易语言教程_易语言源码_易语言视频教程_易语言论坛

 找回密码
 点击注册

Vip新手入门区
新手学习指南  学员作品展示 Vip课程总纲  Vip绝密课程系列

Vip相关下载区
Vip模块下载   Vip模块绑定   Vip模块例子 魔鬼插件下载  魔鬼插件例子  教程工具下载

Vip论坛服务区
教程问题提问区   模块问题提问区 技术交流区   魔鬼插件建议   忘记密码找回

VIP会员办理QQ: 8643245   
【请先加好友,然后到好友列表双击联系客服,办理VIP会员。】
【基础篇】易语言辅助入门基础教程
VIP模块办理QQ: 7189694 办理正版魔鬼作坊VIP模块 【基础篇】OD与CE入门基础教程
办理【终身VIP会员】“秒杀价” 仅需 RMB278.00元… 【基础篇】零基础绝密汇编语言入门课程 (共26课已完成)…
办理VIP详情…猛击这里查看详情 【基础篇】VIP辅助入门基础教程-新手必学 已发布10课 ……
VIP教程免费试看章节…猛击下载 【第1款】制作“辅助挂”教程目录查看(共107+16_x64下更新课已完成)…
亲爱的VIP学员,请到此写下你学习的感受与发布作品截图… 【第2款】制作“任务挂”教程目录查看(共77+1_x64下更新课已完成)…
卍解吧!不用bp send类封包断点找CALL的各种通杀思路 【第3款】驱动过保护技术课程(共38课已完成)…
【绝密教程】VIP绝密教程系列---注意:随时会更新! 【第4款】VIP邪恶二叉树辅助课程 (共31+17_x64下更新课已完成)…
【精品第13款】3D射击游戏与页游透视 智辅课程 已完成17课… 【第5款】零基础易语言按键辅助教程 (30课已完成)…
【精品第14款】变态功能辅助是如何炼成的 已完成36课… 【第6款】从零开始学习封包辅助技术教程(20课已完成) …
【精品第15款】DNF商业变态辅助的修炼之路 已完成27课… 【第7款】大杀特杀分析来源与CALL吸血鬼课程 (56课已完成)
【精品第16款】中控台多线程多开自动化商业辅助课程 已完成66课… 【第8款】完全零基础网页辅助课程(40课已完成)
【全新精品第17款】检测原理与过游戏内存检测技术课程 已发布9课… 【第9款】自动登录与操控LUA技术课程 (共46+8_x64下更新课已完成)…
【全新精品第18款】手游全自动化任务脚本辅助课程 已发布25课…… 【第10款】网页辅助封包脱机进阶课程 已完成30课…
【全新精品第19款】D3D方框骨骼透视与自瞄辅助课程进阶篇 已发布34课…… 【第11款】VC++ Lua脚本辅助课程 已完成112课…
【全新精品第20款】 X64模拟器吃鸡游戏方框透视自瞄辅助课程 发布中... 【第12款】网游脱机封包智辅课程 已完成35课…
查看: 2481|回复: 0

【原创】 珊瑚虫QQ版智辅原理分析

[复制链接]

3

主题

0

回帖

34

积分

编程入门

Rank: 1

魔鬼币
34
发表于 2010-7-27 17:31:01 | 显示全部楼层 |阅读模式
分析工具: softice , OD
我的操作系统: win 2000 sp4 , win 98
分析对象: QQ2005贺岁版 珊瑚虫辅助

为了方便分析,我先把CoralQQ.dll和coralqq.exe先脱壳,这两个文件加的都是超弱壳,脱壳过程不在这里多说.

    由于win nt 平台和win9x 的差异,珊瑚虫辅助因系统的不同而分开两种工作原理.
    我们都知道,珊瑚辅助是给QQ的主程序QQ.exe辅助了一个Coralqq.dll,
而完成这个工作的就是coralqq.exe .要加载一个dll文件必须是qq.exe自己
的某个线程执行LoadLibraryA,并且以coralqq.dll为参数,但qq.exe本来根本
没有这样的一段代码,怎么办?答案很简单,既然它没有,那就让我们帮它加上去,
coralqq.exe就是利用WriteProcessMemory帮QQ.exe加上了这样一段代码,并且
改变程序流程,让qq.exe先加载coralqq.dll再跳到原来的oep执行.
    想了一下,比较合理的方法有:
1.在nt内核的系统上,利用远程线程的方法,首先用CreateProcess创建QQ.exe
的进程,同时创建了主线程,再用VirtualAllocEx在qq.exe中申请一块内存,然后把
我们的代码写进去,最后用CreateRemoteThread在qq的进程中创建另外一个
线程,其开始执行的地方正是我们自己加入的代码首地址.

