Products
96SEO 2026-02-23 11:59 1
NtTestAlert函数,它使函数首句跳到某个地方,从而改变程序流程.00417E7E
jmp.kernel32.ResumeThread;使得QQ的主线程继续执行把
ECX此时ecx的值为5F000000001B:5F000000
;恢复Ntdll.NtTestAlert入口处001B:5F000043
5F0000D3我们再分析一下win9x下珊瑚虫的外挂又是怎样运行的.再次用OD载入Coralqq.exe00415C9D
CORALQQ.00415D29上面的代码是判断操作系统的版本,如果是win9x的话就先跳到415ce7,00415A4B
jmp.kernel32.WriteProcessMemory
/WriteProcessMemory看一下此时的堆栈:0067EA5C
83138aac处,在win98下,进程内存中的共享(MMF)分区是0x80000000~0xbfffffff,所有的内存映射文件和系统共享DLL将加载在这个地址,而那些映射文件和系统共享DLL往往都在比较高的地址,所以说,从80000000地址对上的一大段地址空间往往是比较空闲的,当然,并不是说这些地址就可以乱读乱写,至于这个83138aac的地址值具体是怎样计算出来的,我还没有分析清楚,但我想到另外一种可行的方法,而且经过我自己编程证实,那就是以1000h大小为单位,从80000000开始用WriteProcessMemory一直往上写数据,直到写入成功,证明那段1000h的地址可用,而且1000h大小的内存空间已经够我们放代码的了,之所以用1000h为单位大小,是因为考虑到块对齐.继续跟踪:00415A39
/VirtualProtectEx上面的代码是改变QQ.exe的oep处的属性,使其可读可写可执行,为改写oep处的代码做准备接着,又一次中断在WriteProcessMemory看看堆栈:0067EA5C
0067EA7C464b58就是QQ.exe的OEP,很明显,它要改变oep来改变程序流程!!
好了,我们又用那套方法,把0067eea6的第一个字节改为cc,在softice中bpint
EAX,KERNEL32!LoadLibraryA;加载Coralqq.dll0167:006305A1
EAX,COMCTL32!ORD_00490167:006305AD
;跳回QQ.exe的入口点分析完毕.到了这里,我们可以总结一下了,在win2000/xp下coralqq.exe先创建QQ的进程,同时也就创建了QQ的暂停的主线程,接着往QQ进程的内存写入代码,修改Ntdll.NtTestAlert的代码跳让程序跳到自己的代码处执行,在执行的过程中恢复Ntdll.NtTestAlert处被改了的代码,同时加载Coralqq.dll.在win9x下,coralqq.exe先创建QQ的进程,同时也就创建了QQ的暂停的主线程,接着往QQ.exe的内存写数据,改写QQ.exe的oep从而达到改变程序流程的目的,让其先执行加入了的代码,加载Coralqq.dll,加载完后再跳到原来的QQ.exe的oep继续执行.其实在win2000/xp下面完全可以用远程线程的方法来实现加载dll文件,我后来自己编程实现了外挂这一步.
也许有读者读完这编文章后会问:加载了coralqq.dll又有什么用?它是怎样显IP的?其实,要显IP当然要修改QQ的内存中的代码,而修改内存代码这一步是在加载coralqq.dll的时候由coralqq.dll完成的.也就是说,在执行LoadLibrary的过程中系统会执行corall.dll的
,修改的过程就在LibMain中完成了!而说到显IP的原理,抱歉,不在我们这编文章的讨论范围之内,我们只是讨论外挂中挂这一步.下面是我写的代码,可以做出一个顶替Coralqq.exe的程序,但原理上和Coralqq.exe有一点点不同.586.model
CREATE_SUSPENDED,NULL,NULL,addr
VirtualAllocEx,stProcInfo.hProcess,NULL,01000h,MEM_COMMIT,/
WriteProcessMemory,stProcInfo.hProcess,oaddr,offset
CreateRemoteThread,stProcInfo.hProcess,NULL,0,dllin,oaddr,0,/
ResumeThread,stProcInfo.hThread
VirtualProtect,wribase,wrisize,/
;改变这个程序的要写入代码的地方的属性,其实可以在编译时加上开关
WriteProcessMemory,stProcInfo.hProcess,wriaddr,/
VirtualProtectEx,stProcInfo.hProcess,0464b58h,7,/
WriteProcessMemory,stProcInfo.hProcess,0464b58h,
WriteProcessMemory,stProcInfo.hProcess,wriaddr,/
WriteProcessMemory,stProcInfo.hProcess,lastwri,offset
ResumeThread,stProcInfo.hThread
endp;下面的都是要写入到QQ.exe的内存的附加代码,但有些数值在写入前要实时修正oepwrite:
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
