微信协议入门——原理篇-软件逆向-看雪-安全社区|安全招聘|kanxue.com

微信协议入门——原理篇

发表于: 2020-5-9 11:55 21849

微信协议入门——原理篇

KongKong20 活跃值

2020-5-9 11:55

21849

先上两张图，看下微信的架构

各个模块的功能分别如下：

Application协议：微信用的是google的protobuf

Handshake协议：安全地协商出对称加密密钥

Alert协议：用于通知对端发生错误，希望对端关闭连接

Record协议：使用对称加密密钥进行安全的通信

理论上的流程就是：

1、先使用mmtls的Handshake协议，协商出加密密钥

2、业务数据经过protobuf序列化后，再用协商出的加密密钥进行加密传送

更加具体的情况先给出：

1、协商出加密密钥

微信选择的握手协议

1-RTT ECDHE、1-RTT PSK和0-RTT PSK

长连接：1-RTT ECDHE、1-RTT PSK

断连接：1-RTT ECDHE（客户端没有PSK）、0-RTT PSK（客户端有PSK）

具体的握手流程图

mmtls参考TLS1.3，对应的关键握手过程

1、客户端发起协商请求：ClientHello

2、服务器返回协商响应：ServerHello

3、服务器通知协商结束：ServerFinish

4、客户端确认协商结束：ClientFinish

2、加密传送

业务数据，protobuf序列化，压缩，业务层加密，mmtls层加密

具体的分析过程

IDA里面搜索client hello

进入第一个字符串 Client hello，对应的代码就能看出整个Handshake握手相关步骤

进入第二个字符串：send client hello fail，对应的是具体的代码

这里给出clienthello的数据结构

欢迎交流交流
https://github.com/KongKong20/WeChatPCHook

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・32

免费・22

支持

赞赏记录

参与人

雪币

留言

时间

空城有麋鹿

期待更多优质内容的分享，论坛有你更精彩！

2024-6-12 13:41

Dragons·宇

为你点赞~

2022-11-10 17:12

一笑人间万事

为你点赞~

2022-7-30 14:56

你与贫道有缘

为你点赞~

2021-11-15 15:59

wweifu

为你点赞~

2021-8-13 22:27

谖草

为你点赞~

2021-7-22 09:38

闪星星

为你点赞~

2021-7-22 01:47

桃花岛主@1

为你点赞~

2021-5-28 17:03

wx_流云_437

为你点赞~

2021-5-27 18:04

Qira

为你点赞~

2020-7-20 14:05

江北浪

为你点赞~

2020-7-1 16:44

zhenwo

为你点赞~

2020-6-22 22:29

厘米纪念馆

为你点赞~

2020-6-22 03:14

编程小白

为你点赞~

2020-6-20 20:13

darkedge

为你点赞~

2020-6-10 23:56

渐近线

为你点赞~

2020-5-14 00:06

zzg令狐

为你点赞~

2020-5-13 16:32

zhighest

为你点赞~

2020-5-11 19:16

Vn小帆

为你点赞~

2020-5-11 08:55

xlshn

为你点赞~

2020-5-9 16:39

褐眼男子

为你点赞~

2020-5-9 15:13

MTRush

为你点赞~

2020-5-9 14:22

最新回复 (21)
MTRush 雪币： 164 活跃值： (1823) 能力值： ( LV11，RANK：185 ) 在线值：发帖 10 回帖 111 粉丝 2 关注私信	MTRush 1 2 楼手抖点了赞，扣了15雪碧，这。。。。。。。 2020-5-9 14:24 4
尕可雪币： 19 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	尕可 3 楼赞一个 2020-5-9 19:25 0
duanqiang 雪币： 8 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 4 楼我看腾讯招聘。这个pc版本貌似用的duilib，然后duilib介绍说，腾讯维护了一个自己的版本的duilib。 2020-5-11 07:41 0
Vn小帆雪币： 2719 活跃值： (1589) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 214 粉丝 59 关注私信	Vn小帆 5 楼期待后面的内容 2020-5-11 08:55 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 6 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。我赞一下你的回帖，送你5雪币 2020-5-11 09:47 2
MTRush 雪币： 164 活跃值： (1823) 能力值： ( LV11，RANK：185 ) 在线值：发帖 10 回帖 111 粉丝 2 关注私信	MTRush 1 7 楼 CCkicker 我赞一下你的回帖，送你5雪币感谢版主，15个有点多，要攒好几天呢 2020-5-11 10:25 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 8 楼 MTRush 感谢版主，15个有点多，要攒好几天呢发个精华文章，1000雪币就到账了 2020-5-11 10:35 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 9 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。我也赞一下 2020-5-11 11:49 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 10 楼 duanqiang 我看腾讯招聘。这个pc版本貌似用的duilib，然后duilib介绍说，腾讯维护了一个自己的版本的duilib。是的，duilib的githu下又多个分支 2020-5-11 11:50 0
徐沐雨雪币： 2234 活跃值： (2351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 129 粉丝 0 关注私信	徐沐雨 11 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。送你5个雪币，不要难过了~ 2020-5-11 17:02 0
Altai001 雪币： 234 活跃值： (299) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 5 关注私信	Altai001 12 楼大兄弟，那个中间那个未知数据 00 69 之后的0x69个字节的数据并不是固定的，，，，就是一个加密数据 2020-6-15 09:59 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 13 楼 Altai001 大兄弟，那个中间那个未知数据 00 69 之后的0x69个字节的数据并不是固定的，，，，就是一个加密数据 [em_86] 没换机器，一直没变，但不知道是什么请教下这个是对什么加密的呢？ 2020-6-15 10:55 0
mb_qsuqtzye 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qsuqtzye 14 楼厉害,有联系方式吗? 2020-6-16 03:45 0
like9618 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	like9618 15 楼我想拜你为师 2020-6-16 19:43 0
i叶落y 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	i叶落y 16 楼原来点赞会扣雪币的嘛? 2020-6-17 20:17 1
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 17 楼厉害，支持 2020-6-20 19:53 0
编程小白雪币： 441 活跃值： (1035) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 18 楼 ? 2020-6-20 20:13 0
ciiiiiii 雪币： 160 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ciiiiiii 19 楼数据包中能否抓取到微信号？ 2020-7-1 14:01 0
bravoice 雪币： 99 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bravoice 20 楼 ciiiiiii 数据包中能否抓取到微信号？ PC端使用ollydb加载微信，加载那个最大的动态库文件，查字符串uin，在找到像链接一样串上下断点，再在手机上给自己发点消息，应该会找到，注意要在断点后面call调用后，查看一下相关寄存器指向内存的前后找一下那个似链接的串。 2020-7-23 15:02 0
mb_artpehde 雪币： 2 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	mb_artpehde 21 楼膜拜大神，求拉交流群 2021-5-26 15:18 0
闪星星雪币： 446 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	闪星星 22 楼膜拜大佬 2021-7-22 01:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KongKong20

