[原创]简单的TIM防撤回逆向

2019-4-21 15:49 10736

[原创]简单的TIM防撤回逆向

OK繃

2019-4-21 15:49

10736

0x1

加入看雪那么久了，都是在看各位大牛的逆向、病毒分析等，从来没有发过言，这个简单点的小例子能成为我在看雪的第一步。
现在的聊天软件都自带了撤回消息的功能，每次我们没有及时查看信息，被人撤回是，是不是心里难受痒痒着了？这个逆向撤回功能是之前学习的一个案例，现在分享一下。

0x2

发送的消息会在服务端和客户端都有保存。
服务端我们做不了什么，但是客户端我们可以不让他删除。
逆向逆向，猜的成分占有很大的一部分比例
TIM程序有很多的模块，我们先要做的就是确定下来撤回消息的功能写在了哪个模块内
我们用英文翻译软件来搜一下撤回的英文，撤回的英文单词有：revoke，cancel，recall等

我们可以用notepad++的文件搜索功能来看一下

可以看到IM.DLL内有与此相关的函数名

（PS:当然没有那么容易确认下来是这个模块，这就需要自己一个个去区分了，不在这里说那么多）

0x3

好了，知道撤回消息的功能是在哪个模块了，现在就拖入X32DBG进行逆向分析

附加运行TIM
搜索im.dll模块
在模块内搜索字符串revoke相关的函数
搜出来真多，在所有命令上设置断点
好了，现在给TIM发送消息并且撤回，看看会触发哪个断点
断在了此处
单步运行看看运行到哪后TIM消息框内的消息被撤回了
最后发现单步到这个函数后起效了
直接nop掉，或者你喜欢也可以jmp跳转
最后打补丁并且替换掉原先的im.dll

0x4

最后来看下效果吧

0x5

如果TIM更新后此方法会失效，需要重新打补丁！！
最后发现，打了补丁后程序不怎么稳定了，以前是完美运行的，可能是TX做了什么检测吧，这里就不再做深入的分析了。
微信、QQ的PC软件都可以参照类似的方法，移动端的话我还没有去看过。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

#调试逆向

收藏・17

点赞・6

打赏

最新回复 (16)
wyfe 雪币： 2576 活跃值： (447) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 459 粉丝 0 关注私信	wyfe 2019-4-21 16:20 2 楼 0 学习
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-21 17:56 3 楼 0 感谢分享学习了
白幽灵雪币： 8 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	白幽灵 2019-4-21 17:57 4 楼 0 52有很多表示已经搞定PC QQ 微信防撤回
古鄗雪币： 15 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	古鄗 2019-4-21 21:50 5 楼 0 思路不错，微信同理也可以这个思路来做吧。
大道在我雪币： 8236 活跃值： (4946) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 210 粉丝 42 关注私信	大道在我 2019-4-21 23:37 6 楼 0 我记得之前用过防撤回修改版吃内存不知道怎么回事卡死电脑容易奔溃
实都雪币： 52 活跃值： (2212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 2019-4-22 14:57 7 楼 0 就是要思路嘛，更好举一反三
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-23 06:57 8 楼 0 前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上跟了半天也没找到这个call。（准确来说找到几个比较像的call）下断也没找到这几个字的明文，最多也只是看到了字符串xml配置项ID。貌似是对字符串有加密。睡觉的时候才想了下，加密和没有明文应该是为了防止恶意程序发送伪官方信息进行诈骗。（哭笑不得）（其实TX完全可以对撤回消息的那段代码做一个crc，然后报个错什么的）最后于 2019-4-23 06:59 被Sprite雪碧编辑，原因：
有毒雪币： 12718 活跃值： (16352) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 526 粉丝 310 关注私信	有毒 10 2019-4-23 14:31 9 楼 0 Sprite雪碧前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上 ... 腾讯的聊天软件的聊天消息应该都是加密处理了，你直接搜索是搜不到的，或者你可以看看是怎么加密的，岂不也是功德一件？
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-23 17:44 10 楼 0 有毒腾讯的聊天软件的聊天消息应该都是加密处理了，你直接搜索是搜不到的，或者你可以看看是怎么加密的，岂不也是功德一件？[em_86] 能力有限，不太擅长逆向目前已知是会通过一个字符串ID 从根目录的一个xml文件读字符串这个xml基本存放了整个TIM的字符串
Victorgg 雪币： 355 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	Victorgg 2019-4-26 14:40 11 楼 0 感谢楼主分享，很有用啊
ZwTrojan 雪币： 14 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2019-4-27 09:37 12 楼 0 Sprite雪碧前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上 ... 其实吧...有笨办法就是用手机端进行对比...
b00t_root 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	b00t_root 2019-8-14 11:22 14 楼 0 容易崩溃，求更最新版的TIM3.2.2
淡然他徒弟雪币： 5921 活跃值： (4537) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 218 粉丝 99 关注私信	淡然他徒弟 1 2019-11-2 01:40 15 楼 0 mark
AMask 雪币： 43 活跃值： (1084) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 88 粉丝 12 关注私信	AMask 2019-11-2 13:47 16 楼 0 感谢楼主分享
一只猪儿虫雪币： 299 活跃值： (199) 能力值： ( LV4，RANK：45 ) 在线值：发帖 9 回帖 28 粉丝 3 关注私信	一只猪儿虫 2019-11-3 11:32 17 楼 0 感谢楼主
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

