QQ 显示 IP 已经是一个很老的话题了。这个功能我曾经在珊瑚 QQ 上面见过，后来有一
款民间编的QQ插件也提供了，但是那个插件好像在2009 年左右的时候就特别不靠谱了，经
常显示对方 IP 是什么美国、马来西亚之类的。由于时间长了，都习惯并且不再用了，也以
不再去追究这个问题了。不过直到看到真实有效的QQ显示IP插件再次出现之后，我又对这
个东西产生了浓厚的兴趣。
  先说说查到聊天对象 IP 的意义吧。其实和人聊天过程中，如果能知道对方相对准确的
IP，比如地域等等，也是能够减少自己受骗的可能。比如，一个人和你聊天的时候，你明明
看到他的 IP 在北京，他确偏偏给你说自己在上海，就有必要多思量一下对方的诚信度了。
当然也可能是代理作祟，但是我们暂时就不考虑这么复杂了。
  首先我看到能够显示 IP 的两款软件是赛博 QQ 和木头 QQ，不过这两个软件其实都是对
QQ 原始文件经过了一次重新打包，并且自制了一些DLL 放到包里面，每次运行它们的QQ的
时候就会自动加载这些 DLL，从而让你所看到的五花八门的“扩展”功能，显示 IP 就是其
中之一。然而，其实有时候我仅仅就是想要个显示 IP 的功能，但是却只能强迫我用他们的
改装版 QQ 是一个郁闷的事情。而且，比较不靠谱的是，在后来分析中我发现：这些改装版
的 QQ 对于腾讯 QQ 中的安全检查，如TSEH.DAT、TSEngine.DAT等安全检测模块的加载都有
干扰。这么做有两个危害：1、可能会导致安全检查失败，导致你下次运行QQ会强迫升级， 
  那些功能极有可能失效（不过好像他们干扰这个模块本来目的应该是防止这种现象的，这点
我有点诧异，可能腾讯的机制又改了吧）；2、毕竟是 QQ 的安全更新和检查，干扰难免有不
良嫌疑。既然我就是要显示对方的IP，为什么不考虑单独提取这项功能呢？
另外早在我们发现这两款插件以前，我曾经和同学做过一些简单的实验。在实验室有两
台实验用的主机A和 B，我用的是A 机并且打开抓包软件 WireShark。QQ带有传输文件的功
能，我觉得那个功能应该是测试得到 IP 的最好机会，于是我向 B 机传输文件，并且让对方
接受，为了方便各种测试，我故意传输了个大的文件（至少不是瞬间传完的），然后在 cmd
中输入“netstat -ano”查看连接，但是并没有我想象中的同学IP说明至少不是TCP直连。
不过在 WireShark 中发现大量 UDP 的包，并且有同学的 IP，这就说明我们抓包的过程中应
该着重注意UDP的数据包。所以，尽管那两个QQ改版中，对方HOOK了所有的网络传输函数，
我们只需要着重看sendto函数。
sendto 函数的原型如下所示：  int sendto (
  SOCKET s,                        
  const char FAR * buf,            
  int len,                         
  int flags,                       
  const struct sockaddr FAR * to,  
  int tolen                        
);  

  如果说我们要调查建立的连接，主要应该从参数to入手，那里面包含有IP的结构。
  通过反汇编插件DLL的 sendto钩子函数的代码，我发现它将buf 与一个字符串为 0x03
0x00 0x01 0x00进行了匹配，如果是匹配的话，就会去求to 中的 IP 地址。

  于是乎，我照着这个插件的办法，自己也同样 HOOK 了这个函数，通过测试和插件得到
了相同的效果，代码如下：

int __stdcall sendto_new (
 SOCKET s,
 char  FAR * buf,
 int  len,
 int  flags,
 struct sockaddr FAR * to,
 int  tolen)
{
 int iRet;
 iRet = ((SENDTO)g_Proc_sendto)(s,buf,len,flags,to,tolen);
if( *(DWORD*)buf == 0x00010003 && iRet != -1  )