继珊瑚虫作者被抓 飘云QQ声明退出（全文）

干掉协议包容 易,难的是分析的过程,说实在分析真的更重要.我们采用的是土办法,耗子先写了一个抓包的程序.然后叫飘云的管理员—爆米花去申请了几个新号,一直挂着, 这个号没有进行聊天,然后挂上24个小时,接着我们收集log,并对这些包结构进行分析.这样那个是广告的就很好逮住.

此外对于去广告的方法,我们曾经想通过直接去掉windows窗体的方法干掉,但这条路没有走通,里面遇到了很多讨厌的事情,bug多多.

因此对于去广告,我还是非常自鸣得意的,各种方法我们都用过.但是runjin所坚持的方法的确更高效与简洁.

5.3、不同版本的主显IP的问题

先 说一下什么是主动显示IP,什么叫被动显示IP.被动显示IP就是通过截获自己机器上的某个协议包,或者分析某个内容地址上的信息获得的IP地址.主动显 示IP是,通过某一个动作,比如主动发送一个网络协议包,然后截获自己机器上的某个协议包,或者分析某个内容地址上的信息获得的IP地址.

说一下飘云的方法,飘云主要是分析出了某个函数入口,或者说在内存的某个位置,放有了IP信息,飘云知道把这个信息取出来就可以了.这个就是被动显IP的方法.2005年的时候TX把消息发送的方式变换了,很多消息是通过服务器中转,因此被动显IP的成功率大大降低.

最早出现主显IP的说法是LumaQQ提出的“如来神掌”.珊瑚虫v4.0的时候是个里程碑,因此我在我的一篇文章中(地址见:http://bbs.piaoyun.net/read-htm-tid-15644.html )有提到.
主动发包,是这么两个要点,发什么样的包;发包的频率与时机.最难的是发什么样的包.

飘 云在发什么包的问题上,一直是一个比较取巧的路.我们最早想根据lumaQQ所描述发一个0大小的图片的方式进行,但是似乎行不通,也许我们比较笨的原 因.但是当我们改发一个小图片的方法的时候,感谢我们那破网络与破机器,我们发现自己或者对方总是有出现正在接收自定义图片的这种方式.因此这种方式我们 就放弃了,毕竟用户体验太差.

飘云的第一个主显IP的是利用共享文件.

这个方法其实是很多朋友发现的,我们只是把这个操 作用简洁的几个数据包的发送与接收就是所谓的主显IP了.这个方法难的是对接收到的包的分析,首先是获取不了端口号,或者显示为零.因为是用到的文件传输 协议,里面的地址很多是保留地址,比如会出现0.0.0.12这样的情况.另外如果是同时用函数入口地址读内存与分析获得的数据包这么两种方法可能会导致 数据的不统一.这是因为,一个是通过函数入口的方法它有滞后性,而截获协议包是瞬间的问题,因此只有取到最后一个才可能是正确的.简单的说,就是一个加密 算法分析的过程.很高兴,qq这个东西一直都有,一直到前不久的beta1版本才正式把这个东西去掉了.飘云在公布的版本中一直就只用这个方法.