- UID
- 45447
注册时间2008-2-14
阅读权限8
最后登录1970-1-1
初入江湖
该用户从未签到
|
【破文标题】菜鸟笨方法不完全破解 "QQ聊天记录远程查看器 V2.4"
【破文作者】hdshanshi
【作者邮箱】[email protected]
【作者主页】无
【破解工具】od、 peid、md5查看工具
【破解平台】Win9x/NT/2000/XP
【软件名称】QQ聊天记录远程查看器 V2.4
【软件大小】1668KB
【原版下载】http://tele.skycn.com/soft/42887.html
【保护方式】ASPack 2.12 -> Alexey Solodovnikov、注册码、重起认证
【软件简介】QQ聊天记录远程查看器 V2.4
--------------------------------------------------------------------------------
● QQ简单看可以免密码查看本地计算机及远程计算机的QQ聊天记录、同时还具有强大的聊天记录防删除、屏幕监视、导出记录\图片到U盘等功能。
QQ简单看分为“本地端”和“远程端”。
● 1、本地端功能:
QQ简单看“本地端”主要用于查看/监控您自己的电脑(也可以是您能亲自操作的其它电脑)上的聊天记录、屏幕操作图像及进行QQ运行时间控制。
A、聊天记录查看:无需密码查看本机上登录过的所有QQ号码聊天记录或者通过“远程端”发送过来的其它电脑的QQ聊天记录
B、屏幕抓取:可查看本机的屏幕操作图像
C、聊天记录防删除自动备份:可有效对付用户“网吧模式登陆”、“退出QQ时自动删除聊天记录”、“手动删除聊天记录”———就算删除了聊天记录,您一样可以查看!
E、后台隐藏运行、自定义热键
F、导出记录\屏幕监视图片到U盘
● 2、远程端功能:
QQ简单看“远程端”可在对方毫不知情的情况下,获取对方计算机的所有QQ号码的聊天记录并将它们自动上传到网站空间存放,您可随时异地收取。
● 2.0版新增远程计算机控制功能:
可轻松实现远程查看对方屏幕;关闭/重启/注销远程计算机;遥控运行远程计算机上的程序;搜索、下载或者删除远程计算机上的文件;上传程序/文件/脚本到远程计算机上自动运行:在远程计算机上创建管理员帐户 ,准确显示对方IP及地理位置、计算机名
二、本软件是否需要安装后才能运行?
QQ简单看的“本地端”和“远程端”均不需要安装就可直接运行。
三、QQ简单看是否需要注册后才能使用全部功能?
QQ简单看的“本地端”需要注册后才能使用全部功能,未注册时,“本地端”无法查看“远程端”发送的聊天记录。
当您注册了QQ简单看后,我们将发送QQ简单看的远程端到您注册时的邮箱。远程端无需您的再次注册。
五、本软件使用注册事项:
★ 如果您运行后在屏幕上没有看到任何界面,请按下您设置的系统热键以便呼出主界面(默认热键为Alt+Shift+Q)
六、“本地端”和“远程端”使用详解及帮助文档请访问宏洲软件工作室网站http://www.hzrj8.cn
------------------------------------------------------------------------
【破解声明】 我是一只菜菜鸟,偶得一点心得,愿与大家分享 ,我说的比较乱,把原程序下载下来看看,可能会清楚些. ^_^
【破解过程】
下载下来以后,很简单只有一个主文件“QQsee.exe”。首先用peid查壳“ASPack 2.12 -> Alexey Solodovnikov” ,用od载入,esp定律脱壳,脱壳后停在
00403A24 68 443B4000 push 00403B44
00403A29 E8 EEFFFFFF call 00403A1C ; jmp 到 msvbvm60.ThunRTMain
00403A2E 0000 add byte ptr [eax], al
(以后od载入的都是脱壳后的文件。)
od载入后,F9直接运行,点“注册” -输入: 机器码:[email protected] 注册码:01234 56789 01234 56789
注册码 5位一组,然后下 bp __vbaStrComp 断点,点注册.od停留在:
733B4825 > 837C24 04 02 cmp dword ptr [esp+4], 2
733B482A 0F84 DB2C0200 je 733D750B
733B4830 68 01000300 push 30001
寄存器窗口出现:
ECX 0019177C UNICODE "C48EA39034364BBDFF9313F848D60FAF" 真码
EDX 00191884 UNICODE "CAF13895138087FC58759E8A43564358" 假码
很显然 两个md5值相等后 注册就成功了.记住2个数 以后有用. 然后取消__vbaStrComp 断点, CTRL+F2重新运行后 然后再次输入 机器码和注册码 (这个软件点一次"注册"后必须重新运行后,才能再次点"注册",不然不让点,不知道是不是我机器的问题).
