| jzhao
24205
|
2006/6/11 10:16:23 |
各位好,我是DELPHI新手。能为我解晰一下程序大概的流程吗,我是不明白 GetModuleFileName(0, @ExeFileName, MAX_PATH); // 当前进程
CurIsQQ := (lStrCmpI(PChar(ExtractFileName(ExeFileName)), 'QQ.Exe') = 0);这段是在什么时候被执行的,这段为什么能发现QQ的进程?烦请各位看懂了的高手指点,如果麻子兄有时间为我解晰一下的话那就更好了! |
| wdywmz
23882
|
2006/5/25 23:52:08 |
| 麻子兄实在是厉害!!!看来腾讯所谓的键盘加密技术也不过是垃圾了~。。。。。 |
| iceker
21328
|
2006/2/2 23:41:43 |
| 我在win98下没反映啊 |
| huangx661
21275
|
2006/1/27 0:42:58 |
liumazi,555555555,我是菜鸟,中了你的病毒,我杀不掉,想问下为什么,能不能告诉我点做病毒的诀窍??
给我留下你的QQ好吗? |
| liumazi
21098
|
2006/1/19 15:33:50 |
请教不敢当,大致是这样的:
2975/2974是LoginCtrl.dll中的字符串资源ID,就是当鼠标停留在安全锁上n秒后,弹出的提示信息..
156/157是当点击上述提示信息时跳转的地址,键盘保护正常的时候打开156,保护失败的时候打开157..
至于如何得来的,主要是监视一些可疑的API的调用,以确定用到了哪些API及其参数.. :) |
| hnxyy
21096
|
2006/1/19 14:52:11 |
请教麻兄一个问题:
在ApiHookOn()过程中拦截三个API函数'LoadImageA','LoadStringA','ShellExecuteA',其中New_LoadImageA是直接替换红叉为正常锁图标的,New_LoadStringA和New_ShellExecuteA的作用能介绍下吗?
function New_LoadStringA(hInstance: HInst; uID: UInt; lpBuffer: PAnsiChar; nBufferMax: Integer): Integer; stdcall;
begin
if (uID = 2975) then uID := 2974;
Result := Tfn_LoadStringA(g_LoadStringA.OriginProc())(hInstance, uID, lpBuffer, nBufferMax);
end;
function New_ShellExecuteA(hWnd: HWnd; Operation, FileName, Parameters, Directory: PAnsiChar; ShowCmd: Integer): HInst; stdcall;
const
Url_156 = 'http://jump.qq.com/clienturl_156'; // 正常
Url_157 = 'http://jump.qq.com/clienturl_157'; // 失败
begin
if (Pos(Url_157, FileName) > 0) then FileName := Url_156;
if (Pos(Url_157, Parameters) > 0) then Parameters := Url_156;
Result := Tfn_ShellExecuteA(g_ShellExecuteA.OriginProc())(hWnd, Operation, FileName, Parameters, Directory, ShowCmd);
end;
因为我不太明白其中的uID和Url_156,Url_157和如何得来得?
16065和16066这两个图标资料是在LoginCtrl.dll中存放得 |
| liumazi
21047
|
2006/1/18 10:34:15 |
to zyx1:
其实类似于这样的问题,我已经解释过多次了,
请注意Cls.bat里面有这样的语句:
upx Dll\Hook.Dll
upx Exe\Call.exe
所以请你用upx压缩后,再试不迟..
我现在用的是1.93 beta版, 在天空软件站下载的, 如果您有空的话, 可以试试.. |
| zyx1
21042
|
2006/1/18 9:38:44 |
| 是的,是金山毒霸报告有病毒,我自己编译一遍生成的文件没有提示病毒,看起来不是误报那么简单,您还是把电脑查一下毒吧。 |
| 520god
21038
|
2006/1/18 1:01:46 |
| 支持你!下了学习学习 |
| zhy123
21036
|
2006/1/17 20:43:57 |
| liumazi老崇拜你了 |
| liumazi
21033
|
2006/1/17 20:09:19 |
| to zyx1: 金山吗?应该是误报,真没办法。。:( |
| zyx1
21028
|
2006/1/17 17:27:32 |
| 麻兄,里面有 Win32.Troj.DownDelf.di.8704 病毒,不知为什么? |
| togoog22
21021
|
2006/1/17 15:54:04 |
| 不错!呵呵 |
| mszok
21015
|
2006/1/17 12:19:22 |
| 有点意思,麻子兄?国人在系统级别上总是做的不够?让你有机可乘 |
| syanet
21012
|
2006/1/17 10:32:14 |
| 小叉叉好解决, 呵.呵. |
| alixer
21011
|
2006/1/17 10:18:13 |
| 高!!!! |
| sunjunfeng3
21008
|
2006/1/17 9:58:41 |
| ]敬一个 ,GOOD |
| cimssoft
21001
|
2006/1/17 9:16:55 |
| 哈哈,道高一尺,魔高一丈! |
| liumazi
20998
|
2006/1/17 8:51:14 |
| 呵呵,那是那是.. 不过如果仅仅简单地将文件改名,还是有点问题的,比如密码框右边的安全锁上会出现红叉.. 所以,还要拦截几个api的调用,才不至于露馅.. 这也是我觉得有点意思的地方,当然啦,只能算是雕虫小技,呵呵.. QQ2005把软键盘去掉了,这让我挺诧异的,难道这个新引进的"国际先进的nProtect键盘加密保护技术"真的会万无一失吗?? 答案是否定的.. :~) |
| wr960204
20996
|
2006/1/17 0:57:33 |
麻子是突破不了驱动级别的限制,搞了一个小动作.把驱动程序改名了.呵呵.
其实我觉得腾迅技术挺差的.还大肆宣扬买了国外先进技术封锁了键盘盗窃.其实不过是买了一个简单的驱动而已.
如果是自己做的话也很简单,而且既然已经做到驱动级别,还不如顺手动用了RootKit技术,对文件系统,注册表等等进行保护.这样麻子的方式就不行了. |
![]() |
|
