令人讨厌的QQ2013，求帮助-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 令人讨厌的QQ2013，求帮助 0.00雪花

发表于: 2013-7-15 22:04 173067

[旧帖] 令人讨厌的QQ2013，求帮助 0.00雪花

越光

2013-7-15 22:04

173067

这段时间，被流氓QQ给折腾死了，整天弹这个组件被破坏，然后自动退出。有没有高人分析下，这个是如何做到的？现在一头雾水，想动手处理可是没思路，大牛给点思路吧。目前已经找到了这个组件破坏弹出的窗口，但是，会自动下线，追不到啥时候被T下线的，汗。求指教。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・7

免费・0

支持

最新回复 (219) 1 2 3 4 5 6 7 8 9 ▶
狼皮羊雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 11 粉丝 0 关注私信	狼皮羊 2 楼重新安装个新QQ，然后用文件对比软件看目录下哪个文件缺了... 2013-7-15 22:14 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27804 粉丝 446 关注私信	linhanshi 3 楼 _http://softbbs.zol.com.cn/1/25_1323.html 2013-7-15 22:15 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼真没有办法为什么我的东西和qq的组件如此的融洽啊汗 2013-7-15 23:50 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 5 楼喝醉了 2013-7-16 00:27 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 6 楼 QQ有两个版本的，一个是安全版本，这个版本有驱动保护的，驱动加载失败了，所以说你组件被破坏，你可以尝试去下载个非安全版本的QQ 2013-7-16 00:41 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 7 楼找到解决方法了吗？找到了也告诉我一下。 2013-7-16 01:17 0
cgqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	cgqin 8 楼我也是这样 2013-7-16 07:44 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 9 楼用2012好了，不折腾。 2013-7-16 09:06 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼表示用木头QQ蛮好的~ http://pan.baidu.com/share/init?shareid=1709959070&uk=1831830147 kw83 2013-7-16 09:24 0
程序原雪币： 10163 活跃值： (5037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 11 楼木头的oem很讨厌 2013-7-16 09:29 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 12 楼关注中。。。 2013-7-16 09:31 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 182 粉丝 333 关注私信	Imyang 1 13 楼 QQ International 绿色无广告, 2013-7-16 10:01 0
myxsser 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	myxsser 14 楼这个我前几天研究过，测试出的答案是： 1、模拟当年的KILLQQAD等外挂的手法，利用本身的更新机制下载一个校验DLL到TEMP目录进行挂勾执行，通过QQ本身的DLL调用汇总DLL调用情况并上传至服务器； 2、模拟DISCUZ组件校验机制来根据HASH值等进行校验，判断绑定性的DLL（如广告、弹窗类）是否正常启动，同时为了防止使用0KB文件替代法，又进行了DLL数字签名校验； 3、了解了这机制，方法可以自己解决！ 4、好像有人利用这机制缺陷进行绿化了，引个链接供参考。。。非广告！！ikanx#lofter#com/post/ccf68_761858，自己替换下#号 2013-7-16 10:26 0
zzcc 雪币： 240 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 375 粉丝 0 关注私信	zzcc 15 楼越来越占内存，很扯淡。 2013-7-16 10:40 0
Nekoxiaoji 雪币： 788 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 16 楼非安全版本也是QQ官网的吗??? 2013-7-16 10:53 0
namepe 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	namepe 17 楼楼主找到答案以后，可以写一个帖子，让大家学习下…… 2013-7-16 10:53 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 18 楼咱直接把QQprotect.sys给删除，启动的时候也弹窗，提示组件被破坏，但是QQ依然可以正常登陆不掉线 2013-7-16 11:46 0
elizh 雪币： 238 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	elizh 19 楼你用了去广告了吧每次qq有更新了就说组件被破坏 2013-7-16 12:41 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 20 楼你已经证实了会下载校验dll到temp吗？下载的东西叫什么名字，如果确定是这个原因，我就有办法搞定这个了。 2013-7-16 20:06 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 21 楼你说的这个道理我懂，但是装了后，就有那个驱动保护，很讨厌。 2013-7-16 20:08 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 22 楼国际版跟12版本质没区别 2013-7-16 20:09 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 23 楼我真想试试这样看到底行不行，但是流氓QQ装的一堆东西看着就恶心，实在不想安装官方版。 2013-7-16 20:11 0
hollice 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	hollice 24 楼 QQ就是扣扣大家的 2013-7-16 20:29 0
zhouyixy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zhouyixy 25 楼重新安装个QQ 2013-7-16 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

