最新版PC微信（3.9.2.23）逆向——收消息hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新版PC微信（3.9.2.23）逆向——收消息hook

发表于: 2023-12-10 13:10 6477

最新版PC微信（3.9.2.23）逆向——收消息hook

KoreK

2023-12-10 13:10

6477

逆向分析方法：

WeChatWin模块基址：0x5CD60000

a、不停的向测试号发送消息，不要点开，让未读消息总数不断增加（此方法比搜特征码、字符串更通用，所有版本都可以用这个方法快速定位）；

b、

1⃣️、在ce里面首次搜索《未知的初始值》、发送消息、接着再搜索《增加的数值》
 
2⃣️、点一下微信界面或者拖动一下微信界面、搜《未变动的数值》
 
1⃣️和2⃣️结合使用。

c、不停过滤之后，只剩几条稳定的数据，在od里面下内存写入断点，此时断在此处：

5D78A8EF 8943 30 mov dword ptr ds:[ebx+0x30],eax ; 未读消息总数-内存写入断点

d、看数据窗口，可以看到这样的数据结构：

16CC09D0 5F73C350 WeChatWi.5F73C350

16CC09D4 00000000

16CC09D8 170A82B8 UNICODE "wxid_8v3brokcw。。。。"

16CC09DC 00000013

16CC09E0 00000013

16CC09E4 00000000

16CC09E8 00000000

16CC09EC 16F92CD8 UNICODE "微信昵称"

16CC09F0 00000005

16CC09F4 00000005

16CC09F8 00000000

16CC09FC 00000000

16CC0A00 00000001

16CC0A04 00000000

16CC0A08 00000000 此处为收发标记：1=自己发送的，0=收到消息

16CC0A0C 64364FD1 PicFace.64364FD1

16CC0A10 03146B18 UNICODE "想日啥想日在新"

16CC0A14 00000007

16CC0A18 00000007å…………

16CC0A1C 00000000

e、根据以往的经验，直接搜汇编指令：

mov dword ptr ds:[esi],0x5F73C350

定位到收消息内存分配的地方：

5D650035 8D8E D8000000 lea ecx,dword ptr ds:[esi+0xD8]

