hook 微信信息撤回功能

于 2024-06-13 08:07:30 发布
阅读量45 收藏
点赞数
文章标签: 微信
原文链接:https://mp.weixin.qq.com/s?__biz=MzA3NzMxODEyMQ==&mid=2666465588&idx=1&sn=b1a0c0ceaf47f9927d39d36687927a46&chksm=853f630df1eaec66eaa1974eb1b87bdcf57233147079ec59747fdab1ec8299d47b77da57d06c&scene=126&sessionid=0
版权

b站刷到一位老师分享了hook pc端微信信息撤回功能的视频,跟着动手操作了一遍之后,尝试了一下hook Android端的微信,下面分享一下学习过程。

视频链接:https://www.bilibili.com/video/BV1di421U7qD/?spm_id_from=333.1007.top_right_bar_window_default_collection.content.click&vd_source=edc820e8f9bd6b2ea43cb8499151dea3

PC端

PC端那位老师已经演示的很清楚了,我就简单的复述一遍,感兴趣的可以看一下视频。

微信的核心功能都是在WeChatwin.dll(windows下)里实现的,信息撤回也不例外。

73edefab9b19e165544cb880005fa13c.png

我们使用ida分析,通过字符串进行定位,试试相关的字符,如:撤回、revoke、withdrawn等关键字

fe601c3151a10b339a72c8b48565eec0.png

我们逐一hook使用到这些字符串的函数,然后点击微信的撤回,如果有log输出,就代表是关键函数。

测试脚本如下,首先我们获取了dll的加载地址,然后通过ida查看到函数的偏移地址,将dll地址加上该偏移地址,即可得到内存中该函数的地址,那么如何确定哪一个才是撤回相关函数?就是靠试,使用到msg相关字符串的函数我们都hook一遍,然后触发撤回功能,如果打印出来revokeMsg就说明hook成功。

import frida,sys
 
# 创建脚本
jsCode="""
 
//写入js脚本 就和之前一样
//下面的代码获取dll的加载地址
const baseAddr=Module.findBaseAddress('WeChatWin.dll');
console.log("baseAddr:"+baseAddr);
 
//每次需要修改的只有这里
const revokeMsgFunAddr=getRealAddr('0x1823CD710');
console.log("function addr:",revokeMsgFunAddr);
 
//根据地址进行frida注入
Interceptor.attach(revokeMsgFunAddr,{\
//一旦进入hook的函数,该回调函数就会被调用
     onEnter(args){
      console.log("-----revokeMsg------")
     }
});
 
//dll地址加上偏移地址,定位到这个函数
function getRealAddr(addr){
  //基地址
  const idaBase=ptr('0x180000000');
  const offset=ptr(addr).sub(idaBase);
  const result=ptr(baseAddr).add(offset);
  return result;
}
 
"""
 
#使用任务管理器查看微信的PID然后填入
session = frida.attach(7876)
 
# 运行脚本
script = session.create_script(jsCode)
 
script.load()
print("Successfully attached!!!!")
 
 
# 防止运行完进程直接退出
sys.stdin.read()

运行测设脚本

当我们测试到字符串SyncMgr::ProcessRevokeMsg所在的函数时,有了revokeMsg的回显

4af1e8a464e505957e15f5474b84dd96.jpeg

函数逻辑比较复杂,hook点也是比较难找

0aeaf0045e08a82a9ff1bba75c25d7b9.jpeg

但是我们知道每次撤回信息,这个函数都要被调用,我们直接查看他的交叉引用,发现这个函数在一个switch语句里被调用

826f5415787655c529cde271ff10aa4f.jpeg

我们只需要让这个不为4,这里就不会被执行

9def642a8609c4be75507143cee755d5.jpeg

edi为4的时候就会执行撤回相关的函数,修改思路就是当程序运行到这里时修改edi寄存器的值

1

2

3

4

5

6

7

8

Interceptor.attach(revokeMsgFunAddr,{

//一旦进入hook的函数,该回调函数就会被调用

     onEnter(args){

      console.log("-----revokeMsg------")

      console.log(this.context.rdi);

      this.context.rdi=0;

