揭露“冰点暴力强制视频”的骗局

今天无意之间在群消息里看见了一条这样的消息：

冰点暴力强制视频
 
众所周知,中国有强大的微点公司,有巨型的沸点公司.但是,我们今天将要介绍的是无与伦比的冰点软件!
"冰点"它的强大之处,可以让你无法想像!当你聊QQ,或者通过一些论坛,发现了某个人的IP后
你完全可以通过输入他的IP地址,即可远程开启他的摄像头!完全是纯暴力,纯强制,对方完全不知道的情况下,你就可以在你的电脑前,看到对方在干什么!只要他处于连网状态,只要他的摄像头处于未使用状态!
完全免费的暴力远程视频监控!完全真实,毫不骗人,绝对可以!采用底层网络连接技术,完全隐藏你的IP!
网址：http://www.icehao.cn/b.asp?user_name=395206381
演示教程视频：http://www.icehao.cn/play.asp
电脑报报道: http://www.icehao.cn/dntv.asp
http://www.icehao.cn/b.asp?user_name=395206381

还真吓了我一跳，本人比较菜，第一次看到这样的消息，于是访问了这个网站。。。。。

看完视频后，第一反映就是，难道腾讯QQ的协议被破解的这么彻底了`？

应该不会吧。于是，下载了该软件本想试试。

需要注册。。。。。百度上搜索了一下注册码。

居然全骂是骗子，呵呵。但看起来视频当中也的确像是真的啊，比真金还真。。。

继续，注意看视频的这张图

很明显在IP处的颜色与旁边的颜色不同，是通过PS做的这针。[心里琢磨着：哥们，你PS的时候能不能先用滴管工具获取颜色先啊]

。。。。。。。。

调试程序看看。。。

Microsoft Visual C++ 6.0 [Overlay] 编译。这么重要的工具连壳都不加`？

不管。继续，OD载入。

bp MessageBoxA下断。

断下后执行到返回。

100620D0    83EC 64         sub     esp, 64
100620D3    56              push    esi                              ; krnln.100EDB10
100620D4    8B7424 74       mov     esi, dword ptr [esp+74]
100620D8    57              push    edi
100620D9    8B7E 08         mov     edi, dword ptr [esi+8]
100620DC    57              push    edi
100620DD    E8 DEE9FEFF     call    10050AC0
100620E2    83C4 04         add     esp, 4
100620E5    85C0            test    eax, eax
100620E7    74 10           je      short 100620F9
100620E9    8D4424 08       lea     eax, dword ptr [esp+8]
100620ED    50              push    eax
100620EE    56              push    esi
100620EF    E8 8CBBFFFF     call    1005DC80
100620F4    83C4 08         add     esp, 8
100620F7    EB 42           jmp     short 1006213B
100620F9    81FF 04000080   cmp     edi, 80000004
100620FF    75 04           jnz     short 10062105
10062101    8B0E            mov     ecx, dword ptr [esi]
10062103    EB 3A           jmp     short 1006213F
10062105    81FF 02000080   cmp     edi, 80000002
1006210B    75 12           jnz     short 1006211F
1006210D    8B16            mov     edx, dword ptr [esi]
1006210F    8D4C24 08       lea     ecx, dword ptr [esp+8]
10062113    51              push    ecx
10062114    52              push    edx
10062115    E8 262AFBFF     call    10014B40
1006211A    83C4 08         add     esp, 8
1006211D    EB 1C           jmp     short 1006213B
1006211F    81FF 03000080   cmp     edi, 80000003
10062125    75 1C           jnz     short 10062143
10062127    8B4E 04         mov     ecx, dword ptr [esi+4]
1006212A    8B16            mov     edx, dword ptr [esi]
1006212C    8D4424 08       lea     eax, dword ptr [esp+8]
10062130    50              push    eax
10062131    51              push    ecx
10062132    52              push    edx
10062133    E8 981CFBFF     call    10013DD0
10062138    83C4 0C         add     esp, 0C
1006213B    8D4C24 08       lea     ecx, dword ptr [esp+8]
1006213F    85C9            test    ecx, ecx
10062141    75 09           jnz     short 1006214C
10062143    C64424 08 00    mov     byte ptr [esp+8], 0
10062148    8D4C24 08       lea     ecx, dword ptr [esp+8]
1006214C    8B46 20         mov     eax, dword ptr [esi+20]
1006214F    BA E03D0E10     mov     edx, 100E3DE0
10062154    85C0            test    eax, eax
10062156    74 03           je      short 1006215B
10062158    8B56 18         mov     edx, dword ptr [esi+18]
1006215B    8B46 0C         mov     eax, dword ptr [esi+C]
1006215E    8BF0            mov     esi, eax
10062160    F7D6            not     esi
10062162    81E6 00100000   and     esi, 1000
10062168    8D0470          lea     eax, dword ptr [eax+esi*2]
1006216B    50              push    eax
1006216C    52              push    edx
1006216D    51              push    ecx
1006216E    6A 00           push    0
10062170    FF15 A0260C10   call    dword ptr [<&USER32.MessageBoxA>>; USER32.MessageBoxA
10062176    5F              pop     edi
10062177    83F8 03         cmp     eax, 3

大家看看，哪有判断注册码啊。直接就开始弹无效窗体了。

。。。。

写大这里，我大概估计了一下，程序的确是一个远程控制，而且还是最老的正向连接的。先给被控制端种入了服务端，再进行端口连接。至于QQ那里，说了，PS，而且技术不怎么高明。