[原创]现学现用之windbg的高级玩法外篇一：获取某软件的聊天记录-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]现学现用之windbg的高级玩法外篇一：获取某软件的聊天记录

发表于: 2013-9-20 21:22 71166

[原创]现学现用之windbg的高级玩法外篇一：获取某软件的聊天记录

ddlx

2013-9-20 21:22

71166

查看主题内容

收藏・157

免费・6

支持

最新回复 (109) ◀ 1 2 3 4 5 ▶
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 26 楼佩服楼主的命令熟悉程度~~ 2013-9-21 19:28 0
jishukuang 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jishukuang 27 楼分析得很耐心细致! 2013-9-21 20:46 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 28 楼前排支持啊，看看，谢谢分享 2013-9-21 20:55 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 29 楼后面插入 2013-9-21 22:31 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 30 楼 LZ 以后调戏QQ的时候要多多注意啦，据我的观察，TX已经上传了你的调试细节，IP地址，Q号码等一类的东西。QP对于QQ的执行模块有检测（包括断点在模块中的偏移信息）。虽然没报异常，但…………大家都晓得。 2013-9-21 22:57 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 31 楼楼上对Tx的猥琐行为了解细微啊，佩服！过段时间干掉Qp，看他还怎么得瑟 2013-9-22 00:30 0
mmqav 雪币： 400 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	mmqav 32 楼神技，分析得太透彻了。。。 2013-9-22 05:11 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 33 楼 mark 2013-9-22 08:50 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 34 楼虽然主要靠大脑，但工具也必须玩得转才行啊 2013-9-22 14:17 0
SONSIE 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	SONSIE 35 楼楼主好文，果断顶了，照着调试了一遍，很受启发啊，谢谢！！！ 2013-9-22 15:42 0
路易雪币： 6 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 36 楼楼主，你怎么搞到函数名和函数结构体名字的？symbol？ 2013-9-22 15:58 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 37 楼哇，我要学习wingdb 2013-9-22 16:44 0
曹小杰雪币： 19 活跃值： (130) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 59 粉丝 1 关注私信	曹小杰 1 38 楼楼主，我用的win7+最新的QQ2013,对这两个函数下断点之后发消息没有断下来怎么回事？ 2013-9-22 23:42 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 39 楼默默的学习。 2013-9-23 01:33 0
司中雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	司中 40 楼赏心悦目，看楼主调戏过程真是人生一大乐事，没有一句废话，最后那个windbg监控真是帅！你就是新时代的开山怪呀，开山怪 2013-9-23 04:43 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 41 楼 thanks. 2013-9-23 08:21 0
上网鱼雪币： 3227 活跃值： (2908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	上网鱼 42 楼学习,windbg玩得跟OD一样顺手 2013-9-23 09:47 0
JustMe 雪币： 190 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	JustMe 43 楼牛呀！顶一个。 2013-9-23 10:02 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 44 楼 windbg的好处就是可以自动化又可以交互式、既可以R3又可以R0。还可以扩展，总之，我认为windbg是目前最好的调试器，比SoftICE、OD都强。我也经常用windbg探索、验证。之前有个qq小软件看ip，用下面调试脚本也可，不过要发个图片才可以。 bp WS2_32!sendto "r $t0=poi(@esp+8);r $t1=poi(@esp+c);r $t2=poi(@esp+14); .if (@$t1==0n27 & by(@$t0)==3) {.printf \"QQ=%d\n\",by(@$t0+0n23)<<18 \| by(@$t0+0n24)<<10 \| by(@$t0+0n25)<<8 \| by(@$t0+0n26);.printf \"IP=%d.%d.%d.%d\n\n\",by(@$t2+4),by(@$t2+5),by(@$t2+6),by(@$t2+7);gc} .else {gc}" 2013-9-23 12:46 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 45 楼楼主功力深厚拜读 2013-9-23 16:06 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 46 楼感谢楼主分享，学习了 2013-9-23 17:24 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 47 楼写的很详细，学习中！ 2013-9-23 18:04 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 48 楼导出函数已经包含了参数类型 2013-9-23 18:59 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 49 楼 win7系统没试过，不过应该也是可以的。你用bl命令看一下断点有没有设置成功。 2013-9-23 19:01 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 50 楼楼主这指令用的也是呱呱的 2013-9-23 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ddlx

