1.CoralQQ.exe
用peid查,显示是PECompact 2.x -> Jeremy Collake的壳

用OD载入后停在
00401000     B8 D4A14300         mov eax,CoralQQ.0043A1D4       F8单步运行
00401005     50                  push eax
00401006     64:FF35 00000000    push dword ptr fs:[0]
0040100D     64:8925 00000000    mov dword ptr fs:[0],esp
00401014     33C0                xor eax,eax                  到这里我们看到在堆栈窗口

————————————————————————————————————————————————
0012FFBC      0012FFE0     指针到下一个 SEH 记录
0012FFC0      0043A1D4     SE 句柄
0012FFC4      7C816D4F     返回到 kernel32.7C816D4F
————————————————————————————————————————————————
看回来,我们ctrl+G到 0043A1D4,到达后在此处下断点,然后F9运行,
程序被断下。
0043A1D4     B8 7E9043F0         mov eax,F043907E
0043A1D9     8D88 79110010       lea ecx,dword ptr ds:[eax+10001179]
0043A1DF     8941 01             mov dword ptr ds:[ecx+1],eax
0043A1E2     8B5424 04           mov edx,dword ptr ss:[esp+4]
0043A1E6     8B52 0C             mov edx,dword ptr ds:[edx+C]
0043A1E9     C602 E9             mov byte ptr ds:[edx],0E9
0043A1EC     83C2 05             add edx,5
0043A1EF     2BCA                sub ecx,edx
0043A1F1     894A FC             mov dword ptr ds:[edx-4],ecx
取消断点,然后在0043A1F7下断点
0043A1F7     B8 78563412         mov eax,12345678
0043A1FC     64:8F05 00000000    pop dword ptr fs:[0]
0043A203     83C4 04             add esp,4
0043A206     55                  push ebp
0043A207     53                  push ebx
0043A208     51                  push ecx
0043A209     57                  push edi
0043A20A     56                  push esi
0043A20B     52                  push edx
再按F9运行,程序又被断下,取消断点。F8单步运行,
一直F8到了0043A29F,
0043A281     8985 23120010       mov dword ptr ss:[ebp+10001223],eax
0043A287     8BF0                mov esi,eax
0043A289     59                  pop ecx
0043A28A     5A                  pop edx
0043A28B     03CA                add ecx,edx
0043A28D     68 00800000         push 8000
0043A292     6A 00               push 0
0043A294     57                  push edi
0043A295     FF11                call dword ptr ds:[ecx]
0043A297     8BC6                mov eax,esi
0043A299     5A                  pop edx
0043A29A     5E                  pop esi
0043A29B     5F                  pop edi
0043A29C     59                  pop ecx
0043A29D     5B                  pop ebx
0043A29E     5D                  pop ebp
0043A29F   FFE0         jmp eax        F8到这里,跳OEP
00418E2C     55    push ebp     到达OEP
00418E2D     8BEC                mov ebp,esp
00418E2F     83C4 F0             add esp,-10
00418E32     B8 648D4100         mov eax,CoralQQ.00418D64
00418E37     E8 A4BAFEFF         call CoralQQ.004048E0
00418E3C     A1 F49D4100         mov eax,dword ptr ds:[419DF4]
00418E41     33D2                xor edx,edx
00418E43     E8 30F4FFFF         call CoralQQ.00418278

2.CoralQQ.dll
OD载入后
00B7D911 >  B8 80F5B900     mov eax,CoralQQ.00B9F580  停在这里
00B7D916    50              push eax
00B7D917    64:FF35 0000000>push dword ptr fs:[0]
00B7D91E    64:8925 0000000>mov dword ptr fs:[0],esp
00B7D925    33C0            xor eax,eax
00B7D927    8908            mov dword ptr ds:[eax],ecx
00B7D929    50              push eax
00B7D92A    45              inc ebp
00B7D92B    43              inc ebx

用esp定律
dd 0006f8a0
下硬件访问断点;
F9运行到达
00B9F64A    59              pop ecx
00B9F64B    5B              pop ebx
00B9F64C    5D              pop ebp                                     ; 0006F8C4
00B9F64D    FFE0            jmp eax 跳OEP

00B7D911 >  55              push ebp
00B7D912    8BEC            mov ebp,esp
00B7D914    53              push ebx
00B7D915    8B5D 08         mov ebx,dword ptr ss:[ebp+8]
00B7D918    56              push esi
然后用lord dump出!
再用ImportREC修复输入表!
重定位表弄不懂,还请高手指教一下啊!!

珊瑚虫QQ外挂3.06脱壳相关推荐

  1. 【陈寿福案】珊瑚虫QQ侵权案民事判决书

    北京市海淀区人民法院民事判决书   (2006)海民初字第25301号 原告腾讯科技(深圳)有限公司,住所地深圳市福田区赛格科技园2栋东403号. 法定代表人马化腾,董事长. 委托代理人李琦,北京市天 ...