     }

});

最终实现的效果:

PC端显示

4ebc2bca26208aea6d8c830dc7a45a66.jpeg

移动端 消息1 已经被撤回

4a19959ede778ca7b6c1485f9a92bd0b.jpeg

Android端

大致思路也是向PC端演示的那样,但是因为没有参考的教程,所以走了不少弯路

还是直接搜索字符串进行定位,考虑到PC端那里时revoke关键字,所以也是直接搜索revoke

88a8bfd9a74dcaf838a9a6c7ada04540.png

其实也不用逐个尝试,因为有几个特别明显的,hook这几个特别明显的方法测试就行

直接右键方法名选择复制为frida片段即可,最终是定位到了这个RevokeMsgEvent方法,每当我们撤回信息,都会打印 RevokeMsgEvent.$init is called

1

2

3

4

5

6

7

8

Java.perform(function(){

    console.log("==========begain==========")

    let RevokeMsgEvent = Java.use("com.tencent.mm.autogen.events.RevokeMsgEvent");

    RevokeMsgEvent["$init"].implementation = function () {

        console.log(`RevokeMsgEvent.$init is called`);

        this["$init"]();

    };

});

这个方法其实没啥有价值的东西,尝试了直接置空这个方法,也就是将上面的 this["$init"](); 直接删除,并没有起到什么效果

然后就是查看了这个方法的交叉引用 f7af62144b296a25d3f66377cb06c8fd.jpeg

e6f5a1cf52ef0d259b8b42b30d1300e4.jpeg

整个程序只有这一出引用,微信应该做了一些混淆,名字都奇奇怪怪的,可读性很差,一时见不知从何下手。首先尝试了修改RevokeMsgEvent的赋值,它将 变量赋值为falsethis.f153351e = false;,我尝试了一下将该变量赋值为true,注意没有f153351e,这是jadx帮它命名的,实际的变量名是e

150953ff86e17746ea0c9f86fca92e3c.jpeg

1

2

3

4

5

6

7

8

Java.choose("com.tencent.mm.autogen.events.RevokeMsgEvent",{//遍历内存中的所有对象

       onMatch:function(obj){ 

           obj.e.value=true;

           console.log("value  : ",obj.e.value);

       },onComplete:function(){  

           console.log("内存对象搜索完毕")

       }

   })

修改成功,但是信息还是被撤回。

ae5d5cdfcbc0a9a1beee31c7901e7ca6.jpeg

这条路行不通就考虑另外的方案,hook掉调用这个方法的方法,和pc端相同的操作

该方法是被s类下的h方法所调用的,复制h方法的frida片段进行hook 9d465998cc742b4ca824956ac732e779.jpeg

1

2

3

4

5

let s = Java.use("tj0.s");

s["h"].implementation = function (str, j15, n0Var, str2, str3, str4) {

    console.log(`s.h is called: str=${str}, j15=${j15}, n0Var=${n0Var}, str2=${str2}, str3=${str3}, str4=${str4}`);

    this["h"](str, j15, n0Var, str2, str3, str4);

};

0cded6044db2fe5734c6dd2bb0afea8c.jpeg

报错,提示没有找到tj0.s这个类,于是我想这个类可能不是被默认的类加载器所加载的,遍历一下所有的类加载器然后再hook

function main() {
    Java.perform(function () {
        Java.enumerateClassLoaders({
            onMatch: function (loader) {
                try {
                    var factory = Java.ClassFactory.get(loader);
                    var s = factory.use("tj0.s");
                    s["h"].implementation = function (str, j15, n0Var, str2, str3, str4) {
                    console.log(`s.h is called: str=${str}, j15=${j15}, n0Var=${n0Var}, str2=${str2}, str3=${str3}, str4=${str4}`);
                    this["h"](str, j15, n0Var, str2, str3, str4);
                   };
                     