下 bp __vbaLenBstr 断点,点注册.od停留在:
733B49CE > 8B4424 04 mov eax, dword ptr [esp+4]
733B49D2 85C0 test eax, eax
733B49D4 74 05 je short 733B49DB
寄存器EDX 中是我们的机器码:EDX 001640F4 UNICODE "[email protected]"
按11次 F9后 出现:
堆栈 ss:[0012F730]=00193E8C, (UNICODE "86146B") 真码
eax=00193E8C, (UNICODE "86146B")
再按3次F9后出现:
堆栈 ss:[0012F730]=0017375C, (UNICODE "135799") 假码
eax=0017375C, (UNICODE "135799")
然后去 www.xmd5.com 查下 着两个数的md5值:
86146B的md5: C48EA39034364BBDFF9313F848D60FAF
135799的md5: CAF13895138087FC58759E8A43564358
向上看看 就知道了,原来86146B 就是我们的注册码,135799是我们输入的假码.
那么135799对应的是那几位呢。我是用笨方法一个一个的用md5试验出来的.分别对应的是注册码的: 第2 4 6 8 10 20位 .
这时我们把注册码改为 08264 16486 01234 5678B
记得的重新运行后才能输入注册码 .输入机器码和注册码后,点注册提示 注册成功. 不要认为这样就可以了。因为你重起后还是未注册.
这时候还是下 bp __vbaLenBstr 断点.然后 CRTL+F2重新运行. 按24下F9后 :
堆栈 ss:[0012F4E8]=00180DEC, (UNICODE "FC74A") 真码
eax=00180DEC, (UNICODE "FC74A")
然后再按3下F9:
堆栈 ss:[0012F4E8]=00180FAC, (UNICODE "02468") 假码
eax=00180FAC, (UNICODE "02468")
和上次一样,经过测试:对应的是 : 第 1 3 5 7 9 位,在把注册码改为: F8C67 144A6 01234 5678B
取消断点 运行后注册码输入 :F8C67 144A6 01234 5678B 点注册,是不是提示注册成功了。然后重起试试.已经是注册用户了。
难道注册码的 11-19位没有用吗? 不是的,当你选中 "查看"选项中的"查看当前电脑上的聊天纪录"点"查看"的时候 就又会变成 未注册版.
这时候还是下 bp __vbaLenBstr 断点.然后在点"查看" od停留在:
733B49CE > 8B4424 04 mov eax, dword ptr [esp+4]
733B49D2 85C0 test eax, eax
733B49D4 74 05 je short 733B49DB
按5下 F9后:
堆栈 ss:[0012F108]=0018106C, (UNICODE "39EE") 真码
eax=0018106C, (UNICODE "39EE")
再按3次F9后:
堆栈 ss:[0012F108]=00180FD4, (UNICODE "2357") 假码
eax=00180FD4, (UNICODE "2357")
经过测试 分别对应的是注册码的: 第 13 14 16 18 位 取消断点 这时把注册码改为 F8C67 144A6 01394 E6E8B 重新输入. 这时 "查看"选项中的 "查看当前电脑上的聊天纪录"限制解除. 同样选中 "查看"选项中的 "远程聊天纪录收取"或"远程聊天纪录查看" 点"收取"时 就又会变成 未注册
用同样方法得到:
真码:堆栈 ss:[0012F168]=0016BD64, (UNICODE "231") 真码
eax=0016BD64, (UNICODE "231")
假码:堆栈 ss:[0012F168]=0018111C, (UNICODE "014") 假码
eax=0018111C, (UNICODE "014")
分别对应 注册码的:11 12 15 位 然后再次输入 注册码:F8C67 144A6 23391 E6E8B 注册
这时还有一个 "隐藏"选项 也验证注册码 "隐藏"的默认热键:ALT+SHIFT+Q 当你隐藏后 在按 ALT+SHIFT+Q 就又会变成
未注册 .这个我下bp __vbaLenBstr 没有得到注册码,这次下 bp __vbaStrComp 断点.点"隐藏" 出现提示 问是否隐藏,然后点"是".od断在:
733B4825 > 837C24 04 02 cmp dword ptr [esp+4], 2
733B482A 0F84 DB2C0200 je 733D750B
733B4830 68 01000300 push 30001
寄存器中出现:
EAX 00180214 UNICODE "17E62166FC8586DFA4D1BC0E1742C08B" 真码
ECX 0018133C UNICODE "A3F390D88E4C41F2747BFA2F1B5F87DB" 假码
通过www.xmd5.com 得到 真码为:43 分别对应注册码的 第 17 19 位,把注册码改为:F8C67 144A6 23391 E4E3B
再次注册 提示成功. "隐藏" 限制解除.
