文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院QQQQ安全腾讯QQ珊瑚虫外挂原理分析
精品推荐
特别推荐
·揭秘木马是如何盗取QQ密码的
·如何设置防火墙禁用QQ、MSN等
·教你如何轻松找回被盗的QQ密码
·常见QQ聊天网络骗术之防御要点
·QQ空间透明代码
·离线查看QQ聊天记录有新招
·用户防黑宝典 七个小技巧保护QQ密码
·暴光恶意网站 杀机四伏的QQ空间互踩联盟
·QQ防盗措施及解决异常激活的办法
·QQ的黑名单有什么用?
·QQ缘伪装任务管理器进程的查杀
·菜鸟必读:你的QQ号码、Q币这样被盗
·QQ惊爆危险漏洞:“QQ游戏邀请大盗”
·QQ木马:QQ挂马方法大揭密
·QQ木马到底怎么做 QQ挂马方法大揭密
·新手必须注意 防止QQ密码被破解的技巧
·严防个人信息泄漏QQ密码
·菜鸟小技巧 准确识别QQ盗号陷阱的方法
·不改密码只转移QQ币
·腾讯QQ密码防盗十大建议
热点TOP10
·QQ密码破解器
·远程破解盗窃QQ密码
·揭秘木马是如何盗取QQ密码的
·揭秘远程破解盗窃QQ密码的各种方法
·明星:李俊基QQ头像
·教你如何轻松找回被盗的QQ密码
·如何让QQ空间日志摸板等透明?
·离线查看QQ聊天记录有新招
·盗QQ密码-木马GOP
·快速找回QQ密码的新方法
·盗QQ号码方法大全
·利用腾讯漏洞取回QQ密码
·国内首发 韩国版QQ自定义头像
·QQ空间播放器代码
·如何进入QQ空间安全模式
·用手机免费申请QQ号 既方便又安全
·QQ号的木马病毒(Trojan/PSW.QQPass)_盗取QQ账号
·QQ密码本地破解的原理和方法
·最新QQ空间MTV播放器代码
·明星:林俊杰QQ头像

腾讯QQ珊瑚虫外挂原理分析
日期:2005年6月26日 作者:清风网络学院 查看:[大字体 中字体 小字体]

00415A3C  . 50 push eax ; /pOldProtect
00415A3D  . 6A 40 push 40 ;  NewProtect = PAGE_EXECUTE_READWRITE
00415A3F  . 57 push edi ;  Size
00415A40  . 56 push esi ;  Address
00415A41  . 53 push ebx ;  hProcess
00415A42  . E8 85F2FEFF call ; \VirtualProtectEx

上面的代码是改变QQ.exe的oep处的属性,使其可读可写可执行,为改写oep处的代码做准备

接着,又一次中断在WriteProcessMemory
看看堆栈:
0067EA5C 0000000C  hProcess = 0000000C
0067EA60 00464B58  Address = 464B58
0067EA64 0067EE46  Buffer = 0067EE46
0067EA68 00000005  BytesToWrite = 5
0067EA6C 0067EA7C \pBytesWritten = 0067EA7C

464b58就是QQ.exe的OEP,很明显,它要改变oep来改变程序流程!!

好了,我们又用那套方法,把0067eea6的第一个字节改为cc,在softice中bpint 3,然后中断,再
跟踪.
在softice下中断后:
0167:00464B58 E91328CE82 JMP 83147370

0167:83147370 C705584B4600558BEC6AMOV DWORD PTR [00464B58],6AEC8B55 ;马上恢复oep处的代码
0167:8314737A C6055C4B4600FF MOV BYTE PTR [00464B5C],FF
0167:83147381 68FA731483 PUSH 831473FA
0167:83147386 6838000000 PUSH 00000038
0167:8314738B 6A40 PUSH 40
0167:8314738D FF15F6731483 CALL [KERNEL32!GlobalAlloc] ;再申请内存
0167:83147393 C700B85077F7 MOV DWORD PTR [EAX],F77750B8 ;从这里开始一直填入新数据
0167:83147399 C74004BFFFD068 MOV DWORD PTR [EAX+04],68D0FFBF
0167:831473A0 C7400870731483 MOV DWORD PTR [EAX+08],83147370
0167:831473A7 C7400CB89348E9 MOV DWORD PTR [EAX+0C],E94893B8
0167:831473AE C74010BFFFD0B8 MOV DWORD PTR [EAX+10],B8D0FFBF
0167:831473B5 C74014584B4600 MOV DWORD PTR [EAX+14],00464B58
0167:831473BC C74018FFE0C705 MOV DWORD PTR [EAX+18],05C7E0FF
0167:831473C3 C7401C584B4600 MOV DWORD PTR [EAX+1C],00464B58
0167:831473CA C74020558BEC6A MOV DWORD PTR [EAX+20],6AEC8B55
0167:831473D1 C74024C6055C4B MOV DWORD PTR [EAX+24],4B5C05C6
0167:831473D8 C740284600FF68 MOV DWORD PTR [EAX+28],68FF0046
0167:831473DF C7402CFA731483 MOV DWORD PTR [EAX+2C],831473FA
0167:831473E6 C7403068380000 MOV DWORD PTR [EAX+30],00003868
0167:831473ED C74034006A40FF MOV DWORD PTR [EAX+34],FF406A00
0167:831473F4 FFE0 JMP EAX ;此时eax为 0063059C

0167:0063059C B85077F7BF MOV EAX,KERNEL32!LoadLibraryA;加载Coralqq.dll
0167:006305A1 FFD0 CALL EAX
0167:006305A3 6870731483 PUSH 83147370
0167:006305A8 B89348E9BF MOV EAX,COMCTL32!ORD_0049
0167:006305AD FFD0 CALL EAX
0167:006305AF B8584B4600 MOV EAX,00464B58
0167:006305B4 FFE0 JMP EAX ;跳回QQ.exe的入口点

分析完毕.
到了这里,我们可以总结一下了,在win2000/xp下coralqq.exe先创建QQ的进程,同时也就创建了

上一页 [1] [2] [3] [4] [5] [6] [7] 下一页 




上一篇:QQ新版新功能——搜索篇

下一篇:盛大IM产品圈圈很快发布 直指QQ和MSN

腾讯QQ珊瑚虫外挂原理分析 相关文章:
·socket编程原理
·配置Catalyst交换端口分析器(SPAN)
·一次入侵过程的公开分析
·万能五笔2001注册码分析及暴力破解 上
·BT下载速度变慢原因解读及应对方法分析
·电脑死机的故障分析
·珊瑚虫、飘云(显IPQQ)和腾讯最新消息
·统计分析Web服务器日志
·Excel密码保护的解除方法与解除原理
·QQ密码本地破解的原理和方法
腾讯QQ珊瑚虫外挂原理分析 相关软件:
·精通.Net核心技术原理与构架
·3D 动画与建模:人体的综合与分析技术
·2006年考研政治强化班·马克思主义政治经济学原理 刘儒 08
·2006年考研政治强化班·马克思主义政治经济学原理 刘儒 07
·2006年考研政治强化班·马克思主义哲学原理 任汝芬 10
·城市规划原理模拟试题(附答案)
·注册规划师规划原理复习讲座视频
·建设部监理师-案例分析录音16
·频谱分析仪V1.10
·属相分析大师 V1.0

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.net
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved. 鄂ICP备05000083号Powered by:viphot