1,593
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
liuer 2003-01-19
- 打赏
- 举报
liuer 2003-01-19
- 打赏
- 举报
liuer 2003-01-18
- 打赏
- 举报
找到了,DriverStudio有40多M
谢谢上各位了
zsy_good(只要坚定不移的走下去,那一定会成功)、 Drate(鸟窝里的虫) 或者其他修改过QQ的朋友:
可否来信详细讲解一下具体用法,为了搞定QQ修改,我愿意付¥,当然不能要得过多哦。
我的地址:phhhw@public.zzptt.fj.cn
谢谢上各位了
zsy_good(只要坚定不移的走下去,那一定会成功)、 Drate(鸟窝里的虫) 或者其他修改过QQ的朋友:
可否来信详细讲解一下具体用法,为了搞定QQ修改,我愿意付¥,当然不能要得过多哦。
我的地址:phhhw@public.zzptt.fj.cn
liuer 2003-01-18
- 打赏
- 举报
:))))))
继续学习
继续学习
zsy_good 2003-01-18
- 打赏
- 举报
下载一个DriverStudio,里面有,这套工具真好。
Drate 2003-01-18
- 打赏
- 举报
可惜,我自己的电脑没在身边,否则可以给你了
不过这东西好久没有用了
你可以上这里看一看有没有:
http://www.crackbest.com/
不过这东西好久没有用了
你可以上这里看一看有没有:
http://www.crackbest.com/
shuixin13 2003-01-18
- 打赏
- 举报
呵呵,
高手都来了!!
偶有个问题一直没解决
有办法给一个别人已编译好的DLL加上版本信息呀,
:》
高手都来了!!
偶有个问题一直没解决
有办法给一个别人已编译好的DLL加上版本信息呀,
:》
tearsfly 2003-01-18
- 打赏
- 举报
太高深了,关注
ehom 2003-01-18
- 打赏
- 举报
OICQ服务器系统通讯协议
协议说明:
协议由报文头(T)+发送者(T)+接收者(T)+报文类型(T)+报文长度(L)+报文内容组成
发送者和接收者是系统内的程序种类,OICQ服务器0x01,传真服务器0x02,WEB服务器0x03,打印服务器是0x04,聊天服务器是0x05,OICQ用户是0x0A。
OICQ用户到OICQ服务器的通讯协议 引导符 (0x81+0x0A+0x01)
报文类型 报文内容 报文说明
0x01 昵称(S)+肖像(M)+用户密码(S)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)+身份验证(T)新用户注册,身份验证用于当有人要将他加入好友时询问是否允许
0x02 服务号(L)+密码(S)+注册方式(T)老用户注册,方式分为0正常,1隐身
0x03 服务号(L)+对方服务号(L)+内容(S) 发送信息到某人
0x04 服务号(L)+组号(L)+内容(S) 广播信息,组号=0为全体
0x05 服务号(L)+朋友服务号(L) 查看朋友资料
0x06 服务号(L)+组名称(S) 增加组
0x07 服务号(L)+组编号(T)+组名称(S) 修改组名称
0x08 服务号(L)+组编号(T) 删除组
0x09 服务号(L)+移动人数(T)+{朋友服务号(L)+目的组号(T)} 移动组成员
0x0a 服务号(L)+起始编号(L)+回传个数(T)+查找标志(T) 看谁在线上
查找标志 1=向小找 2=向大找
0x0b 服务号(L)+SQL语句(S) 自定义查找
0x0c 服务号(L)+朋友服务号(L) 增加好友
0x0d 服务号(L)+朋友服务号(L)+加入原因(S) 请求加入好友
0x0e 服务号(L)+朋友服务号(L) 删除好友
0x10 服务号(L)+显示模式(T) 更改显示方式 1上线2隐藏3免打扰4离线
0x11 服务号(L)+监视服务号(L) 监视某人谈话
0x12 服务号(L)+昵称(S)+肖像(M)+用户密码(S)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)+身份验证(T)更改用户基本信息