2.先用CreateProcess创建QQ进程和主线程,在QQ的内存空间中找个合理
的地方写入我们的代码,然后修改某个地方(例如OEP)使QQ先跳去执行我们
写入的代码,加载coralqq.dll,修复原来改过的oep,然后跳回oep让程序正常执行.


下面就让我们分析一下珊瑚虫的辅助是怎样做到的,首先分析nt平台上的
运行过程.

用OD载入脱壳后的coralqq.exe,停在下面:
00418E2C >/$  55                         push ebp
00418E2D  |.  8BEC                       mov ebp,esp
00418E2F  |.  83C4 F0                    add esp,-10
00418E32  |.  B8 648D4100                mov eax,CoralQQ.00418D64
00418E37  |.  E8 A4BAFEFF                call CoralQQ.004048E0
00418E3C  |.  A1 F49D4100                mov eax,dword ptr ds:[419DF4]
00418E41  |.  33D2                       xor edx,edx
00418E43  |.  E8 30F4FFFF                call CoralQQ.00418278
00418E48  |.  A1 F49D4100                mov eax,dword ptr ds:[419DF4]
00418E4D  |.  8B00                       mov eax,dword ptr ds:[eax]
00418E4F  |.  83C0 18                    add eax,18
00418E52  |.  E8 F9C6FEFF                call CoralQQ.00405550
00418E57  |.  E8 08A9FEFF                call CoralQQ.00403764

然后下断点: bp CreateRemoteThread ,然后运行,结果发现,OD根本没有断下,
证明珊瑚虫的辅助没有使用远程线程的方法,难道它是用了第二种方法?我们再验证一下:
首先在OD中bp CreateProcess,断下,反回后,用winhex打开QQ.exe的内存,把QQ.exe
的OEP处改为CC,接着在softice中 bpint 3 ,在OD中按F9运行,接着就是中断在softice
中,把oep(464b58)处还原,在再softice下 bpm 464b58 ,然后结束程序,再运行coralqq.exe
发现自始至终那个bpm断点还是没有断下,证明珊瑚虫辅助在2000下也没有修改QQ.exe
的oep来改变程序流程,晕.没办法,只好在OD中下WriteProcessMemory断点,看看它究竟
修改了哪里.

00231012    57               push edi
00231013    8B4424 24        mov eax,dword ptr ss:[esp+24]
00231017    A3 70302300      mov dword ptr ds:[233070],eax
0023101C    8305 70302300 04 add dword ptr ds:[233070],4
00231023    E8 5C000000      call <jmp.&kernel32.CreateProcessA>;创建QQ的进程
上面创建后的QQ主线程是暂停的,不会马上执行,在win9x下也是这样.

第一次中断时堆栈显示:
0012EBDC   0040C75C  /CALL 到 WriteProcessMemory 来自 CoralQQ.0040C756
0012EBE0   00000018  |hProcess = 00000018
0012EBE4   5F000000  |Address = 5F000000
0012EBE8   00CC0F44  |Buffer = 00CC0F44
0012EBEC   000000D2  |BytesToWrite = D2 (210.)
0012EBF0   0012EC68  \pBytesWritten = 0012EC68

第二次:
0012EC70   00416231  /CALL 到 WriteProcessMemory 来自 CoralQQ.0041622C
0012EC74   00000018  |hProcess = 00000018
0012EC78   5F010000  |Address = 5F010000
0012EC7C   0012EE9F  |Buffer = 0012EE9F
0012EC80   00000025  |BytesToWrite = 25 (37.)
0012EC84   0012EFD0  \pBytesWritten = 0012EFD0

第三次:
0012EC70   004162CB  /CALL 到 WriteProcessMemory 来自 CoralQQ.004162C6
0012EC74   00000018  |hProcess = 00000018
0012EC78   77F84BC0  |Address = 77F84BC0
0012EC7C   0012EFC3  |Buffer = 0012EFC3
0012EC80   00000005  |BytesToWrite = 5
0012EC84   0012EFD0  \pBytesWritten = 0012EFD0

