看雪论坛
发新帖
5

[调试逆向] [分享]破解 QQ聊天记录查看器v9.32

guxinyi 2012-2-26 22:45 44138
这篇文章是给初学者的。
这个软件加了壳,很简单,一直往下走就是了,很快就可以到oep,然后用Od的插件脱壳,如图

脱完壳后,现在就开始破解它了。
其实破解最重要的就是找一个破解点,下面的就是一个破解点,

点击邮箱设置,会弹出一个提示框,说明是未注册版。
这说明在弹提示框之前,检测了是否注册的。所以我们在od中按F12暂停,然后查看堆栈,如图




进入函数0x405120,注意看它的返回值

先修改0x405120的返回值,随便你怎么改,然后保存修改到文件中,

这里更正下,在图中红色部分是mov eax,eax    由于有可能eax就为0,所以这里会有漏洞。为了避免这种情况,改为mov eax,esp                  esp总不会为0了吧,哈哈
最后重新加载程序,再在0x405120处下断点,f9运行。因为0x40512返回值不为0时,我们不知道有什么用途,需要跟踪下。前面两个断下来的地方,都是简单的判断返回值是否为0,没什么特别的,继续运行后,来到第三个断下来的地方:

这里判断返回值,并根据情况保存到一个变量中,按图中修改,就可以了,最后保存修改,破解完成了。
效果图


第一次这么详细,希望能给需要的人有所帮助。
我人太懒了,算法就不分析了,呵呵
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (57)
5
guxinyi 2012-2-26 22:48
2
破解文件。。。。。。
上传的附件:
枫泪无痕 2012-2-26 23:29
3
很好的教程,谢谢楼主的无私分享!
yodamaster 2012-2-27 00:44
4
很详细, 支持。
不过试用了下附件中的破解版,我的机器上仍然显示为未注册。
5
guxinyi 2012-2-27 00:52
5
楼上的,2010年注册的,4个太阳,我无语了,,
1
elianmeng 2012-2-27 08:58
6
貌似人家明码吧
1
elianmeng 2012-2-27 08:58
7
还有 请支持国产好不
自己弄顶就可以 何必这么张扬啊
5
guxinyi 2012-2-27 09:15
8

纯属交流,。。
search 2012-2-27 10:48
9
鉴定完毕,确实没有爆破成功。这个软件只要注册成功,任何版本都会显示成功,估计这样lz才以为爆破成功了。呵呵。
超级字串参考, 条目 254
地址=0040971C
反汇编=MOV ESI,dump-已?004C8324
文本字串=谢谢您的注册!\r\n重启软件将显示完整的聊天记录\r\n\r\n欢迎试用本工作室其它软件\r\n星海QQ密码记录器\r\n星海远程控制\r\n详情见http://www.chakanqq.com\r\n售后客服QQ:36317375

超级字串参考, 条目 259
地址=00409825
反汇编=PUSH dump-已?004C8310
文本字串=请输入正确的注册码

在这里修改下就行了。nop掉就好了 然后进入那个密码修改,随便点击一下注册就成了。
good luck  居然真的把我的QQ记录给显示了,坑爹啊,我的是2012的QQ啊。腾讯你他娘的太垃圾了。一点保障性都没有。

求高手告知这个软件获取记录的方式?直接解密的?还是获取了QQ密码?
5
guxinyi 2012-2-27 12:08
10
楼上的,虽然软件显示是未注册的,但是使用起来是没有限制的。
未注册的,只能显示3个字符
上传的附件:
  • 1.png (8.67kb,1717次下载)
1
geae 2012-2-27 15:52
11
我比较关心软件获取记录的方式?
easydw 2012-2-27 15:58
12
根据search的指点, 破解成功
没想到现在还有这么强大的软件,真是鄙视腾讯
5
guxinyi 2012-2-27 16:14
13
破解 星海qq密码记录器4.1
加了个壳, PEcompact ver.2.78a ~ 3.0.3.9  - www.bitsum.com ( aPlib/Lzma )

破解方法如上
Desktop.zip
上传的附件:
2
suredwang 2012-2-27 16:37
14
感谢分享!学习哦   
下载测试了下,怎么破解版跟未破解二个所有结果是一样的,不知是何原因?
search 2012-2-27 16:39
15
据我猜测,要么是腾讯内部的人搞的,要么就是腾讯所谓的聊天记录加密是伪加密。不管怎样,没有大背景的话,公然出售这个东东不怕被告吗?
5
guxinyi 2012-2-27 16:47
16
所以说,********************,搞笑,
babyrobin 2012-2-27 16:55
17
这个软件我怎么没看到有未注册的字样啊,调试了下 很简单么,2个NOP就过去了
yodamaster 2012-2-27 17:46
18
的确是违反了版规,最好把软件的名称抹去。
5
guxinyi 2012-2-27 19:46
19
声明 : 本帖子中的程序仅供学习之用,不得用于非法之事,否则后果自负。与本人无关!
5
guxinyi 2012-2-27 19:47
20

