木马盗号《一》

这一节主要给大家分享的是黑客是如何利用木马进行盗号的。

久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后，打算找个目标试试手。首先说明下，本次使用的技术都是很平常的，也就是说是病毒基础篇。如果有同学打算了解一下病毒的工作原理，那么上面这本书很不错。不像其他介绍病毒的书籍，他们都是讲一些故事或者介绍一些小工具的使用。而这本书讲的是原理，当然也有点难度。我找的目标是WeGame，其实我也可以自己写一个模拟登陆的小程序，然后作为这次实验对象。但是这样就不太真实，自己写的小程序显然没有防御措施，模拟不了真实环境，体会不到写盗号木马的乐趣-。-! 后面的实战环节就会碰到一些问题，后面我会说明。最后说明一下，本次"旅行"需要“旅客”具备一些计算机的底层知识，有些必要的知识点我会简单介绍。但仅仅是简单介绍，一方面本菜也是初次接触，理解较浅，另一方面就是相关的知识本来就涉及很广。我会给出相关的链接提供"传送门"，使有需要的读者可以参考。由于本次只是木马主要功能原理介绍，所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。

目标:

使用感染方式感染WeGame关键程序(主要是2个EXE,一个是账号相关还有一个是密码相关)，达到每当用户通过键盘按键方式(本文对于直接登陆等其他方式无效)输入账号、密码时，可以自动发送账号、密码到远程服务器(实验中的虚拟机或本机)。

原理:

首先介绍一下一般的病毒运行方式，我们选一种用来写盗号木马。

上面分别简单介绍了病毒的注入、自启动和感染方式，想要详细了解具体细节的读者可以阅读我开头介绍的书籍。对于本次盗号木马，我觉得通过病毒感染的插入方式进行代码运行比较好。当然也可以进行捆绑，可以另起一个DLL，或者服务等等。但是插入式首先目标定位精准，因为他只影响WeGame。其次隐蔽性较好，他是直接在目标关键EXE注入代码，可以理解为病毒代码就是EXE的一部分。不需要另外加载DLL或者开启服务，那样目标比较大。

现在已经选好了方式:把病毒代码写入到目标EXE，然后每次运行目标EXE就会运行我们的恶意代码。下面介绍我们应该通过怎么样方式去捕获WeGame的账号和密码。一开始我采用的是局部钩子(https://blog.csdn.net/sinat_34260423/article/details/52725702)的方式，去截获一些WM_CHAR消息来达到目的。这个方式对于账号可以直接奏效，但是对于密码部分则不行，因为我尝试过，直接拦截WM_CHAR然后发送到服务器的字符并不是我输入的密码。下图我输入密码1234567890,发现接收到的是7321460895(具体怎么实现监听后面我会介绍):

作为一个写过窗口程序的我，我想到的第一个方法就是通过GetDlgItem获取对应Edit的内容不就OK了吗-。-..... 如果这样可以的话，其实我根本不用消息钩子，直接在用户点击登陆按钮的时候直接GetDlgItem获取账号和密码的内容不就完了(O(∩_∩)O)，为什么会这么想。。。因为我课设就是这么写登陆验证的。。。。。首先要使用这个WIN32 API 我需要知道对应的Edit控件的句柄，但当我查看WeGame的窗口结构时，发现这个窗口其实由两个部分组成，一个部分是账号和整个大的对话框，还有一个是密码输入对话框。

这个是主对话框:

这个是密码窗口:

注意:第一个对话框是一个整体，也就是说账号输入部分不是一个控件-。-///根本不可能用GetDlgItem抓具体的账号框内的内容。没事，这里我们还是可以使用钩子的。那么下面的密码输入确实是个Edit，而且我们也可以通过FindWindow获得他的句柄，有了句柄我们就可以为所欲为了(我当时就是这么想的-。-)。但是当我写了一个测试程序，获取到了这个密码框句柄，通过GetDlgItem获取内容时啥都没有，无情的宣告这个方法不可行(至于具体的原理我不清楚)。难道要让本菜IDA逆向分析整个关键EXE文件找漏洞，显然不太适合我-。-，一方面技术不行，另一方面没那么多时间。。。。那么怎么破解这个密码框捕获到的密码不对的问题呢? 然后我就上网找资料，看下QQ密码框的保护原理(https://blog.csdn.net/Henzox/article/details/36377741)。这篇比较符合我的情况。简单点讲就是我设置的钩子优先级没有WeGame的高，我怀疑他在我捕获WM_CHAR之前修改了真实的WM_CHAR，导致我捕获到的是修改以后的WM_CAHR。确实我也看到了密码框在不断的发送WM_TIMER消息：

于是我就想，既然他定时快速重新卸载钩子，再设置钩子(新设置的钩子优先级高)。导致我的优先级低，我也可以设置一个定时器，比他的还快O(∩_∩)O。。。但是现实很残酷，我试了一下，程序直接GG了(原因:懵逼中......)。我的天-。-/。。那么还有其他的办法吗???

观察到每次打开WeGame时，我输入1234567890，然后我捕获的密码是7321460895(每次重新登陆都不一样)，发现个数还是10个，只是被打乱了。其实这个还是比较好理解，这样就会一一映射，挺方便的。当然了，这个也就方便我们破解了。其实字母也是一样的，26个键盘字符被打乱了，但还是一一对应的，这个关系在每次打开WeGame时是不同的，但是关键是在一次登陆的过程中是一样的。可能有同学已经想到，我们只需要首先模拟发送按键消息来首先确定这个映射关系，然后当用户输入密码时，即使我们捕获的密码不是真实输入的密码，但是对照映射关系我们还是可以解密的。O(∩_∩)O 哈哈。。。于是二话不说就是干。一开始我是通过SendMessage模拟按键消息的，发送1234567890这10个WM_CHAR消息给密码控件，希望得到通过他加密以后的WM_CHAR，但是我抓到的还是1234567890，可是我通过键盘按键得到的还是加密的密码。What？？？这已经第几次失败了-。-。。。。

我猜想，一定是我模拟的不够真实。于是我打算从更底层的驱动级别模拟开始，但是这样木马隐蔽性就下降了很多了，因为我们必须加载驱动了，没办法只可以这样了。事实证明，这次是成功的O(∩_∩)O --------。关于密码控件安全问题，是一门学问(https://blog.csdn.net/OtishionO/article/details/51524444)，这篇文章讲的很不错，大家看了就会更加明白我在讲什么了。现在我们知道了具体怎么捕获账号和密码了。账号我们可以简单的安装一个钩子就可以截获到。对于密码，我们需要首先通过驱动(自己写的)模拟按键点击(本次实验为了方便只模拟1234567890共10个数字，字母同理)，获得翻译用的密码本，然后再通过钩子直接捕获未解密的密码即可，然后就可以通过密码本破解未解密的密码了。至于最后的发送信息到服务器就比较简单，直接Socket就行了。

THE END