[原创]分析QQ，查找聊天窗口中的聊天信息在内存中的位置-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]分析QQ，查找聊天窗口中的聊天信息在内存中的位置

发表于: 2010-11-6 00:11 16640

[原创]分析QQ，查找聊天窗口中的聊天信息在内存中的位置

踏雪流云

2010-11-6 00:11

16640

*******************************************************
*标题:【原创】【原创】分析QQ，查找聊天窗口中的聊天信息在内存中的位置 *
*作者:踏雪流云                                                         *
*日期:2010年11月6号                                                   *
*声明:本文章的目的仅为技术交流讨论                                     *
*******************************************************
曾设想：如果暗中替换掉用户输入的聊天信息，这样不就可以利用聊天窗口暗中发送自己的信息了；于是，便有了此文。
首先，OD加载QQ，运行后，打开一个聊天窗口，回到OD，查看ChatFrame模块，找到如下位置：

6152FAD9    3D CB000000     cmp     eax, 0CB                         ; CB消息
6152FADE    0F85 6F0E0000   jnz     61530953
6152FAE4    33C0            xor     eax, eax                         ; RichEdit有输入
6152FAE6    8BCE            mov     ecx, esi
6152FAE8    8379 10 0D      cmp     dword ptr [ecx+10], 0D           ; 判断是否是回车
6152FAEC    6A 10           push    10                               ; shift+enter 换行
6152FAEE    0F94C0          sete    al
6152FAF1    8BF8            mov     edi, eax
6152FAF3    FF15 38B85C61   call    dword ptr [<&USER32.GetKeyState>>; user32.GetKeyState

02C6C4D5    8B0F            mov     ecx, dword ptr [edi]
02C6C4D7    8B81 5C040000   mov     eax, dword ptr [ecx+45C]
02C6C4DD    8D95 68FEFFFF   lea     edx, dword ptr [ebp-198]
02C6C4E3    52              push    edx
02C6C4E4    57              push    edi
02C6C4E5    FFD0            call    eax
02C6C4E7    8B8D 68FEFFFF   mov     ecx, dword ptr [ebp-198]
02C6C4ED    3BCB            cmp     ecx, ebx
02C6C4EF    7F 23           jg      short 02C6C514                   ; 消息不为空，跳转

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・9

免费・7

支持

最新回复 (16)
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 2 楼这样的方法也让你想到了，厉害哦不过不解？这样怎么实际暗中发信息呢？ 2010-11-6 01:51 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 3 楼我的想法是在QQ将数据加密前替换成自己的，这样就可以利用聊天窗口传输信息了。。。 2010-11-6 02:08 0
salwtp 雪币： 121 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	salwtp 4 楼大牛啊膜拜一下了~~ 2010-11-6 08:32 0
imbadyc 雪币： 181 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 5 楼发现楼主很**~学习了 2010-11-6 09:47 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 6 楼 OD怎么加载QQ，而不出错的？ 2010-11-10 21:32 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 7 楼 mark一下，明天看眼 2010-11-10 21:43 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 8 楼大牛啊膜拜一下了~~ 2010-11-10 22:53 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 9 楼要发QQ尾巴吧？没想到这么多年还有这东西，还是这东西又跳出来了呢。你找的这个地方不行的，不适合做这事情，你要往后找，往后 2010-11-11 00:10 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 10 楼小子你知道太多了 2010-11-11 08:23 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 11 楼哈哈有趣。。。。。。。。。 2010-11-11 08:56 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 12 楼厉害~~~ 顺便求10L头像来源 2010-11-11 09:13 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 13 楼我尝试过往后找，但是没有找到窗口显示和网络发送分离的那个缓冲区 2010-11-11 09:39 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 14 楼 mark一下，明天看眼 2010-11-11 14:56 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 15 楼学习一下......... 2010-11-11 15:06 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 16 楼这个办法还真是有创意膜拜.. 谢谢你分享了哈, 有多了点思路了 2010-11-11 15:16 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 17 楼哈哈，有意思 2010-11-14 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

踏雪流云

发帖

221

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 2 楼这样的方法也让你想到了，厉害哦不过不解？这样怎么实际暗中发信息呢？ 2010-11-6 01:51 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 3 楼我的想法是在QQ将数据加密前替换成自己的，这样就可以利用聊天窗口传输信息了。。。 2010-11-6 02:08 0
salwtp 雪币： 121 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	salwtp 4 楼大牛啊膜拜一下了~~ 2010-11-6 08:32 0
imbadyc 雪币： 181 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 5 楼发现楼主很**~学习了 2010-11-6 09:47 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 6 楼 OD怎么加载QQ，而不出错的？ 2010-11-10 21:32 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 7 楼 mark一下，明天看眼 2010-11-10 21:43 0
mafangming 雪币： 190 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 2 关注私信	mafangming 8 楼大牛啊膜拜一下了~~ 2010-11-10 22:53 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 9 楼要发QQ尾巴吧？没想到这么多年还有这东西，还是这东西又跳出来了呢。你找的这个地方不行的，不适合做这事情，你要往后找，往后 2010-11-11 00:10 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 10 楼小子你知道太多了 2010-11-11 08:23 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 11 楼哈哈有趣。。。。。。。。。 2010-11-11 08:56 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 12 楼厉害~~~ 顺便求10L头像来源 2010-11-11 09:13 0
踏雪流云雪币： 440 活跃值： (119) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	踏雪流云 1 13 楼我尝试过往后找，但是没有找到窗口显示和网络发送分离的那个缓冲区 2010-11-11 09:39 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 14 楼 mark一下，明天看眼 2010-11-11 14:56 0
lapcca 雪币： 362 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 91 粉丝 0 关注私信	lapcca 15 楼学习一下......... 2010-11-11 15:06 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 16 楼这个办法还真是有创意膜拜.. 谢谢你分享了哈, 有多了点思路了 2010-11-11 15:16 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 17 楼哈哈，有意思 2010-11-14 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复