发帖

245

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (109) ◀ 1 2 3 4 5 ▶
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 26 楼佩服楼主的命令熟悉程度~~ 2013-9-21 19:28 0
jishukuang 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jishukuang 27 楼分析得很耐心细致! 2013-9-21 20:46 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 28 楼前排支持啊，看看，谢谢分享 2013-9-21 20:55 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 29 楼后面插入 2013-9-21 22:31 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 30 楼 LZ 以后调戏QQ的时候要多多注意啦，据我的观察，TX已经上传了你的调试细节，IP地址，Q号码等一类的东西。QP对于QQ的执行模块有检测（包括断点在模块中的偏移信息）。虽然没报异常，但…………大家都晓得。 2013-9-21 22:57 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 31 楼楼上对Tx的猥琐行为了解细微啊，佩服！过段时间干掉Qp，看他还怎么得瑟 2013-9-22 00:30 0
mmqav 雪币： 400 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	mmqav 32 楼神技，分析得太透彻了。。。 2013-9-22 05:11 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 33 楼 mark 2013-9-22 08:50 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 34 楼虽然主要靠大脑，但工具也必须玩得转才行啊 2013-9-22 14:17 0
SONSIE 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	SONSIE 35 楼楼主好文，果断顶了，照着调试了一遍，很受启发啊，谢谢！！！ 2013-9-22 15:42 0
路易雪币： 6 活跃值： (866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 36 楼楼主，你怎么搞到函数名和函数结构体名字的？symbol？ 2013-9-22 15:58 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 37 楼哇，我要学习wingdb 2013-9-22 16:44 0
曹小杰雪币： 19 活跃值： (130) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 59 粉丝 1 关注私信	曹小杰 1 38 楼楼主，我用的win7+最新的QQ2013,对这两个函数下断点之后发消息没有断下来怎么回事？ 2013-9-22 23:42 0
Prolovecui 雪币： 396 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	Prolovecui 39 楼默默的学习。 2013-9-23 01:33 0
司中雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	司中 40 楼赏心悦目，看楼主调戏过程真是人生一大乐事，没有一句废话，最后那个windbg监控真是帅！你就是新时代的开山怪呀，开山怪 2013-9-23 04:43 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 41 楼 thanks. 2013-9-23 08:21 0
上网鱼雪币： 3227 活跃值： (2908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	上网鱼 42 楼学习,windbg玩得跟OD一样顺手 2013-9-23 09:47 0
JustMe 雪币： 190 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	JustMe 43 楼牛呀！顶一个。 2013-9-23 10:02 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 44 楼 windbg的好处就是可以自动化又可以交互式、既可以R3又可以R0。还可以扩展，总之，我认为windbg是目前最好的调试器，比SoftICE、OD都强。我也经常用windbg探索、验证。之前有个qq小软件看ip，用下面调试脚本也可，不过要发个图片才可以。 bp WS2_32!sendto "r $t0=poi(@esp+8);r $t1=poi(@esp+c);r $t2=poi(@esp+14); .if (@$t1==0n27 & by(@$t0)==3) {.printf \"QQ=%d\n\",by(@$t0+0n23)<<18 \| by(@$t0+0n24)<<10 \| by(@$t0+0n25)<<8 \| by(@$t0+0n26);.printf \"IP=%d.%d.%d.%d\n\n\",by(@$t2+4),by(@$t2+5),by(@$t2+6),by(@$t2+7);gc} .else {gc}" 2013-9-23 12:46 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 45 楼楼主功力深厚拜读 2013-9-23 16:06 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 46 楼感谢楼主分享，学习了 2013-9-23 17:24 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 47 楼写的很详细，学习中！ 2013-9-23 18:04 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 48 楼导出函数已经包含了参数类型 2013-9-23 18:59 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 49 楼 win7系统没试过，不过应该也是可以的。你用bl命令看一下断点有没有设置成功。 2013-9-23 19:01 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 50 楼楼主这指令用的也是呱呱的 2013-9-23 19:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复