x32dbg、x64dbg逆向微信发送信息

最新推荐文章于 2024-08-06 21:39:19 发布
最新推荐文章于 2024-08-06 21:39:19 发布
阅读量3.7k 收藏 22
点赞数 8
分类专栏: 逆向分析 文章标签: x32dbg x64dbg OD 逆向 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014536801/article/details/115445508
版权
本文详细介绍了通过逆向工程技术分析微chat程序的过程,包括利用x32dbg设置断点,寻找tcp、udp协议的相关API,分析输入文字的传递路径,最终定位到可能的发送消息函数。通过堆栈寄存器中的线索,发现了newsendmsg函数,但因hook技术限制未能进一步验证其准确性。这是一个逆向工程初学者的学习记录。
摘要由CSDN通过智能技术生成

一、流程分析

  1. 进行逆向之前,先分析一下微chat程序,构思一下整体思路。

PC端微chat使用的协议我们可以通过对每种协议相关的API设置断点来确定是哪个协议。一般PC端客户端程序的通信协议常用的是tcp和udp。

关于tcp,udp的API:

协议函数
tcpsend
udpsendto

因此我们可以通过断点send,来寻找我们需要的发送消息事件。

  1. 打开Exeinfo PE分析一下WeChat.exe(桌面的是.lnk文件,为快捷方式,可能找不到,因此我们右键-打开文件所在位置,找到该位置的WeChat.exe分析),如下图所示,分析得出是32位的程序(可能有的系统安装的是64位的程序),再一看是c++写的。未发现加壳。

二、输入文字逆向

首先我们打开x32dbg,然后导入WeChat.exe,F9运行到程序跑起来,打开到聊天窗口(在此,以文件传输助手为例),如下图所示:

在这里插入图片描述

然后我们往聊天窗口里写入文字,在x32dbg下send断点、然后观察堆栈窗口,观察有无我们输入的文字信息。

观察很久,未发现有我们输入的文字信息,于是判断为采取异步方式,于是分析send函数:

int send(
  SOCKET s,
  const char FAR* buf,
  int len,
  int flags
);

这里buf是存储我们输入的信息,我们在send处断下点,返回上一层,buf是第二个参数,找到如图所示call

在这里插入图片描述

双击进,如图所示,F4将光标运行到此,然后在内存窗口下硬件断点,F9运行
在这里插入图片描述

接下来,在下图所示处断下,F4将光标移动到此,分析许久无果

在这里插入图片描述

于是在堆栈寄存器中发现下图所示东西,分析名称newsendmsg,应该是new send message 的缩写,于是在wechatwein.dll即当前模块下寻找newsendmsg字符串

在这里插入图片描述

搜索结果如下,然后删除其他断点,双击此处字符串,下断点

在这里插入图片描述

F9运行起来,重新发送数据,然后发现程序断下了,在堆栈中往下即找到我们输入的信息。

在这里插入图片描述

在这里插入图片描述

三、发送API逆向

然后我们在上述的堆栈寄存器里找到我们输入的内容(最后一个内容),他的上方有个返回上一层,单击它,回车过去,如下图所示:

在这里插入图片描述

上图框选处是我第二次发送后显示出来的,我备注了一下,大致分析此处为发送信息的函数。
记录一下:
weChatwin 基址为:5C370000
函数动态地址为:5C47CA65
故偏移值为:0x10CA65
剩下的就需要采用hook技术验证是否正确了,由于博主为逆向入门,hook技术没到位,也暂时无法验证此函数是否就是我们需要的API,因此,本篇博客到此结束。

