-
-
[原创]分析QQ,查找聊天窗口中的聊天信息在内存中的位置
-
发表于:
2010-11-6 00:11
16671
-
[原创]分析QQ,查找聊天窗口中的聊天信息在内存中的位置
*******************************************************
*标题:【原创】【原创】分析QQ,查找聊天窗口中的聊天信息在内存中的位置 *
*作者:踏雪流云 *
*日期:2010年11月6号 *
*声明:本文章的目的仅为技术交流讨论 *
*******************************************************
曾设想:如果暗中替换掉用户输入的聊天信息,这样不就可以利用聊天窗口暗中发送自己的信息了;于是,便有了此文。
首先,OD加载QQ,运行后,打开一个聊天窗口,回到OD,查看ChatFrame模块,找到如下位置:
6152FAD9 3D CB000000 cmp eax, 0CB ; CB消息
6152FADE 0F85 6F0E0000 jnz 61530953
6152FAE4 33C0 xor eax, eax ; RichEdit有输入
6152FAE6 8BCE mov ecx, esi
6152FAE8 8379 10 0D cmp dword ptr [ecx+10], 0D ; 判断是否是回车
6152FAEC 6A 10 push 10 ; shift+enter 换行
6152FAEE 0F94C0 sete al
6152FAF1 8BF8 mov edi, eax
6152FAF3 FF15 38B85C61 call dword ptr [<&USER32.GetKeyState>>; user32.GetKeyState
02C6C4D5 8B0F mov ecx, dword ptr [edi]
02C6C4D7 8B81 5C040000 mov eax, dword ptr [ecx+45C]
02C6C4DD 8D95 68FEFFFF lea edx, dword ptr [ebp-198]
02C6C4E3 52 push edx
02C6C4E4 57 push edi
02C6C4E5 FFD0 call eax
02C6C4E7 8B8D 68FEFFFF mov ecx, dword ptr [ebp-198]
02C6C4ED 3BCB cmp ecx, ebx
02C6C4EF 7F 23 jg short 02C6C514 ; 消息不为空,跳转
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课