第四次:
0012EC70   0041632B  /CALL 到 WriteProcessMemory 来自 CoralQQ.00416326
0012EC74   00000018  |hProcess = 00000018
0012EC78   5F010025  |Address = 5F010025
0012EC7C   0012EC96  |Buffer = 0012EC96
0012EC80   00000208  |BytesToWrite = 208 (520.)
0012EC84   0012EFD0  \pBytesWritten = 0012EFD0

第五次:
0012EC70   0041634B  /CALL 到 WriteProcessMemory 来自 CoralQQ.00416346
0012EC74   00000018  |hProcess = 00000018
0012EC78   5F010000  |Address = 5F010000
0012EC7C   0012EE9F  |Buffer = 0012EE9F
0012EC80   00000025  |BytesToWrite = 25 (37.)
0012EC84   0012EFD0  \pBytesWritten = 0012EFD0

留意第三次中断: 77F84BC0 对应着: NtTestAlert  所在库:ntdll.dll

程序每次执行前都要经过 ntdll.dll 的 NtTestAlert函数,它使函数首句跳到某个
地方,从而改变程序流程.
00417E7E    8B45 F4          mov eax,dword ptr ss:[ebp-C]
00417E81    50               push eax
00417E82    E8 DDCDFEFF      call <jmp.&kernel32.ResumeThread>;使得QQ的主线程继续执行


把 0012efc3 处的E9改为CC,再在softice中bpint 3 ,让其中断后跟踪:
001B:77F84BC0  E93BB408E7          JMP       5F010000

单步执行跟踪

001B:5F010000  B80000015F          MOV       EAX,5F010000
001B:5F010005  B90000005F          MOV       ECX,5F000000
001B:5F01000A  FFD1                CALL      ECX