OK繃

发帖

回帖

RANK

关注

私信

他的文章

[原创]病毒分析学习笔记：powershell反混淆

[原创]浅析挖矿病毒新姿势：无文件挖矿

[原创]简单的TIM防撤回逆向

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
wyfe 雪币： 2576 活跃值： (447) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 459 粉丝 0 关注私信	wyfe 2019-4-21 16:20 2 楼 0 学习
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-21 17:56 3 楼 0 感谢分享学习了
白幽灵雪币： 8 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	白幽灵 2019-4-21 17:57 4 楼 0 52有很多表示已经搞定PC QQ 微信防撤回
古鄗雪币： 15 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	古鄗 2019-4-21 21:50 5 楼 0 思路不错，微信同理也可以这个思路来做吧。
大道在我雪币： 8236 活跃值： (4946) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 210 粉丝 42 关注私信	大道在我 2019-4-21 23:37 6 楼 0 我记得之前用过防撤回修改版吃内存不知道怎么回事卡死电脑容易奔溃
实都雪币： 52 活跃值： (2212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 2019-4-22 14:57 7 楼 0 就是要思路嘛，更好举一反三
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-23 06:57 8 楼 0 前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上跟了半天也没找到这个call。（准确来说找到几个比较像的call）下断也没找到这几个字的明文，最多也只是看到了字符串xml配置项ID。貌似是对字符串有加密。睡觉的时候才想了下，加密和没有明文应该是为了防止恶意程序发送伪官方信息进行诈骗。（哭笑不得）（其实TX完全可以对撤回消息的那段代码做一个crc，然后报个错什么的）最后于 2019-4-23 06:59 被Sprite雪碧编辑，原因：
有毒雪币： 12718 活跃值： (16352) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 526 粉丝 310 关注私信	有毒 10 2019-4-23 14:31 9 楼 0 Sprite雪碧前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上 ... 腾讯的聊天软件的聊天消息应该都是加密处理了，你直接搜索是搜不到的，或者你可以看看是怎么加密的，岂不也是功德一件？
Sprite雪碧雪币： 9616 活跃值： (1826) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 323 粉丝 72 关注私信	Sprite雪碧 1 2019-4-23 17:44 10 楼 0 有毒腾讯的聊天软件的聊天消息应该都是加密处理了，你直接搜索是搜不到的，或者你可以看看是怎么加密的，岂不也是功德一件？[em_86] 能力有限，不太擅长逆向目前已知是会通过一个字符串ID 从根目录的一个xml文件读字符串这个xml基本存放了整个TIM的字符串
Victorgg 雪币： 355 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	Victorgg 2019-4-26 14:40 11 楼 0 感谢楼主分享，很有用啊
ZwTrojan 雪币： 14 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 1 关注私信	ZwTrojan 2019-4-27 09:37 12 楼 0 Sprite雪碧前天研究了一天，防撤回倒是很快写好了，但是想弹出一条灰框提示是谁撤回了消息。最开始的思路是注入一个dll。在nop判断的地方jmp到自己的函数内，然后call这个灰框消息。但是往下往上 ... 其实吧...有笨办法就是用手机端进行对比...
b00t_root 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	b00t_root 2019-8-14 11:22 14 楼 0 容易崩溃，求更最新版的TIM3.2.2
淡然他徒弟雪币： 5921 活跃值： (4537) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 218 粉丝 99 关注私信	淡然他徒弟 1 2019-11-2 01:40 15 楼 0 mark
AMask 雪币： 43 活跃值： (1084) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 88 粉丝 12 关注私信	AMask 2019-11-2 13:47 16 楼 0 感谢楼主分享
一只猪儿虫雪币： 299 活跃值： (199) 能力值： ( LV4，RANK：45 ) 在线值：发帖 9 回帖 28 粉丝 3 关注私信	一只猪儿虫 2019-11-3 11:32 17 楼 0 感谢楼主
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复