前言
今天分享的是腾讯的QQ勋章墙点亮功能,相信很多人讨厌安装这些软件,因为并不实用。
这个思路时来源其他人的破解补丁,我呢就写出来。
2018年7月1日 00:21:38 更正问题
别人修改的方式存在问题,自己分析了一遍,测试成功。
0x1 找勋章墙的功能DLL
我看到QQ勋章墙点亮补丁的时候,我就在想,哪个文件是处理勋章墙的啊,这个想了一会,用OD加载看了下,貌似也看不出什么来。。。
这样找是找不到的,看网上说是OPMiscDll.dll 可是QQ.exe这模块里面没有加载进来,打开勋章墙的界面也没有出现。。。那该怎么办??
我的思路时这样的:
利用火绒杀毒软件中的火绒剑,火绒剑有个监控功能,监控QQ目录,看谁调用了这个dll。
其实还有一个办法就是用内核工具一个进程一个进程的找,找他们附加的模块,找这个OPMiscDll.dll。
0x2 调试和破解(我电脑除了搜狗输入法以外,其他点亮勋章墙的软件都没有安装)
1、QQExternal.exe进程会有多个,那我们怎么确定是哪个?
类名是WebAccessbilityHost的这个就是了
进到OPMiscDll.dll模块,搜索字符串,在字符串中查找以下几个关键字(唯一标志)
1、花样直播勋章
搜索关键字:CHYMedal::IsMedalGot
2、QQ音乐勋章
搜索关键字:CQQMusicMedal::IsMedalGot
3、管家勋章
搜索关键字:CPCMgrMedal::IsMedalGot
4、输入法勋章(QQ输入法和搜狗输入法)
搜索关键字:CIMEMedal::IsMedalGot
5、浏览器勋章
搜索关键字:CBrowserMedal::IsMedalGot
6、QQ导航勋章
搜索关键字:CQQNavMedal::IsMedalGot
以花样直播勋章为例,修改的方法都一样的。
1、先通过关键词定位到这里
2、修改这句为mov eax,1 (这里是错的,这样改我是根据逆向别人的补丁来改的,正确的方法看下面)
正确的修改方法:
2018年7月1日 00:21:38 更正一个问题
代码中的jnz jmp都是跳转固定的地址,所以,我们不能像之前一样修改,那样是错误的。当某些条件不满足的时候 jmp或jnz的地址是一个无效的地址,这样会造成程序异常。
1、假如QQ输入法和搜狗输入法都没有,那么改的地方会不一样,因为腾讯做了判断,所以会不成功。
真正的修改方式是这样的:
2、QQ管家
3、QQ浏览器
4、QQ导航栏
5、花样直播
6、QQ音乐
另外分析了下,还有更邪恶的方法可以绕过这三个软件的检测,不需要修改dll的代码。
打开注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent
1、QQ输入法注册表检测
64位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent\QQPinYin
32位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\QQPinYin
2、花样直播注册表检测
64位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent\HuaYang
32位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\HuaYang
3、QQ音乐注册表检测
64位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Tencent\QQMusic
32位系统:HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\QQMusic
QQ管家需要加载管家模块来检测,所以改注册表不能成功(没深究,可能也可以吧)。
QQ浏览器需要检测是否为默认浏览器,所以改注册表不能成功(没深究,可能也可以吧)。
以上三个软件可以通过修改注册表来点亮,亲测
效果:
0x3 使用效果
2018年7月1日 01:54:12
会逆向的,你们可以尝试尝试,自己破解的不用担心别人给的不干净。。
另外,不会逆向的朋友,我这里提供最新版的dll,你可以自己下载替换下QQ目录下的dll文件就能实现自动点亮QQ勋章墙了。