此时ecx的值为5F000000


001B:5F000000  55                  PUSH      EBP
001B:5F000001  8BEC                MOV       EBP,ESP
001B:5F000003  83C4EC              ADD       ESP,-14
001B:5F000006  53                  PUSH      EBX
001B:5F000007  56                  PUSH      ESI
001B:5F000008  8BD8                MOV       EBX,EAX
001B:5F00000A  896DFC              MOV       [EBP-04],EBP
001B:5F00000D  8B431C              MOV       EAX,[EBX+1C]
001B:5F000010  8B55FC              MOV       EDX,[EBP-04]
001B:5F000013  83C204              ADD       EDX,04
001B:5F000016  8902                MOV       [EDX],EAX
001B:5F000018  8B431C              MOV       EAX,[EBX+1C]
001B:5F00001B  8945EC              MOV       [EBP-14],EAX
001B:5F00001E  C745FC05000000      MOV       DWORD PTR [EBP-04],00000005
001B:5F000025  8D45F8              LEA       EAX,[EBP-08]
001B:5F000028  50                  PUSH      EAX
001B:5F000029  6A40                PUSH      40
001B:5F00002B  8D45FC              LEA       EAX,[EBP-04]
001B:5F00002E  50                  PUSH      EAX
001B:5F00002F  8D45EC              LEA       EAX,[EBP-14]
001B:5F000032  50                  PUSH      EAX
001B:5F000033  6AFF                PUSH      FF
001B:5F000035  FF15C600005F        CALL      [5F0000C6]
001B:5F00003B  8B431C              MOV       EAX,[EBX+1C]
001B:5F00003E  8B5320              MOV       EDX,[EBX+20]
001B:5F000041  8910                MOV       [EAX],EDX ;恢复Ntdll.NtTestAlert入口处
001B:5F000043  8A5324              MOV       DL,[EBX+24]
001B:5F000046  885004              MOV       [EAX+04],DL
001B:5F000049  C745FC05000000      MOV       DWORD PTR [EBP-04],00000005
001B:5F000050  8D45F8              LEA       EAX,[EBP-08]
001B:5F000053  50                  PUSH      EAX
001B:5F000054  8B45F8              MOV       EAX,[EBP-08]
001B:5F000057  50                  PUSH      EAX
001B:5F000058  8D45FC              LEA       EAX,[EBP-04]
001B:5F00005B  50                  PUSH      EAX
001B:5F00005C  8D45EC              LEA       EAX,[EBP-14]
001B:5F00005F  50                  PUSH      EAX
001B:5F000060  6AFF                PUSH      FF
001B:5F000062  FF15CA00005F        CALL      [5F0000CA]
001B:5F000068  8B7318              MOV       ESI,[EBX+18]
001B:5F00006B  4E                  DEC       ESI
001B:5F00006C  85F6                TEST      ESI,ESI
001B:5F00006E  7C4C                JL        5F0000BC
001B:5F000070  46                  INC       ESI
001B:5F000071  8D4325              LEA       EAX,[EBX+25]
001B:5F000074  8BD8                MOV       EBX,EAX
001B:5F000076  33D2                XOR       EDX,EDX
001B:5F000078  8BC3                MOV       EAX,EBX
001B:5F00007A  66833800            CMP       WORD PTR [EAX],00
001B:5F00007E  740C                JZ        5F00008C
001B:5F000080  42                  INC       EDX
001B:5F000081  83C002              ADD       EAX,02
001B:5F000084  81FA03010000        CMP       EDX,00000103
001B:5F00008A  75EE                JNZ       5F00007A
001B:5F00008C  8BC2                MOV       EAX,EDX
001B:5F00008E  03C0                ADD       EAX,EAX
001B:5F000090  668945F0            MOV       [EBP-10],AX
001B:5F000094  6683C002            ADD       AX,02
001B:5F000098  668945F2            MOV       [EBP-0E],AX
001B:5F00009C  8BC3                MOV       EAX,EBX
001B:5F00009E  8945F4              MOV       [EBP-0C],EAX
001B:5F0000A1  8D45FC              LEA       EAX,[EBP-04]
001B:5F0000A4  50                  PUSH      EAX
001B:5F0000A5  8D45F0              LEA       EAX,[EBP-10]
001B:5F0000A8  50                  PUSH      EAX
001B:5F0000A9  6A00                PUSH      00
001B:5F0000AB  6A00                PUSH      00
001B:5F0000AD  FF15CE00005F        CALL      [5F0000CE] ;call LoadLibraryA
001B:5F0000B3  81C308020000        ADD       EBX,00000208
001B:5F0000B9  4E                  DEC       ESI
001B:5F0000BA  75BA                JNZ       5F000076
001B:5F0000BC  5E                  POP       ESI
001B:5F0000BD  5B                  POP       EBX
001B:5F0000BE  8BE5                MOV       ESP,EBP
001B:5F0000C0  5D                  POP       EBP
001B:5F0000C1  C3                  RET
001B:5F0000C2  0000                ADD       [EAX],AL
001B:5F0000C4  0000                ADD       [EAX],AL
001B:5F0000C6  C4BFF877C4BF        LES       EDI,[EDI+BFC477F8]
001B:5F0000CC  F8                  CLC
001B:5F0000CD  7761                JA        5F000130
001B:5F0000CF  32F8                XOR       BH,AL
001B:5F0000D1  7700                JA        5F0000D3


我们再分析一下win9x下珊瑚虫的辅助又是怎样运行的.
再次用OD载入Coralqq.exe

00415C9D  mov dword ptr ss:[ebp-C],ecx
00415CA0  mov dword ptr ss:[ebp-4],edx
00415CA3  mov dword ptr ss:[ebp-8],eax
00415CA6  xor ebx,ebx
00415CA8  call <jmp.&kernel32.GetVersion> ;判断操作系统
00415CAD  test eax,80000000
00415CB2  je short CORALQQ.00415CFE
00415CB4  xor edi,edi
00415CB6  xor esi,esi
00415CB8  jmp short CORALQQ.00415CE7
00415CBA  /cmp esi,dword ptr ss:[ebp-24]
00415CBD  |je short CORALQQ.00415CE2
00415CBF  |mov eax,dword ptr ss:[ebp-4]
00415CC2  |mov edx,dword ptr ss:[ebp-24]
00415CC5  |mov dword ptr ds:[eax],edx
00415CC7  |cmp dword ptr ss:[ebp-18],1000
00415CCE  |jnz short CORALQQ.00415CDF
00415CD0  |push ebp                              ; /Arg1
00415CD1  |call CORALQQ.00415BD4                 ; \CoralQQ.00415BD4
00415CD6  |pop ecx
00415CD7  |test al,al
00415CD9  |je short CORALQQ.00415CDF
00415CDB  |mov bl,1
00415CDD  |jmp short CORALQQ.00415D29
00415CDF  |mov esi,dword ptr ss:[ebp-24]
00415CE2  |mov eax,dword ptr ss:[ebp-1C]
00415CE5  |add edi,eax
00415CE7   push 1C                               ; /BufSize = 1C (28.)
00415CE9  |lea eax,dword ptr ss:[ebp-28]         ; |
00415CEC  |push eax                              ; |Buffer
00415CED  |push edi                              ; |Address
00415CEE  |mov eax,dword ptr ss:[ebp-8]          ; |
00415CF1  |push eax                              ; |hProcess
00415CF2  |call <jmp.&kernel32.VirtualQueryEx>   ; \VirtualQueryEx 获得内存业面信息
00415CF7  |cmp eax,1C
00415CFA  \je short CORALQQ.00415CBA
00415CFC  jmp short CORALQQ.00415D29