记录学习历程,码字不易,还请给个支持,点个赞,谢啦
Thanks♪(・ω・)ノ

云舒_YunShu
关注
专栏目录
逆向入门,pc微信多开
u011250160的博客
09-21 661
防止多开的原理:设置一个互斥量mutex,然后启动时先检测互斥量,如果已存在,就不再打开软件 打开微信用火绒剑分析进程 看名字可以猜到这个句柄就是检测互斥量的 然后就测试一下 关闭这个句柄,再打开一个微信 发现可以成功打开 打开x32dbg 附加微信进程 运行微信的时候会加载很多dll模块 如果你不知道这个东西具体在哪个模块 那就简单暴力搜索所有模块 发现之前那个句柄的名字L"_WeChat_Win_User_Identity_Mutex_Name" 双击转到反汇编窗口 可以发现从push ebp
x64dbg反汇编进阶之路0x1
qcomdd的专栏
01-31 391
已经做到了读写内存(给雷电加血加人)。简单的破解做一个雷电无敌版(改代码生成exe)。遗留等待解决问题是无法做成一个外挂,就是无法用外挂去改代码。之前 的技术学习把ce的学习游戏通关,今天开始以微信为假想敌,来学习。
x64dbg/x32dbg 界面初步认知
Color的博客
06-15 2万+
第一步 官网下载    x64dbg官网辅助栏,里面会有一些红线以及一些虚线来指示当完成这一句代码之后,它会跳转至哪里地址栏 这一句代码在内存中所处的位置机器码栏 汇编代码栏注释栏详细信息比方说 当前我们选中某一行,它下面的详细注释栏将会指示你,它当前会跳转到ntdll的某个地方,这个里头会有很多东西,但是每一行的注释它是不同的寄存器栏局部变量它都是以这种方式存在于程序当中,这能方便更好的...
逆向基础】三、x32dbg使用技巧随记
幸福之家的博客
04-07 4626
对于出入C/C++逆向领域的小伙伴,熟练使用x32dbg,x64dbg是很有必要的;本文章简单介绍了工具的使用情况,供大家一起学习;
小白逆向实战—微信去除多开限制
最新发布
m0_72582234的博客
08-06 778
在吾爱破解网上看到一个小白向的微信逆向过程,之前一直对逆向有点兴趣,因此跟着教程实操了一次,受益匪浅,在此记录一下。
微信3.1.0.72逆向-微信3.1.0.72HOOK接口说明(WeChatHelper.dll)-获取即时消息
keepmoving0407的专栏
12-22 1953
功能: 获取即时消息 Method: GET Http: http://127.0.0.1:8080/?cmdid=7 返回值: JSON(data为数组,BytesExtra里面为扩展信息): { "cmdid": 7, "maxid": 221828,//记录索引 "count": 10,//信息条数 "status": "ok", "data": [ ...
PC微信逆向之发送消息参考代码
01-30
介绍逆向入门知识
android逆向终极版,x32dbg/x64dbg之条件断点生成器改良第三终结版
weixin_39635373的博客
05-30 1182
本帖最后由 冥界3大法王 于 2021-4-15 08:27 编辑image.png (503.65 KB, 下载次数: 0)2021-4-14 12:48 上传大家好接下来我们说的是条件断点。还不会用的同学们注意了,其实这个东西还是比较简单的。无论你之前是否使用过OllyDbgx32dbg/x64dbg应该对这个东西并不陌生。当我们来到某个VA地址(虚拟地址时)此时你会对当前的寄存器的某个数值...
PC微信逆向:发送与接收消息的分析与代码实现
热门推荐
鬼手的博客
06-22 4万+
文章目录定位微信的消息接收函数定位消息接收函数的相关思路定位消息内容的地址分析接收消息函数好友消息群消息总结代码实现定位微信的消息发送函数定位消息发送函数的相关思路过滤当前聊天窗口的微信ID定位当前聊天窗口的ID定位发送消息的函数分析发送消息的函数普通消息艾特某人消息总结代码实现最终效果 定位微信的消息接收函数 我们先来定位一下消息接收函数,这对我们后面分析消息发送函数会有所帮助 定位消息接收函数...
PC微信逆向:分析微信发送文件call
鬼手的博客
08-03 8823
文章目录发送文件call的结构体参数分析组合数据call的分析定位发送文件的call 接上一篇文章,PCXX逆向:发送与接收消息的分析与代码实现:https://blog.csdn.net/qq_38474570/article/details/93339861 发送文件call的结构体参数分析 首先在OD中定位到发送消息的call,不管是发送文件还是图片都是需要经过这个call。 直接拉到函...
微信收发消息逆向分析-最新微信版本(3.2.1.154)
h1028962069的专栏
05-18 1666