  2. 腾讯确认封杀“显IP去广告”QQ外挂

    京华时报报讯 (记者 李斌) 昨天,部分网民反映自己平日使用的"显IP去广告"QQ外挂被腾讯公司封杀.腾讯官方向记者确认了这一封杀行为. 腾讯昨天发给本报的声明中称,非法QQ外挂对 ...

  3. 感叹珊瑚虫QQ的离去

    昨天登录QQ突然说我的IP不能适用低版本的QQ请去im.qq.com下载最新版本.我用的是珊瑚虫QQ的外挂版本,没有注意,说我版本过时就下个新版 本呗.去霏凡软件站下了一个新的珊瑚虫QQ,发现新的这个 ...

  4. 珊瑚虫QQ作者陈寿福昨日提前出狱 现已返回福建

    珊瑚虫QQ作者陈寿福昨日提前出狱 现已返回福建 http://fellow.51cto.com  2010-03-12 09:35  孟鸿  新浪科技  我要评论(1) 摘要:珊瑚虫版QQ作者陈寿福获 ...

  5. 红旗QQ,彩虹QQ,珊瑚虫QQ,千寻客

    红旗QQ,彩虹QQ,珊瑚虫QQ 新出了一个红旗QQ,点击查看详细信息 这是在百度看到的信息 红旗QQ集显示好友IP.绑定短位ID等于一身,是继彩虹QQ和珊瑚虫QQ之后又一款可玩性比较高的超炫个性服务类 ...

  6. 珊瑚虫QQ/TM增强包4.1正式版发布(转)

    珊瑚虫QQ/TM增强包4.1正式版发布(转) 珊瑚虫QQ/TM增强包4.1正式版昨晚发布. 珊瑚虫QQ/TM增强包用于腾讯QQ/TM产品的功能增强,去除了原产品影响视觉的广告,并且提供显示好友的 IP ...

  7. 解决珊瑚虫QQ不能在Win2003运行的问题(转)

    解决珊瑚虫QQ不能在Win2003运行的问题(转) 在Windows 2003 SP1中,增加了一个数据执行保护 (DEP)功能,"系统属性 → 高级 → 性能"选项中增加了一个叫 ...

  8. 被判3年罚250万 珊瑚虫QQ作者提起上诉

    案件回放:2年获利近120万元 珊瑚虫QQ的制作者陈寿福是北京理工大学计算中心老师.根据检察机关审理查明,从2005年底起,陈寿福开始从腾讯科技(深圳)有限公司的网站上下载不同版本的腾讯QQ系列软件, ...

  9. 珊瑚虫QQ不显对方IP的故障排除

    "珊瑚虫QQ"可以说是现在网上使用最多的QQ外挂了,可是在使用过程中,大家绝对都遇到过这种情况. 即当鼠标悬停在在线好友QQ号上, 准备查找对方IP的时候却遇到这样的提示:对方在线 ...

最新文章

  1. 每日一皮:一个项目开发的真实写照...
  2. DELL服务器利用OMSA修改BIOS设置
  3. python修改静态html_Python 静态页面爬虫---urllib3库实现
  4. c语言实现bf算法的定位函数,数据结构c语言版严蔚敏清华大学出版社第四章串.ppt...
  5. ActiveMQ学习-Network connectors(1)
  6. 基于STM32的波形发生器
  7. jhipster 配置 mysql_JHipster 基础使用
  8. 很多餐饮店都会倒闭,最主要的是有2大原因
  9. 缺少公钥问题的解决方法[转]
  10. gorm软删除_删除 |《GORM 中文文档 v1》| Go 技术论坛
  11. 廖雪峰git教程中的git命令汇总
  12. 《硬核干货》简单好用视频、图片、文件MD5值修改工具类
  13. my sql实验视图_数据库SQL 视图的创建及使用实验报告(共5篇)
  14. 关于administrator没有管理员权限问题
  15. P4313 文理分科
  16. 计算雅思成绩C语言,终于发现【官方】雅思考试分数计算方法
  17. 信息学奥赛一本通C++语言——1058:求一元二次方程
  18. 三星GPSDO STP2878LF 10MHZ驯服钟使用说明备忘录
  19. 解决联发科mt7921网卡在ubuntu下没有wifi的问题
  20. 说说电商直播的一些优势

热门文章

  1. java四连环游戏编程_如何用C语言实现四连环游戏(重力四子棋)?
  2. 职业建议:辞职时提前通知很重要
  3. OLAP(四):ClickHouse
  4. OpenCV图像的轮廓
  5. Colab防断,防止colab每隔一段时间自动断连。
  6. 单片机 fir数字滤波c语言,单片机实时处理的简单FIR滤波器设计 - 控制/MCU - 电子发烧友网...
  7. leetcode703. 数据流中的第K大元素(PriorityQueue 最小堆)
  8. python gui模板_Python GUI 编程(Tkinter) | 菜鸟教程
  9. 可添加头尾的RecycleView的实现
  10. [lintcode] 752. Rogue Knight Sven