qq密码输入框保护组件TSSafeEdit中的花指令研究

最新推荐文章于 2016-06-28 18:08:57 发布
最新推荐文章于 2016-06-28 18:08:57 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 病毒PE学习 加壳脱壳 文章标签: qq 汇编 脚本 腾讯 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OSReact/article/details/7738624
版权
看到了天易love的影响,也想写一点东西,和大家分享一些研究的心得体会,也算是做一个小小的笔记。
白菜贴,大牛飘过。

时间比较紧,先粗略地写一下,等晚上再详细补充。

TSSafeEdit是QQ的密码输入框保护组件,在Tencent\QQ\Bin目录下可以找到。
这个文件我已从2009年一直跟踪到现在 
期间它的版本有过好几次更新,目前的最新版本应该是2011.4.7.1。

TSSafeEdit的代码中大量地使用了花指令,基本上,每一句正常代码之后都放有一个花指令。
像这样,

函数()
{
   正常程序代码
   花指令
   正常程序代码
   花指令
   正常程序代码
   花指令
   正常程序代码
   花指令
   正常程序代码
}

这些花指令,给分析TSSafeEdit造成两方面的麻烦。

(1)在OD里调试时,大批的花指令扰乱了od的反汇编,当你滚动反汇编窗口时,里面的汇编指令经常会随之变化,影响了反汇编分析。
(2)含有这些花指令的函数,在IDA中反汇编会失败,因此不能被F5。

