?2009-05-02, 20:45? 【原創】[TX][XX]，密碼輸入窗口的一點分析???

--------------------------------------------------------------------------------

[軟件][XX]2009 bate 2
[工具]OD
[目的]搞到明文的wm_keydown點，告訴一些發帖的同志，窗口是存在的。

2008年的時候，我把[XX]的破了，寫了個基于鍵盤的記錄xxx,但是沒搞完，就是特征罵定位的什么，由于以前工作原因，朋友叫我不要在這發[TX]的xxx。所以發了就，立刻刪除了。恩2009了，lv up了，我也不存在工作上的一些原因了。我決定再發一篇搞[XX]的。

我就喜歡在pediy搞[TX]。

今天下午花了4個鐘頭的樣子，分析了下[TX][XX]。的缺修補了我2008年的時候找到的那個地方。不過也不咋的。我們就再來搞盤它。

沒搞完，等我哪天心情再不好的時候，再把它搞完。這時候，我喜歡的電視就要開播了。痞子英雄。不錯。

首先，我們要觀察程序。

傻[TX]，由于軟件大了，所以要找的點也很多。當然切入點多了，要記錄密碼也不是啥子難事了。

首先在CreateWindowExA下點

0012F340?? 03572DEC? /CALL 到 CreateWindowExA 來自 TSSafeEd.03572DE9
0012F344?? 00000000? |ExtStyle = 0
0012F348?? 0012F38C? |Class = "EDIT"
0012F34C?? 0012F39E? |WindowName = "S"
0012F350?? 40010020? |Style = WS_CHILD|WS_TABSTOP|20
0012F354?? 00000005? |X = 5
0012F358?? 00000005? |Y = 5
0012F35C?? 000000A0? |Width = A0 (160.)
0012F360?? 00000010? |Height = 10 (16.)
0012F364?? 00180338? |hParent = 00180338 ('[XX]2009 Beta2',class='TXGuiFoundation',parent=001B01C0)
0012F368?? 00000000? |hMenu = NULL
0012F36C?? 00400000? |hInst = 00400000
0012F370?? 00000000? \lParam = NULL

恩，那個TSSafeEd.dll就是它那個密碼輸入筐筐的保護dll.該dll，大量掛接操作，主要針對user32.dll.

user32.dll本質就是窗口的一些xxx.

然后我們跳到那個dll去。

在esp點下斷，也就是03572DEC 這個地方下斷，然后F9

一般情況createwindow后，就showwindow了，然后我們一路f8跟過去。

做這些事，是要想快速找到該窗口的消息處理函數，找到了消息過程函數后，我們才可以xxxx。拿到wm_keydown.
一路f7.

為什么要f7而不f8.是因為寫這個保護的人，可能用了些匯編。用了匯編，你就不能保證它的寫法和正常的call法是平衡或者一枝的了。簡單點說，堆棧不平衡了。

create windows的返回數據是窗口的handle.用你的大腦記下來。
依次的執行過程是

先send message?? WM_SETFOSE一個
再show window?? 一個

然后就getwindowLog，取窗口過程了。

[TX]真好，連窗口過程都幫我們取出來了。位置在這里。
03572E5C??? 8989 596AFC57?? mov???? dword ptr [ecx+57FC6A59], ecx
03572E62??? FF56 1C???????? call??? dword ptr [esi+1C]
03572E65??? 8945 08???????? mov???? dword ptr [ebp+8], eax?????????? ; USER32.77D3B3B4
03572E68??? 8D45 E0???????? lea???? eax, dword ptr [ebp-20]
03572E6B??? 68 30905703???? push??? 03579030
03572E70??? 50????????????? push??? eax
03572E71??? E8 D3E7FFFF???? call??? 03571649
03572E76??? 59????????????? pop???? ecx
03572E77??? 59????????????? pop???? ecx
03572E78??? 68 94285703???? push??? 03572894
03572E7D??? 6A FC?????????? push??? -4
03572E7F??? FFB6 70010000?? push??? dword ptr [esi+170]
03572E85??? FF56 14???????? call??? dword ptr [esi+14]
03572E88??? 51????????????? push??? ecx
03572E89??? E8 04000000???? call??? 03572E92
03572E8E? - 0F88 EB1059EB?? js????? EEB03F7F
03572E94??? 0250 33???????? add???? dl, byte ptr [eax+33]
03572E97??? 83C1 02???????? add???? ecx, 2
03572E9A??? EB 02?????????? jmp???? short 03572E9E
03572E9C? ^ 76 90?????????? jbe???? short 03572E2E
03572E9E??? 51????????????? push??? ecx
03572E9F??? C3????????????? retn
03572EA0??? 8989 598B8678?? mov???? dword ptr [ecx+78868B59], ecx
03572EA6??? 0100??????????? add???? dword ptr [eax], eax

