frida hook微信防撤回(PC端)

最新推荐文章于 2024-07-17 09:44:02 发布
最新推荐文章于 2024-07-17 09:44:02 发布
阅读量541 收藏 13
点赞数 3
文章标签: javascript 前端 安全 微信 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pisces50002/article/details/139580416
版权

PC端:

微信的主要功能都是在WeChat\[3.9.10.27]\WeChatWin.dll动态链接库中实现的

直接进IDA分析

都没有符号表

我们需要找一下实现撤回功能的函数,尝试在字符串里搜索revokeMsg

也是有非常多的字符串

我们需要用frida来hook这些字符串来找出撤回实际调用的函数

先初步写一个脚本找到WeChatWin.dll的基地址

#wecaht_hook
import frida
import sys

def main(target_process):
    session = frida.attach(target_process)

    jsCode = """

    //找WeChatWin.dll映射到内存的根地址
    const baseAddr = Module.findBaseAddress('WeChatWin.dll');
    console.log("WeChatWin.dll baseAddr: " + baseAddr);

    """
    #js脚本控制注入逻辑
    script = session.create_script(jsCode)

    script.load() #加载脚本
    print("Process attatched successfully!")
    sys.stdin.read() #持续执行

if __name__=='__main__':
    target_process = 15964 #pid
    main(target_process)
'''
WeChatWin.dll baseAddr: 0x7ffb6d8e0000
Process attatched successfully!
'''

任务管理器可以查看pid

成功回显

但是这里输出的地址是个装载之后的虚拟地址,要与ida中函数的地址对应,还需要进行一个转化

这是IDA中的基地址0x180000000

#wecaht_hook
import frida
import sys

def main(target_process):
    session = frida.attach(target_process)

    jsCode = """

    //找WeChatWin.dll映射到内存的根地址
    const baseAddr = Module.findBaseAddress('WeChatWin.dll');
    console.log("WeChatWin.dll baseAddr: " + baseAddr);

    const revokeMsgFunAddr = resolveAddress('0x1823CC870'); //测试的目标函数地址
    console.log('revokeMsgFunAddr: ' + revokeMsgFunAddr);

    Interceptor.attach(revokeMsgFunAddr, {
        //一旦进入地址的回调函数
        onEnter(args) {
            console.log('test!');
        }
    
    })

    //虚拟地址转化为实际内存地址
    function resolveAddress(addr) {
        const idaBase = ptr(0x180000000);
        const offset = ptr(addr).sub(idaBase); //偏移地址
        const result = baseAddr.add(offset);
        return result;
    }
    """
    #js脚本控制注入逻辑
    script = session.create_script(jsCode)

    script.load() #加载脚本
    print("Process attatched successfully!")
    sys.stdin.read() #持续执行

if __name__=='__main__':
    target_process = 15964
    main(target_process)

然后把这个脚本跑起来,用另一个号发消息并进行撤回操作,逐个函数进行尝试

调试到SyncMgr::ProcessRevokeMsg对应的函数时,有了回显

我们进相应的函数sub_1823CC870进行静态分析

发现多个分支都调用了sub_1826DA2D0函数,且之前的字符串也在其参数当中,这时候再去hook该函数0x1826DA2D0也是有回显的

那么只要跳过这个函数应该就不会撤回了

但是这个位置的if判断过于复杂(或),不容易跳过

那我们就看一下上一级的sub_1823CC870函数在哪里被调用

可以看到是sub_1823E4AD0函数

这里也可以hook一下,确认回显

转成伪代码会发现这里是一个switch语句,当v9==4时就会触发撤回的函数

很显然那是通过cmp edi, 4来比较

那就在这里注入0x1823E4CBA

我们把edi(64位对应的rdi)的值强行修改成不是4的值(这里改成0)

#wecaht_hook
import frida
import sys

def main(target_process):
    session = frida.attach(target_process)

    jsCode = """

    //找WeChatWin.dll映射到内存的根地址
    const baseAddr = Module.findBaseAddress('WeChatWin.dll');
    console.log("WeChatWin.dll baseAddr: " + baseAddr);

    const revokeMsgFunAddr = resolveAddress('0x1823E4CBA');
    console.log('revokeMsgFunAddr: ' + revokeMsgFunAddr);

    Interceptor.attach(revokeMsgFunAddr, {
        //一旦进入地址的回调函数
        onEnter(args) {
        console.log('called!');
        console.log("original rdi: " + this.context.rdi);
        this.context.rdi = 0;
        console.log("changed rdi: " + this.context.rdi);
        }
    
    })

    //虚拟地址转化为实际内存地址
    function resolveAddress(addr) {
        const idaBase = ptr(0x180000000);
        const offset = ptr(addr).sub(idaBase); //偏移地址
        const result = baseAddr.add(offset);
        return result;
    }
    """
    #js脚本控制注入逻辑
    script = session.create_script(jsCode)

    script.load() #加载脚本
    print("Process attatched successfully!")
    sys.stdin.read() #持续执行

if __name__=='__main__':
    target_process = 15964
    main(target_process)

撤回的消息就被固定了!

