说说知名软件的伪装和防范(下)

腾讯虽说漏洞百出,但也不是一无是处,他们有庞大的技术队伍和艺术队伍

搞逆向的朋友都清楚,一些老旧的漏洞一直存在,但是腾讯软件的界面却花样百出,十分华丽.

 

QQ2013一个吸引人的特性是登录界面的背景动画,至于非客户区重绘,早在2011就已经有了,

非登录窗口的重绘在2006就已经有了,而且可能更早,不过那时候很容易获取登录框的密码,所以伪装程序并不多

背景会根据时间来变换动画,很有感染力,截图之所以出现多余的区域是因为这个就是窗口的实际RECT

 

那么FindWindow无法得到这个窗口等各种保护以后很难再窃取用户输入的密码了,不过也导致了很多人想要伪装一个类似的程序

种到用户的电脑上,让用户自己输入帐号密码,发送到指定的邮箱,那么技术上如何实现动画背景呢?

 

因为我没有去逆向,也不干这个,只能猜测:

1.使用flash动画作为背景

2.使用PNG作为背景

 

第一种方法比较简单,只要加载sockwave控件就可以,我用C语言写了个DEMO

可以把swf放到窗口上播放,但是有个问题是,ActiveX是作为子窗口的,子窗口存在重叠的问题,此外SPY++会出现HWND

 

那么是否意味着腾讯使用第二种方法呢?我们知道PNG的目的是取代GIF,PNG是高位深度且无损压缩的,在2004年就有APNG的格式能够支持动画

不过APNG动画的大小不容小觑,QQ.EXE占用100多M内存,也可能正好于此有关,不过据我猜应该不是,虽然腾讯掌握渲染APNG的计数很容易,

不过他们应该使用另外一种方法:解析flash动画

 

QQ影音是一款不错的媒体播放器,既然他们能做QQ影音,他们就能解析并渲染swf等媒体,运用腾讯自己的类库直接绘制到窗口背景

一般的程序员要掌握这样的计数是有难度的,至少来说有这样的能力一般不做猥猥亵亵的事情,然而也不是说不可能

国外的FlashWin32就能渲染较低版本的swf文件,也就是说要完全仿真也是可以的

 

这里我按大多数程序员水平,假定一般的伪装程序是通过渲染APNG实现的.这个用GDI+渲染GIF的方法很容易就做到,而后自绘非客户区.

对于程序员,一个SPY++很容易就发现问题的所在,首先是窗口与子窗口数量上,窗口的类名等等

然而大多数网友都不是搞技术的,跟他们说1+1=10他们会嘲笑甚至鄙视你,程序员也未必会每次上QQ都要开个SPYXX.EXE,那就太那个了

那怎么识别?有以下几个建议:

 

1.点登陆设置,一般为装程序不会做翻转动作的切换效果

 

2.使用其他登录方式

  家庭用户可以选择保存密码,这样不会再登录时输入帐号密码.或者使用二维码登录

 

善后处理

发现登录总是失败,或者发现从未见过的界面(与以往大不相同),那么就要确认是否是挨卵了

 

1.任务管理器

   因为老周卡住了杀软的喉咙,腾讯的TXPlatform.exe的做法还是很低级的,但是仍然会有一个这个的进程伴随着启动

   如果没有,挨卵了

 

2.最终文件路径看版本信息

   快捷方式右键属性查找目标定位到的应该是QQProtect.exe而不是以前的QQ.exe

   此外此文件的属性也是识别方法之一:

如果不是,挨卵了

 

这时候你最要紧的不是改密码,而是杀毒

然后还不是改密码,找出伪装程序,把他干掉

然后还不是改密码,再杀毒一次

改密码,提醒你的亲朋好友

 

我大学一个管助学贷款的老师突然在群里发那种广告,就是那种广告了,你懂的

让人担心啊,一旦助学贷款的名单泄漏出去,网络诈骗势必会危急其他专业童鞋的

 

除了QQ,比较重要的就是阿里旺旺,淘宝可是真金白银,伪装旺旺的技术门槛更加低,识别的方法也类似,不过不是那么重要,因为马坑爹设置交易有几重密码的

被人诅咒多了不好,但是有相当一部分人就是以此为生的,他们不这样做,谁养活他们呢? 所以别怪敌人太狡猾,挨卵了怪自己太愚蠢.