用于整人用的，立刻掛斷時阿里通不收費。
流程：寫程序向客戶端發送消息，實現撥號功能；修改客戶端，方便我們的程序獲知對方正在響鈴，然后立刻掛斷。
一、文件脫殼       客戶端加了個ASPACK 2.12的殼
      （1）先清除ASLR標記（ASLR用于隨機程序載入基地址，最好先清除掉）
      （2）直接使用脫殼機脫殼。
二、自動撥號功能
      原理：自動撥號，很自然的思路就是把子窗體控件找出來，然后從外部發送消息過來，實現按鈕點擊。
      （1）原先的思路是使用spy++把子控件都找出來，但是分析發現阿里通使用了第三方UI庫（SOUI），SPY++什么都找不到。
 
     （2）那就直接調試——產生按鍵的消息找出來。
             直接拉入OD，直接在API DispatchMessage()中設置消息條件斷點，攔截單擊釋放事件。
             攔截條件為：[[esp+4]+4]==WM_LBUTTONUP，即左鍵單擊釋放事件。很快斷下來了�？梢园l現這個UI庫是通過事件

發生時的坐標軸（即消息結構體的LPARAM）來辨別是哪個按鍵被單擊的，所以找到所有的數字按鍵的lparam參數，直接記錄

下來，之后只要發送WM_LBUTTONUP消息給主窗口，填充下lparam參數就行了，宏定義如下：

• //找到的lparam參數如下
• #define BTN_1 0x010d01d1
• #define BTN_2 0x010d0221
• #define BTN_3 0x010d0301
• #define BTN_4 0x014d01d1
• #define BTN_5 0x014d0221
• #define BTN_6 0x014d0301
• #define BTN_7 0x018d01d1
• #define BTN_8 0x018d0267
• #define BTN_9 0x018d0301
• #define BTN_0 0x01bd0267
• #define BTN_BACKSPACE 0x009c02f1             //回退按鈕
• #define BTN_CALL 0x02320260                     //撥打按鈕
• #define BTN_STOP 0x01db02c1                     //掛斷按鈕
• #define BTN_DIAL_PAGE 0x00AB0024             //播放頁面

三、瞬間掛斷實現
      瞬間掛斷功能比較復雜。當響鈴時，可以看到的變化如下：（即中間的文字由"正在呼叫..." 變成 "正在響鈴...")      
          
一個想法是抓包分析，找到告訴客戶端對面正在響鈴的包，但是很快放棄了。這么多包，可能還加密了，很難分析。
             另一個想法就是，找到SOUI這個第三方UI設置TEXT文本的API，雖然對這個UI庫一點都不懂，但很容易猜到API的名

字應該帶有text。其dll文件為soui.dll，于是在od查找此模塊所有api，找到以下7個候選API：

• 5440161B   .text      輸出         SOUI::CSimpleWnd::SetWindowTextW
• 543CDC62   .text      輸出         SOUI::SComboBase::SetWindowTextW
• 543E6759   .text      輸出         SOUI::SRichEdit::SetWindowTextW
• 543FC984   .text      輸出         SOUI::SWindow::SetWindowTextW
•  
• 543CB871   .text      輸出         SOUI::SLink::DrawTextW
• 543CB76A   .text      輸出         SOUI::SStatic::DrawTextW
• 543FA10F   .text      輸出         SOUI::SWindow::DrawTextW

     全部設置斷點，然后撥打號碼測試。很快就發現SWindow::SetWindowTextW 斷點下"正在響鈴..."參數。 

   定位到關鍵API�，F在的問題就是怎么告訴我們程序，已經開始響鈴了。     想法一：修改API，如果參數為"正在響鈴..."，

就告訴我們程序開始響鈴了。（但是不知道修改DLL怎么保存）     想法二：查看調用這個API的主模塊語句。很幸運地發現，

調用次API的那個語句只用來傳遞"正在響鈴..."，也就是不和其他語句混用。所以直接修改這里就行了。     原先的匯編語句為：

(我這邊主模塊基地址為0x008c0000，以下語句地址為0x008d80e4)

• mov edx,dword ptr ds[ebx+0x30
• push eax                                     //字符串"正在響鈴..."
• call   edx                                     //調用SWindow::SetWindowText

• 地址008d80e4:(6個字節替換 )
•   jmp 0x00af2610  
•   nop
•  
• 地址：00af2610（原先為0填充區域）
• pushad
• mov edx,dword ptr ds:[ebx+0x30
• push eax
• inc [0xaf260c   //注意：此處我們設置一個疊加器表示是否已經響鈴了，我們程序再通過ReadProcessMemory定時讀取這個值
• call  edx
• popad
• jmp 008d80ea //繼續原來的流程

