首页
社区
课程
招聘
最新版PC微信(3.9.2.23)逆向——收消息hook
发表于: 2023-12-10 13:10 6476

最新版PC微信(3.9.2.23)逆向——收消息hook

2023-12-10 13:10
6476

逆向分析方法:

WeChatWin模块基址:0x5CD60000

a、不停的向测试号发送消息,不要点开,让未读消息总数不断增加(此方法比搜特征码、字符串更通用,所有版本都可以用这个方法快速定位);

b、

1
2
3
4
5
1⃣️、在ce里面首次搜索《未知的初始值》、发送消息、接着再搜索《增加的数值》
 
2⃣️、点一下微信界面或者拖动一下微信界面、搜《未变动的数值》
 
1⃣️和2⃣️结合使用。

c、不停过滤之后,只剩几条稳定的数据,在od里面下内存写入断点,此时断在此处:

5D78A8EF 8943 30 mov dword ptr ds:[ebx+0x30],eax ; 未读消息总数-内存写入断点

d、看数据窗口,可以看到这样的数据结构:

16CC09D0 5F73C350 WeChatWi.5F73C350

16CC09D4 00000000

16CC09D8 170A82B8 UNICODE "wxid_8v3brokcw。。。。"

16CC09DC 00000013

16CC09E0 00000013

16CC09E4 00000000

16CC09E8 00000000

16CC09EC 16F92CD8 UNICODE "微信昵称"

16CC09F0 00000005

16CC09F4 00000005

16CC09F8 00000000

16CC09FC 00000000

16CC0A00 00000001

16CC0A04 00000000

16CC0A08 00000000 此处为收发标记:1=自己发送的,0=收到消息

16CC0A0C 64364FD1 PicFace.64364FD1

16CC0A10 03146B18 UNICODE "想日啥想日在新"

16CC0A14 00000007

16CC0A18 00000007å…………

16CC0A1C 00000000

e、根据以往的经验,直接搜汇编指令:

mov dword ptr ds:[esi],0x5F73C350

定位到收消息内存分配的地方:

5D650035 8D8E D8000000 lea ecx,dword ptr ds:[esi+0xD8]

5D65003B C706 50C3735F mov dword ptr ds:[esi],WeChatWi.5F73C350

5D650041 E8 DA040000 call WeChatWi.5D650520 ; 收消息调用malloc内存分配

但从相关字符串和行为来看,此处其实是内存释放,底层调用了free函数,所以走到此处的时候就填充了完整的消息结构

换不同的寄存器分别搜一遍(除了ebp、esp没必要搜):

1
mov dword ptr ds:[寄存器],0x5F73C350               

收消息真正内存分配位置:

5D6505AE C707 50C3735F mov dword ptr ds:[edi],WeChatWi.5F73C350

2、收消息最佳hook位置:

5DA4D0D7 E8 04500000 call WeChatWi.5DA520E0 ; 收消息hook这里

消息存储在局部变量:EBP-0x408的位置

相关附图:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 8
支持
分享
最新回复 (16)
雪    币: 12332
活跃值: (5108)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

虽然看不懂但感觉很强大
2023-12-10 15:55
0
雪    币: 4719
活跃值: (3708)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
学习了 谢谢分享方法
2023-12-10 20:27
0
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享
2023-12-10 23:33
1
雪    币: 5921
活跃值: (633)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
hook风险很大,wechat会检测自身内部加载的dll文件
2023-12-11 06:52
0
雪    币: 313
活跃值: (2302)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
都3.9.8
2023-12-11 11:01
0
雪    币: 4719
活跃值: (3708)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
nszy007 hook风险很大,wechat会检测自身内部加载的dll文件
hook比协议安全吧
2023-12-11 11:51
0
雪    币: 130
活跃值: (767)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
执念成狂 [em_78]都3.9.8
我4月发布再csdn,刚转移到看雪
2023-12-12 11:06
0
雪    币: 130
活跃值: (767)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
可以隐藏模块
2023-12-12 11:06
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
nszy007 hook风险很大,wechat会检测自身内部加载的dll文件
peb回溯检测,早就干掉了,没啥用!
2023-12-12 14:13
0
雪    币: 4120
活跃值: (5822)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
11
LDR断链
2023-12-12 19:21
0
雪    币: 436
活跃值: (2668)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
网络游侠 peb回溯检测,早就干掉了,没啥用!
这不是技术对抗的事情,而是吃牢饭的事情。
2023-12-16 09:57
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
楼主不怕踩缝纫机吗?
2023-12-17 23:58
0
雪    币: 1419
活跃值: (2225)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
汇编学习中。感谢分享
2023-12-18 01:16
0
雪    币: 3326
活跃值: (2517)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
南山必胜客。不是吃素的。
2023-12-18 09:23
0
雪    币: 229
活跃值: (309)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
学习了,感谢分享
2023-12-19 10:19
0
雪    币: 1069
活跃值: (1010)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
好文章啊
2024-2-19 10:44
0
游客
登录 | 注册 方可回帖
返回
//