[原创]利用qq2010聊天信息获取，打造自己的远程控制-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]利用qq2010聊天信息获取，打造自己的远程控制

发表于: 2010-9-24 21:27 76770

[原创]利用qq2010聊天信息获取，打造自己的远程控制

踏雪流云

2010-9-24 21:27

76770

*******************************************************
*标题:【原创】利用qq2010聊天信息获取，打造自己的远程控制 *
*作者:踏雪流云                                             *
*日期:2010年9月24号                                      *
*声明:本文章的目的仅为技术交流讨论                         *
*******************************************************
前些天，小弟通过逆向QQSpy，侥幸成功实现QQ2010聊天信息获取，参见原文：http://bbs.pediy.com/showthread.php?t=119659
后来，小弟有一天闲来无事，对此又进行了一下深入一点的研究。
首先，将上文中的附件im32.dll和msimg32.dll放入QQ的Bin目录下，用OD加载im32.dll，在Hook_SaveMsg的函数中设置断点；然后，加载QQ，运行后，给此QQ发送一条消息，便命中断点于Hook_SaveMsg函数中，Ctrl+F9，便来到如下位置：

3119CBCD    FF15 6CA92A31   call    dword ptr [<&KernelUtil.Util::Co>; KernelUt.Util::Contact::GetSelfUin
3119CBD3    50              push    eax
3119CBD4    68 10542B31     push    312B5410                         ; UNICODE "buddy"
3119CBD9    FF15 C4A72A31   call    dword ptr [<&KernelUtil.Util::Ms>; KernelUt.Util::Msg::SaveMsg
3119CBDF    8B45 EC         mov     eax, dword ptr [ebp-14]
3119CBE2    83C4 18         add     esp, 18
3119CBE5    3BC3            cmp     eax, ebx
3119CBE7    885D FC         mov     byte ptr [ebp-4], bl
3119CBEA    74 08           je      short 3119CBF4

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

im32.rar （81.55kb，614次下载）
QQ.JPG （87.39kb，3551次下载）

收藏・65

免费・7

支持

最新回复 (90) 1 2 3 4 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼沙发高产。。赶紧下来研究一下 2010-9-24 21:34 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 3 楼支持，深入研究一下 2010-9-24 21:58 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 4 楼围观这个有点凶 2010-9-24 22:05 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 5 楼比较看好你，支持哈 2010-9-24 22:18 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 6 楼呵呵，谢谢高级会员前来捧场~~~ 2010-9-24 22:24 0
vitik 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	vitik 7 楼谢谢！长见识了！ 2010-9-24 23:30 0
Genius 雪币： 425 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 108 粉丝 1 关注私信	Genius 8 楼不错，支持一下 2010-9-25 08:45 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 9 楼研究下试试 2010-9-25 08:52 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼挖的真深支持继续深挖 2010-9-25 09:09 0
cblcbl 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 127 粉丝 0 关注私信	cblcbl 11 楼原来TX不堪一击啊？！谢楼主分享 2010-9-25 10:32 0
newszeng 雪币： 12 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	newszeng 12 楼学习一下咯！！ 2010-9-25 11:02 0
战争残骸雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	战争残骸 13 楼強淫！！！關注..... 2010-9-25 11:03 0
xtiger 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xtiger 14 楼话不能这么说，楼主思路虽好，而且也能创建一个隐蔽性比较好的'马' 但事实上，很多软件中都有不少可以利用的控件和函数。比如downloader用urlmon来下载木马，或者改写一个IE的dll 待IE启动之后作为木马server 这些总不能怪到IE头上吧？ IRC BOT 不能怪到 IRC头上吧？还有很多例子，就不一一列举鸟... 2010-9-25 11:16 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 15 楼前排支持了期待完善 2010-9-25 11:28 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 16 楼 mark一下 2010-9-25 13:19 0
coody 雪币： 409 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 1 关注私信	coody 17 楼厉害可以远程控制别人的电脑了 2010-9-25 13:41 0
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 18 楼不错不错，前来围观 2010-9-25 18:30 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 19 楼学习学习，远控好可怕 2010-9-25 18:47 0
junyuqin 雪币： 254 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	junyuqin 20 楼跟随楼主学习…… 2010-9-25 19:02 0
cblcbl 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 127 粉丝 0 关注私信	cblcbl 21 楼楼主我用VS2010转换链接VCChat时，编译不过去。总报错误 2 error C2440: “static_cast”: 无法从“void (__thiscall CChatDlg::* )(WPARAM,LPARAM)”转换为“LRESULT (__thiscall CWnd::* )(WPARAM,LPARAM)” F:im32 (2)\VCChat\ChatDlg.cpp 101 1 Chat 不知道如何修改程序才能通过？ 2010-9-25 20:44 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 22 楼好东西，收藏了。 2010-9-25 20:49 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 23 楼恩，我没用过2010，看错误，应该是类型无法转换；不过，这个代码只是用来测试的，你可以随意修改~~~ 2010-9-25 22:11 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 24 楼楼主思想果然远 2010-9-26 05:41 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 25 楼楼上，起这么早~~~ 2010-9-26 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

