QQ2010软键盘拦截原理与实现.PDFVIP

QQ2010软键盘拦截原理与实现 天易love 2010-9-22 一、程序运行截图 先运行QQ2010软键盘拦截工具，而后运行QQ.exe,这时程序显示“拦截开始”。 接着点开软键盘用鼠标输入，程序就会同步显示你输入的密码。 二、实现原理 当你使用软键盘时输入密码时，每输入一个字符就会执行一次我的补丁代码（补丁功能就是将 所输入的字符在qq进程所在的内存中连接成一个字符串），拦截程序会定时读取该处内存的密 码字符串并显示出来。 三、调试过程 用od打开QQ.exe，在菜单中选择“查看--内存”,如下图所示: 在阴影所在行上回车，来到AFUtil.dll所在的空间。用超级字符串功能查找unicode “nKey”,找到后在该处下断点。接着按f9运行起来，出现登录窗口后用软键盘随便 输入一个字符将会在该处断下。单步几下经过call eax后在堆栈中就能看到你输入 的字符的ascii码。继续单步进入第二个call eax： 第二个call eax中的内容如下： 55 PUSH EBP 8BEC MOV EBP,ESP //这里的CL就是我们需要的东东 6A 12 PUSH 12 6A 08 PUSH 8 0047671A 68 PUSH 1402 0047671F 50 PUSH EAX FFD2 CALL EDX 50 PUSH EAX //向密码输入框发送按键消息 ……………… 注：如果你在软键盘上按下的是数字或字母则会先根据输入的字符查找qq初始化时 生成的一张表，查到对应字符后再发送消息。得到该表的方法：在qq进程中搜索二进制串 四、补丁位置及功能 汇编指令： patch2: array[0..36] of byte = 汇编指令： 004A3F8B 60 PUSHAD 004A3F8C 33C0 XOR EAX,EAX 004A3F93 83F8 01 CMP EAX,1 004A3F98 48 DEC EAX 004A3FA5 61 POPAD 汇编指令： 0047675A E9 06D80200 JMP AFUtil.004A3F65 patch4: array[0..32] of byte = 汇编指令： 004A3F65 51 PUSH ECX 004A3F66 50 PUSH EAX 004A3F6A 60 PUSHAD 004A3F6B 33C0