。。。。。。。。。。。。。。
wkxq 2012-2-27 20:02
21
一如既往的支持!
blueidea 2012-2-28 15:21
22
我按search 的方法,找到 00409825 和 0040971c 然后双击,框里输入nop,下面勾选nop填充,然后保存文件,怎么不行呢?还是显示三个汉字。求高手指点一下。
oushisheng 2012-2-28 15:41
23
怎么我一打开就提示木马,也打不开?
CoolSlob 2012-2-29 09:25
24
要是能找出查看聊天记录的方法就好了,也不用去破解这个软件,不违反规定。
CoolSlob 2012-2-29 09:33
25
试了一下,发现又是是msimg32.dll入手。
search 2012-2-29 14:59
26
在修改密码哪个地方输入注册码注册一下。
blueidea 2012-2-29 16:30
27
有在这个地方输入注册码,然后点一下注册后会弹出个空的对话框,点确定后整个程序会退出。
楼主给的包的时的 破解的和未确解的程序都安排好这种方法试过。没什么用。
blueidea 2012-3-2 14:39
28
终于搞定了,你上面的方法都不一样。如下代码。

00409711   . /0F85 E3000000 jnz     004097FA    ;原来这里是je,我改成jnz,都不用点注册,打开就能用了。
00409717   . |B9 27000000   mov     ecx, 27
0040971C   . |BE 24834C00   mov     esi, 004C8324                    ;  谢谢您的注册!\n\n重启软件将显示完整的聊天记录\n\n\n\n欢迎试用本工作室其它软件\n\n星海qq密码记录器\n\n星海远程控制\n\n详情见http://www.chakanqq.com\n\n售后客服qq:36317375
blueidea 2012-3-2 15:15
29
接上,白高兴了场,把上面改好的保存一下,把exe发到另一台电脑上,发现还是显示三个字。 楼主出来指点下。
在本机就可以全部显示。不明为啥。
10
hackerlzc 2012-3-3 18:40
30
"监控安装以后需要最少登陆一次QQ才可以攻取到其聊天记录"

这个应该可以说明一些问题了吧,很可能是用密码解密了…………………………

又或者是截获到了服务器传来的申请QQ号时保存的种子密钥(私钥种子)
baiyan 2012-3-4 17:43
31
好文章看看呵呵
人情味 2012-3-5 16:37
32
这软件有爆破好的吗?  还有初学者还是搞不懂呀,能再详细点吗? 包括OD的用法
jerryme 2012-3-6 11:14
33
学习了,图文并茂,很好!
1
koflfy 2012-3-9 13:58
34
mark。。。。。。。今天正好破到这个程序。
littlejia 2012-3-10 17:47
35
到底怎么破解 确实怪事情了
aquaregia 2012-3-14 09:35
36
呵呵,支持一下。
ronging 2012-3-15 22:14
37
什么OEP啊,脱壳之类的,不明白,有没有入门的资料?
spirithe 2012-3-15 23:48
38
呵呵,比较详细,学习了。
yjd 2012-3-17 01:03
39
据我猜测,要么是腾讯内部的人搞的,要么就是腾讯所谓的聊天记录加密是伪加密。不管怎样,没有大背景的话,公然出售这个东东不怕被告吗?

上次还听说表面上用户密码都是加密,有权限的可以看到真码
nwpulei 2012-3-17 11:31
40
跟踪v9.35 最新版得知
软件判断有没有注册是给ad.xiaohu.com/QQmsg/reg2.aspx发送信息
根据其返回的值判断是否注册。

因此 有一个破解方法是 修改ad.xiaohu.com到本地127.0.0.1
用一个程序负责发送正确的注册信息。

我修改为http://127.0.0.1/index.html?xxxxxxxxrrwddddde=%s&RegCode=%s&t=%s
根据跟踪 只要返回的web请求为okokok即可
因此
index.html中为okokok

我用了一段python临时生成了一个web服务器
import SimpleHTTPServer
import SocketServer
import os
PORT = 80
WEBDIR = "F:/out"
class Handler(SimpleHTTPServer.SimpleHTTPRequestHandler):
   
    def translate_path(self, path):
        os.chdir(WEBDIR)
        return SimpleHTTPServer.SimpleHTTPRequestHandler.translate_path(self,path)
try:
    httpd = SocketServer.TCPServer(("", PORT), Handler)
    print "dir %s serving at port %s"%(repr(WEBDIR), PORT)
    httpd.serve_forever()
except:pass

只需把index.html放在 f:\out目录下即可

修改为127.0.0.1后的exe abc.rar
python脚本 a.rar
index.html out.rar

另 调试中发现该软件存在缓冲区溢出漏洞
如果ad.xiaohu.com/QQmsg/reg2.aspx 返回的数据过多,程序会崩溃。
上传的附件:
inioo 2012-3-17 13:04
41
  容易出问题
DLDLIS 2012-3-17 17:22
42
感兴趣的是这软件是如何读取聊天记录的?
gengyiwei 2012-4-7 02:58
43
真的 很不错哦
青春飞扬 2012-4-15 16:00
44
上述说的破解都是不能实现的,你们骗吧!
ruoko 2012-4-15 20:20
45
不错。学习了
下次在来 2012-4-21 22:26
46
感谢分享!学习哦
dfcgod 2012-4-21 23:56
47
AVG直接就给杀了。擦。
立方根 2012-4-28 14:03
48
有话里有话的可能
zistzh 2012-4-28 17:02
49
感谢分享!留个标记
hrbxw 2012-5-1 09:13
50
貌似都不能用啊。。。
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.021, SQL: 19 / 京ICP备10040895号-17