搞出來(lái)很久了，看到看雪上不少同學(xué)都很期待，干脆發(fā)出來(lái)。

本文大部分研究成果歸功于mentaldease，欲讀此文，請(qǐng)遵守以下約定：
1. 絕不可利用本文所揭示的技術(shù)編寫(xiě)或者輔助編寫(xiě)盜號(hào)木馬，危害中國(guó)網(wǎng)民。
2. 也不可將本文所揭示的技術(shù)直接或間接傳授給寫(xiě)盜號(hào)木馬的敗類(lèi)。
3. 違背以上兩點(diǎn)約定者，天打雷劈，斷子絕孫...(以下省略2000字)。

**********************************************************

?? 不能遵守以上三點(diǎn)約定者，請(qǐng)立即離開(kāi)！

**********************************************************
在分析某著名IM軟件之前，嘗試直接用低級(jí)鍵盤(pán)鉤子截獲密碼。
筆者發(fā)現(xiàn)可以獲取正確的某著名IM軟件號(hào)，但是截獲的某著名IM軟件密碼里面卻有很多虛假按鍵：

事實(shí)上，只要將鼠標(biāo)焦點(diǎn)放在密碼輸入框里，某著名IM軟件就自動(dòng)產(chǎn)生虛假按鍵。所以，靠低級(jí)鍵盤(pán)鉤子不能截獲正確的某著名IM軟件密碼。

用XueTr查看系統(tǒng)中的消息鉤子。筆者發(fā)現(xiàn)只要用戶雙擊打開(kāi)某著名IM軟件2009登錄窗口，某著名IM軟件就會(huì)創(chuàng)建一個(gè)WH_KEYBOARD_LL低級(jí)鍵盤(pán)鉤子，如圖2

我們知道WH_KEYBOARD_LL鉤子的優(yōu)先級(jí)高于WH_KEYBOARD和WH_GETMESSAGE鉤子。顯然某著名IM軟件2009的低級(jí)鍵盤(pán)鉤子會(huì)比其他類(lèi)型的鉤子先執(zhí)行，某著名IM軟件獲取用戶的真實(shí)按鍵后再偽造虛假按鍵。

筆者在成功截獲某著名IM軟件2009密碼之后，掛鉤了SetWindowHookEx觀察某著名IM軟件創(chuàng)建WH_KEYBOARD_LL鉤子的過(guò)程：

由上圖可見(jiàn)某著名IM軟件2009每隔不到0.2秒就創(chuàng)建一個(gè)低級(jí)鍵盤(pán)鉤子，這樣確保自己的鉤子始終在鉤子隊(duì)列的最頂層。

我們對(duì)SetWindowHookEx函數(shù)下斷，但是斷不下來(lái)，顯然是某著名IM軟件在這里有反調(diào)試。刪除剛才的斷點(diǎn)，下一個(gè)硬件斷點(diǎn)，程序斷下，執(zhí)行到返回：

來(lái)到042437C5處，tssafeed模塊中看到如下指令：
042437BB??? 56????????????? push??? esi
042437BC??? 50????????????? push??? eax
042437BD??? FF75 0C???????? push??? dword ptr [ebp+C]
042437C0??? E8 AB550000???? call??? 04248D70???????????????????????? ; jmp 到 MSVCRT.memcmp
042437C5??? 8B3D 28A02404?? mov???? edi, dword ptr [424A028]???????? ; KERNEL32.GetCurrentProcess
042437CB??? 83C4 0C???????? add???? esp, 0C
042437CE??? 85C0??????????? test??? eax, eax
042437D0??? 0F84 8F000000?? je????? 04243865

猜測(cè)這里很可能就是用memcmp 函數(shù)校驗(yàn)SetWindowsHookExA(可能還有其他函數(shù))的代碼。在042437BB 處F2，再F9讓程序運(yùn)行，把鼠標(biāo)焦點(diǎn)移到密碼輸入框時(shí)，斷下來(lái)了：

單步執(zhí)行到042437C0，看堆棧信息：

果然是對(duì)SetWindowsHookExA初的內(nèi)存進(jìn)行校驗(yàn)。memcmp返回0則認(rèn)為該處內(nèi)存沒(méi)有改變。

在77D311D1處下硬件執(zhí)行斷點(diǎn)，成功斷下后，堆棧信息如圖：

HookType為13，即是WH_KEYBOARD_LL鉤子，其HookProc為 04260F1B，轉(zhuǎn)到該地址看看某著名IM軟件的鉤子回調(diào)例程：
04260F1B??? 55????????????? push??? ebp
04260F1C??? 8BEC??????????? mov???? ebp, esp
04260F1E??? 83EC 30???????? sub???? esp, 30
04260F21??? 56????????????? push??? esi
04260F22??? 57????????????? push??? edi
04260F23??? C745 FC F00C260>mov???? dword ptr [ebp-4], 4260CF0
04260F2A??? 8D7D D0???????? lea???? edi, dword ptr [ebp-30]
04260F2D??? B9 07000000???? mov???? ecx, 7
04260F32??? 33C0??????????? xor???? eax, eax
04260F34??? FC????????????? cld
04260F35??? F3:AB?????????? rep???? stos dword ptr es:[edi]
04260F37??? 8B45 10???????? mov???? eax, dword ptr [ebp+10]
04260F3A??? 8945 F8???????? mov???? dword ptr [ebp-8], eax
04260F3D??? C745 F4 0000000>mov???? dword ptr [ebp-C], 0
04260F44??? E8 20000000???? call??? 04260F69?????????????????????? ; 跟進(jìn)
… …