上面的代码是判断操作系统的版本,如果是win9x的话就先跳到415ce7,

00415A4B  |> \8>lea eax,dword ptr ss:[ebp-8]
00415A4E  |.  5>push eax                                 ; /pBytesWritten
00415A4F  |.  5>push edi                                 ; |BytesToWrite
00415A50  |.  8>mov eax,dword ptr ss:[ebp-4]             ; |
00415A53  |.  5>push eax                                 ; |Buffer
00415A54  |.  5>push esi                                 ; |Address
00415A55  |.  5>push ebx                                 ; |hProcess
00415A56  |.  E>call <jmp.&kernel32.WriteProcessMemory>  ; \WriteProcessMemory

看一下此时的堆栈:
0067EA5C   0000000C  |hProcess = 0000000C
0067EA60   83138AAC  |Address = 83138AAC
0067EA64   0067EABC  |Buffer = 0067EABC
0067EA68   00000292  |BytesToWrite = 292 (658.)
0067EA6C   0067EA7C  \pBytesWritten = 0067EA7C

它把缓冲区 0067eabc的658的字节写进QQ.exe的内存 83138aac处,在win98下,进程内存中的共享(M
MF)分区是0x80000000~0xbfffffff,所有的内存映射文件和系统共享DLL将加载在这个地址,而
那些映射文件和系统共享DLL往往都在比较高的地址,所以说,从80000000地址对上的一大段地址空间
往往是比较"空闲"的,当然,并不是说这些地址就可以乱读乱写,至于这个83138aac的地址值具体是怎样计算出来的,
我还没有分析清楚,但我想到另外一种可行的方法,而且经过我自己编程证实,那就是以1000h大小为单位,从80000000
开始用WriteProcessMemory一直往上写数据,直到写入成功,证明那段1000h的地址可用,而且1000h
大小的内存空间已经够我们放代码的了,之所以用1000h为单位大小,是因为考虑到块对齐.

继续跟踪:
00415A39  |.  8D45 F8        lea eax,dword ptr ss:[ebp-8]
00415A3C  |.  50             push eax                                 ; /pOldProtect
00415A3D  |.  6A 40          push 40                                  ; |NewProtect = PAGE_EXECUTE_READWRITE
00415A3F  |.  57             push edi                                 ; |Size
00415A40  |.  56             push esi                                 ; |Address
00415A41  |.  53             push ebx                                 ; |hProcess
00415A42  |.  E8 85F2FEFF    call <jmp.&kernel32.VirtualProtectEx>    ; \VirtualProtectEx

上面的代码是改变QQ.exe的oep处的属性,使其可读可写可执行,为改写oep处的代码做准备

接着,又一次中断在WriteProcessMemory
看看堆栈:
0067EA5C   0000000C  |hProcess = 0000000C
0067EA60   00464B58  |Address = 464B58
0067EA64   0067EE46  |Buffer = 0067EE46
0067EA68   00000005  |BytesToWrite = 5
0067EA6C   0067EA7C  \pBytesWritten = 0067EA7C

464b58就是QQ.exe的OEP,很明显,它要改变oep来改变程序流程!!