于是,我下决心把它们清理掉。经过仔细观察,发现TSSa
最低0.47元/天 解锁文章
OSReact
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
揭秘QQ 安全密码框的原理
Henzox的专栏
07-02 7419
现在密码的安全性越来越受到重视,那么一般所谓的安全密码框是如何实现的呢?本文以 QQ Music 为例,探讨了它安全密码框实现的原理。
QQ密码框的那点破事
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-22 1277
前阵子把QQ密码搞出来了,现在想复习下发现又生疏了,看来要写个文章利用看雪论坛帮自己保存下,特别是WinDbg的命令忘的太快了,恩要记下来了。 注:本文没有用到驱动来实现,也没有用到假界面这个方法,只是借助于WinDbg分析,代码是Ring3的,QQ版本是2011,版本号是1.65.2221.488即最新的版本beta 3.3 QQ密码框是靠不停的安装卸载钩子来实现密码保护的,这地球人都知道,
紧急通知:恶意软件正在破坏QQ安全运行 亲爱的用户,你的QQ已被恶意外怪破坏
binyao02123202的专栏
04-24 2974
WIN7——C:\Users\用户名\AppData\Roaming\Tencent\QQ\SafeBase 删除全部文件并新建一个文本文件改名为tssafeedit.dat将属性设置为只读即可(文件夹也设置只读)。 6月8新增:同时把C:\Users\用户名\AppData\Roaming\Tencent\QQ\AuTemp\第一个很长的乱码目录下AUStat.ini文件里的内容删除,把属性改
创e下载园7edown.com(坑爹流氓网站大揭秘)
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
06-28 5358
从这个网站下到一个国际版本的QQ 解包之后发现了这些玩意 大家要是运行的话,就招了。千万要小心呐。如上图所示还有一大堆链接的图标。 Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"="htt
QQ2010密码输入框保护原理之我见
水墨鱼的专栏
02-27 879
QQ管家加速
08-16
2. **TSSafeEdit.dat**:这可能是QQ管家的一个配置或数据文件,用于存储用户的个性化设置或者软件的安全策略。 3. **QQ等级加速管家.dat**:这可能是一个专门用于记录和管理QQ等级加速的相关数据文件,包含用户的...
QQ管家
10-11
在处理"出现控件错误,运行Co.exe即可"的问题时,这可能是由于某些系统组件QQ管家的组件出现了故障,导致程序无法正常运行。 `Co.exe`可能是一个特定于QQ管家的可执行文件,用于初始化或修复某些关键控制元素。当...
QQ电脑管家_Green/Just/For/Fun-QQPCMylb
06-26
"TSSafeEdit.dat" 可能是QQ电脑管家的安全设置或配置文件,其存储了用户的安全策略、防护状态等信息,使得软件能根据这些设定来执行相应的保护动作。 "qqpctray.dat" 文件可能是QQ电脑管家的托盘图标配置或者数据...
安全管家加速模块
09-25
8. **数据配置**:TSSafeEdit.dat、QQ等级加速管家.dat、dr.ini这些文件可能是配置文件,存储了加速模块的设置和用户个性化选项,用于调整模块的工作方式。 9. **QQ等级加速**:提及的QQ等级加速管家可能是一个特定...
QQ密码输入框(防键盘钩子)原理分析
muyedongfeng的专栏
10-21 1153
1.网上看到的一些防星号查看器的代码大多是在后台维护一个字符串(真实的密码),界面则不显示真实的密码,这样做,维护那个字符串很费事,就因为我之前那样做过,我才在看到WM_GETTEXT后想要重做一个 2.防键盘钩子,在做上面的功能是,突然想到,如果自己模拟发一些乱七八糟的按键消息,然后自己区分哪些是垃圾哪些是用户真正的按键,那钩子就到不取密码了,所以又加了这个功能.后来自己做了一个钩子看了一下效
盗号原理
CodingAdo
07-15 3033
1、破坏型  惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。  2、密码发送型  可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手。也有些黑客软件
如何破解QQ键盘加密技术?
flash91103581的专栏
04-08 1799
今天升级QQ,发现登陆界面的软键盘没有了,取而代之的是一个带金锁图标的密码框。试了两个键盘记录工具,原理分别是GetAsyncKeyState和键盘类过滤驱动,发现无效,恩,有点意思,正好用来打发时间。 先看腾讯是怎么吹的:“QQ2005 Beta3采用了国际先进的nProtect键盘加密保护技术,能最大限度地防止用户的密码输入不被病毒、键盘记录程序所窃取,大大提高了QQ用户的帐号安全性。” nP
QQ是如何防止其它程序通过安装键盘钩子截获密码信息的猜想之一
NotLanguage的专栏
03-29 1835
<br />钩子函数的处理顺序与钩子进入钩子链的先后顺序相反,后进入钩子链的钩子的函数先处理.这样,只要保证QQ安装的键盘钩子始终处于钩子链的尾端就可以.这样可以采用下面的方式实现:<br />每当QQ密码框获得焦点时,安装键盘钩子,焦点移开时将其移除.这样当在密码输入密码时就可以保证QQ的钩子函数先处理,从而将这个消息不继续传递或者发送模拟的键盘消息.<br />键盘钩子属于普通钩子,这样其它程序如果安装了更低级的钩子,就有可能在键盘钩子处理前先处理它.这样QQ也可以采取同样的方式,使自己的低级钩子
不能说的秘密之RtlAdjustPrivilege
OSReact的专栏
07-12 1510
前言: 今天逆向一个非常实用的函数RtlAdjustPrivliege 这个函数封装在NtDll.dll(在所有DLL加载之前加载),被微软严格保密,就是说你在MSDN上查不到关于他的任何信息。 先来看看这个函数的定义(Winehq给出): 引用:  NTSTATUS RtlAdjustPrivilege  (   ULONG    Privilege,
昨日的病毒简单分析了下【附Bin样本】
OSReact的专栏
07-12 1201
由于里面的文件比较多,我只大概分析了一下,错误之处大家分析后指出来! 我也不知道怎么感染这病毒的,幸好我电脑没联网,要不然!里面涉及技术比较多 大家可以慢慢挖出来!注意:样本是我电脑上直接拷贝过来的!不知道是不是可以感染 正题开始! 病毒名字好像叫:红蜘蛛 是拼音 病毒的工作模式: 向spoolsv.exe注入4个DLL,这4个DLL里面我只看了两个,它们都是分工明确,W
【原创】取FS:[0]的一个小技巧
OSReact的专栏
07-12 1109
代码: 004F45A5 > 1E push ds 004F45A6 0FA0 push fs 004F45A8 1F pop ds 004F45A9 33C0 xor eax, eax 004F45AB 8B00 m
【原创】键盘布局0day漏洞分析
OSReact的专栏
07-12 672
最近调了instruder发的0day漏洞:http://www.exploit-db.com/exploits/18140/ 把调试分析的情况写在这里。水平有限,让大家见笑了, 欢迎批评指正。 dump文件的分析结果如下: EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx" FAULTING_IP:  win32k!ReadLay

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值