大家都来做Hacker，手把手教你修改Q [复制链接]

我们的目标是去掉广告显示，并且在广告的位置上显示目标对象的IP地址和端口号。

经过对Oicq目录结构的分析，发现目录AD和广告有关。其一是广告的英文简写就是AD，其二是其中的图片文件就是我们在广告中看到的。试着删除该目录之后，呵呵，广告消逝了。但是下次进入Oicq之后，程序会自动新建这个目录，并且重新下载广告文件。既然程序读取不到广告文件广告就会消失，那么就人工让它读不到咯。用Soft-ice把断点设置在CreateFileA上，这个API调用一般是用来打开一个文件或者设备的。在Sice截到断点后，查看是即将打开的那些文件，从而判断是否是我们要修改的地方。具体修改方法后面详诉。

如果不知道Win32 API为何物的同志也可以Ctrl+W了

广告是去掉了，但是在广告区域上点击鼠标，浏览器仍然会打开广告链接，看来我们还需要对程序作更完善的修改。好了，既然点击广告会出现浏览器，那一定是运行了一个程序。一般打开运行浏览器程序的有两种方法，一是调用COM接口，二是调用普通的运行程序的API函数。第一种方法技术难度较，一般程序很少采用。所以直接用SoftIce把断点设置在几个和运行程序有关的API函数上，比如shellExecuteA，WinExec等等。好了，程序在ShellExecuteA处中断，也就是只要避过这个API函数就行咯。呵呵，顺着程序往上找合适的修改位置，会发现USER32.PtInRect函数的调用，经过分析，发现它是用作判断鼠标点击是否在特定区域内的。搞定，只要使它判断总是在区域外，就不会执行到ShellExecuteA那儿去了。发送消息窗口和恢复窗口的广告点击的程序在不同的位置，也就说在两个地方，这两个地方都要修改，原理也都是一样。具体修改方法后详。（我们为了实现在点击鼠标后出现IP地址和端口号，在发送消息窗口添加了一个有关显示的程序入口，将在后面讲解）

这下广告真的是去除了，既不能看到，也不能点进去了。呵呵，开始我们的下一步目标，显示IP地址和端口号！！！
过去要想知道Oicq上朋友的IP地址只有借助民间的一些小工具程序或者采用包监听程序，后者专业要求比较高，而且辨别率低，也不方便。一些小程序的确很管用，但是毕竟没有把这个功能直接做到Oicq程序上方便和可靠，利用Oicq内部的很多数据和结构能获得很多我们平常不容易获得的信息。但是毕竟只有二进制汇编代码，没有源程序，程序的分析难度和工作量可想而知。经过令人难以想象多次数的死机和重起，以及极其艰辛的设置断点跟踪调试分析工作……（以下省略XXXX字），终于粗略的获得了我们感兴趣的数据结构指针以及它相关调用的位置。这段时间是我最郁闷的时候，想起那段毫无人性的工作，就像已经过上幸福生活的老同志回忆起49年以前悲惨生活般的胆战心惊且心有余悸……（以下省略XXX字）。还好我挺过来了，终于在0042513D处找到了需要的指针地址。只要利用这个指针就能获得目标对象的IP地址以及端口号。我们需要做的就是把这些信息显示在以前的广告位置。

又是一项艰巨的任务放在我的面前，还好我有坚定的信念、丰富的临床经验以及对成功喜悦的企盼，还有对聊天MM住址的渴望，我一定会珍惜，不能像周星星一样期望再来一次……（再次省略若干，以免挨鸡蛋）。
言归正传，既然获得了关键的数据指针，那可以说我们已经成功了90％了，接下来的就是显示出来而已。但这也需要反复的试验和修改。让我们好好来回味一下这一过程：
首先，要实现新的功能毫无疑问需要添加代码和数据，以及执行一定的API函数，所以需要找到适当的方法添加代码到原程序之中。完美的方法就是作一个外壳添加程序，在原程序中添加所需要的段（数据段，程序段），以及添加Import表表项，以用于新的API函数的地址定位，还要修改PE文件头中的各项相关信息，这就是病毒的做法。这无疑非常的复杂和繁琐，有兴趣的同学可以参见我以前的文章"关于95下可执行文件的加密研究"。其实我们的要添加的程序量并不大，充其量也就零零星星的几百个字节，而且用到的API函数也不多。所以我们采取了手动修改添加的方法，但也需要必要的条件和方法。

看我以下的分析和方法：
PE可执行文件的逻辑结构是段，比如代码段".text"、数据段".data"、资源段".
rscs"等等。这些段大小都是按文件对齐，也就是说段大小至少会按10h对齐，一般
是1000h（4096字节），这由文件头中指定（链接的时候确定）。但是代码也好数
据也好，不可能做到长度刚好是对齐的。也就是说，段的大小是大于段中代码或数
据实际大小的。他们之间的差值就是该段冗余的空间，这个空间被称为"空隙"。有
一些简单的PE文件减肥软件就是去掉"空隙"的方法来减肥的。这个"空隙"可以被我
们用来放置代码、数据以及堆栈。我常用的分析PE文件文件头的工具软件是
Borland 以前在C++系列软件中带的"Tdump.exe"。让我们看看实际分析的结果：

