浅析一键盗号究竟是何方神圣?

0x00 破解撸号器 获取使用权限

浅析一键盗号究竟是何方神圣? 第1张

这是我在市面上下载的一款名为心瘾的撸号器 为了保证此款撸号器的功能解析,我破解了他的登陆,那么具体的看下面(并不提供如何破解,自行研究,为了防止某些不法分子拿了方法去破解然后盗号)

浅析一键盗号究竟是何方神圣? 第2张

这里有的小白可能就会比较误解,直接打开程序 401000 最后发现自己要找的特征码和地址都找不到,这是为什么呢?

易语言支持三种编译方式1.编译,2.静态编译,3.独立编译 那么这个作者就使用了第一种

浅析一键盗号究竟是何方神圣? 第3张

点击编译后

浅析一键盗号究竟是何方神圣? 第4张

点击保存,但是你会发现系统又提示一个说需要把依赖项写到同一目录

浅析一键盗号究竟是何方神圣? 第5张

我们这边什么都没写 所以他只帮我们写出去了一个依赖文件

浅析一键盗号究竟是何方神圣? 第6张

必须放在一起才能运行 不然的话是无法运行的

就比如这个撸号器一样

浅析一键盗号究竟是何方神圣? 第7张

单独放在桌面

浅析一键盗号究竟是何方神圣? 第8张

会有一个Error 错误提示

(ps:易语言普通编译也就是直接编译,指的是不把支持库等依赖一起编译,就等于如果你要把软件发给别人使用的话,那别人也必须又支持库才行!

独立编译:运行时会把需要的支持库释放到一个系统临时文件夹的子目录内,然后运行.

静态编译:运行是不需要任何的支持库支持就可以运行,支持库已经和exe结合到一起了. )

0x01


好家伙 SE 但是我只能说绝对没有反调试 别问我为啥 因为他直接编译要调用支持库 如果他加了反调试等VM 花指令 程序会跑不起来:) 因为我试过:)具体的自行尝试即可


浅析一键盗号究竟是何方神圣? 第9张

因为他是调用支持库 验证 这里会有很多小白不懂 因为 他们搜需要的特征码却发现找不到!

这里我用一个简单的方法找到 他是调用哪个支持库验证的!

浅析一键盗号究竟是何方神圣? 第10张

先运行 ,运行之后点击登陆!

浅析一键盗号究竟是何方神圣? 第11张

浅析一键盗号究竟是何方神圣? 第12张

点击暂停,然后alt+F9 执行到用户代码

接着点击那个错误的弹窗即可

浅析一键盗号究竟是何方神圣? 第13张

浅析一键盗号究竟是何方神圣? 第14张

可以看到是调用krnln模块验证的

那么接下来就是爆破

浅析一键盗号究竟是何方神圣? 第15张

爆破完成

浅析一键盗号究竟是何方神圣? 第16张

这个是生成shell 远控的

浅析一键盗号究竟是何方神圣? 第17张

这个是steam密正 

浅析一键盗号究竟是何方神圣? 第18张

这个是QQ马

 

我生成了三个马 分别是steam密正 QQ马 shell后门远控

浅析一键盗号究竟是何方神圣? 第19张

这玩意还是用了腾讯的数字签名 但是我觉得没什么卵用!

浅析一键盗号究竟是何方神圣? 第20张

浅析一键盗号究竟是何方神圣? 第21张


0x02 

浅析一键盗号究竟是何方神圣? 第22张

提权到deBug权限

浅析一键盗号究竟是何方神圣? 第23张

使用CreateToolhelp32Snapshot获取系统正在运行的进程,在堆栈下面找可以找到它获取的进程信息

浅析一键盗号究竟是何方神圣? 第24张

获取操作系统信息

浅析一键盗号究竟是何方神圣? 第25张

创建一个线程

浅析一键盗号究竟是何方神圣? 第26张

这个localhost.ptlogin2.qq.com 已经见怪不怪了 大家都懂的了

再一次调用CreateToolhelp32Snapshot

浅析一键盗号究竟是何方神圣? 第27张

这一次获取的是Steam进程

浅析一键盗号究竟是何方神圣? 第28张

后续的话 基本跟之前一样 调用CreateToolhelp32Snapshot获取进程信息 然后CreateThread

创建一个线程来获取QQ快速登陆的cookie/key


最后发现他有访问steam的记住密码

浅析一键盗号究竟是何方神圣? 第29张

浅析一键盗号究竟是何方神圣? 第30张

0x03 

浅析一键盗号究竟是何方神圣? 第31张

UI抄的还蛮像的 那还得了:)但是确实是网上开源的防QQ UI的源码 但是这玩意要是在真实情况下 我觉得是个正常人都会去点的吧!