0x13 服务号(L)+朋友服务号(L)+文件名(S)+文件长度(L) 请求发送文件
0x14 服务号(L)+朋友服务号(L)+允许/拒绝 是否允许发送文件
0x15 服务号(L)+朋友服务号(L)+文件内容(B) 发送文件
0x16 服务号(L) 连接测试报文
0x17 服务号(L)+朋友服务号(L)+同意标志(T) 应答对方请求加入好友
0=拒绝
1=同意
OICQ服务器到OICQ的通讯协议
报文类型 报文内容 报文说明
0x01 成功/失败(T)+服务号(L) 新用户注册结果返回
0x02 成功/失败(T)+组个数(T)+{组名称(S)+组编号(T)+朋友个数(T)+{朋友服务号(L)+肖像编号(T)+朋友状态(T)+朋友昵称(S)] 老用户注册结果返回
朋友状态
1=上线=2隐藏=3免打扰4离线
0x03 标志(T) + 朋友服务号(L)+信息(S)+信息类型(T) 标志 1=系统 2=用户
发送消息,服务号=0是系统消息
1=用户某某已经把你加为好友
2=用户某某请求你通过身份验证
3=用户某某同意了你的验证要求
4=用户某某拒绝了你的验证请求
0x04 成功/失败(T)+朋友服务号(L)+昵称(S)+肖像(M)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)朋友信息回送
0x05 成功/失败(T)+组编号(T)+组名称(S) 增加组结果回送 1/0
0x06 成功/失败(T)+组编号(T)+组名称(S)修改组名称结果回送1/0
0x07 成功/失败(T)+组编号(T) 删除组结果回送1/0
0x08 成功/失败(T) 移动组成员结果回送1/0
0x09 成功/失败(T)+在线个数(T)+{服务号(L)+昵称(S)+肖像(M)+省(T)+市(S)} 查找在线人员结果回送
0x0a 成功/失败(T)+找到个数(T)+{服务号(L)+昵称(S)+肖像(M)+省(T)+市(S)} 自定义查找结果回送(最多50)
0x0b 标志(T)+朋友服务号(L) 增加好友结果回送标志
0=数据库失败
=1成功
=2需要身份验证
=3对方不允许加入
=4需要身份验证且不在线
0x0c 朋友服务号(L)+昵称(S)+肖像号(M)+朋友状态(T) 给在线用户增加好友
0x0e 成功/失败(T)+朋友服务号(L) 删除好友结果回送
0x10 服务号(L)+显示模式(T) 显示模式回送 =1上线=2隐藏=3免打扰4离线
0x11 成功/失败 更改用户基本信息结果回送
0x12 朋友服务号(L)+文件名(S)+文件长度(L) 请求发送文件
0x13 朋友服务号(L)+允许/拒绝 是否允许发送文件 1允许 0拒绝
0x14 朋友服务号(L)+文件内容(B) 发送文件
0x15 朋友服务号(L)+当前状态(T)朋友状态回送(系统发送)=1上线=2隐藏=3免打扰4离线
0x16 服务号(L) 连接测试
协议说明:
协议由报文头(T)+发送者(T)+接收者(T)+报文类型(T)+报文长度(L)+报文内容组成
发送者和接收者是系统内的程序种类,OICQ服务器0x01,传真服务器0x02,WEB服务器0x03,打印服务器是0x04,聊天服务器是0x05,OICQ用户是0x0A。
OICQ用户到OICQ服务器的通讯协议 引导符 (0x81+0x0A+0x01)
报文类型 报文内容 报文说明
0x01 昵称(S)+肖像(M)+用户密码(S)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)+身份验证(T)新用户注册,身份验证用于当有人要将他加入好友时询问是否允许
0x02 服务号(L)+密码(S)+注册方式(T)老用户注册,方式分为0正常,1隐身
0x03 服务号(L)+对方服务号(L)+内容(S) 发送信息到某人
0x04 服务号(L)+组号(L)+内容(S) 广播信息,组号=0为全体
0x05 服务号(L)+朋友服务号(L) 查看朋友资料
0x06 服务号(L)+组名称(S) 增加组
0x07 服务号(L)+组编号(T)+组名称(S) 修改组名称
0x08 服务号(L)+组编号(T) 删除组
0x09 服务号(L)+移动人数(T)+{朋友服务号(L)+目的组号(T)} 移动组成员