踏雪流云

发帖

221

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (90) 1 2 3 4 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼沙发高产。。赶紧下来研究一下 2010-9-24 21:34 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 3 楼支持，深入研究一下 2010-9-24 21:58 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 4 楼围观这个有点凶 2010-9-24 22:05 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 5 楼比较看好你，支持哈 2010-9-24 22:18 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 6 楼呵呵，谢谢高级会员前来捧场~~~ 2010-9-24 22:24 0
vitik 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	vitik 7 楼谢谢！长见识了！ 2010-9-24 23:30 0
Genius 雪币： 425 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 108 粉丝 1 关注私信	Genius 8 楼不错，支持一下 2010-9-25 08:45 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 9 楼研究下试试 2010-9-25 08:52 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼挖的真深支持继续深挖 2010-9-25 09:09 0
cblcbl 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 127 粉丝 0 关注私信	cblcbl 11 楼原来TX不堪一击啊？！谢楼主分享 2010-9-25 10:32 0
newszeng 雪币： 12 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	newszeng 12 楼学习一下咯！！ 2010-9-25 11:02 0
战争残骸雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	战争残骸 13 楼強淫！！！關注..... 2010-9-25 11:03 0
xtiger 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xtiger 14 楼话不能这么说，楼主思路虽好，而且也能创建一个隐蔽性比较好的'马' 但事实上，很多软件中都有不少可以利用的控件和函数。比如downloader用urlmon来下载木马，或者改写一个IE的dll 待IE启动之后作为木马server 这些总不能怪到IE头上吧？ IRC BOT 不能怪到 IRC头上吧？还有很多例子，就不一一列举鸟... 2010-9-25 11:16 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 15 楼前排支持了期待完善 2010-9-25 11:28 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 16 楼 mark一下 2010-9-25 13:19 0
coody 雪币： 409 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 1 关注私信	coody 17 楼厉害可以远程控制别人的电脑了 2010-9-25 13:41 0
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 18 楼不错不错，前来围观 2010-9-25 18:30 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 19 楼学习学习，远控好可怕 2010-9-25 18:47 0
junyuqin 雪币： 254 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	junyuqin 20 楼跟随楼主学习…… 2010-9-25 19:02 0
cblcbl 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 127 粉丝 0 关注私信	cblcbl 21 楼楼主我用VS2010转换链接VCChat时，编译不过去。总报错误 2 error C2440: “static_cast”: 无法从“void (__thiscall CChatDlg::* )(WPARAM,LPARAM)”转换为“LRESULT (__thiscall CWnd::* )(WPARAM,LPARAM)” F:im32 (2)\VCChat\ChatDlg.cpp 101 1 Chat 不知道如何修改程序才能通过？ 2010-9-25 20:44 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 22 楼好东西，收藏了。 2010-9-25 20:49 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 23 楼恩，我没用过2010，看错误，应该是类型无法转换；不过，这个代码只是用来测试的，你可以随意修改~~~ 2010-9-25 22:11 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 24 楼楼主思想果然远 2010-9-26 05:41 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 25 楼楼上，起这么早~~~ 2010-9-26 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复