最终:机器码:[email protected]
注册码:F8C67 144A6 23391 E4E3B
注册成功后 在system32文件夹下 建立:qqlogin.ex文件 里面是机器码和注册码.把这个删除 就会变成未注册的了。
然而还有问题 请高手帮忙 就是 "远程查看纪录收取" 点"收取"后出现:
"[email protected] 您的账号出现问题,请将注册的软件名及机器码 注册码提交到客服邮箱审核."
这点搞不定.请大家帮忙看看. 不知道有什么办法破解不???知道的说一声.
跟踪程序只知道:http://www.hzrj8.cn/userrecord/dsxxth/downycd.asp中有igfxext.exe 是配置选项中的"远程端".
http://www.hzrj8.cn/down/igfxext.exe (特别注意:igfxext.exe这个文件可能是木马,我也是看了作者的教程才知道的.千万不要在自己机器上运行,他所谓的远程只不过让你把这个igfxext.exe发送给别人,然后就会把资料传到他服务器上,然后你在下载回来看,只代表个人看法.另外我利用作者邮箱 [email protected] 和算出来的注册码进入后发现 资料的内容都是一样的,只是日期不一样罢了. 每个人和每个人的资料不一样,可能看你给别人发木马的多少了。有的一个资料都没有.)
http://www.fldsxx.cn/UserRecord/dsxxth/userrecord_del0.asp 这个对应的是个无效地址.
http://www.hzrj88.cn/UserRecord/dsxxth/userrecord_del0.asp 这个好像是严整地址(不一定对)
http://www.hzrj88.cn/UserRecord/dsxxth/userrecord_del1.asp 这个在网页中输入.出现的 就是 "远程查看纪录收取" 点"收取"后出现的错误地址.userrecord_del0.asp,userrecord_del1.asp,userrecord_del3.asp 好像都有问题. 期待 大家帮忙解决这个问题.谢谢!!!
【破解总结】
这个程序注册时 检测:第2 4 6 8 10 20位,重起认证检测:第1 3 5 7 9位,点“查看聊天纪录”时检测:第13 14 16 18 位 ,点“远程聊天纪录收取”时检测:第11 12 15 位,隐藏选项检测:第17 19 位。
这个软件可能还有简单的破解方法,可是我是菜鸟,只有用这种笨方法了。希望高手不要笑我!!!
当跟踪vb程序的时候。bp __vbaLenBstr这个断点有时会有意外的效果。
我是菜鸟,虽然2000年就开始学电脑了,现在还停留在爆破和明码比较阶段。希望大家多多帮助我。
【版权声明】本文纯属技术交流, 转载请注明作者信息并保持文章的完整, 谢谢!
[ 本帖最后由 hdshanshi 于 2008-4-2 14:47 编辑 ] |
|
IP卡
发表于 2008-3-30 20:54:05
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-3-30 23:15:55
发表于 2008-4-1 23:21:35
发表于 2008-4-2 00:19:15
发表于 2008-4-2 00:56:10
发表于 2008-4-2 08:15:04