0x0a 服务号(L)+起始编号(L)+回传个数(T)+查找标志(T) 看谁在线上
查找标志 1=向小找 2=向大找
0x0b 服务号(L)+SQL语句(S) 自定义查找
0x0c 服务号(L)+朋友服务号(L) 增加好友
0x0d 服务号(L)+朋友服务号(L)+加入原因(S) 请求加入好友
0x0e 服务号(L)+朋友服务号(L) 删除好友
0x10 服务号(L)+显示模式(T) 更改显示方式 1上线2隐藏3免打扰4离线
0x11 服务号(L)+监视服务号(L) 监视某人谈话
0x12 服务号(L)+昵称(S)+肖像(M)+用户密码(S)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)+身份验证(T)更改用户基本信息
0x13 服务号(L)+朋友服务号(L)+文件名(S)+文件长度(L) 请求发送文件
0x14 服务号(L)+朋友服务号(L)+允许/拒绝 是否允许发送文件
0x15 服务号(L)+朋友服务号(L)+文件内容(B) 发送文件
0x16 服务号(L) 连接测试报文
0x17 服务号(L)+朋友服务号(L)+同意标志(T) 应答对方请求加入好友
0=拒绝
1=同意
OICQ服务器到OICQ的通讯协议
报文类型 报文内容 报文说明
0x01 成功/失败(T)+服务号(L) 新用户注册结果返回
0x02 成功/失败(T)+组个数(T)+{组名称(S)+组编号(T)+朋友个数(T)+{朋友服务号(L)+肖像编号(T)+朋友状态(T)+朋友昵称(S)] 老用户注册结果返回
朋友状态
1=上线=2隐藏=3免打扰4离线
0x03 标志(T) + 朋友服务号(L)+信息(S)+信息类型(T) 标志 1=系统 2=用户
发送消息,服务号=0是系统消息
1=用户某某已经把你加为好友
2=用户某某请求你通过身份验证
3=用户某某同意了你的验证要求
4=用户某某拒绝了你的验证请求
0x04 成功/失败(T)+朋友服务号(L)+昵称(S)+肖像(M)+性别(T)+年龄(T)+真实姓名(S)+国家/地区(T)+省(T)+市(S)+地址(S)+邮编(S)+学历(T)+毕业院校(S)+职业(T)+电话(S)+寻呼(S)+电邮(S)+爱好(S)+说明(S)朋友信息回送
0x05 成功/失败(T)+组编号(T)+组名称(S) 增加组结果回送 1/0
0x06 成功/失败(T)+组编号(T)+组名称(S)修改组名称结果回送1/0
0x07 成功/失败(T)+组编号(T) 删除组结果回送1/0
0x08 成功/失败(T) 移动组成员结果回送1/0
0x09 成功/失败(T)+在线个数(T)+{服务号(L)+昵称(S)+肖像(M)+省(T)+市(S)} 查找在线人员结果回送
0x0a 成功/失败(T)+找到个数(T)+{服务号(L)+昵称(S)+肖像(M)+省(T)+市(S)} 自定义查找结果回送(最多50)
0x0b 标志(T)+朋友服务号(L) 增加好友结果回送标志
0=数据库失败
=1成功
=2需要身份验证
=3对方不允许加入
=4需要身份验证且不在线
0x0c 朋友服务号(L)+昵称(S)+肖像号(M)+朋友状态(T) 给在线用户增加好友
0x0e 成功/失败(T)+朋友服务号(L) 删除好友结果回送
0x10 服务号(L)+显示模式(T) 显示模式回送 =1上线=2隐藏=3免打扰4离线
0x11 成功/失败 更改用户基本信息结果回送
0x12 朋友服务号(L)+文件名(S)+文件长度(L) 请求发送文件
0x13 朋友服务号(L)+允许/拒绝 是否允许发送文件 1允许 0拒绝
0x14 朋友服务号(L)+文件内容(B) 发送文件
0x15 朋友服务号(L)+当前状态(T)朋友状态回送(系统发送)=1上线=2隐藏=3免打扰4离线
0x16 服务号(L) 连接测试
ehom 2003-01-18
- 打赏
- 举报
搞这个汇编是一定要精通的,大学里学的是80x86汇编,这是基础,再找点Win32ASM的资料看看!当然对PE文件也要非常的熟习!
转贴一点资料!
[转贴]
出处:网易
作者:天网
我们的目标是去掉广告显示,并且在广告的位置上显示目标对象的IP地址和端口号。我们应该怎么下手呢,好的,慢慢跟我来!