    好了,我们又用那套方法,把0067eea6的第一个字节改为cc,在softice中bpint 3,然后中断,再
跟踪.
    在softice下中断后:
0167:00464B58  E91328CE82          JMP       83147370   


0167:83147370  C705584B4600558BEC6AMOV       DWORD PTR [00464B58],6AEC8B55 ;马上恢复oep处的代码
0167:8314737A  C6055C4B4600FF      MOV       BYTE PTR [00464B5C],FF
0167:83147381  68FA731483          PUSH      831473FA
0167:83147386  6838000000          PUSH      00000038
0167:8314738B  6A40                PUSH      40
0167:8314738D  FF15F6731483        CALL      [KERNEL32!GlobalAlloc] ;再申请内存
0167:83147393  C700B85077F7        MOV       DWORD PTR [EAX],F77750B8 ;从这里开始一直填入新数据
0167:83147399  C74004BFFFD068      MOV       DWORD PTR [EAX+04],68D0FFBF
0167:831473A0  C7400870731483      MOV       DWORD PTR [EAX+08],83147370
0167:831473A7  C7400CB89348E9      MOV       DWORD PTR [EAX+0C],E94893B8
0167:831473AE  C74010BFFFD0B8      MOV       DWORD PTR [EAX+10],B8D0FFBF
0167:831473B5  C74014584B4600      MOV       DWORD PTR [EAX+14],00464B58
0167:831473BC  C74018FFE0C705      MOV       DWORD PTR [EAX+18],05C7E0FF
0167:831473C3  C7401C584B4600      MOV       DWORD PTR [EAX+1C],00464B58
0167:831473CA  C74020558BEC6A      MOV       DWORD PTR [EAX+20],6AEC8B55
0167:831473D1  C74024C6055C4B      MOV       DWORD PTR [EAX+24],4B5C05C6
0167:831473D8  C740284600FF68      MOV       DWORD PTR [EAX+28],68FF0046
0167:831473DF  C7402CFA731483      MOV       DWORD PTR [EAX+2C],831473FA
0167:831473E6  C7403068380000      MOV       DWORD PTR [EAX+30],00003868
0167:831473ED  C74034006A40FF      MOV       DWORD PTR [EAX+34],FF406A00
0167:831473F4  FFE0                JMP       EAX ;此时eax为 0063059C


0167:0063059C  B85077F7BF          MOV       EAX,KERNEL32!LoadLibraryA;加载Coralqq.dll
0167:006305A1  FFD0                CALL      EAX
0167:006305A3  6870731483          PUSH      83147370
0167:006305A8  B89348E9BF          MOV       EAX,COMCTL32!ORD_0049
0167:006305AD  FFD0                CALL      EAX
0167:006305AF  B8584B4600          MOV       EAX,00464B58
0167:006305B4  FFE0                JMP       EAX ;跳回QQ.exe的入口点

分析完毕.
到了这里,我们可以总结一下了,在win2000/xp下coralqq.exe先创建QQ的进程,同时也就创建了
QQ的暂停的主线程,接着往QQ进程的内存写入代码,修改Ntdll.NtTestAlert的代码跳让程序跳到自己的
代码处执行,在执行的过程中恢复Ntdll.NtTestAlert处被改了的代码,同时加载Coralqq.dll.

在win9x下,coralqq.exe先创建QQ的进程,同时也就创建了QQ的暂停的主线程,接着往QQ.exe的内存
写数据,改写QQ.exe的oep从而达到改变程序流程的目的,让其先执行加入了的代码,加载Coralqq.dll,
加载完后再跳到原来的QQ.exe的oep继续执行.
其实在win2000/xp下面完全可以用远程线程的方法来实现加载dll文件,我后来自己编程实现了辅助
这一步.
    也许有读者读完这编文章后会问:"加载了coralqq.dll又有什么用?它是怎样显IP的?"
其实,要显IP当然要修改QQ的内存中的代码,而修改内存代码这一步是在加载coralqq.dll的时候由
coralqq.dll完成的.也就是说,在执行LoadLibrary的过程中系统会执行corall.dll的 LibMain ,修改
的过程就在LibMain中完成了!而说到显IP的原理,抱歉,不在我们这编文章的讨论范围之内,我们只是讨论
辅助中"挂"这一步.


下面是我写的代码,可以做出一个顶替Coralqq.exe的程序,但原理上和Coralqq.exe有一点点不同



.586
.model flat, stdcall
option casemap :none   ; case sensitive

include        windows.inc
include        kernel32.inc
includelib    kernel32.lib



.data
qq db ".\QQ.exe",0
ikeyname db "qq",0
isecname db "main",0
szBuffer        dw  50 dup(0)

dllname db ".\CoralQQ.dll",0
szkernel32 db "Kernel32.dll",0
dllin dd 0
szloadlibrary db "LoadLibraryA",0
oaddr dd 0
wriaddr dd 0
ininame db ".\CoralQQ.ini",0






