“QQ尾巴病毒”核心技术的实现(转)
声明:本文旨在探讨技术,请读者不要使用文章中的方法进行任何破坏。 2003这一年里,QQ尾巴病毒可以算是风光了一阵子。它利用IE的邮件头漏洞在QQ上疯狂传播。中毒者在给别人发信息时,病毒会自动在信息文本的后边添上一句话,话的内容多种多样,总之就是希望信息的接收者点击这句话中的URL,成为下一个中毒者。下图就是染毒后的QQ发送的消息,其中中毒者只打了“你好”两个字,其它的就全是病毒的杰作了。 下面我将要讨论的,就是QQ尾巴病毒使用的这一技术。由于病毒的源代码无法获得,所以以下的代码全是我主观臆断所得,所幸的是效果基本与病毒本身一致。 粘贴尾巴 首先的一个最简单的问题是如何添加文本。这一技术毫无秘密可言,就是通过剪贴板向QQ消息的那个RichEdit“贴”上一句话而已。代码如下: 钩子 好了,那么下面的问题是,这段文本应该在什么时候贴呢?网上有一些研究QQ尾巴实现的文章指出,可以用计时器来控制粘贴的时间,类似这个样子: 所以,在此我捕获WM_COMMAND消息要比捕获其它消息或挂接鼠标钩子要有效得多。 挂接钩子和查找窗口 接下来就是如何挂接这两个钩子了。对于挂接钩子,要解决的问题是:往哪里挂接钩子,以及如何挂接? DLL的共享数据段 如果你对DLL不甚了解,那么在你读到我的配套源代码之后,肯定会对下面这一段代码有些疑问: 这个DLL需要将一个实例映射到EXE的地址空间之中以供其调用,还需要将另一个实例映射到QQ的地址空间之中来完成挂接钩子的工作。也就是说,当钩子挂接完毕之后,整个系统的模块中,有两个DLL实例的存在!此DLL非彼DLL也,所以它们之间是没有任何联系的。拿全局变量g_hRich来说,图中左边的DLL通过EXE的传入获得了文本框的句柄,然而如果没有共享段的话,那么右边的DLL中,g_hRich仍然是NULL。共享段于此的意义也就体现出来了,就是为了保证EXE、DLL、QQ三者之间的联系。这一点,和C++中static的成员变量有些相似。 |
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-123834/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10294527/viewspace-123834/
“QQ尾巴病毒”核心技术的实现(转)相关推荐
- “QQ尾巴病毒”核心技术的实现
"QQ尾巴病毒"核心技术的实现 声明:本文旨在探讨技术,请读者不要使用文章中的方法进行任何破坏. 2003这一年里,QQ尾巴病毒可以算是风光了一阵子.它利用IE的邮件头漏洞在QQ上 ...
- 《“QQ尾巴病毒”核心技术的实现》日文版
"QQ尾のウィルス"の核心の技術の実現 声明:本文は探求の技術を目指して.読者に文章の中の方法を使っていかなる破壊を行ってないでくたさいもらう. 2003この年の中で.QQ尾のウィ ...
- QQ尾巴病毒的Visual C++实现探讨
QQ尾巴病毒的Visual C++实现探讨 自2003起,QQ尾巴病毒可以算是风光了一阵子.它利用IE的邮件头漏洞在QQ上疯狂传播.中毒者在给别人发信息时,病毒会自动在信息文本的后边添上一句话,话的内 ...
- QQ尾巴病毒仿真(转)
自2003起,QQ尾巴病毒可以算是风光了一阵子.它利用IE的邮件头漏洞在QQ上疯狂传播.中毒者在给别人发信息时,病毒会自动在信息文本的后边添上一句话,话的内容多种多样,总之就是希望信息的接收者点击这句 ...
- QQ尾巴病毒 VC
前一段时间在病毒源代码的博客上看到了QQ尾巴病毒的原理,他的博客确实不错,有很多这方面的东西.不过他是用VB或者DELPHI写的(区分不清,呵呵),而且感觉他写得有点乱,可能我习惯看C格式的代码吧.最 ...
- QQ尾巴病毒的发送原理分析
近来QQ尾巴病毒大肆发作,我也是经常收到网友们发到来的带尾巴的消息,于是,好奇心一来,我也来研究研究此病毒的发作原理.首先,我不知道QQ尾巴病毒真正的原理,我只是猜测并且自己写了一个类似的程序来实现它 ...
- WMF漏洞被疯狂利用 “QQ尾巴”借机传播(转)
金山毒霸反病毒监测中心消息,目前已经有数以千计的木马.广告软件.病毒利用微软操作系统WMF(Windows图元文件)安全漏洞进行传播.金山反病毒专家介绍,病毒作者通常将含有此漏洞的WMF恶意文件注入到 ...
- QQ2007尾巴病毒实现(一)
闲来无事,想研究一下QQ尾巴病毒,呵呵,有谁要,50块一个卖了,这下发达了(跟制作熊猫烧香的人学的) @@|| 记得刚毕业的时候写过qq炸弹程序,原理跟qq尾巴病毒差不多,无非是查找到输入框和发送按牛 ...
- 用Windows工具揪出隐藏的QQ尾巴
"QQ尾巴"是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序.该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并 ...
- QQ尾巴--Myrunner
首先,你能把这个病毒文件传上来么?我正在收集病毒样本. ---- 中了myRunner病毒的症状 VC写的发送QQ尾巴和盗取信息的木马病毒 一旦感染,病毒将执行下列操作: 复制到系统目录: " ...
最新文章
- c++重载自增与自减运算符(前置与后置)
- [SpringMVC]定义多个前缀映射的问题
- currenthashmap扩容原理_ConcurrentHashMap实现原理和源码解读
- 开源题材征集 + MVCEF Core 完整教程小结
- Nodejs学习笔记(二)——模块
- JavaScript数组对象简介及其常用方法介绍
- elasticsearch删除索引后再新建时踩的坑
- 解决办法:NVIDIA驱动,Ubuntu16.04 用户登录界面死循环
- uniapp 公众号微信支付提示 调用支付jsapi缺少参数appid
- Python 将tif文件分割成多个小tif
- Linux系统操作命令
- php生成统计图类pchart---中文翻译手册
- 微信小程序——添加广告
- 带alpha通道四通道的图片转成rgb三通道
- 三秒钟,我要拿到世界杯所有队伍阵容信息
- CG学习prepare
- 工业大数据漫谈4:工业大数据的作用
- python扩展库扩展名_pip命令也支持扩展名为.whl的文件直接安装Python扩展库。(2.0分)_学小易找答案...
- 【计算机组成原理】CPU如何区分指令和数据
- 2. 网络协议及硬件