PC微信逆向分析之《修改好友备注》

最新推荐文章于 2024-08-06 21:39:19 发布
最新推荐文章于 2024-08-06 21:39:19 发布
阅读量999 收藏 21
点赞数 22
分类专栏: 逆向分析 文章标签: 微信 windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44678558/article/details/139144971
版权

近期有同学问我能不能出一期修改备注的分析思路,他来了他来了!这里我将以3.6.0.18版本为例,对其进行分析 【供学术研究,请勿用于非法用途】

一、通过内存读写做切入点

在修改备注的输入框中先输入“我是备注111”,不要让输入框失去焦点
此时打开CE搜索输入框中的备注(这里我搜索的是unicode)
我们要找的肯定不是基址,所以结果只有2个

在这里插入图片描述

尝试过滤一下结果:这次输入“我是备注222”,再次扫描,结果只有一个了!

在这里插入图片描述

直接找到它的上级指针(方便后面下断点)

在这里插入图片描述

看看是什么访问了他
注意:这里地址变了是因为我做教程的时候中途有事重新开始了…看地址没意义,主要看分析思路!

在这里插入图片描述

此时让输入框失去焦点。备注修改成功!
这个地方只访问了1次,那么我们就从这里开始入手

在这里插入图片描述

打开dbg附加微信,定位到这个地址,直接下断会不停的断下…
那就先在输入框中输入新的备注,不要让输入框失去焦点,此时在dbg中下断,然后立刻让备注框失去焦点(要拼手速)
因为这里会断下很多次,我们查看eax的值什么时候变成新备注的时候,就可以去追栈了

在这里插入图片描述

二、栈回溯追《读取新备注的call》

第1层:压入了备注,说明都已经读完了,那就肯定不是这个

在这里插入图片描述

第2层:直接跳转就return了,也不是

在这里插入图片描述

第3层:这里有很多call,并且下一个call用到了上一个call的返回值
先下一个断点,防止跟丢了

在这里插入图片描述

F4返回到这层,eax就是新的备注,那么这个call就是读取新备注的call

在这里插入图片描述

三、寻址《修改备注的call》

既然读取到新备注了,那么接下来就应该要进行修改操作了
F8继续往下分析,第1个call传了一个常量跟新备注,跟进去看看
他只是把把ecx的内容给了eax…

在这里插入图片描述

第2个call把备注内容入栈,传了个缓存,执行完之后刚好平栈,并且缓存中有备注的结构体
这个call是组装备注结构的。。。

在这里插入图片描述

第3个call不知道是干嘛的,跟进去看到只有这一点内容,并且执行完后,堆栈跟寄存器都没什么太大变化

在这里插入图片描述

第4个call应该是最后一个了,再往下就是一个大跳转

在这里插入图片描述

F7跟进去看看,这个里面最“丰富”

从正向的思维去理解逆向,当我们要修改备注的时候,至少要有2个参数
1:被修改人的信息
2:备注

那么我们重点要关注一下,哪个call之前压入了这2个参数
一直往下走到这,发现【esi+0xBA0】的位置有“被修改人的信息”,并且+0x50的位置已经是新备注了
猜测之前所有的call都是为了组装这个结构,这个call里面就要用到这个结构了

在这里插入图片描述

F7跟进来,看看哪里用到了“被修改人的信息”
一进来就是一个跳转到尾部…
这里传入了“被修改人的完整信息结构”,并且执行完这个call之后返回了个1
猜测这个call就是修改备注的call?