输入超多个111111之后 就会传回去

浅析一键盗号究竟是何方神圣? 第32张

浅析一键盗号究竟是何方神圣? 第33张

浅析一键盗号究竟是何方神圣? 第34张

浅析一键盗号究竟是何方神圣? 第35张

NB就完事了:) 服务器是美国的!

浅析一键盗号究竟是何方神圣? 第36张

突破就完事了呗 具体有没有用 还得看测试结果

浅析一键盗号究竟是何方神圣? 第37张


社工操作基本上获取财付通啊 等各种绑定的信息

 

0x04 破解之后测试一下功能

浅析一键盗号究竟是何方神圣? 第38张

这是我生成的一个QQ马 点击登陆后


浅析一键盗号究竟是何方神圣? 第39张

这边马上提示有新的QQ 这些正好是我输入的东西


Steam密正

浅析一键盗号究竟是何方神圣? 第40张

获取了我的密码和ssfn文件 然后我下载下来 正好就是我steam目录下的ssfn文件

浅析一键盗号究竟是何方神圣? 第41张

点击一键授权或一键登录 后我也不需要在进行QQ邮箱的验证

浅析一键盗号究竟是何方神圣? 第42张

shell远控后门(因为他程序每次只能打开一个功能的木马程序 所以我只能分开测试)

他的shell 我弄了很久也没懂这玩意怎么用 是反弹还是怎么 还是需要登陆QQ?这些我都测试过了 他的shell就是没反应:)

浅析一键盗号究竟是何方神圣? 第43张

所以我无法验证验证他是如何突破的QQ独立密码


0x04免杀测试

浅析一键盗号究竟是何方神圣? 第44张

作者说过一切杀毒软件 自动拦截! 你这是不把腾讯管家等杀软放眼里呀:)

 

1. 腾讯电脑管家免杀测试

指定位置扫描

浅析一键盗号究竟是何方神圣? 第45张

只有一个QQ盗号木马报毒 shell和steam密正均未报毒

 

病毒运行是否拦截

因为QQ木马扫描已经报毒杀掉了 那么运行就更不用说了 所以不测试QQmuma.exe

shell测试没有被拦截

浅析一键盗号究竟是何方神圣? 第46张

steamMZ测试没有被拦截

浅析一键盗号究竟是何方神圣? 第47张

2.360安全卫士测试情况

指定位置杀毒

浅析一键盗号究竟是何方神圣? 第48张

运行情况

Shell.exe拦截成功

浅析一键盗号究竟是何方神圣? 第49张

 

Steammz.exe拦截成功

浅析一键盗号究竟是何方神圣? 第50张

3.火绒安全测试情况

指定位置扫描

浅析一键盗号究竟是何方神圣? 第51张

运行拦截测试情况

QQMuma.exe 等待30秒 火绒无拦截

浅析一键盗号究竟是何方神圣? 第52张

Shell.exe

浅析一键盗号究竟是何方神圣? 第53张

拦截成功

 

SteamMZ.EXE

浅析一键盗号究竟是何方神圣? 第54张

0x05

撸号器作者服务器:154.95.20.80

登陆地址:http://154.95.20.80/nc/q/clogin.php

下面是盗号器作者给出的如何钓鱼上钩盗号

浅析一键盗号究竟是何方神圣? 第55张

个人建议:看图

浅析一键盗号究竟是何方神圣? 第56张

后记

随着QQ本身安全性的不断提升以及成熟的风控,盗号者现在已经很难做到对QQ号本身进行盗取了,但是衍生出来的其他关联产业的盗号,却是一直生生不息,绝地求生的火热,无疑再次带动了传统的盗号行业。
当大家都在谈论新技术、新游戏的时候,黑市上的人也在一边喝酒,一边为这些新兴起的事物,唱着赞歌,享受着它们带来的福利,或许绝地求生和腾讯的合作,会抑制盗号的猖獗一段时间,但谁又知道下一次会是哪个游戏呢?


GLHF!