经过对Oicq目录结构的分析,发现目录AD和广告有关。其一是广告的英文简写就 是AD,其二是其中的图片文件就是我们在广告中看到的。试着删除该目录之后,呵 呵,广告消逝了。但是下次进入Oicq之后,程序会自动新建这个目录,并且重新下
;载广告文件。既然程序读取不到广告文件广告就会消失,那么就人工让它读不到咯 。用Soft-ice把断点设置在CreateFileA上,这个API调用一般是用来打开一个文件 或者设备的。在Sice截到断点后,查看是即将打开的那些文件,从而判断是否是我 们要修改的地方。具体修改方法详见"打开广告文件的程序段"
广告是去掉了,但是在广告区域上点击鼠标,浏览器仍然会打开广告链接,看来 我们还需要对程序作更完善的修改。好了,既然点击广告会出现浏览器,那一定是 运行了一个程序。一般打开运行浏览器程序的有两种方法,一是调用COM接口,二 是调用普通的运行程序的API函数。第一种方法技术难度较高,一般程序很少采用 。所以直接用Sice把断点设置在几个和运行程序有关的API函数上,比如 ShellExecuteA,WinExec等等。好了,程序在ShellExecuteA处中断,也就是只要 避过这个API函数就行咯。呵呵,顺着程序往上找合适的修改位置,会发现 USER32.PtInRect函数的调用,经过分析,发现它是用作判断鼠标点击是否在特定 区域内的。搞定,只要使它判断总是在区域外,就不会执行到ShellExecuteA那儿 去了。发送消息窗口和恢复窗口的广告点击的程序在不同的位置,也就说在两个地 方,这两个地方都要修改,原理也都是一样。具体修改方法详见"发送消息窗口点 击广告的程序段"和"回复消息窗口点击广告的程序段"。(我们为了实现在点击鼠 标后出现IP地址和端口号,在发送消息窗口添加了一个有关显示的程序入口,我将 在后面讲解)
这下广告真的是去除了,既不能看到,也不能点进去了。呵呵,开始我们的下一步 目标,显示IP地址和端口号!!!
过去要想知道Oicq上朋友的IP地址只有借助民间的一些小工具程序或者采用包监听 程序,后者专业要求比较高,而且辨别率低,也不方便。一些小程序的确很管用, 但是毕竟没有把这个功能直接做到Oicq程序上方便和可靠,利用Oicq内部的很多数 据和结构能获得很多我们平常不容易获得的信息。但是毕竟只有二进制汇编代码, 没有源程序,程序的分析难度和工作量可想而知。经过令人难以想象多次数的死机 和重起,以及极其艰辛的设置断点跟踪调试分析工作……(以下省略5201314字) ,终于粗略的获得了我们感兴趣的数据结构指针以及它相关调用的位置。这段时间 是我最郁闷的时候,想起那段毫无人性的工作,就像已经过上幸福生活的老同志回 忆起49年以前悲惨生活般的胆战心惊且心有余悸……(以下省略520字)。还好我 挺过来了,终于在0042513D处找到了需要的指针地址。只要利用这个指针就能获得 目标对象的IP地址以及端口号。我们需要做的就是把这些信息显示在以前的广告位 置。
又是一项艰巨的任务放在我的面前,还好我有坚定的信念、丰富的临床经验以及对 成功喜悦的企盼,还有对聊天MM住址的渴望,我一定会珍惜,不能像周星星一样期 望再来一次……(再次省略若干,以免挨鸡蛋)。 言归正传,既然获得了关键的数据指针,那可以说我们已经成功了90%了,接下来 的就是显示出来而已。但这也需要反复的试验和修改。让我们好好来回味一下这一 过程:
首先,要实现新的功能毫无疑问需要添加代码和数据,以及执行一定的API函数, 所以需要找到适当的方法添加代码到原程序之中。完美的方法就是作一个外壳添加 程序,在原程序中添加所需要的段(数据段,程序段),以及添加Import表表项, 以用于新的API函数的地址定位,还要修改PE文件头中的各项相关信息,这就是病 毒的做法。这无疑非常的复杂和繁琐,有兴趣的同学可以参见我以前的文章"关于 95下可执行文件的加密研究"。其实我们的要添加的程序量并不大,充其量也就零 零星星的几百个字节,而且用到的API函数也不多。所以我们采取了手动修改添加 的方法,但也需要必要的条件和方法。看我以下的分析和方法:
PE可执行文件的逻辑结构是段,比如代码段".text"、数据段".data"、资源段". rscs"等等。这些段大小都是按文件对齐,也就是说段大小至少会按10h对齐,一般 是1000h(4096字节),这由文件头中指定(链接的时候确定)。但是代码也好数 据也好,不可能做到长度刚好是对齐的。也就是说,段的大小是大于段中代码或数 据实际大小的。他们之间的差值就是该段冗余的空间,这个空间被称为"空隙"。有 一些简单的PE文件减肥软件就是去掉"空隙"的方法来减肥的。这个"空隙"可以被我 们用来放置代码、数据以及堆栈。我常用的分析PE文件文件头的工具软件是 Borland 以前在C++系列软件中带的"Tdump.exe"。让我们看看实际分析的结果:
Object table:
# Name VirtSize RVA PhysSize Phys off Flags
-- -------- -------- -------- -------- -------- --------
01 .text 000D0637 00001000 000D1000 00001000 60000020 [CER]
02 .rdata 000320E8 000D2000 00033000 000D2000 40000040 [IR]