在这里插入图片描述

四、验证寻址是否正确

经过上面的分析,也不能确认这个call就是修改备注的call
那么就来验证一下,他只压入了2个参数,且是内平栈
在这个call下一个断点,再次修改备注,断点断下

在这里插入图片描述

我们手动让他平栈,不让这个call执行,F9放过所有断点,看看备注是否还能修改成功
信息页确实是改了,但是移动端中是没改的,PC端再次点击一下这个好友的头像,就会变回去了
那么现在可以确定这个他就是我们要找的修改备注的call

在这里插入图片描述

五、分析参数

eax:“被修改人的信息”,通常应该由内部call来构造,但也可以手动构造
ecx:在上面就可以看到他是一个常数指针,那么就可以直接计算偏移进行取址

在这里插入图片描述

六、编写代码

void UpdateRemark()
{
	DWORD callAddr = GetBaseAddr() + 0x404740;
	DWORD paramAddr = GetBaseAddr() + 0x222F3BC;
	char buff[0x1024] = { 0 };
	WxStruct wxId((wchar_t*)L"wxid_xxx");
	WxStruct newRemark((wchar_t*)L"新的备注666");
	memcpy(&buff[0x10], &wxId, sizeof(WxStruct));
	*(DWORD*)(buff + 0x50) = 0x43;
	memcpy(&buff[0x58], &newRemark, sizeof(WxStruct));
	*(DWORD*)(buff + 0x230) = 0x43;
	__asm
	{
		mov ecx, paramAddr;
		mov ecx, [ecx];
		push ecx;
		lea eax, buff;
		push eax;
		call callAddr;
	}
	OutputDebugStringA("OK");
}
水水水-Jun
关注
专栏目录
PC微信逆向分析の绕过加密访问SQLite数据库.7z
01-03
PC微信逆向分析の绕过加密访问SQLite数据库源码,注入微信,读取微信数据库内容,在线备份数据库。 源代码包括C语言和E语言的具体实现。
Centos Docker部署教程_docker部署centos
2401_84281655的博客
04-28 561
docker pull ubuntu:后面跟docker hub的版本参数。docker pull ubuntu #自动拉取最新版本ubuntu。大纲路线、讲解视频,并且后续会持续更新**
小白逆向实战—微信去除多开限制
最新发布
m0_72582234的博客
08-06 778
在吾爱破解网上看到一个小白向的微信逆向过程,之前一直对逆向有点兴趣,因此跟着教程实操了一次,受益匪浅,在此记录一下。
PC微信数据库解密详细教程
热门推荐
Welcome to Garywang's IT BLOG.
09-29 2万+
转载自:https://bbs.pediy.com/thread-251303.htm,写得比较详细,未测试,备查! 在电子取证过程中,也会遇到提取PC微信数据的情况,看雪、52破解和CSDN等网上的PC微信数据库破解文章实在是太简略了,大多数只有结果没有过程。经过反复试验终于成功解密了数据库,现在把详细过程记录下来,希望大家不要继续在已经解决的问题上过度浪费时间,以便更投入地研究尚未解决的...
apihook获取返回地址_PC微信逆向:使用HOOK获取好友列表和群列表
weixin_33404412的博客
12-24 834
鬼手56:奇安信反病毒工程师获取好友列表目前有三种方法,第一种就是二叉树遍历,通过一层一层的往下读取来拿到所有的好友列表。第二种是通过在内存里面找好友的地址列表。第三种就是通过查找微信数据库来获取列表获取好友列表的切入点要想获取微信好友列表,就必须找到微信读取好友列表的地方。突破口在于微信在点击个人名片时,会获取当前联系人的详细信息,然后显示在右侧。那么我们可以大胆猜测 微信在登陆的时...
微信界面逆向分析
For_John的博客
03-14 1586
微信逆向微信界面逆向分析
微信逆向之朋友圈
weixin_34198453的博客
05-18 3699