当然要在本地持续化利用,直接把dll里面的

这部分指令NOP掉也行

参考:

广东财经大学-信息安全-基于IDA Pro和Frida的微信消息撤回无效实验_哔哩哔哩_bilibili

[原创]hook 微信信息撤回功能-Android安全-看雪-安全社区|安全招聘|kanxue.com

P1sc3s007
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
frida替换函数实现mac端微信撤回
不仅仅是个程序员的博客
01-08 1895
在逆向过程中, 我们经常有这样的需求: hook某个目标函数, 将它的实现过程给屏蔽掉, 以达到想要的效果. frida中提供了Interceptor.replace()来实现此功能. 例如, 我们想在mac上实现微信3.0消息撤回的功能, 已经判断出撤回消息调用的方法是 -[FFProcessReqsvrZZ FFToNameFavChatZZ:sessionMsgList:] , 那我们只要把这个方法实现屏蔽掉就能达到撤回的效果, 接下来, 我们用frida实现. 通过lldb对微信调试后发现, m
无微不智微信助手(微信营销管理工具)2.3.10.27官方安装版
08-07
无微不智微信助手(微信营销管理工具)是一款免费好用的腾讯科技官方微信公众平台增强辅助工具。软件功能强大,具有多用户公众号接入营运营销功能。是国内首款将微信公众平台管理进行桌面化,充分利用桌面化软件优势而开发。目前软件已经形成模块化内核,后期将会更多功能增加。软件口号:每一个做微信运营的都应该有一款属于自己的软件。 【无微不智微信助手功能特点】 无微不智为您的服务无微不至: 1.智能聊天--从此您的
微信撤回多开工具WeChatHooks v1.2-3,支持撤回提示+退群检测+消息复读等常用功能
weixin_43101805的博客
05-20 658
而近期因有个friend正好在mac mini上需要微信撤回提示的功能,随后淘来便发现安装无难度,使用极容易,功能无限制,一直很稳定。只要登录了微信即可在顶部状态栏触发WeChatHooks工具,功能默认全部关闭,可自行按需开启。1.目前仅支持v3.8.0及以上的MAC微信(官网),理论上讲只要满足该条件,那么之后的新版本微信也照样支持(已测试Sonoma 14系统运行附带工具的Wechat 3.8.7官方最新版可完美支持且并未和xie失效,如下方演示截图)细节详情烦请首先了解查看微信封号规则!
hook 微信信息撤回功能
jmm18363027827的博客
06-14 726
测试脚本如下,首先我们获取了dll的加载地址,然后通过ida查看到函数的偏移地址,将dll地址加上该偏移地址,即可得到内存中该函数的地址,那么如何确定哪一个才是撤回相关函数?报错,提示没有找到tj0.s这个类,于是我想这个类可能不是被默认的类加载器所加载的,遍历一下所有的类加载器然后再hook。,我尝试了一下将该变量赋值为true,注意没有f153351e,这是jadx帮它命名的,实际的变量名是e。我们逐一hook使用到这些字符串的函数,然后点击微信撤回,如果有log输出,就代表是关键函数。
写一个新的Python微信机器人
Qwertyuiop2016的博客
07-04 327
之前写的Python微信机器人系列,看数据倒是有一些人关注,交流群也有两百多人,但是真正使用的没几个,而会去看文章学习原理的没有一个。Python其实并不适合做hook,注入Python去实现hook和主动调用甚至都不如frida,因为注入特征太明显,Python会将所有的dll都会加载到目标进程,而frida只会加载一个dll到目标进程。当然,注入Python在实现和写代码上是比frida要方便的,比如定义结构体,调用函数等,还可以使用Python丰富的第三方库。
frida_wechat_hook
05-24
frida_wechat_hook】是一个基于JavaScript的项目,旨在利用 Frida 工具对PC端微信(版本3.1.0.41)进行动态代码插桩,从而实现在后台实时接收微信消息的功能。Frida 是一个强大的动态代码插桩工具,允许开发者在...
微信HOOK-微信逆向易语言实例源码
02-09
微信HOOK微信逆向是移动应用安全领域中的热门话题,主要涉及到的是对微信应用程序的深入理解和功能篡改。在这个易语言实例源码中,我们将会探讨如何使用易语言这一编程工具来实现微信HOOK技术。 易语言是一种...
C#实现hook微信收发消息、查询、添加好友
04-10
使用C#来hook微信,通常会涉及到Windows API的使用,因为C#本身并不直接支持底层的hook操作,需要借助如EasyHookFrida等第三方库来实现。 在C#中实现这样的功能,首先需要理解hook的基本原理。Hook是一种编程技术...
PC微信小程序未加密包提取方案 wxapkg frida版本.zip
01-15
方案是为解决特定问题或达成特定目标而制定的一系列计划或步骤。它的作用是提供一种系统性的方法,以有效地应对挑战、优化流程或实现目标。以下是方案的主要作用: 问题解决: 方案的核心目标是解决问题。...