03 .data 00039848 00105000 00012000 00105000 C0000040 [IRW]
04 .rsrc 0003E4C0 0013F000 0003F000 00117000 40000040 [IR]
以上是用看到的Oicq.exe的段信息(它的Oject就是我们所说的段)。我们肯定是 首选.text段进行观察(.text是代码段,Flag为CER,意思就是包含代码、可执行 、可读的意思(Contains code, Execute,Readable))。可以看到,.text段代码 实际长度D0637h,物理长度D1000,文件偏移位置为1000h处。OK,这个段有 D1000h-D0637h=C9Ch的"空隙"。这个长度完全可以满足我们的需要了,而且代码 数据堆栈都可以放在这个区域内。众所周知,要作为数据段使用,段的属性( Flags)需要可写。好了,只需要改写".text"的属性即可,可写属性的值是 80000000h,然后加上原来的60000020h后,就是C0000020h了,也就是变成了CERW 属性(具体修改方法详见"代码段段属性修改")。看看我们更改后的用Tdump分析 的结果。
Object table: # Name VirtSize RVA PhysSize Phys off Flags
-- -------- -------- -------- -------- -------- --------
01 .text 000D0637 00001000 000D1000 00001000 C0000020 [CRW]
02 .rdata 000320E8 000D2000 00033000 000D2000 40000040 [IR]
03 .data 00039848 00105000 00012000 00105000 C0000040 [IRW]
04 .rsrc 0003E4C0 0013F000 0003F000 00117000 40000040 [IR]
好了,找到了放置代码数据和堆栈的地方,也就是其实偏移1000h+D0637h 的地方 。为了对齐边界,我们采用D1640h这个值(文件偏移)。用Tdump 查看代码段基址 (Code Base)和PE文件映象基址(Image Base),分别是1000h和400000h,可以算 出我们的程序在装入后的实际地址,400000h+1000h+D0640h=4D1640h。也就是说我 们的代码在被系统装入后在内存4D1640处,这在以后程序跳转处用到。
添加代码的工作已经做好,现在关键的问题就是编制具体的代码,以用于IP地址和 端口号的保存和显示。
首先是对对象数据中IP地址和端口信息的保存,我们在获得该数据指针后(程序 00425157处),更改程序使程序直接跳转到我们的保存程序中(4D1640)。该数据 的指针首址放在EAX,由于该段程序有些寄存器的值都有用,堆栈也不能乱压。所 以我们首先修改了栈指针,使所有的堆栈活动都在我们的"空隙"中进行(堆栈顶端 4D1900)。然后保存几个寄存器的值(压栈)。IP地址和端口号分别在该数据结构 +214h和+218h的地方(也就是EAX+214h和EAX+218h)。IP地址是一个字符串指针 ,端口是个32位整数。我们要做的就是把他们都转换成字符串,保存在自己的地盘 中。我们巧妙的用了一个wsprintfA函数把字符串和端口号输出到一个地址上(随 便在我们的"空隙"中找个空闲的地址,我用的是4D1700,4D1720中放的是格式化字 符串"%s:%d")。实际这段程序翻译成C语言就是printf("%s:%d",char *ip, int port),这样我们就把字符串形式的数据保存在了数据区里。值得注意的是, 由于我们修改了原程序中的有用代码用于跳转程序,所以在我们的程序中就需要加 上(cmp dword ptr [eax+000001DC], ecx),退出我们的程序之前恢复栈指针和 各寄存器,用一条无条件跳转指令转回到原程序继续执行。
细心的同学可能注意到我们没有显式的调用wsprintfA函数,但是我们实际上是调 用了。在显示IP的那段附加程序中调用SetWindowTextA的调用也是这样。这是怎么 回事呢?我们知道所有API函数的调用前都需要重定位,这个过程发生在系统装入 这个PE程序的时候。系统按照PE文件中Import表的内容对API函数在程序中的地址 进行填写。我们没有修改Import表,所以,如果直接写上汇编代码,系统是不会为 它定位的。由于Import表比较复杂,更改它是个非常繁琐的事情。所以我们采用变 通的方法,既然系统为用到的API函数地址都作了重定位,所以API函数的地址信息 也就存在了。
具体的做法如下:
找到原程序中有调用wsprintfA的地方:
:0049CE30 FF1560274D00 Call USER32.wsprintfA
:0049CE36 83C410 add esp, 00000010
:0049CE39 EB1A jmp 0049CE55
实际的汇编代码应该是Call dword ptr [004D2760],我们就知道了wsprintfA的 地址是放在004D2760中。所以,我们只要间接的获得这个调用的地址,这个地址就 是指向wsprintfA实际地址的二重指针。这
转贴一点资料!