前提 这篇文章我主要会讲我所掌握逆向的一些小技巧,及如何一步步的爬取到微信朋友圈的数据的过程。关于微信逆向的工作,可能很多小伙伴呢都干过这事,最让人头疼的就是如何快速定位一个Hook点。还有就是如何理清被混淆之后的代码。这两个点弄清楚,可能Hook你所要的东西,那就是很轻松了。我这里只是针对Android的微信7.0.3版本最新版本7.0.4 生活在这样的大数据年代,当然数据是最重要的,如果作为...
微信逆向分析(四)——逆向分析的工具
Maoning Guan的博客
06-24 1047
前言 老话,工欲善其事,必先利其器。这篇聊聊逆向分析用到的工具。不聊工具细节,自行百度学习。重要的是理清:使用工具,是为了解决什么问题。 工具 1、CE 找偏移的方法中聊到,最直接就是在内存里面搜索。 CE(CheatEngine又称CE修改器),就是用来搜索内存里面东西,得到内存地址。 2、IDA 逆向分析,我们拿到手的是已经编译好的软件,看不了代码。 要是能把软件恢复成代码,分析起来就方便多了。 IDA这个工具,就是用来把软件恢复成代码的。 软件编译过程会去掉一些多余的信息。 所以IDA没办法说完全恢复
微信逆向分析(一)——逆向分析的原理
Maoning Guan的博客
06-24 3833
逆向的简单理解 正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。 软件运行过程 1、软件加载到内存。 2、CPU读取内存的指令。 3、根据指令,再读取数据,进行运算。 4、运算的过程,数据是存在CPU里面的寄存器。 5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。 代码语言的变化 1、C/C++语言:高级语言,给人看的 2、汇编语言 :低级语言,给机器用的 (逆向分析,接触多是汇编语言) 软件加载过程 磁盘
微信逆向 hook 2.8.0.121 源码分享
dugujin263的专栏
09-02 1914
微信群转发是做社群最常用的功能,对于淘系导购和推品尤其重要,懂滴都懂...... 然而,好用的转发工具是真不好找,免费的就更不用提了。其实这也正常,毕竟做出一款工具需要投入不少人力物力,这都是成本啊,不赚钱图啥呢! 言归正传,我们团队对转发助手需求量不小,市面上的相关工具用过不少,免费的收费的都有,好用不好用的都有。最近又试用了一个,感觉不错的样子。 工具暂时是免费的,只需要联系客服索要注册码即可。 工具介绍 还是要对工具稍微做一点介绍,这也算例行公事,都懂...... 一. 注册-
微信内存获取数据
08-13
微信中,每个好友都有相应的资料,包括但不限于昵称、头像、备注、地区等。通过hook微信内存中的相关函数,开发者可以获取到这些好友信息。这个过程可能涉及到解析微信客户端内部的数据结构,因为这些信息通常是以...
微信3.1.0.41逆向-微信3.1.0.41HOOK接口-vc++实例源码
01-03
微信3.1.0.41逆向-微信3.1.0.41HOOK接口(WeChatHelper3.1.0.41.dll)-vc++调用实例方法
10分钟带你学会微信小程序的反编译
sinat_28371057的博客
01-07 2241
以xxxxx小程序为例10分钟带你学会微信小程序的反编译 2019-11-28 12:59:26 以一个简单的例子介绍下小程序反编译操作流程 实验环境 前置准备 模拟器内软件安装 获取小程序包 开始解包 导入开发者工具 补充注意事项 技术交流群 有偿解包 uniapp 逆向服务 逆向教程小程序 分包教程 #实验环境 操作系统:MacOS10.13.6 node:v10.8.0 微信开发者工具:Stable v1.02.1910120 #前置准备 需要安装pc端..
模拟iPad微信协议及其关键技术点
weixin_65409651的博客
07-11 535
iPad协议通过增强好友和消息管理功能,以及引入Kafka消息队列和多种新功能,大幅提升了微信应用的自动化和管理能力。理解和应用这些技术点,能够更好地开发和管理微信相关应用。
微信小程序支付/支付宝app支付接入准备:关于小程序待接入订单发货管理的通知、上传发货信息提醒、于2022年【12】月【25】日生效、微信退款SpringBoot读取resource下的证书
iOS逆向与安全
12-25 1863
