QQ...还是IP...

不过后来逆向中发现，KillQQAd中，在获得IP对应的数据时有两个查库的函数，一个找的是ip.qq.com，这个貌似靠谱，还有个是db.hookqq.com，这个目前功能不清楚，不过外挂软件貌似还是有不靠谱的地方啊，使用时还是该小心

通过判断哪个是当前窗口的方法不靠谱吧。。。有可能：按下发送（qq卡了，咱是老爷机。。），我切换到了其他窗口，然后抓包工具抓到包了。。。

不过原作者貌似做到了，虽然我也没有仔细验证，不过里面涉及到个比较庞大的结构体而且是个都还没有搞清楚怎么初始化的全局变量。。。方法应该有，考虑到用户体验或许再想想是有必要的，不过楼上建议，如果我做好了你有兴趣测试下么？

目前我用的显ip工具是赛博qq，似乎是向qq注入了dll，然后抓包也不是全局抓的（可能是hook socket函数吧，纯猜测） 如果是hook了socket函数，通过栈回溯，应该可以回溯到调用这个函数的窗口过程的函数入口点，然后在栈里应该能找到窗口句柄HWND。 话说那个KillQQAd工具是神马样的东西。。。发个出来玩玩？

累了，我曾经用Cybo好像显示IP死活没有出来，所以后来看的KillQQAd，其实对于局域网用户而言，还很有可以改的东西，这个软件对于局域网做得还不够理想。。。如果运气好找到规律应该可以把局域网单独列出来，用个NETBIOS的方法还可以知道对方的主机名之类的

体力不行了，卡到个不是问题的问题，晕了都有点，站内我吧，晚上交流。。。

最后还是用WH_CBT来搞的。。。监控HCBT_ACTIVATE和HCBT_SETFOCUS。。。效果如果有UI做出来就最好不过了 另外查询IP貌似发包： POST /cgi-bin/searchip HTTP/1.1 Accept: Accept: */* Cache-Control: no-cache Connection: close Content-Type: application/x-www-form-urlencoded Content-Length:22 Host: ip.qq.com Pragma: no-cache Referer: http://ip.qq.com User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ) searchip1=58.31.XXX.81 收包处理处理应该可以得出IP的详细位置，局域网内应该是得到IP和本机一样的时候，然后，就是有个0x301C的特征码。。。BLESS

大牛智兄亮了~~~ 【 在 ColdZenLeft 的大作中提到: 】 : 昨天看到VM大神的Linux QQ，很牛X，这年头QQ真是众人搞啊，而且无论是从函数钩子，MSG还是协议上，都是各种突破... : VM大神里面有个IPLocator的类，里面有堆函数，但是具体作用还是没有看得懂，静态有难度，Linux也不熟，哎... : 于是乎还是回到之前的KillQQAd工具上，通过抓包，最后确定主要交互和UDP协议有关，事实上KillQQAd的实现也是HOOK的这个函数。于是乎照着整了下，最后效果如下： : ...................