frida-script:储存自己的FRIDA HOOK脚本
07-24
标题中的"frida-script:储存自己的FRIDA HOOK脚本"是指利用Frida的脚本功能,编写和存储自定义的HOOK(钩子)逻辑,以便在需要的时候加载和执行。 **Frida简介** Frida是一个开源的跨平台工具,它允许你通过...
Sortable.js板块拖拽示例
w11111xxxl的博客
07-14 770
ghostClass: 'blue-background-class' // 拖动时元素的样式类。group: 'shared', // 允许与其它具有相同组名的元素交互。-- 引入 Sortable.js 的 CSS 和 JS 文件 -->width: 150px;/* 减少宽度 */height: 70px;/* 设置高度 */-- 引入 Sortable.js 的 JS 文件 -->animation: 150, // 动画速度。// 初始化 Sortable。
更新商品前端接口编写
weixin_55639995的博客
07-12 420
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
vue解决页面放大图片模糊的问题
m0_56104994的博客
07-12 323
解决页面放大,图片模糊的问题
JS+CSS特效:HTML+JS+CSS 实现精致的带二级菜单的头部菜单
uu0216的博客
07-16 813
既然a标签把它填满导致了原来的内圆角没有了,而去掉了a标签的背景色依然没有出现圆角。那么我不妨把第一行的两个菜单项和最后一行的两个菜单项写个圆角。这里利用子选择器实现。为了避免菜单项数量改变而导致样式的变化,需要把样式写在最后两个子列表项上,而不是第7和第8上面。所以,在最后两个列表项上,我们使用的 nth-last-child 而不是 nth-child。
docker将Java、vue、nginx打进镜像(涉及容器打成镜像)
qq_37752382的博客
07-15 548
按照上文拉取centos7,然后将需要的东西直接打进脚本,这样最简单,但是在拉取过程中,初始镜像contos7安装nginx需要安装一些工具包,拉取的时候报错了,原因还是在镜像源上,并且还想在上面装一些工具,另外创建容器不应该在里面做很多初始化的东西,每次更新业务包就行,4)准备文件完成后执行下面的就行(如果配置文件不对,比如nginx的配置等先进入镜像手动调整好,没问题了,再删除掉容器和镜像重新制作镜像即可)本文不讲安装docker,安装好安装,镜像源稍微麻烦点。1)生成镜像并创建容器。
ReactRouter v6升级的步骤
feixin369的博客
07-14 414
React Router v6 引入了一个 Routes组件,它有点像Switch,但功能要强大得多。与Switch相比,RoutesReact.lazy。
高职软件技术实训室
最新发布
whwzzc的博客
07-17 747
当前,软件行业正处于高速发展阶段,对人才的需求呈现出多元化、高精尖的特点。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线html、css、js、jquery、vue等前端开发环境,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线java、python等后台语言,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。
frida hook
08-17
Frida是一个强大的动态分析工具,可以用于对应用程序进行hookFrida提供了多种hook方式,包括在应用程序启动前注入代码、通过USB连接和远程连接等。通过在应用程序启动前注入代码,可以在应用程序启动时即实现hook的效果。可以使用frida.get_usb_device()方法连接待调试的USB设备,并使用frida.get_device()方法指定调试的设备。此外,也可以通过远程连接方式进行hook,使用frida -U -f 包名 -l xxx.js --no-pause指令进行注入。以上是使用Frida进行hook的一些基本操作方式。需要根据具体的场景和需求选择合适的方法和参数进行操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Frida hook零基础教程](https://blog.csdn.net/cyjmosthandsome/article/details/120906998)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [pythonfrida安卓逆向之hook大法好](https://blog.csdn.net/weixin_51111267/article/details/125109497)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值