2、代开发接入:ISV(服务商)帮助其他企业进行APP支付的接入,此模式,需要服务商引导商家完成开通,并且需要商家授权给服务商,服务商即可代替此商户进行接口调用。若逾期未完成,小程序交易将暂停使用,直至小程序完成交易结算管理确认。提供实物商品在线销售及配送相关服务(包括但不限于物流快递、同城配送等方式)的小程序,均需接入平台订单发货管理功能。1、自研商家接入:商家自行接入APP支付,为自己或自己公司开发应用。服务费依据交易金额*相应费率,按标准单笔计费计算,并向甲方收取。
微信逆向分析(二)——逆向分析的方法
Maoning Guan的博客
06-24 870
上一篇,聊到逆向分析是找偏移,有依据地找,效率会快。这一篇聊下找偏移方法。只说概念,具体的细节,后续会配合实战再展开细说。 找偏移的方法 1、内存 逆向的目的,是找功能或者数据在内存的地址。最直接的方法,就是在内存里面搜索。 对于数据:可以直接在内存搜索。 对于功能:如果知道代码的特征码,也可以直接在内存寻找。 (所谓代码的特征码,具体是一串字符串,在内存是唯一的,可以用来搜索定位)。 2、界面 带界面的软件,一般流程就是: 1、软件生成界面,界面上会有按钮,编辑框这些控件。 2、用户操作界面,点击按钮或者
微信3.3.34逆向分析
qq_42487411的博客
09-22 850
课程大纲:大概内容如下(不定期更新) 01·课程简介 02·寻找发文本消息函数,并编写代码实现 03·调试分析查找接收所有消息的函数 04·编写代码安装HOOK拦截所有微信收到的消息 05·分析微信聊天的图片解密方法并编写代码让微信实时解密 06·分析通过微信ID获取好友详细信息函数 07·分析查找发送微信图片函数并修复上一课代码 08·编写代码实现调用发送图片函数 09·分析通过微信群获取群所有用户信息 10·编写代码实现获取微信群所有用户信息 11·讲解SQlite3的编译安装并分
iOS逆向逆向微信,透视聊天背景
六桥风月IT随笔
12-10 2427
作为逆向的巩固练习 利用后摄像头获取视频流 实现微信聊天界面的背景透视 后置摄像头对着大广州塔 项目源代码放在了我的Github仓库 1. 概述 前两天逆向微信实现伪装定位,想着想再实现一个好玩的 trick 作为巩固,然后向下一个阶段推进。自动抢红包,不太感兴趣,并且已经有人实现了;文章阅读界面的的新消息预览,这个倒是我的刚需,不过也
微信安卓客户端逆向分析
zhangmiaoping23的专栏
11-07 1万+
转:https://impakho.com/2017/02/22/wechat-android-client-hack/ 前言 微信6.5.4版APK(2017-1-20更新版本) 更多微信开发技术 https://github.com/WeMobileDev/article 工具:apktool、IDA、dex2jar、xsearch、jd-gui、Luyten、jad
微信pc逆向获取小程序源码
09-07
微信PC逆向获取小程序源码是指通过逆向工程的方法,对微信PC版进行分析和研究,以获取小程序的源码。 首先,逆向工程是对软件进行反向分析的过程,通过分析软件的二进制代码、反编译和调试,以获取软件的内部实现和源码。 要逆向获取小程序源码,我们首先需要通过一些工具和技术手段对微信PC版进行逆向分析。这可能涉及使用反编译工具、调试器和逆向工程技术等。 通过逆向分析微信PC版,我们可以获取到小程序在PC端的运行环境和相关的源码信息。可以分析小程序的请求和响应数据,了解小程序的工作原理以及和微信PC版的交互过程。 然后,我们可以对获取到的源码进行分析和研究。通过阅读源码,可以了解小程序的业务逻辑、界面设计、数据交互等方面的实现细节。这有助于我们更深入地理解小程序的运行机制,并为后续的开发和优化提供参考。 需要注意的是,逆向获取小程序源码存在法律和道德风险。对于商业小程序来说,它们的源码是开发者的知识产权,未经许可获取源码可能侵犯了知识产权法。此外,在逆向工程过程中,可能会对软件的安全性进行攻击或者破坏,这也是不被允许的行为。 因此,在合法和道德的前提下,如果我们需要获取小程序的源码,应该通过与开发者合作、遵守开发者协议等方式来获取。这样不仅可以保证合法性和安全性,还能与开发者建立良好的合作关系,促进行业的良性发展。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值