[转贴]
出处:网易
作者:天网
我们的目标是去掉广告显示,并且在广告的位置上显示目标对象的IP地址和端口号。我们应该怎么下手呢,好的,慢慢跟我来!
经过对Oicq目录结构的分析,发现目录AD和广告有关。其一是广告的英文简写就 是AD,其二是其中的图片文件就是我们在广告中看到的。试着删除该目录之后,呵 呵,广告消逝了。但是下次进入Oicq之后,程序会自动新建这个目录,并且重新下
;载广告文件。既然程序读取不到广告文件广告就会消失,那么就人工让它读不到咯 。用Soft-ice把断点设置在CreateFileA上,这个API调用一般是用来打开一个文件 或者设备的。在Sice截到断点后,查看是即将打开的那些文件,从而判断是否是我 们要修改的地方。具体修改方法详见"打开广告文件的程序段"
广告是去掉了,但是在广告区域上点击鼠标,浏览器仍然会打开广告链接,看来 我们还需要对程序作更完善的修改。好了,既然点击广告会出现浏览器,那一定是 运行了一个程序。一般打开运行浏览器程序的有两种方法,一是调用COM接口,二 是调用普通的运行程序的API函数。第一种方法技术难度较高,一般程序很少采用 。所以直接用Sice把断点设置在几个和运行程序有关的API函数上,比如 ShellExecuteA,WinExec等等。好了,程序在ShellExecuteA处中断,也就是只要 避过这个API函数就行咯。呵呵,顺着程序往上找合适的修改位置,会发现 USER32.PtInRect函数的调用,经过分析,发现它是用作判断鼠标点击是否在特定 区域内的。搞定,只要使它判断总是在区域外,就不会执行到ShellExecuteA那儿 去了。发送消息窗口和恢复窗口的广告点击的程序在不同的位置,也就说在两个地 方,这两个地方都要修改,原理也都是一样。具体修改方法详见"发送消息窗口点 击广告的程序段"和"回复消息窗口点击广告的程序段"。(我们为了实现在点击鼠 标后出现IP地址和端口号,在发送消息窗口添加了一个有关显示的程序入口,我将 在后面讲解)
这下广告真的是去除了,既不能看到,也不能点进去了。呵呵,开始我们的下一步 目标,显示IP地址和端口号!!!
