万像注入微信进程模块分析

逆向

@模块文件名

WxAlyCore.dll

@模块行为不完全列表

0. 环境扫描

1. 系统环境参数（cpuinfo,ip,mac）
2. Wanxiang 环境扫描
3. Duduniu 环境扫描
4. pubwin 环境

1. 网络抓包http/https劫持（自定义生成ssl证书）

http1.1 302 本地重定位
http/s 包分析上传
TCP 包分析上传
www.so.com
www.sogou.com
www.baidu.com
www.google.com
https://www.sogou.com/web?
163.com
mail.163/sina/hotmail/yahoo/google/21cn/qq/yeah/10086/tom/189/wo/citiz/hinet/aliyun
域名劫持（本地s5转发代理）

1.1 通过tcp包/web包 收集上网行为（邮箱/网购地址/博客地址/游戏/娱乐/webqq/新闻/（地方）门户站/bbs/weibo/推特/网盘/虚拟商品交易/婚恋网）

2. API-HOOK / Process patch

2.0. 显示器截屏/键盘钩子/语音捕获录音上传
threadSoundCaptureCallBack
HintSoundCapture::StartCapture
threadCamCapCallBack
HintCaptureVedio::HintCaptureVedio
2.1. 窗口创建API-HOOK
2.2. 浏览器模块(chrome/qqbrowser/ie/)API-HOOK
2.3. 系统模块API-HOOK
2.4. 驱动通信API-HOOK
2.5. 网络通信API-HOOK
2.6. QQProtect 进程patch
2.7. AliIM 进程 patch
2.8 QQ/微信 进程 Keyboarkll /MyNtUserSetWindowsHookEx_QQ (QQ2011/2012/2013/)
GetUinByCode/GetAccountInfo/GetAccountName...
联系人名称/备注名/程序版本/最后登录时间/邮箱/头像/年龄/是否手机终端/是否在线/是否微信用户
图片消息发送监听/点亮（点亮未显示）的图标列表/讨论组信息/群信息/群成员信息/QQ消息信息（时间，是否为离线消息）/QQ文件传输/QQ好友列表信息/QQ号/微信语音/
2.9 Radmin 进程 patch /MyEndDialog_Radmin
2.10 QTIM 进程
2.11 PPTool PP助手 AppID
2.12 ISpeak 进程
2.13 battle net 战网客户端 patch

3. 用户账号/密码信息收集

3.1 YY账号密码
3.2 TeamView远程工具ID/远程连接密码/窗口句柄
MyCreateWindowExW_Teamviewer
MyCreateDialogIndirectParamAorW_Teamviewer
3.3 steam账号
3.4 AliIM 账号/uid/昵称/好友/联系人名单
3.5 AliIM 消息内容/来源UID/来源昵称
3.6 AliIM 部落/名称/成员名称
3.7 battle net 战网账号

4. 万像广告加载

5. 游戏进程相关

5.1 QQ对战平台 API-HOOK MyCreateWindowExW_QQDuiZhan
5.2 QQSG 窗口
5.3 WOW 封包监听/API-HOOK MyNtDeviceIoControlFile_WOW
5.4 DOTA2 MyCreateWindowExA_DOTA2 HOOK dota2 window
5.5 worldoftank 坦克世界 patch/hook/登录账号