5D65003B C706 50C3735F mov dword ptr ds:[esi],WeChatWi.5F73C350

5D650041 E8 DA040000 call WeChatWi.5D650520 ; 收消息调用malloc内存分配

但从相关字符串和行为来看，此处其实是内存释放，底层调用了free函数，所以走到此处的时候就填充了完整的消息结构

换不同的寄存器分别搜一遍（除了ebp、esp没必要搜）：

1	`mov dword ptr ds:[寄存器],0x5F73C350`

收消息真正内存分配位置：

5D6505AE C707 50C3735F mov dword ptr ds:[edi],WeChatWi.5F73C350

2、收消息最佳hook位置：

5DA4D0D7 E8 04500000 call WeChatWi.5DA520E0 ; 收消息hook这里

消息存储在局部变量：EBP-0x408的位置

收藏・13

免费・8

支持

最新回复 (16)
xie风腾雪币： 12332 活跃值： (5108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 2 楼虽然看不懂但感觉很强大 2023-12-10 15:55 0
文西哥雪币： 4719 活跃值： (3708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 3 楼学习了谢谢分享方法 2023-12-10 20:27 0
秋狝雪币： 3090 活跃值： (30881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 4 楼感谢分享 2023-12-10 23:33 1
nszy007 雪币： 5921 活跃值： (633) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	nszy007 5 楼 hook风险很大，wechat会检测自身内部加载的dll文件 2023-12-11 06:52 0
Python成长路雪币： 313 活跃值： (2302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 3 关注私信	Python成长路 6 楼都3.9.8 2023-12-11 11:01 0
文西哥雪币： 4719 活跃值： (3708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 7 楼 nszy007 hook风险很大，wechat会检测自身内部加载的dll文件 hook比协议安全吧 2023-12-11 11:51 0
KoreK 雪币： 130 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 8 关注私信	KoreK 8 楼执念成狂 [em_78]都3.9.8 我4月发布再csdn，刚转移到看雪 2023-12-12 11:06 0
KoreK 雪币： 130 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 8 关注私信	KoreK 9 楼可以隐藏模块 2023-12-12 11:06 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 10 楼 nszy007 hook风险很大，wechat会检测自身内部加载的dll文件 peb回溯检测，早就干掉了，没啥用！ 2023-12-12 14:13 0
badboyl 雪币： 4120 活跃值： (5822) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 192 粉丝 31 关注私信	badboyl 2 11 楼 LDR断链 2023-12-12 19:21 0
saloyun 雪币： 436 活跃值： (2668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 236 粉丝 2 关注私信	saloyun 12 楼网络游侠 peb回溯检测，早就干掉了，没啥用！这不是技术对抗的事情，而是吃牢饭的事情。 2023-12-16 09:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 13 楼楼主不怕踩缝纫机吗？ 2023-12-17 23:58 0
gcodeer 雪币： 1419 活跃值： (2225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 2 关注私信	gcodeer 14 楼汇编学习中。感谢分享 2023-12-18 01:16 0
wx_荣仔雪币： 3326 活跃值： (2517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	wx_荣仔 15 楼南山必胜客。不是吃素的。 2023-12-18 09:23 0
isolands 雪币： 229 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	isolands 16 楼学习了，感谢分享 2023-12-19 10:19 0
gupf2024 雪币： 1069 活跃值： (1010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	gupf2024 17 楼好文章啊 2024-2-19 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KoreK

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
xie风腾雪币： 12332 活跃值： (5108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 2 楼虽然看不懂但感觉很强大 2023-12-10 15:55 0
文西哥雪币： 4719 活跃值： (3708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 3 楼学习了谢谢分享方法 2023-12-10 20:27 0
秋狝雪币： 3090 活跃值： (30881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 4 楼感谢分享 2023-12-10 23:33 1
nszy007 雪币： 5921 活跃值： (633) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	nszy007 5 楼 hook风险很大，wechat会检测自身内部加载的dll文件 2023-12-11 06:52 0
Python成长路雪币： 313 活跃值： (2302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 3 关注私信	Python成长路 6 楼都3.9.8 2023-12-11 11:01 0
文西哥雪币： 4719 活跃值： (3708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 7 楼 nszy007 hook风险很大，wechat会检测自身内部加载的dll文件 hook比协议安全吧 2023-12-11 11:51 0
KoreK 雪币： 130 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 8 关注私信	KoreK 8 楼执念成狂 [em_78]都3.9.8 我4月发布再csdn，刚转移到看雪 2023-12-12 11:06 0
KoreK 雪币： 130 活跃值： (767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 8 关注私信	KoreK 9 楼可以隐藏模块 2023-12-12 11:06 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 10 楼 nszy007 hook风险很大，wechat会检测自身内部加载的dll文件 peb回溯检测，早就干掉了，没啥用！ 2023-12-12 14:13 0
badboyl 雪币： 4120 活跃值： (5822) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 192 粉丝 31 关注私信	badboyl 2 11 楼 LDR断链 2023-12-12 19:21 0
saloyun 雪币： 436 活跃值： (2668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 236 粉丝 2 关注私信	saloyun 12 楼网络游侠 peb回溯检测，早就干掉了，没啥用！这不是技术对抗的事情，而是吃牢饭的事情。 2023-12-16 09:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 13 楼楼主不怕踩缝纫机吗？ 2023-12-17 23:58 0
gcodeer 雪币： 1419 活跃值： (2225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 2 关注私信	gcodeer 14 楼汇编学习中。感谢分享 2023-12-18 01:16 0
wx_荣仔雪币： 3326 活跃值： (2517) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	wx_荣仔 15 楼南山必胜客。不是吃素的。 2023-12-18 09:23 0
isolands 雪币： 229 活跃值： (309) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	isolands 16 楼学习了，感谢分享 2023-12-19 10:19 0
gupf2024 雪币： 1069 活跃值： (1010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	gupf2024 17 楼好文章啊 2024-2-19 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复