取的是一個user32.dll里的窗口過程。

好的，那我們斗切做第一個測試，在那下條件斷點攔截wm_keydown.消息。0x77d3b3b4下條件斷點
dword ptr [esp+0x08] == 0x100

100h斗是wm_keydown了。
77D3B3B4 >??? 8BFF????????? mov???? edi, edi
77D3B3B6?? .? 55??????????? push??? ebp
77D3B3B7?? .? 8BEC????????? mov???? ebp, esp
77D3B3B9?? .? 8B4D 08?????? mov???? ecx, dword ptr [ebp+8]
77D3B3BC?? .? 56??????????? push??? esi
77D3B3BD?? .? E8 0ED1FDFF?? call??? 77D184D0
77D3B3C2?? .? 8BF0????????? mov???? esi, eax
77D3B3C4?? .? 85F6????????? test??? esi, esi
77D3B3C6?? .? 74 40???????? je????? short 77D3B408
77D3B3C8?? .? 8B55 0C?????? mov???? edx, dword ptr [ebp+C]
77D3B3CB?? .? 3B15 0801D777 cmp???? edx, dword ptr [77D70108]
77D3B3D1?? .? 0F87 A3000000 ja????? 77D3B47A
77D3B3D7?? .? 33C0????????? xor???? eax, eax
77D3B3D9?? .? 8BCA????????? mov???? ecx, edx
77D3B3DB?? .? 83E1 07?????? and???? ecx, 7
77D3B3DE?? .? 40??????????? inc???? eax
77D3B3DF?? .? D3E0????????? shl???? eax, cl
77D3B3E1?? .? 57??????????? push??? edi
77D3B3E2?? .? 8B3D 0C01D777 mov???? edi, dword ptr [77D7010C]

然后，我們來看它的wparam.正常的wparam應該是，一個hex數據，這個hex數據是鍵盤上按的字符的asc2碼對照。

OK，很不幸運的是，在每次那個wm_keydown的數據，都無法正常的對照鍵盤。

這個時候，我們就要做點回碩跟蹤了。

這里，談談鍵盤。要想從本質級，改變鍵盤的編碼，當然是r0下。但是我覺得2009的[XX]應該和2008的[XX]一樣，不會存在r0下的一些修改。

大概就是通過串改user32實現鍵盤的編碼變換。

既然知道了是串改user32進行編碼變換。那我們用od就足夠了。

好，我們繼續來看定位點。

我們明白了這點后，我們又知道TSSafeEd.dll是那個保護的的xxx，那我們就想辦法跳到那個TSSafeEd.dll里去看在wm_keydown之前，它搞了啥。

我這里使用的方法是，在multibytetowidechar這個地方下點。，因為每次輸入一個字符的時候，[XX]它斗會切轉換一次。

斷下來后，一路ctrl加F9,就來到了這里

03572C50??? 0FBF45 16?????? movsx?? eax, word ptr [ebp+16]
03572C54??? 8B8E A4915703?? mov???? ecx, dword ptr [esi+35791A4]
03572C5A??? 50????????????? push??? eax
03572C5B??? 0FBF45 14?????? movsx?? eax, word ptr [ebp+14]
03572C5F??? 50????????????? push??? eax
03572C60??? E8 A00B0000???? call??? 03573805
03572C65??? FF75 14???????? push??? dword ptr [ebp+14]
03572C68??? FF75 10???????? push??? dword ptr [ebp+10]
03572C6B??? 57????????????? push??? edi
03572C6C??? FF75 08???????? push??? dword ptr [ebp+8]
03572C6F??? FFB6 9C915703?? push??? dword ptr [esi+357919C]
03572C75 >? FF96 A0915703?? call??? dword ptr [esi+35791A0]????????? ; USER32.CallWindowProcA----在這里怎個條件斷點，還是斷0x100,這個消息
03572C7B??? 5F????????????? pop???? edi
03572C7C??? 5E????????????? pop???? esi
03572C7D??? 5B????????????? pop???? ebx
03572C7E??? C9????????????? leave
03572C7F??? C2 1000???????? retn??? 10

?

恩，這時候，我們就知道了。先是xxx處理正常的wm_keydown消息，然后變換了過后，再切發到那個窗口的處理過程里頭切。大概就是用函數CallWindowProcA

回碩，回碩。。。。。

?

想搞[XX]的，大家，就自己切研究了哈。：）

祝大家51快樂。

?