Object table:
#   Name      VirtSize    RVA     PhysSize  Phys off  Flags
--  --------  --------  --------  --------  --------  --------
01  .text     000D0637  00001000  000D1000  00001000  60000020 [CER]
02  .rdata    000320E8  000D2000  00033000  000D2000  40000040 [IR]
03  .data     00039848  00105000  00012000  00105000  C0000040 [IRW]
04  .rsrc     0003E4C0  0013F000  0003F000  00117000  40000040 [IR]
以上是用看到的Oicq.exe的段信息（它的Oject就是我们所说的段）。我们肯定是首选.text段进行观察（.text是代码段，Flag为CER，意思就是包含代码、可执行、可读的意思（Contains code, Execute,Readable））。可以看到，.text段代码实际长度D0637h，物理长度D1000，文件偏移位置为1000h处。OK，这个段有D1000h－D0637h=C9Ch的"空隙"。这个长度完全可以满足我们的需要了，而且代码数据堆栈都可以放在这个区域内。众所周知，要作为数据段使用，段的属性（
Flags）需要可写。好了，只需要改写".text"的属性即可，可写属性的值是80000000h，然后加上原来的60000020h后，就是C0000020h了，也就是变成了CERW属性。具体修改方法后详。

看看我们更改后的用Tdump分析的结果。
Object table:
#   Name      VirtSize    RVA     PhysSize  Phys off  Flags
--  --------  --------  --------  --------  --------  --------
01  .text     000D0637  00001000  000D1000  00001000  C0000020 [CRW]
02  .rdata    000320E8  000D2000  00033000  000D2000  40000040 [IR]
03  .data     00039848  00105000  00012000  00105000  C0000040 [IRW]
04  .rsrc     0003E4C0  0013F000  0003F000  00117000  40000040 [IR]
好了，找到了放置代码数据和堆栈的地方，也就是其实偏移1000h+D0637h 的地方。为了对齐边界，我们采用D1640h这个值（文件偏移）。用Tdump 查看代码段基址（Code Base）和PE文件映象基址(Image Base)，分别是1000h和400000h，可以算出我们的程序在装入后的实际地址，400000h+1000h+D0640h=4D1640h。也就是说我们的代码在被系统装入后在内存4D1640处，这在以后程序跳转处用到。
添加代码的工作已经做好，现在关键的问题就是编制具体的代码，以用于IP地址和端口号的保存和显示。
首先是对对象数据中IP地址和端口信息的保存，我们在获得该数据指针后（程序00425157处），更改程序使程序直接跳转到我们的保存程序中（4D1640）。该数据的指针首址放在EAX，由于该段程序有些寄存器的值都有用，堆栈也不能乱压。所以我们首先修改了栈指针，使所有的堆栈活动都在我们的"空隙"中进行（堆栈顶端
4D1900）。然后保存几个寄存器的值（压栈）。IP地址和端口号分别在该数据结构＋214h和218h的地方（也就是EAX＋214h和EAX+218h）。IP地址是一个字符串指针，端口是个32位整数。我们要做的就是把他们都转换成字符串，保存在自己的地盘中。我们巧妙的用了一个wsprintfA函数把字符串和端口号输出到一个地址上（随便在我们的"空隙"中找个空闲的地址，我用的是4D1700，D1720中放的是格式化字符串"％s：％d"）。实际这段程序翻译成C语言就是printf("%s:%d"，char *ip,
int port)，这样我们就把字符串形式的数据保存在了数据区里。值得注意的是，由于我们修改了原程序中的有用代码用于跳转程序，所以在我们的程序中就需要加上（cmp dword ptr [eax+000001DC], ecx），退出我们的程序之前恢复栈指针和各寄存器，用一条无条件跳转指令转回到原程序继续执行。

细心的同志可能注意到我们没有显式的调用wsprintfA函数，但是我们实际上是调用了。在显示IP的那段附加程序中调用SetWindowTextA的调用也是这样。这是怎么回事呢？我们知道所有API函数的调用前都需要重定位，这个过程发生在系统装入这个PE程序的时候。系统按照PE文件中Import表的内容对API函数在程序中的地址进行填写。我们没有修改Import表，所以，如果直接写上汇编代码，系统是不会为它定位的。由于Import表比较复杂，更改它是个非常繁琐的事情。所以我们采用变通的方法，既然系统为用到的API函数地址都作了重定位，所以API函数的地址信息也就存在了。
具体的做法如下：
找到原程序中有调用wsprintfA的地方：
:0049CE30 FF1560274D00            Call USER32.wsprintfA
:0049CE36 83C410                  add esp, 00000010
:0049CE39 EB1A                    jmp 0049CE55
实际的汇编代码应该是Call dword ptr [004D2760]，我们就知道了wsprintfA的地址是放在004D2760中。所以，我们只要间接的获得这个调用的地址，这个地址就是指向wsprintfA实际地址的二重指针。这样我们就可以直接Call这个地址了。在"显示IP地址和串口的附加程序"中所用到的SetWindowTextA也是用这种方法调用的。（具体修改方法详见"弹出发送消息窗口之前的对象数据调用的程序段"和"保存IP地址和端口的附加程序"）在把IP地址和端口保存为了字符串形式在D1700h之后，今后只需要在需要的时候显示出来就行了。
前面我们提到了需要在点击广告后显示IP地址。所以，我们在点击广告的程序段中间添加了跳转到我们显示程序的入口（4D1680h）。显示程序的原理很简单，使用SetWindowTextA函数把保存在4D1700h的字符串显示在以前广告的窗口中。在显示之前，判断一下如果没有IP地址的情况，如果是只有一个冒号，说明没有IP地址，就简单的写上一个"0"。调用SetWindowTextA函数的方法在前面已经提到。需要注意还有两个重要的问题：