首页
社区
课程
招聘
[原创]PC 微信公众号文章key(即a8key的分析)
发表于: 2021-7-19 21:36 16010

[原创]PC 微信公众号文章key(即a8key的分析)

2021-7-19 21:36
16010

        微信公众号上文章很不错,但是有的文章敏感文章会被删除,有的时候没赶上,就很难受,所以想爬公众号的文章。



        最开始是想通过找call,调用微信的call去获取历史文章的,但是经过各种分析,始终无法找到,经过百度,谷歌得知,发送的请求可以被抓到,比如这篇文章抓包分析公众号,得知,我们想要获取公众号的历史文章需要一个关键参数key,他们全部都是抓包更新,这十分不方便,开始对key的分析.


        通过点击公众号这个位置

      点击后去看微信的日志,

    

        在日志中,看到大量a8key字样的东西,后面跟着的就是微信返回的带key的链接,开始猜测,key是否就是a8key,(有我群里朋友就跟我说key就是a8ey,我开始去验证,找 了分微信的安卓协议,获取a8key发现确实可用,得出结论,key就是a8key).


        在各种日志的地方下断,最终在这里断下

        

        按照我微信逆向的经验,一般调用都是调用的日志往回返回两层的地方,回溯找到。

    

     为什么是这个call呢,主要是这个call简单,只需要url和一个缓冲区即可调用,所以我决定调用这里。这里只有mov ecx,edi,我不知道edi是个什么东西,随意需要追edi在哪个初始化的


        

        我尝试过edi传空的缓冲区,发现不行,所以必须得知道edi在哪里初始化的,找到函数头,发现mov edi,ecx,所以继续往上层找,


        

        ecx来自esi

        

        


        看到下面都是使用edi,在这个函数分析得知edi来自图中初始化edi的函数的返回值,确定了edi

        

          开始写代码尝试调用,最开始是直接崩溃的后面分析崩溃原因

        

     


    我自己写的代码调用会在这个地方崩溃,


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-7-19 21:54 被zhuzhu_biu编辑 ,原因: 添加
收藏
免费 9
支持
分享
最新回复 (7)
雪    币: 207
活跃值: (972)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
protobuf用的啥工具解析的呀,看着挺好用啊,能发个链接嘛
2021-7-20 18:55
0
雪    币: 2357
活跃值: (3130)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
zzg令狐 protobuf用的啥工具解析的呀,看着挺好用啊,能发个链接嘛
PB-JCE解析工具
2021-7-21 10:54
0
雪    币: 207
活跃值: (972)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
4
zhuzhu_biu PB-JCE解析工具
这个找了一堆,全报病毒,咋回事呢
2021-7-21 18:35
0
雪    币: 2357
活跃值: (3130)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
zzg令狐 这个找了一堆,全报病毒,咋回事呢
你可以加我的群,我给你发一个我的,我的也是别人分享给我的
2021-7-23 09:00
0
雪    币: 237
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
群貌似没有了么
2022-1-1 00:02
0
雪    币: 313
活跃值: (2462)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

一样的版本,一样的代码。为什么执行完hook pb的地方都没有断下

最后于 2022-5-11 10:43 被Python成长路编辑 ,原因:
2022-5-9 15:29
0
雪    币: 32
活跃值: (552)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
写的很好 指路人  搞定最新版call a8key 版本不一样都是换汤不换药的
2022-10-11 17:05
0
游客
登录 | 注册 方可回帖
返回
//