浅谈3大主流盗号木马技术

基本上所有人对木马的感觉就是窃取资料和控制计算机,也把木马基本统称为一类。市面上很多人都是提出XXX方法可以防范木马。孰不知，不同的木马编写方式其防范方法也有不同。接触这个圈子也不算短了，从2001年的中美黑客大战到05年后的黑客商业圈。人生百态，不得不使人唏嘘感叹啊，这里就对木马盗号方面的技术来一起见证黑客后门技术的发展历史吧。

2000~2002年，此时正式WINDOWS开始深入到千家万户的时候。从WIN95到WIN98，再到WINXP这是历史的变迁，同时网络也由传统的“猫”到ISDN，再到ADSL，互连网也在异常迅猛的发展。扯远了。。。这时候木马还比较单一，基本就是偷个邮箱号啊，盗QQ号什么的。2001年左右正是QQ最火热的时候，很难注册到不说，还开始出现了付费注册的局面。于是忽，盗QQ似乎成为一种时尚。那时候最喜欢看的就是，所谓的“大牛”们在论坛秀出一列列盗来的QQ号。呵呵，这时候木马主要都采取键盘记录的形式编写的。当时WIN32编程才刚刚流行起来，基本大部分程序员都停留在学习和使用API函数的地步，当时抄的最火热的就是“钩子”，虽然古老，但是其简易性现在还有大量的黑软在编写的时候采取此种方式。当时最流行的就是做一个键盘钩子，这样键盘在执行什么操作后，都会被记录下来。从而达到记录密码的作用。当然，如果把密码复制粘贴了，就很难办了。

2002~2004年，这时候最流行的就是远程线程注入，利用API函数来获取窗口句柄，然后根据WINDOWS的消息机制来获取窗口对话框的内容，从而达到截获密码的作用。其原理也不复杂，一般都是通过FindWindowEx()先获取密码窗口的句柄，然后提交例如WM_GETTEXT消息来获取窗口的帐号密码，但是有攻就有防，后来的一些游戏和软件上。过滤了从外部提交WM_GETTEXT这样的消息响应函数，于是，远程线程注入又发展起来。就是把木马的线程注入到程序本身的进程中去，从而达到盗取密码的目的。但是，后台的发展是窗口对话框禁止一切外部函数的提交，从而达到保护密码不被盗取的目的。但是技术依然在发现，因此，现在主流的盗号技术就产生了。

2005~ 由于程序本身对自身对话框的保护，木马似乎很难从程序中获取资料信息了。因此，反汇编技术在这里发挥了极大的作用。其原理就是，获取对话框控件在内存中的物理地址，然后在判断输入完帐号密码后，直接读取内存地址的具体数值，来获取帐号密码。这样的技术对黑客程序员自身素质也要求比较高，他要求最少精通一门高级语言的编程，尤其是WIN32/64内核的系统编程。其次，还要非常熟悉汇编的指令代码，对破解程序有一定的要求。因此，此类木马的门槛也比较高，据我所知。国内能写这样木马的人，是少之又少。写这篇文章，就当为以后各种技术做一铺垫，闲聊帖。