绍的书籍。对于本次盗号木马,我觉得通过病毒感染的插入方式进行代码运行比较好。但是插入式首先目标定位精准,因为他只影响WeGame。下面介绍我们应该通过怎么样方式去捕获WeGame的账号和密码。一开始我采用的是局部钩子的方式,去截获一些WM_CHAR消息来达到目的。
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。
使用感染方式感染WeGame关键程序(主要是2个EXE,一个是账号相关还有一个是密码相关),达到每当用户通过键盘按键方式(本文对于直接登陆等其他方式无效)输入账号、密码时,可以自动发送账号、密码到远程服务器(实验中的虚拟机或本机)。
原理:
首先介绍一下一般的病毒运行方式,我们选一种用来写盗号木马。
上面分别简单介绍了病毒的注入、自启动和感染方式,想要详细了解具体细节的读者可以阅读我开头介绍的书籍。对于本次盗号木马,我觉得通过病毒感染的插入方式进行代码运行比较好。当然也可以进行捆绑,可以另起一个DLL,或者服务等等。但是插入式首先目标定位精准,因为他只影响WeGame。其次隐蔽性较好,他是直接在目标关键EXE注入代码,可以理解为病毒代码就是EXE的一部分。不需要另外加载DLL或者开启服务,那样目标比较大。
现在已经选好了方式:把病毒代码写入到目标EXE,然后每次运行目标EXE就会运行我们的恶意代码。下面介绍我们应该通过怎么样方式去捕获WeGame的账号和密码。一开始我采用的是局部钩子(https://blog.csdn.net/sinat_34260423/article/details/52725702)的方式,去截获一些WM_CHAR消息来达到目的。这个方式对于账号可以直接奏效,但是对于密码部分则不行,因为我尝试过,直接拦截WM_CHAR然后发送到服务器的字符并不是我输入的密码。下图我输入密码1234567890,发现接收到的是7321460895(具体怎么实现监听后面我会介绍):
作为一个写过窗口程序的我,我想到的第一个方法就是通过GetDlgItem获取对应Edit的内容不就OK了吗-。-..... 如果这样可以的话,其实我根本不用消息钩子,直接在用户点击登陆按钮的时候直接GetDlgItem获取账号和密码的内容不就完了(O(∩_∩)O),为什么会这么想。。。因为我课设就是这么写登陆验证的。。。。。首先要使用这个WIN32 API 我需要知道对应的Edit控件的句柄,但当我查看WeGame的窗口结构时,发现这个窗口其实由两个部分组成,一个部分是账号和整个大的对话框,还有一个是密码输入对话框。
这个是主对话框:
这个是密码窗口:
注意:第一个对话框是一个整体,也就是说账号输入部分不是一个控件-。-///根本不可能用GetDlgItem抓具体的账号框内的内容。没事,这里我们还是可以使用钩子的。那么下面的密码输入确实是个Edit,而且我们也可以通过FindWindow获得他的句柄,有了句柄我们就可以为所欲为了(我当时就是这么想的-。-)。但是当我写了一个测试程序,获取到了这个密码框句柄,通过GetDlgItem获取内容时啥都没有,无情的宣告这个方法不可行(至于具体的原理我不清楚)。难道要让本菜IDA逆向分析整个关键EXE文件找漏洞,显然不太适合我-。-,一方面技术不行,另一方面没那么多时间。。。。那么怎么破解这个密码框捕获到的密码不对的问题呢? 然后我就上网找资料,看下QQ密码框的保护原理(https://blog.csdn.net/Henzox/article/details/36377741)。这篇比较符合我的情况。简单点讲就是我设置的钩子优先级没有WeGame的高,我怀疑他在我捕获WM_CHAR之前修改了真实的WM_CHAR,导致我捕获到的是修改以后的WM_CAHR。确实我也看到了密码框在不断的发送WM_TIMER消息:
于是我就想,既然他定时快速重新卸载钩子,再设置钩子(新设置的钩子优先级高)。导致我的优先级低,我也可以设置一个定时器,比他的还快O(∩_∩)O。。。但是现实很残酷,我试了一下,程序直接GG了(原因:懵逼中......)。我的天-。-/。。那么还有其他的办法吗???
观察到每次打开WeGame时,我输入1234567890,然后我捕获的密码是7321460895(每次重新登陆都不一样),发现个数还是10个,只是被打乱了。其实这个还是比较好理解,这样就会一一映射,挺方便的。当然了,这个也就方便我们破解了。其实字母也是一样的,26个键盘字符被打乱了,但还是一一对应的,这个关系在每次打开WeGame时是不同的,但是关键是在一次登陆的过程中是一样的。可能有同学已经想到,我们只需要首先模拟发送按键消息来首先确定这个映射关系,然后当用户输入密码时,即使我们捕获的密码不是真实输入的密码,但是对照映射关系我们还是可以解密的。O(∩_∩)O 哈哈。。。于是二话不说就是干。一开始我是通过SendMessage模拟按键消息的,发送1234567890这10个WM_CHAR消息给密码控件,希望得到通过他加密以后的WM_CHAR,但是我抓到的还是1234567890,可是我通过键盘按键得到的还是加密的密码。What???这已经第几次失败了-。-。。。。
我猜想,一定是我模拟的不够真实。于是我打算从更底层的驱动级别模拟开始,但是这样木马隐蔽性就下降了很多了,因为我们必须加载驱动了,没办法只可以这样了。事实证明,这次是成功的O(∩_∩)O --------。关于密码控件安全问题,是一门学问(https://blog.csdn.net/OtishionO/article/details/51524444),这篇文章讲的很不错,大家看了就会更加明白我在讲什么了。现在我们知道了具体怎么捕获账号和密码了。账号我们可以简单的安装一个钩子就可以截获到。对于密码,我们需要首先通过驱动(自己写的)模拟按键点击(本次实验为了方便只模拟1234567890共10个数字,字母同理),获得翻译用的密码本,然后再通过钩子直接捕获未解密的密码即可,然后就可以通过密码本破解未解密的密码了。至于最后的发送信息到服务器就比较简单,直接Socket就行了
虽然大家有点难理解,还有一脸懵的感觉,只要大家多多了解相关知识,信息大家也会学的更多。