微信大部分功能都在这个里面 发消息分析 搜索字符串newsendmsg 堆栈回溯就可以找到 对应的模块和偏移 WeChatWin.dll 0x3B63B0 DWORD dwEdi[4] = { 0 }; wxMsg id = { 0 }; id.pMsg = wsWxId; id.msgLen = wcslen(wsWxId); id.buffLen = wcslen(wsWxId); //消息内容 wxMsg text = { 0 }; text.pMsg = wsCon
x32_dbg(32位调试器)v2.4.06.10官方汉化绿色特别版
07-25
x32_dbg是一款windows系统下非常优秀的32位调试器,与目前热门的“OllyDbg”十分相似,使用过OllyDbg调试工具的朋友应该很容易上手操作。软件具有简洁的界面以及强大的功能,提供了类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用功能,整体效果十分乐观,本平台提供x32_dbg汉化绿色版下
x32/64dbg for window
03-06
windows程序开发调试工具 x32dbg x64dbg zip资源包,下载后解压直接使用,无需安装
x64dbg 64位逆向工具
04-28
**x64dbg:64位逆向工程的利器** x64dbg是一款功能强大的64位调试器,尤其在逆向工程领域中备受推崇。它不仅提供了基本的调试功能,如断点设置、内存查看、寄存器监控,还具有高级特性,如反汇编、动态代码分析和...
【原创】PC微信逆向分析 微信调试信息强制输出(强制输出日志调试信息)
tuoguochen的博客
11-03 2524
【原创】PC微信逆向分析 微信调试信息强制输出(强制输出日志调试信息)
分析微信防多开功能
MzHeader的博客
03-18 1087
分析微信防多开功能 防多开程序的一些思路 常用的windows下防多开的技术有以下几种: 互斥体防多开 这种防多开技术主要就是在第一次程序运行开始的时候,会使用 CreateMutexW或CreateMutexA创建一个以当前程序为相关名称的互斥体,当第二次启动程序时,会检测是否创建相同的互斥体,如果有,则会退出程序。 一般 CreateMutexW或CreateMutexA调用完之后,返回值为...
X64微信逆向之-调用锁定微信CALL(易语言版)
water_1991的专栏
03-08 1572
以上是我们在32位下的远程调用微信CALL的流程,那么在X64微信下其实流程原理是一样的。好了,可能网上的很多博文写到这里就结束了,其实新手这样看学习还是有时候一头雾水,阿冲老师跟大家一样还是新手水平,能理解新手学习的很多困惑,新手抄学的话尽量在不懂的地方下断点,然后执行调试在调试分析断点处的数据变化情况,才能知其所以然。大家看懂了吗,阿冲老师就是这样跟前辈们学习多多在不懂的地方调试,一步一步积累经验学习过来的。好了我们在“X64_远程调用函数函数”上加个信息框让其显示远程在微信进程里申请的数据首地址。
X64微信逆向之-查找锁定微信CALL
water_1991的专栏
02-02 1688
(7)然后去跟踪数据变化里查看指令数据变化,发现寄存器有click事件字符,执行后,F8一步一步执行最后微信锁定了,因此判断锁定微信CALL就下图这几个CALL里面,然后用Nop 去掉或者一 一调用测试 最后发现是最后那两个CALL就是我们要找的锁定微信CALL。于是乎锁定微信、锁定 锁定 叫着 叫着 ,锁定的英文是Lock,猜测关键CALL是不是附近周围存在在Lock关键字。(8)最后开始写调用实现功能,我们发现锁定微信CALL它竟然是个无参数的CALL ,调用代码如下。C有根据微信日志回溯查找的。
微信3.1.0.58逆向-微信3.1.0.58HOOK接口说明(WeChatHelper.dll)-列出最新聊天记录
keepmoving0407的专栏
12-22 569
功能: 列出最新聊天记录 Method: GET Http: http://127.0.0.1:8080/?cmdid=11&param=filehelper (param为微信ID) 返回值: JSON(data为数组): { "cmdid": 6, "wxid": "filehelper", "status": "ok", "data": [ { ...
x64x32dbg下载
07-28
您可以在以下网站上下载x64dbgx32dbg: 1. x64dbg:https://x64dbg.com/ 2. x32dbg:https://x64dbg.com/#downloads-x32dbg 请注意,这些工具是用于反汇编和调试的,只能用于合法和授权的目的。请确保遵守相关法律和条例,并仅在您有权限的情况下使用它们。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值