越光

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (219) 1 2 3 4 5 6 7 8 9 ▶
狼皮羊雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 11 粉丝 0 关注私信	狼皮羊 2 楼重新安装个新QQ，然后用文件对比软件看目录下哪个文件缺了... 2013-7-15 22:14 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27804 粉丝 446 关注私信	linhanshi 3 楼 _http://softbbs.zol.com.cn/1/25_1323.html 2013-7-15 22:15 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼真没有办法为什么我的东西和qq的组件如此的融洽啊汗 2013-7-15 23:50 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 5 楼喝醉了 2013-7-16 00:27 0
菠萝柚雪币： 136 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 74 粉丝 1 关注私信	菠萝柚 6 楼 QQ有两个版本的，一个是安全版本，这个版本有驱动保护的，驱动加载失败了，所以说你组件被破坏，你可以尝试去下载个非安全版本的QQ 2013-7-16 00:41 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 7 楼找到解决方法了吗？找到了也告诉我一下。 2013-7-16 01:17 0
cgqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	cgqin 8 楼我也是这样 2013-7-16 07:44 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 9 楼用2012好了，不折腾。 2013-7-16 09:06 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼表示用木头QQ蛮好的~ http://pan.baidu.com/share/init?shareid=1709959070&uk=1831830147 kw83 2013-7-16 09:24 0
程序原雪币： 10163 活跃值： (5037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 11 楼木头的oem很讨厌 2013-7-16 09:29 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 12 楼关注中。。。 2013-7-16 09:31 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 182 粉丝 333 关注私信	Imyang 1 13 楼 QQ International 绿色无广告, 2013-7-16 10:01 0
myxsser 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	myxsser 14 楼这个我前几天研究过，测试出的答案是： 1、模拟当年的KILLQQAD等外挂的手法，利用本身的更新机制下载一个校验DLL到TEMP目录进行挂勾执行，通过QQ本身的DLL调用汇总DLL调用情况并上传至服务器； 2、模拟DISCUZ组件校验机制来根据HASH值等进行校验，判断绑定性的DLL（如广告、弹窗类）是否正常启动，同时为了防止使用0KB文件替代法，又进行了DLL数字签名校验； 3、了解了这机制，方法可以自己解决！ 4、好像有人利用这机制缺陷进行绿化了，引个链接供参考。。。非广告！！ikanx#lofter#com/post/ccf68_761858，自己替换下#号 2013-7-16 10:26 0
zzcc 雪币： 240 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 375 粉丝 0 关注私信	zzcc 15 楼越来越占内存，很扯淡。 2013-7-16 10:40 0
Nekoxiaoji 雪币： 788 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 16 楼非安全版本也是QQ官网的吗??? 2013-7-16 10:53 0
namepe 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 14 粉丝 0 关注私信	namepe 17 楼楼主找到答案以后，可以写一个帖子，让大家学习下…… 2013-7-16 10:53 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 18 楼咱直接把QQprotect.sys给删除，启动的时候也弹窗，提示组件被破坏，但是QQ依然可以正常登陆不掉线 2013-7-16 11:46 0
elizh 雪币： 238 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	elizh 19 楼你用了去广告了吧每次qq有更新了就说组件被破坏 2013-7-16 12:41 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 20 楼你已经证实了会下载校验dll到temp吗？下载的东西叫什么名字，如果确定是这个原因，我就有办法搞定这个了。 2013-7-16 20:06 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 21 楼你说的这个道理我懂，但是装了后，就有那个驱动保护，很讨厌。 2013-7-16 20:08 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 22 楼国际版跟12版本质没区别 2013-7-16 20:09 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 23 楼我真想试试这样看到底行不行，但是流氓QQ装的一堆东西看着就恶心，实在不想安装官方版。 2013-7-16 20:11 0
hollice 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	hollice 24 楼 QQ就是扣扣大家的 2013-7-16 20:29 0
zhouyixy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zhouyixy 25 楼重新安装个QQ 2013-7-16 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复