事件经过,因为抖音上一网友发布的视频
正常输入框TextBox是窗口内的组件,窗口移动,他是毫无延迟的跟着移动,因为他是窗口的一部分。
视频中的WeGame输入框,在没有拖动窗口时,看起来很正常,基本没人能肉眼发现异常情况,但是当拖动窗口时,发现密码输入框不是随着窗口无延迟的移动,而是卡顿后才帖片到原WeGame窗口上的,所以天下网吧技术研判初步怀疑是第三方恶意程序制作假的密码框,通过实时监控WeGame窗口的位置并计算出密码输入框的位置,然后用自己写的密码输入框「叠罗汉」的覆盖在原密码输入框上(事实证明这个结论太草率了),后面再通过Porcess Explorer定位该输入框的进程发现正常情况下是腾讯自家的安全进程TASLogin.exe,所以,如果发现这个情况时,不需要大惊小怪,应该先确定该输入框是否是腾讯官方的TASLogin.exe进程。如果是,那应该是正常的,如果不是,那基本能判断为恶意盗号程序。
这里顺带分析下,为什么官方单独要单独用TASLogin.exe做个密码输入框,这种做法其实作为网络安全上的攻和防都比较常见的手段,攻方面可以用来做类似上面说的密码截取框,防方面可以用来防止恶意程序通过GetWindowText等方式来获取到常规的密码框里的明文密码。也能防止一些键盘记录器记录到的明文密码,而腾讯官方的TASLogin.exe正是「防」的一方。也因为这个技术导致会出现密码框的抖动、位移情况。
(视频截图:能明显看到密码框错位情况)
(测试发现,正常情况下输入框进程为TASLogin.exe,抖动,错位是正常情况)
(各位测试时记得外观设置里开启「拖动时显示窗口内容」选项,否则拖动时,窗口不会实时移动)
欢迎扫码关注天下网吧,任何网吧安全、突发、异常事件第一时间推送给你!欢迎大家转发,欢迎大家加入天下网吧网维群(群1已满,群2招网维人士)