04260F69 處的call：
04260F69??? 5F????????????? pop???? edi
04260F6A??? 8B4D F4???????? mov???? ecx, dword ptr [ebp-C]
04260F6D??? 833C8F 00?????? cmp???? dword ptr [edi+ecx*4], 0
04260F71??? 74 1D?????????? je????? short 04260F90
04260F73??? 8B55 F4???????? mov???? edx, dword ptr [ebp-C]
04260F76??? 8B0497????????? mov???? eax, dword ptr [edi+edx*4]
04260F79??? 50????????????? push??? eax
04260F7A??? 8B4D FC???????? mov???? ecx, dword ptr [ebp-4]
04260F7D??? FF51 50???????? call??? dword ptr [ecx+50]???????????? ; USER32.GetAsyncKeyState
04260F80??? 0FBFD0????????? movsx?? edx, ax
04260F83??? 81E2 00800000?? and???? edx, 8000
04260F89??? 75 05?????????? jnz???? short 04260F90
04260F8B??? FF45 F4???????? inc???? dword ptr [ebp-C]
04260F8E? ^ EB DA?????????? jmp???? short 04260F6A
04260F90??? 8B55 F8???????? mov???? edx, dword ptr [ebp-8]
04260F93??? 8B02??????????? mov???? eax, dword ptr [edx]
04260F95??? C745 F0 0000000>mov???? dword ptr [ebp-10], 0
04260F9C??? E8 3C000000???? call??? 04260FDD????????? ;跟進(jìn)
… …

這個(gè)函數(shù)中有很多花指令，這里就不仔細(xì)分析了，對(duì)GetForegroundWindow下斷，只要將鼠標(biāo)焦點(diǎn)移到某著名IM軟件登錄窗口，就會(huì)斷下，再對(duì)CallNextHookEx下斷觀察。它的大概功能猜也猜得出來(lái)：某著名IM軟件自己獲取按鍵之后，發(fā)送虛假按鍵，然后直接返回。現(xiàn)在就是找出某著名IM軟件2009到底是用什么函數(shù)發(fā)送虛假按鍵。對(duì)keybd_event下硬件執(zhí)行斷點(diǎn)，沒(méi)有斷下，對(duì)sendInput下硬件斷點(diǎn)，斷下了：

Sendinput函數(shù)原型：
UINT SendInput(
? UINT nInputs,???? // count of input events
? LPINPUT pInputs,? // array of input events
? int cbSize??????? // size of structure
);
typedef struct tagINPUT {
? DWORD?? type;
? union {
????? MOUSEINPUT????? mi;
????? KEYBDINPUT????? ki;
????? HARDWAREINPUT?? hi;
? };
} INPUT, *PINPUT;
觀察堆棧：

數(shù)據(jù)窗口跟隨到0012FA94：

如圖所示 01表示的是輸入類(lèi)型INPUT_KEYBOARD，pInouts的結(jié)構(gòu)如下：
typedef struct tagKEYBDINPUT {
? WORD????? wVk;
? WORD????? wScan;
? DWORD???? dwFlags;
? DWORD???? time;
? ULONG_PTR dwExtraInfo;
} KEYBDINPUT, *PKEYBDINPUT;
如圖所示0x38對(duì)應(yīng)的虛擬按鍵是數(shù)字8，用我們剛才寫(xiě)的那個(gè)低級(jí)鍵盤(pán)鉤子可以看到，所接收到的虛假按鍵正是8.

現(xiàn)在我們能夠?qū)懗瞿持鸌M軟件的低級(jí)鍵盤(pán)鉤子處理例程：
HWND hwnd = GetForegroundWindow();
If( hWnd == hPassEditWnd)
{
? MapVirtualKey();
? SendInput();
? return? 1;
}
else
{
? return? CallNextHookEx(ncode,…);
}
現(xiàn)在2009登錄窗口保護(hù)的原理已經(jīng)分析清楚，獲取某著名IM軟件密碼的方法也就有了。其關(guān)鍵就是繞過(guò)某著名IM軟件對(duì)SetWindowsHookExA等函數(shù)的內(nèi)存校驗(yàn)，然后hook SetWindowsHookExA，判斷如果是某著名IM軟件的WH_KEYBOARD_LL鉤子，就替換其回調(diào)函數(shù)，然后在my_KeyboardllProc中截獲密碼，下圖是截獲密碼的效果圖：

PS：某著名IM軟件2009的軟鍵盤(pán)也被我和mentaldease兄突破，并成功截獲密碼：

演示程序：GetXXPass.rar

?