1.找到两个含有wxid的好友
2.在好友通讯录界面,打开一个好友用CE搜索微信ID,然后切换另一个好友再次搜索!
3.然后在另外一个好友卡上右键删除,然后取消删除!
4.搜索这个好友的ID
5.最后剩下一个,放到下面,因为是Unicode 所以搜下地址!
6.最后获取指针!
7.打开OD DD这个地址,下内存访问断点!
8.为了好友被删除,更改Unicode 里面的值!
9.断下来的界面没有要我们的数据!Ctrl+F9到结尾 F8继续运行,到下面的界面!
52F9DC51 E8 5AACE5FF call WeChatWi.52DF88B0
52F9DC56 51 push ecx
52F9DC57 57 push edi ; 微信ID
52F9DC58 E8 E3F81600 call WeChatWi.5310D540 ; 删除好友CALL
52F9DC5D 8D4D 98 lea ecx,dword ptr ss:[ebp-0x68]
CALL:5310D540-52D60000 3AD540
.版本 2
.支持库 spec
.子程序 删除好友
.参数 ID, 字节集
.局部变量 wxid, 整数型
.局部变量 wxidp, 整数型
.局部变量 calladd, 整数型
wxid = 申请内存 (1024, 真)
写到内存 (ID, wxid, 取字节集长度 (ID))
wxidp = 申请内存 (1024, 真)
写到内存 (wxid, wxidp, 4)
写到内存 (取文本长度 (编码_Unicode到Ansi (ID)), wxidp + 4, 4)
写到内存 (取文本长度 (编码_Unicode到Ansi (ID)), wxidp + 8, 4)
calladd = m_基址 + 十六进制 (“3AD540”)
置入代码 ({ 96, 106, 0, 139, 125, 248, 87, 255, 85, 244, 97 })
释放内存 (wxid)
释放内存 (wxidp)
’ 变量 wxid
’ 变量 wxidp
’ 变量 calladd
’ pushad
’ push 0x0
’ mov edi,[wxidp]
’ push edi
’ call [calladd]
’ popad