自从聊天软件消息撤回功能问世后，对于撤回的消息，我们对它一直有种强烈的好奇感。“Ta刚撤回了什么？是骂我的话？还是说喜欢我？还是把发给其他人的消息误发给了我？好气呀，都看不到了...”这是我们看到消息被撤回后的内心独白。但是今天，看完了本篇文章你就可以说：

我们看一下效果图，撤回的消息被我们看到了，相当于防（防止）撤回

好了，看完效果，接下来我们看一下怎么找到它的位置，并用代码hook它。

本文用到的软件工具：

用CE打开微信进程

用另一个微信号给在电脑登录的微信号随机发一条消息，勾选UTF-16选项，然后在CE中搜索消息内容

撤回消息，看到一条xml消息，双击它添加到地址列表

打开OD，附加微信进程，用dd命令定位到上面的那个地址

再给电脑登录那个微信号发一条消息，然后在上面那个地址下内存写入断点。为什么是内存写入断点？因为我们上文亲眼目睹了消息撤回后这个地址的字符串被改写了。

下好断点后再把消息撤回，此时断点被触发，微信被断下，断下后，删除内存断点。在堆栈里寻找我们想要的内容，看到一个包含撤回提示，wxid和撤回内容的call

在反汇编窗口中跟随这个call，点击这个call，按F2在该call下断点，按F9继续运行。再给在电脑登录那个微信号发一条消息并撤回，该call断下

说明，这个call就是我们要找的消息撤回的位置，而且它有我们想要的数据

找到了call，来整理一下该call的数据，数据都是存在堆栈里，所以有：

接下来编写一个dll，来hook这个call，读取esp偏移地址的数据。

在VS创建一个dll项目，核心代码如下：

Hook相关代码：

代码写完后，生成dll，把它注入到微信进程，防撤回消息就能实现了。

总结：微信版本一直会变化，相应的hook地址也会改变，但是有了这个思路，它更新版本，我们也能快速的找到call。这个消息撤回的call也比较好找，像我这样初学逆向的朋友可以尝试自己找一下。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！