网上大多数的微信逆向思路，是CE搜索数据得到地址，OD下访问断点，然后在堆栈里面大海捞针的找Call，效率太低了。

其实微信的界面是用Duilib做的，Duilib的界面布局写在XML文件。然后界面的消息处理，是通过控件名处理的。比如发送按钮，XML文件里面是"send_btn"，代码里面是 if(xxx== "send_btn")。利用这个特性，可以直接用字符串定位，省事很多。

原版Duiib源码地址：https://github.com/duilib/duilib

微信Duilib源码地址：https://github.com/tencentyun/TIMSDK/tree/master/cross-platform/Windows/IMApp/Basic/duilib

创建界面流程

窗口过程：CWindowWnd::__WndProc

消息处理函数：WindowImplBase::HandleMessage

处理创建窗口消息：WM_CREATE: WindowImplBase::OnCreate

创建界面：CDialogBuilder::Create（加载界面） CDialogBuilder::Create（处理控件）

加载界面资源：CMarkup::Load CMarkup::LoadFromFile CMarkup::LoadFromMem

WindowImplBase::OnCreate

MessageBox(NULL, _T("加载资源文件失败"), _T("Duilib"), MB_OK | MB_ICONERROR);

IDA打开 WeChatWin.dll

搜索字符串 Duilib

参考源码备注

调用偏移 080D8C0

builder.Create 偏移 0x08199EA

F7进入，F8单步调试，发现乱码XML

再F7进入，F8单步调试，两次MultiByteToWideChar就得到xml

对应源码 这里是bool CMarkup::LoadFromMem

0FD7DC62 53 push ebx

0FD7DC63 6A 00 push 0x0

0FD7DC65 68 E9FD0000 push 0xFDE9

0FD7DC6A FF15 B4A47510 call dword ptr ds:[<&KERNEL32.MultiByteT>; kernel32.MultiByteToWideChar

0FD7DC70 8B5D FC mov ebx,dword ptr ss:[ebp-0x4]

0FD7DC73 33C9 xor ecx,ecx

Executable modules, item 6

Base=0F560000

Size=018A2000 (25829376.)

Entry=1023AA01 WeChatWi.

Name=WeChatWi

File version=2.8.0.121

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)