  這樣程序就改好了.注意：上面我們使用0填充區域的4個字節，設置累加器，用于判斷響鈴是否發生（初始值為4，期間API執行兩次變成6，

為什么是不是一次我也不知道，但就是兩次，表示正在響鈴），我們程序讀取這個值（ReadProcessMemory)后，會再將其置4。
四、外部程序
       登錄上述修改后的客戶端，執行這個C++程序，傳入電話號碼，就會自動撥號了，響鈴瞬間自動掛斷）
      （使用修改后的阿里通客戶端，才可以實現自動掛斷功能。超過1MB好像沒辦法上傳）

• #include<windows.h>
• #include<stdio.h>
•  
• #define CNT_ADDR 0x00af260c
• #define BTN_1 0x010d01d1
• #define BTN_2 0x010d0221
• #define BTN_3 0x010d0301
• #define BTN_4 0x014d01d1
• #define BTN_5 0x014d0221
• #define BTN_6 0x014d0301
• #define BTN_7 0x018d01d1
• #define BTN_8 0x018d0267
• #define BTN_9 0x018d0301
• #define BTN_0 0x01bd0267
• #define BTN_BACKSPACE 0x009c02f1
• #define BTN_CALL 0x02320260
• #define BTN_STOP 0x01db02c1
• #define BTN_DIAL_PAGE 0x00AB0024
• static int btn_pos[12]={BTN_0,BTN_1,BTN_2,BTN_3,BTN_4,BTN_5,BTN_6,BTN_7,BTN_8,BTN_9};
• int read_count(HWND hwnd){ //讀取阿里通客戶端，我們設置的累加器。其初值為4。當其為6時（因為SWindow::SetWindowTest會執行兩次，
• 我也不知道為什么兩次），表示正在響鈴
•   int ret;
•   DWORD pid;
•   GetWindowThreadProcessId(hwnd,&pid);
•   HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | 
• PROCESS_VM_READ | PROCESS_VM_WRITE, 0, pid);
•   if (hProcess==0){printf("OpenProcess失敗...\n");exit(-1);}
•   DWORD bytes_read=0;
•   bool bIsOk=ReadProcessMemory(hProcess,(LPCVOID)CNT_ADDR,(LPVOID)&ret,4,&bytes_read);
•   if (!bIsOk || bytes_read!=4){
•       printf("進程讀取失敗...ok=%d bytes_read=%d\n",bIsOk,bytes_read);
•       exit(-1);
•   }
•   CloseHandle(hProcess);
•   //printf("ret=%d\n",ret);
•   return ret;
• }
• int reset_count(HWND hwnd){      //將累加器重置為0
•   DWORD pid;
•   GetWindowThreadProcessId(hwnd,&pid);
•   HANDLE hProcess=OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_
• VM_OPERATION | PROCESS_VM_READ | 
• PROCESS_VM_WRITE, 0, pid);
•   if (hProcess==0){printf("OpenProcess失敗...\n");exit(-1);}
•  
•   char data[4];data[0]=0x4;data[1]=0x0;data[2]=0;data[3]=0;
•   //int *k=(int*)data;
•   //printf("k=%x\n",*k);
•   DWORD bytes_write;
•   bool bIsOk=WriteProcessMemory(hProcess,(LPVOID)CNT_ADDR,data,4,&bytes_write);
•   if (!bIsOk || bytes_write!=4){printf("進程寫入失敗...\n");exit(-1);}
•   if (read_count(hwnd)!=4){
•     printf("unknown error!\n");
•   }
•   CloseHandle(hProcess);
•   return 0;
• }
• int waitForRing(HWND hwnd){   //等待"正在響鈴..."出現
•   if (hwnd==0){printf("hwnd=0\n");exit(-1);}
•     while (true){
•       if (read_count(hwnd)==6){
•         //printf("start ringing...!\n");
•         reset_count(hwnd);
•         break;
•       }
•       Sleep(100);
•     }
•   return 0;
• }
• class ALI{
• public:
•   HWND hwnd;
•   int click(int pos){
•     if (hwnd)SendMessage(hwnd,WM_LBUTTONUP,0,pos);
•     else exit(-1);
•     return 0;
•   }
•   int clear(){                                //清空電話欄
•     for (int i=0;i<30;i++) {
•       if (click(BTN_BACKSPACE)==-1)return -1;
•     }
•     return 0;
•   }
•   int call(char *phone){                       //發送消息自動按鍵，并撥號
•     hwnd=FindWindow(0,"阿里通");
•     //printf("hwnd=%x\n",hwnd);
•     click(BTN_DIAL_PAGE);
•     //exit(-2);
•     clear();
•     int len=strlen(phone);
•     if (len>11 || len<8)return -1;
•     for (int i=0;i<len;i++){
•       click(btn_pos[phone[i]-'0']);
•     }
•     click(BTN_CALL);
•     //printf("waitForRing...\n");
•     waitForRing(hwnd);
•  
•     click(BTN_STOP);
•     Sleep(5000);
•     return 0;
•   }
• };
•  
• int main(int argc,char** argv){
•   ALI ali;
•   if (argc<2) return -1;
•   ali.call(argv[1]);
•   return 0;
• }
•