过去要想知道Oicq上朋友的IP地址只有借助民间的一些小工具程序或者采用包监听 程序,后者专业要求比较高,而且辨别率低,也不方便。一些小程序的确很管用, 但是毕竟没有把这个功能直接做到Oicq程序上方便和可靠,利用Oicq内部的很多数 据和结构能获得很多我们平常不容易获得的信息。但是毕竟只有二进制汇编代码, 没有源程序,程序的分析难度和工作量可想而知。经过令人难以想象多次数的死机 和重起,以及极其艰辛的设置断点跟踪调试分析工作……(以下省略5201314字) ,终于粗略的获得了我们感兴趣的数据结构指针以及它相关调用的位置。这段时间 是我最郁闷的时候,想起那段毫无人性的工作,就像已经过上幸福生活的老同志回 忆起49年以前悲惨生活般的胆战心惊且心有余悸……(以下省略520字)。还好我 挺过来了,终于在0042513D处找到了需要的指针地址。只要利用这个指针就能获得 目标对象的IP地址以及端口号。我们需要做的就是把这些信息显示在以前的广告位 置。
又是一项艰巨的任务放在我的面前,还好我有坚定的信念、丰富的临床经验以及对 成功喜悦的企盼,还有对聊天MM住址的渴望,我一定会珍惜,不能像周星星一样期 望再来一次……(再次省略若干,以免挨鸡蛋)。 言归正传,既然获得了关键的数据指针,那可以说我们已经成功了90%了,接下来 的就是显示出来而已。但这也需要反复的试验和修改。让我们好好来回味一下这一 过程:
首先,要实现新的功能毫无疑问需要添加代码和数据,以及执行一定的API函数, 所以需要找到适当的方法添加代码到原程序之中。完美的方法就是作一个外壳添加 程序,在原程序中添加所需要的段(数据段,程序段),以及添加Import表表项, 以用于新的API函数的地址定位,还要修改PE文件头中的各项相关信息,这就是病 毒的做法。这无疑非常的复杂和繁琐,有兴趣的同学可以参见我以前的文章"关于 95下可执行文件的加密研究"。其实我们的要添加的程序量并不大,充其量也就零 零星星的几百个字节,而且用到的API函数也不多。所以我们采取了手动修改添加 的方法,但也需要必要的条件和方法。看我以下的分析和方法:
PE可执行文件的逻辑结构是段,比如代码段".text"、数据段".data"、资源段". rscs"等等。这些段大小都是按文件对齐,也就是说段大小至少会按10h对齐,一般 是1000h(4096字节),这由文件头中指定(链接的时候确定)。但是代码也好数 据也好,不可能做到长度刚好是对齐的。也就是说,段的大小是大于段中代码或数 据实际大小的。他们之间的差值就是该段冗余的空间,这个空间被称为"空隙"。有 一些简单的PE文件减肥软件就是去掉"空隙"的方法来减肥的。这个"空隙"可以被我 们用来放置代码、数据以及堆栈。我常用的分析PE文件文件头的工具软件是 Borland 以前在C++系列软件中带的"Tdump.exe"。让我们看看实际分析的结果:
Object table:
# Name VirtSize RVA PhysSize Phys off Flags
-- -------- -------- -------- -------- -------- --------
01 .text 000D0637 00001000 000D1000 00001000 60000020 [CER]
02 .rdata 000320E8 000D2000 00033000 000D2000 40000040 [IR]
03 .data 00039848 00105000 00012000 00105000 C0000040 [IRW]
04 .rsrc 0003E4C0 0013F000 0003F000 00117000 40000040 [IR]
以上是用看到的Oicq.exe的段信息(它的Oject就是我们所说的段)。我们肯定是 首选.text段进行观察(.text是代码段,Flag为CER,意思就是包含代码、可执行 、可读的意思(Contains code, Execute,Readable))。可以看到,.text段代码 实际长度D0637h,物理长度D1000,文件偏移位置为1000h处。OK,这个段有 D1000h-D0637h=C9Ch的"空隙"。这个长度完全可以满足我们的需要了,而且代码 数据堆栈都可以放在这个区域内。众所周知,要作为数据段使用,段的属性( Flags)需要可写。好了,只需要改写".text"的属性即可,可写属性的值是 80000000h,然后加上原来的60000020h后,就是C0000020h了,也就是变成了CERW 属性(具体修改方法详见"代码段段属性修改")。看看我们更改后的用Tdump分析 的结果。
Object table: # Name VirtSize RVA PhysSize Phys off Flags
-- -------- -------- -------- -------- -------- --------
01 .text 000D0637 00001000 000D1000 00001000 C0000020 [CRW]
02 .rdata 000320E8 000D2000 00033000 000D2000 40000040 [IR]
