QQScLauncher逆向解析.docVIP

QQScLauncher逆向分析 逆向版本：QQ2011正式版（2425）逆向目的：只是感兴趣，没有任何其他意图版权声明：本文档由代码疯子整理，在保留本文档版权声明和原始出处的前提下欢迎转载！需要工具：IDA Pro、Ollydbg：/qqsclauncher-reversing-analysis.html正文内容：什么是QQScLauncher？在QQ最新版（QQ2011正式版）中加入了不少新功能，如手写、视频群聊、语音输入等，另外还有一个功能是可以把好友拖放到桌面上，点击就可以直接与之进行聊天，处于好奇，本人对他进行了一下逆向，于是便有本文。 先去准备两个QQ小号（842342202、2390318912，不是必须的，这里显示，所以用小号） 先随便把一个好友拖放到桌面上，会产生一个快捷方式，查看这个快捷方式的属性，得到目标内容，会发现一个叫做QQScLauncher的程序： C:\Program Files\Tencent\QQ\Bin\QQScLauncher.exe /uin:842342202 /quicklunch: 1D0BEC54CBEE33C09ED6F8089A7528E12EA3F4892C20DE8B0E8EF1144D765CD46176A599C09696DF 可以看到，这里是通过一个叫做QQScLauncher.exe的程序来启动的，uin参数指定自己的QQ号码，quicklaunch肯定就是用于鉴别好友用的了。 用PEiD对QQScLauncher.exe进行查壳，结果什么也没查到，估计是我的PEiD数据库太久了，用File Format Identifier查出来是Visual C++ 2005 Release - Microsoft。其实是什么不要紧，拿起IDA逆一逆就没什么了。 下面使用IDA对其进行简单的分析，可以看到一个获取命令行参数/uin和/quicklunch的过程： .textsub esp, 270h .textmov eax, dword_403000 .text:0040100B xor eax, esp .text:0040100D mov [esp+270h+var_4], eax .textmov eax, ds:__argc ; 命令行参数个数argc的地址 .textpush ebx .text:0040101A push ebp .text:0040101B push esi .text:0040101C push edi .text:0040101D xor edi, edi ; edi清零 .text:0040101F xor ebp, ebp ; ebp清零 .textcmp [eax], edi ; 看看是不是正常启动（三个参数） .textmov [esp+280h+var_270], edi ; 存放QQ号的位置 .textmov [esp+280h+var_26C], edi ; 0/1暗示QQ号是否找到 .text:0040102B mov [esp+280h+var_268], edi ; 0/1暗示quicklunch是否找到 .text:0040102F jle loc_40112A ; 不是正常启动则跳转 .textmov ebx, ds:wcsncmp ; 存储wcsncmp函数的地址，后面会经常用到 .text:0040103B jmp short loc_401040 .text:0040103B ; --------------------------------------------------------------------------- .text:0040103D align 10h .text.textloc_401040: ; CODE XREF: wWinMain(x,x,x,x)+3Bj .text ; wWinMain(x,x,x,x)+93j .textmov ecx, ds:__wargv