在开始我的分析前我简要对上面这些资料作下评价,首先我觉得如果你也想写个类似的外挂插件,他们的文章你是必看的,而且特别是你想真的写出什么有用的东西的话,明日帝国得文章一定要看,而且必须看懂(呵呵,你去看看就明白我的意思)。对于木子版的教程应该说是最早“公开”的资料了,很多人都是看了这个教程开始写自己的外挂的。但是他通过直接修改QQ来做显IP补丁,可能引起的法律问题不说(如果你只是自娱自乐的话),他不能适应不同版本的QQ,而且用户也不太能接受直接的修改,而且教程已经不能直接用于目前版本的QQ了。
第二个教程是做外挂DLL插件必看的,但是他丝毫没涉及显示IP的问题,只是简单介绍了DLL注入的问题,并对win9x环境下手动加载dll到进程空间作了分析。但是目前win9x已逐渐退出舞台,所以一般只要使用CreateRemoteThread即可。
好了,现在就开始我的分析过程。
第一部分:
1.1 主流的外挂插件如何获取IP和其他信息的?
也许你会认为他拦截了底层的Socket通讯?当然不至于,但这样肯定是最有效的办法。
让我们换个思路:如果你现在需要和一个QQ好友传输文件或者进行语音聊天或者发送了图片或自定义表情。那么QQ必须知道对方的IP地址和端口信息,这样才能把数据传给对方。
所以,很有可能QQ内部已经实现了获取IP地址和其他信息的相关函数了。的确如此。这也是木子版QQ教程里面提到的办法,调用QQ内部的函数。
下面是截至QQ组件之一的CQQApplication.dll中的汇编代码:(建议先浏览木子版QQ的教程)
027832C7 8B45 F0 mov eax,dword ptr ss:[ebp-10]
027832CA 53 push ebx
027832CB 68 38558302 push CQQAppli.02835538 ; ASCII dwIP
027832D0 50 push eax
027832D1 8B08 mov ecx,dword ptr ds:[eax]
027832D3 FF51 18 call dword ptr ds:[ecx+18]
027832D6 8B45 F0 mov eax,dword ptr ss:[ebp-10]
027832D9 53 push ebx
027832DA 68 40558302 push CQQAppli.02835540 ; ASCII wPort
027832DF 50 push eax
027832E0 8B08 mov ecx,dword ptr ds:[eax]
027832E2 FF51 14 call dword ptr ds:[ecx+14]
CQQApplication.dll通俗来说就是负责显示和实现QQ聊天窗口的模块。就是那些和xxx聊天中的窗口,所以这就是为什么要在其中寻找这样的代码的依据。
从上面的汇编来看,显然是调用了2个thiscall规范的函数,也就是我们所说的C++类成员函数。
2个成员函数的的大致形式是this->Func(void *ptr1,char *cmd,DWORD *ptr2);其中cmd就是上面dwIP、wPort这些字符串,而ptr2也很容易知道是函数返回值得存储指针。现在关键是要获取this指针,也就是ecx寄存器的数据和ptr1这个神秘指针的数据。
如果你有兴趣反汇编CoralQQ中相关的代码,也会发现与上面类似的调用部分。
这里暂时不深入这些函数的作用和那个cmd指针的细节,我们先来研究如何获取this指针和ptr2吧。
注意
027832DF 50 push eax
027832E0 8B08 mov ecx,dword ptr ds:[eax]
这2段代码,也就是说ptr2获取了,那么this指针也可以得到。所以现在一切的关键就是找出ptr2的来历。这样我们就能很轻松的实现显示ip了。
2.2 神秘的ptr2指针
为了能更快的说明问题,这里就不厚道的引用CoralQQ.dll的汇编了~
0056D97F 51 push ecx
0056D980 52 push edx
0056D981 50 push eax
0056D982 FF15 38AB5A00 call dword ptr ds:[5AAB38] ; BasicCtr.GetFriendQQData
0056D988 8B4424 14 mov eax,dword ptr ss:[esp+14]
0056D98C 83C4 0C add esp,0C
0056D98F 3BC3 cmp eax,ebx
0056D991 0F84 03020000 je CoralQQ.0056DB9A
0056D997 57 push edi
0056D998 895C24 14 mov dword ptr ss:[esp+14],ebx
0056D99C 8D5424 14 lea edx,dword ptr ss:[esp+14]
0056D9A0 52 push edx
0056D9A1 68 50BB5900 push CoralQQ.0059BB50
0056D9A6 C64424 30 01 mov byte ptr ss:[esp+30],1
0056D9AB 8B08 mov ecx,dword pt
编写QQ显IP外挂插件及原理分析
最新推荐文章于 2021-10-02 19:36:36 发布
鉴于目前网上关于这方面的文章少之又少,一般能找到的应该就这下面3篇(由于可能涉及版权问题,我链接就不给出了),自己在开发中也走了不少弯路,所以特此把我的开发过程写了下来,给各位做个参考把