03 .data 00039848 00105000 00012000 00105000 C0000040 [IRW]
04 .rsrc 0003E4C0 0013F000 0003F000 00117000 40000040 [IR]
好了,找到了放置代码数据和堆栈的地方,也就是其实偏移1000h+D0637h 的地方 。为了对齐边界,我们采用D1640h这个值(文件偏移)。用Tdump 查看代码段基址 (Code Base)和PE文件映象基址(Image Base),分别是1000h和400000h,可以算 出我们的程序在装入后的实际地址,400000h+1000h+D0640h=4D1640h。也就是说我 们的代码在被系统装入后在内存4D1640处,这在以后程序跳转处用到。
添加代码的工作已经做好,现在关键的问题就是编制具体的代码,以用于IP地址和 端口号的保存和显示。
首先是对对象数据中IP地址和端口信息的保存,我们在获得该数据指针后(程序 00425157处),更改程序使程序直接跳转到我们的保存程序中(4D1640)。该数据 的指针首址放在EAX,由于该段程序有些寄存器的值都有用,堆栈也不能乱压。所 以我们首先修改了栈指针,使所有的堆栈活动都在我们的"空隙"中进行(堆栈顶端 4D1900)。然后保存几个寄存器的值(压栈)。IP地址和端口号分别在该数据结构 +214h和+218h的地方(也就是EAX+214h和EAX+218h)。IP地址是一个字符串指针 ,端口是个32位整数。我们要做的就是把他们都转换成字符串,保存在自己的地盘 中。我们巧妙的用了一个wsprintfA函数把字符串和端口号输出到一个地址上(随 便在我们的"空隙"中找个空闲的地址,我用的是4D1700,4D1720中放的是格式化字 符串"%s:%d")。实际这段程序翻译成C语言就是printf("%s:%d",char *ip, int port),这样我们就把字符串形式的数据保存在了数据区里。值得注意的是, 由于我们修改了原程序中的有用代码用于跳转程序,所以在我们的程序中就需要加 上(cmp dword ptr [eax+000001DC], ecx),退出我们的程序之前恢复栈指针和 各寄存器,用一条无条件跳转指令转回到原程序继续执行。
细心的同学可能注意到我们没有显式的调用wsprintfA函数,但是我们实际上是调 用了。在显示IP的那段附加程序中调用SetWindowTextA的调用也是这样。这是怎么 回事呢?我们知道所有API函数的调用前都需要重定位,这个过程发生在系统装入 这个PE程序的时候。系统按照PE文件中Import表的内容对API函数在程序中的地址 进行填写。我们没有修改Import表,所以,如果直接写上汇编代码,系统是不会为 它定位的。由于Import表比较复杂,更改它是个非常繁琐的事情。所以我们采用变 通的方法,既然系统为用到的API函数地址都作了重定位,所以API函数的地址信息 也就存在了。
具体的做法如下:
找到原程序中有调用wsprintfA的地方:
:0049CE30 FF1560274D00 Call USER32.wsprintfA
:0049CE36 83C410 add esp, 00000010
:0049CE39 EB1A jmp 0049CE55
实际的汇编代码应该是Call dword ptr [004D2760],我们就知道了wsprintfA的 地址是放在004D2760中。所以,我们只要间接的获得这个调用的地址,这个地址就 是指向wsprintfA实际地址的二重指针。这
liuer 2003-01-18
- 打赏
- 举报
liuer 2003-01-17
- 打赏
- 举报
softiec找到了,据说这玩意儿很难弄......试试先
liuer 2003-01-17
- 打赏
- 举报
谢谢各位,好象很难的样子哦,请问哪里有softiec下载,这个东西我找遍了都找不到,我读书时学过两学期汇编语言,不过都忘光光了,不过简单的指令还有点印象
楼上各位可否给我一个样例供参考?谢谢,我一定重谢100分
:))))))
楼上各位可否给我一个样例供参考?谢谢,我一定重谢100分
:))))))
DJ_KK 2003-01-17
- 打赏
- 举报
用softiec,在MSND有他的使用说明
jackystar 2003-01-17
- 打赏
- 举报
up
Drate 2003-01-17
- 打赏
- 举报
一般会在一个地址上插入一个引用DLL库函数的代码
然后自己编写一个DLL库,写好你需要的功能的函数或是过程就行了
然后自己编写一个DLL库,写好你需要的功能的函数或是过程就行了
zsy_good 2003-01-17
- 打赏
- 举报
使用动态调试工具找到你要修改的地方的偏移地址,
然后使用静态的16进制编辑工具,然后在那个地方插入汇编代码!
只要不是图片你就可以修改做者添加你的信息。要得到写汇编代码的
的空间,要使用软件压缩出一些空白的地方给你写代码!不用写的地方用
NOP代替(空操作)
然后使用静态的16进制编辑工具,然后在那个地方插入汇编代码!
只要不是图片你就可以修改做者添加你的信息。要得到写汇编代码的
的空间,要使用软件压缩出一些空白的地方给你写代码!不用写的地方用
NOP代替(空操作)
