盗 木马之旅(一)

                     重要的事情说三边！请勿用于非法目的！！！请勿用于非法目的！！！请勿用于非法目的！！！

目标:

原理:

     首先介绍一下一般的病毒运行方式，我们选一种用来写盗 木马。

上面分别简单介绍了病毒的注入、自启动和感染方式，想要详细了解具体细节的读者可以阅读我开头介绍的书籍。对于本次盗 木马，我觉得通过病毒感染的插入方式进行代码运行比较好。当然也可以进行捆绑，可以另起一个DLL，或者服务等等。但是插入式首先目标定位精准，因为他只影响WeGame。其次隐蔽性较好，他是直接在目标关键EXE注入代码，可以理解为病毒代码就是EXE的一部分。不需要另外加载DLL或者开启服务，那样目标比较大。

         现在已经选好了方式:把病毒代码写入到目标EXE，然后每次运行目标EXE就会运行我们的恶意代码。下面介绍我们应该通过怎么样方式去捕获WeGame的账 和密码。一开始我采用的是局部钩子(https://blog.csdn.net/sinat_34260423/article/details/52725702)的方式，去截获一些WM_CHAR消息来达到目的。这个方式对于账 可以直接奏效，但是对于密码部分则不行，因为我尝试过，直接拦截WM_CHAR然后发送到服务器的字符并不是我输入的密码。下图我输入密码1234567890,发现接收到的是7321460895(具体怎么实现监听后面我会介绍):

作为一个写过窗口程序的我，我想到的第一个方法就是通过GetDlgItem获取对应Edit的内容不就OK了吗-。-…..  如果这样可以的话，其实我根本不用消息钩子，直接在用户点击登陆按钮的时候直接GetDlgItem获取账 和密码的内容不就完了(O(∩_∩)O)，为什么会这么想。。。因为我课设就是这么写登陆验证的。。。。。首先要使用这个WIN32 API 我需要知道对应的Edit控件的句柄，但当我查看WeGame的窗口结构时，发现这个窗口其实由两个部分组成，一个部分是账 和整个大的对话框，还有一个是密码输入对话框。

这个是主对话框:

这个是密码窗口:

注意:第一个对话框是一个整体，也就是说账 输入部分不是一个控件-。-///根本不可能用GetDlgItem抓具体的账 框内的内容。没事，这里我们还是可以使用钩子的。那么下面的密码输入确实是个Edit，而且我们也可以通过FindWindow获得他的句柄，有了句柄我们就可以为所欲为了(我当时就是这么想的-。-)。但是当我写了一个测试程序，获取到了这个密码框句柄，通过GetDlgItem获取内容时啥都没有，无情的宣告这个方法不可行(至于具体的原理我不清楚)。难道要让本菜IDA逆向分析整个关键EXE文件找漏洞，显然不太适合我-。-，一方面技术不行，另一方面没那么多时间。。。。那么怎么破解这个密码框捕获到的密码不对的问题呢然后我就上 找资料，看下QQ密码框的保护原理(https://blog.csdn.net/Henzox/article/details/36377741)。这篇比较符合我的情况。简单点讲就是我设置的钩子优先级没有WeGame的高，我怀疑他在我捕获WM_CHAR之前修改了真实的WM_CHAR，导致我捕获到的是修改以后的WM_CAHR。确实我也看到了密码框在不断的发送WM_TIMER消息：

于是我就想，既然他定时快速重新卸载钩子，再设置钩子(新设置的钩子优先级高)。导致我的优先级低，我也可以设置一个定时器，比他的还快O(∩_∩)O。。。但是现实很残酷，我试了一下，程序直接GG了(原因:懵逼中……)。我的天-。-/。。那么还有其他的办法吗/p>

         观察到每次打开WeGame时，我输入1234567890，然后我捕获的密码是7321460895(每次重新登陆都不一样)，发现个数还是10个，只是被打乱了。其实这个还是比较好理解，这样就会一一映射，挺方便的。当然了，这个也就方便我们破解了。其实字母也是一样的，26个键盘字符被打乱了，但还是一一对应的，这个关系在每次打开WeGame时是不同的，但是关键是在一次登陆的过程中是一样的。可能有同学已经想到，我们只需要首先模拟发送按键消息来首先确定这个映射关系，然后当用户输入密码时，即使我们捕获的密码不是真实输入的密码，但是对照映射关系我们还是可以解密的。O(∩_∩)O  哈哈。。。于是二话不说就是干。一开始我是通过SendMessage模拟按键消息的，发送1234567890这10个WM_CHAR消息给密码控件，希望得到通过他加密以后的WM_CHAR，但是我抓到的还是1234567890，可是我通过键盘按键得到的还是加密的密码。What已经第几次失败了-。-。。。。

         我猜想，一定是我模拟的不够真实。于是我打算从更底层的驱动级别模拟开始，但是这样木马隐蔽性就下降了很多了，因为我们必须加载驱动了，没办法只可以这样了。事实证明，这次是成功的O(∩_∩)O  ——–。关于密码控件安全问题，是一门学问(https://blog.csdn.net/OtishionO/article/details/51524444)，这篇文章讲的很不错，大家看了就会更加明白我在讲什么了。现在我们知道了具体怎么捕获账 和密码了。账 我们可以简单的安装一个钩子就可以截获到。对于密码，我们需要首先通过驱动(自己写的)模拟按键点击(本次实验为了方便只模拟1234567890共10个数字，字母同理)，获得翻译用的密码本，然后再通过钩子直接捕获未解密的密码即可，然后就可以通过密码本破解未解密的密码了。至于最后的发送信息到服务器就比较简单，直接Socket就行了。

本篇结语:

       这篇主要介绍了一下背景，目的和原理。对于只想了解个大概和思路，又不想面对代码的读者只看这篇就可以了。算是科普性质吧。下面我还会介绍具体的代码和实现方法，代码恐惧症患者可以掠过-。-

                                                                                           下一篇