.data?
align dword
con CONTEXT <>
align dword
con2 CONTEXT <>   

stStartUp    STARTUPINFO <?>
stProcInfo    PROCESS_INFORMATION <?>



.code
start:
main proc
    local wrisize:dword ;用来存放要写入的代码的大小
    local num:dword
    local oldpro:dword
    local lastwri:dword
    local wribase:dword ;用来存放写入代码的基址
    invoke GetPrivateProfileString,offset isecname,offset ikeyname,\
        offset szloadlibrary,offset szBuffer,\
        sizeof szBuffer,offset ininame    ;从Coralqq.ini中获取QQ程序的路径
     invoke GetModuleHandle,offset szkernel32
     invoke GetProcAddress,eax,offset szloadlibrary
     mov dllin,eax
     
   invoke GetStartupInfo,addr stStartUp
    invoke CreateProcess,NULL,offset szBuffer,NULL,NULL,FALSE,\
    CREATE_SUSPENDED,NULL,NULL,addr stStartUp,addr stProcInfo ;创建QQ进程
    cmp eax,0
    jz exit
    invoke GetVersion
     test eax,080000000h ;判断操作系统类型
     jnz win9x
    invoke VirtualAllocEx,stProcInfo.hProcess,NULL,01000h,MEM_COMMIT,\
    PAGE_EXECUTE_READWRITE ;在QQ内存中分配空间
    mov oaddr,eax
    invoke WriteProcessMemory,stProcInfo.hProcess,oaddr,offset dllname,\
    sizeof dllname,addr num ;写入数据
    invoke CreateRemoteThread,stProcInfo.hProcess,NULL,0,dllin,oaddr,0,\
    addr num ;创建远程线程
    invoke    CloseHandle,eax
    invoke ResumeThread,stProcInfo.hThread ;让QQ继续运行
    invoke ExitProcess,0
    ret

win9x:   
    mov wribase,oepwrite
    mov wrisize,codeend-oepwrite
    invoke VirtualProtect,wribase,wrisize,\
    PAGE_EXECUTE_READWRITE,addr oldpro ;改变这个程序的要写入代码的地方的属性,其实可以在编译时加上开关
   
    mov wrisize,codeend-codewrite
    mov wriaddr,080000000h
    sub wriaddr,1000h
again:
    add wriaddr,1000h
    mov wribase,codewrite
    invoke WriteProcessMemory,stProcInfo.hProcess,wriaddr,\
    wribase,wrisize,addr num ;写入代码
    mov eax,wrisize
    cmp eax,num
    jnz again
   
    mov eax,wriaddr
    mov ebx,chan0-4
    mov [ebx],eax
    invoke VirtualProtectEx,stProcInfo.hProcess,0464b58h,7,\
    PAGE_EXECUTE_READWRITE,addr oldpro ;改变QQ.exe的oep处的属性
    mov wribase,oepwrite
    invoke WriteProcessMemory,stProcInfo.hProcess,0464b58h, wribase,7,\
    addr num ;写入数据
   
    mov eax,dllin
    mov ebx,chan2-4
    mov [ebx],eax
    mov eax,codeend-codewrite
    add eax,wriaddr
    mov ebx,chan1-4
    mov [ebx],eax
    mov wribase,codewrite
    mov wrisize,codeend-codewrite
    invoke WriteProcessMemory,stProcInfo.hProcess,wriaddr,\
    wribase,wrisize,addr num
   
    mov eax,codeend-codewrite
    add eax,wriaddr
    mov lastwri,eax
    invoke WriteProcessMemory,stProcInfo.hProcess,lastwri,offset dllname,\
    sizeof dllname,addr num

    invoke ResumeThread,stProcInfo.hThread ;让QQ继续执行
    exit:
    invoke ExitProcess,0
    ret



            
main endp

;下面的都是要写入到QQ.exe的内存的附加代码,但有些数值在写入前要实时修正

oepwrite:
    mov eax,0
chan0:    jmp eax

codewrite:
mov eax,0464b58h
push  6aec8b55h
pop [eax]
mov eax,0464b5ch
push  101868ffh
pop [eax]
push 080000000
chan1:
push 464b58h
mov eax,0
chan2:
jmp eax
codeend:

end start
您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

魔鬼作坊|易语言教程|易语言源码|易语言论坛|易语言视频教程| 论坛导航|免责申明|手机版||网站地图
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表魔鬼作坊立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2010-2019 All Right Reserved.
快速回复 返回顶部 返回列表