                     
                } catch (e) {
                    console.log("Error accessing class or method: " + e);
                     
                }
            },
             
            onComplete: function () {}
             
        });
    });
}

结果遍历了所有的类加载器也没有这个类

dc6c7f03a4e106a4bff753be80827e69.jpeg

而且我使用objection打印加载的类也没有这个tj0.s

最后想到了打印方法的调用堆栈

Java.perform(function(){
    console.log("==========begain==========")
    let RevokeMsgEvent = Java.use("com.tencent.mm.autogen.events.RevokeMsgEvent");
     
    //hook构造方法
    RevokeMsgEvent["$init"].implementation = function () {
        console.log(`RevokeMsgEvent.$init is called`);
        showStacks();
        this["$init"]();
    };
 
 
    function showStacks(){
        console.log(
            Java.use("android.util.Log")    //首先找到log类
            .getStackTraceString(              //调用log类的该方法
                Java.use("java.lang.Throwable").$new()      //new一个对象
            )
        )
    }
 
});

7704a5cb965367fe3c7e5098eca991d1.jpeg

通过函数的调用堆栈,发现RevokeMsgEvent是被ij0.s.i方法调用的,我们直接将这个方法置空

1

2

3

4

var sClass=Java.use("ij0.s");

   sClass.i.implementation=function(){

        console.log("======================");

   };

最终实现的效果,左边是pc显示的,右边是手机显示的

c5816d31ccf84aa996b2888b76f90819.jpeg

Xposed实现hook的持久化

使用xposed将上面的代码重写一下即可,frida逻辑如下

1

2

3

4

5

6

7

8

Java.perform(function(){

    var sClass=Java.use("ij0.s");

    sClass.i.implementation=function(){

         console.log("======================");

    };

});

xposed代码

package com.example.xposeddemo;
 
import android.util.Log;
 
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.ArrayList;
import java.util.Map;
import java.util.Objects;
 
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XC_MethodReplacement;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
 
public class Hook implements IXposedHookLoadPackage {
    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
 
        if(!loadPackageParam.packageName.equals("com.tencent.mm")) return;
 
        Class<?> clazz=XposedHelpers.findClass("ij0.s",loadPackageParam.classLoader);
        Log.d("mxy", clazz.toString());
 
 
        XposedHelpers.findAndHookMethod(clazz, "i", new XC_MethodReplacement() {
            @Override
            protected Object replaceHookedMethod(MethodHookParam methodHookParam) throws Throwable {
                Log.d("mxy", "hook successfully");
                return null;
            }
        });
 
 
 
    }
}

这个xposed等价的应该是没什么问题的,但是就是hook不上这个i方法,也尝试了使用算法助手,都是以失败告终

a556e863949502c6141b9ae973ce0104.jpeg

后续如果找到解决方案我会进行更新。。。。。。。
大哥们如果知道什么问题的话麻烦在评论区指点指点 >_<

小结:

写hook代码很简单,难的是分析的过程,如果定位到了关键代码,只需要短短几行代码就能成功hook。

关注我获取更多知识或者投稿

f77fb4c536e6de0d8fafe116e3c1fa06.jpeg

d05239214b1e997cf031940880dcf054.jpeg

Android技术之家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于hook开发得微信群关键词监控朋友圈关键词监控转发
wo7531228的博客
06-16 1589
在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。话不多说通过扫描二维码PC端登录,朋友圈发布任何消息和图片,可以实时自动采集,然后会实时采集这个人所发的朋友圈内容、并附上发圈人名片、图片,自动发送到指定的群里 (比如“南京”“NJ” 只要出现南京这个关键词就会实时自动采集内容,发送到指定的群里)有客户在群里问关于业务关键词问题时,自动通知提示到您设定的工作微信上发提示信息信息可以设置。一、群设定自定义选择。
最新版PC微信(3.9.2.23)逆向——收消息hook
weixin_40105002的博客
04-12 7665
PC最新版微信收消息hook
微信hook-解密WeChat-Hook:打造终极微信消息拦截神器
最新发布
m6037843的博客
06-12 717
0.检查是否登录 1.获取登录微信信息 2.发送文本 3.发送@文本 5.发送图片 6.发送文件 9.hook消息 10.取消hook消息 11.hook图片 12.取消hook图片 13.hook语音 14.取消hook语音 17.删除好友 19.通过手机或qq查找微信 20.通过wxid添加好友 23.通过好友申请 25.获取群成员 26.获取群成员昵称 27.删除群成员 28.增加群成员 31.修改群昵称 32.获取数据库句柄 34.查询数据库 35.hook日志 36.取消hook日志 40.转发消
微信电脑版分身多开 防撤回带提示
shanzhuli的博客
04-13 283
介绍微信电脑端多开与防撤回带提示。
PC微信 HOOK 接口 (版本:3.6.0.18)
程序DADA
05-19 6911
现在主要的基本功能已经实现,接口如下: 启动微信 多开微信 使用GBK编码(易语言) 发送消息模块 发送文本消息 发送图片消息 发送文件消息 发送GIF消息 发送艾特消息 发送名片消息 发送链接消息 发送小程序消息 发送XML消息 转发消息 撤回消息 发起语音聊天 发起视频聊天 用户模块 获取个人信息 获取登录状态 跳转到登录二维码 获取登录二维码 退出登录 获取收货地址 好友模块 获取好友列表 获取企业
pchook微信
04-01
本文将围绕“pchook微信”这一主题,深入探讨如何利用开源技术进行微信PC客户端的Hook(钩子)操作,实现如自动加好友、关键词回复等功能,同时也会提及涉及到的相关技术与工具。 Hook技术是Windows操作系统中的一...
微信Hook教程(易语言)
06-14
包含3个教程,易语言Hook教程,Hook教学实战等,包含PC2.6 Hook功能
C# 编写的微信HOOK
07-19
C# 编写的微信HOOK,本地测试代码可以正常进行使用,但是因为受限于微信版本。版本是2.4.1.79
易语言 微信 hook 2.6
04-10
而“微信hook”则是针对微信这一社交软件进行功能扩展或监控的一种技术手段。本文将深入探讨“易语言微信hook 2.6”这一主题,旨在揭示其背后的原理,并分享其实用技巧。 首先,我们来理解“hook”技术。Hook在...
hook微信和协议.zip
01-13
Hook(钩子)是一种编程技术,它允许开发者在特定的程序事件发生时插入自定义代码,以便拦截、修改或者扩展原有的功能。在Android或iOS系统中,开发者通常使用Xposed框架(Android)或Cydia Substrate(iOS)来实现...
RevokeMsgPatcher.exe
04-07
防止消息撤回软件,适用于PC端应用,可用于微信、QQ、TIM,一键防撤回,右键管理员身份运行即可,自己也在用,没有病毒,可以放心使用
易语言-Vhook+客服聚合聊天系统
06-25
在论坛找的VHOOK的源码,自己修改了一下,可以用来聚合聊天。 把所有信息统一发送给服务端,然后在服务端回复。 也可以设置自动回复,源码写的是对方发一句,回复一句,按照顺序依次回复。 唯一的不足就是没有用线程,大家自己改一下吧。 源码和模块都打包了。