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
MTRush 雪币： 164 活跃值： (1823) 能力值： ( LV11，RANK：185 ) 在线值：发帖 10 回帖 111 粉丝 2 关注私信	MTRush 1 2 楼手抖点了赞，扣了15雪碧，这。。。。。。。 2020-5-9 14:24 4
尕可雪币： 19 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	尕可 3 楼赞一个 2020-5-9 19:25 0
duanqiang 雪币： 8 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 4 楼我看腾讯招聘。这个pc版本貌似用的duilib，然后duilib介绍说，腾讯维护了一个自己的版本的duilib。 2020-5-11 07:41 0
Vn小帆雪币： 2719 活跃值： (1589) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 214 粉丝 59 关注私信	Vn小帆 5 楼期待后面的内容 2020-5-11 08:55 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 6 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。我赞一下你的回帖，送你5雪币 2020-5-11 09:47 2
MTRush 雪币： 164 活跃值： (1823) 能力值： ( LV11，RANK：185 ) 在线值：发帖 10 回帖 111 粉丝 2 关注私信	MTRush 1 7 楼 CCkicker 我赞一下你的回帖，送你5雪币感谢版主，15个有点多，要攒好几天呢 2020-5-11 10:25 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 8 楼 MTRush 感谢版主，15个有点多，要攒好几天呢发个精华文章，1000雪币就到账了 2020-5-11 10:35 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 9 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。我也赞一下 2020-5-11 11:49 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 10 楼 duanqiang 我看腾讯招聘。这个pc版本貌似用的duilib，然后duilib介绍说，腾讯维护了一个自己的版本的duilib。是的，duilib的githu下又多个分支 2020-5-11 11:50 0
徐沐雨雪币： 2234 活跃值： (2351) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 129 粉丝 0 关注私信	徐沐雨 11 楼 MTRush 手抖点了赞，扣了15雪碧，这。。。。。。。送你5个雪币，不要难过了~ 2020-5-11 17:02 0
Altai001 雪币： 234 活跃值： (299) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 5 关注私信	Altai001 12 楼大兄弟，那个中间那个未知数据 00 69 之后的0x69个字节的数据并不是固定的，，，，就是一个加密数据 2020-6-15 09:59 0
KongKong20 雪币： 3221 活跃值： (3031) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 55 关注私信	KongKong20 13 楼 Altai001 大兄弟，那个中间那个未知数据 00 69 之后的0x69个字节的数据并不是固定的，，，，就是一个加密数据 [em_86] 没换机器，一直没变，但不知道是什么请教下这个是对什么加密的呢？ 2020-6-15 10:55 0
mb_qsuqtzye 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_qsuqtzye 14 楼厉害,有联系方式吗? 2020-6-16 03:45 0
like9618 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	like9618 15 楼我想拜你为师 2020-6-16 19:43 0
i叶落y 雪币： 12 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	i叶落y 16 楼原来点赞会扣雪币的嘛? 2020-6-17 20:17 1
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 310 粉丝 3 关注私信	NightGuard 1 17 楼厉害，支持 2020-6-20 19:53 0
编程小白雪币： 441 活跃值： (1035) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 18 楼 ? 2020-6-20 20:13 0
ciiiiiii 雪币： 160 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ciiiiiii 19 楼数据包中能否抓取到微信号？ 2020-7-1 14:01 0
bravoice 雪币： 99 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bravoice 20 楼 ciiiiiii 数据包中能否抓取到微信号？ PC端使用ollydb加载微信，加载那个最大的动态库文件，查字符串uin，在找到像链接一样串上下断点，再在手机上给自己发点消息，应该会找到，注意要在断点后面call调用后，查看一下相关寄存器指向内存的前后找一下那个似链接的串。 2020-7-23 15:02 0
mb_artpehde 雪币： 2 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	mb_artpehde 21 楼膜拜大神，求拉交流群 2021-5-26 15:18 0
闪星星雪币： 446 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	闪星星 22 楼膜拜大佬 2021-7-22 01:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复