易语言PC微信(V2.6.7.57)HOOK示例
04-19
程序使用易语言对PC微信V2.6.7.57版本做了一个HOOK的演示。提供e语言HOOK的源代码。
易语言 微信协议
07-15
易语言 微信协议
想知道女朋友到底撤回了什么小秘密吗,微信已经支持消息防撤回了,你想知道怎么用吗?...
easylife206的专栏
11-14 2236
现在的社交软件都有一种 「后悔药」,学名叫 「消息撤回功能」。我们用的最多的应该是微信。在微信当中,不管你是消息发错了还是后悔了,只要长按消息内容点击 「撤回」,对方没看到的话,就永远看不到了!当你看到别人撤回了一堆消息后,是不是很好奇 Ta 说了啥?但是当你再问 Ta 到底撤回了什么时候,基本上 Ta 是不会告诉你的,要不然也不会撤回了,对不对呀?既然消息已经发送过来一次了,难道我们不能做点什么...
探索微信PC端Hook利器:wechat-pc-hook-ws
gitblog_00012的博客
04-02 1331
探索微信PC端Hook利器:wechat-pc-hook-ws 项目地址:https://gitcode.com/gtsigner/wechat-pc-hook-ws 在日常工作中,微信PC客户端是我们与同事、客户沟通的重要工具。而wechat-pc-hook-ws是一个开源项目,旨在通过WebSocket接口提供对微信PC客户端的消息接收和发送能力,从而实现自动化处理和自定义扩展。 项目简介 ...
基于微信hook开发微信聊天机器人
wo7531228的博客
11-14 685
从终端来说,分为手机微信机器人、电脑微信机器人;从操作系统来说,分为PC微信机器人,MAC OS微信机器人,安卓微信机器人,IOS微信机器人;从实现原理来说,分为协议机器人,注入式机器人(有痕侵入),非注入式(无痕);从广泛程度来说,PC微信机器人应用和安卓微信机器人,应用最为广泛。我说一下PC微信机器人。第三:因为windows毕竟是最为广泛的用户,逆向工具链非常完备和成熟,所以研究这块的人最多;第四:如果没有逆向基础,不懂汇编,不懂c或c++,这些源码拿到是没有任何价值和意义的。
企业微信hook接口,易语言调用
m0_67440792的博客
05-28 1878
【介绍】 使用HOOK技术将核心功能封装成dll,并提供简易的接口给支持调用dll的语言使用 目前测试可以使用语言有C/C++,C#,易语言,Python, Java, Go, VB, Delphi 支持企业威信版本:【3.1.7.3005】【3.1.10.3010】【4.0.0.6024】【4.0.2.6026】 【功能图】 【其他 】 char qq[] = "2755955629"; char verifyText[] = "wxwork"; ...
乐意微信HOOK培训教程(易语言版)价值1500元
dahui666的博客
05-23 2884
乐意微信HOOK培训教程(易语言版)价值1500元 1_认识Hook 2_Hook的分类_ 3_学习Hook必备的知识_ 4_实现简单的Hook流程_ 5_Hook的基本代码讲解和实现_ 6_API_HOOK讲解和实战 7_Call_Hook 8_DLL-HOOK 9_任意地址-Hook 链接:https://pan.baidu.com/s/1-VMuONdPVql5xN0LbvUK3Q 提取码...
hook 微信朋友圈
03-03
在计算机编程中,"hook"(钩)是一种技术,用于拦和修改程序的行为。在微信朋友圈中,"hook"可以用于修改或扩展微信客户端的功能,以实现一些自定义的操作。 具体来说,通过hook微信友圈,你可以实现以下功能: . 修改朋友圈内容:你可以拦截微信客户端发送朋友圈的请求,修改或替换其中的文本、图片或视频等内容。 2. 屏蔽或过滤朋友圈内容:你可以拦截微信客户端接收朋友圈的请求,根据自定义规则屏蔽或过滤掉一些不想看到的内容。 3. 自动点赞或评论:你可以拦截微信客户端接收朋友圈的请求,自动为某些朋友的朋友圈点赞或评论。 需要注意的是,hook微信朋友圈属于对微信客户端进行修改和扩展的行为,可能违反微信的使用协议。此外,hook技术需要一定的编程知识和技能,并且可能需要对微信客户端进行逆向工程分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值