吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 3029|回复: 61
上一主题 下一主题

[原创] TIM防撤回实现(萌新之作)

  [复制链接]
跳转到指定楼层
楼主
有语无语 发表于 2019-10-10 17:35 回帖奖励

TIM防撤回实现

作为一个常年混迹各种群的资深潜水党,每次翻看聊天记录的时候都能发现一堆的撤回信息,看着非常不舒服,并且网上也有很多的防撤回例子提供学习,所以就打算自己也动手尝试做一个防撤回的功能。  

  1. 第一步通过notepad在bin目录下的所有dll中搜索revoke关键字

  2. 然后我们就可以上odx32dbg对这些DLL下断找CALL了,我这里使用的是x32dbg,因为它的搜索过滤比OD要舒服很多

  1. 打开软件,附加进程,附加之后会自动断下来,记得F9

  1. 模块(快捷键:<kbd>Crtl</kbd>+<kbd>E</kbd>)中进入我们之前找到的DLL

  1. 在模块内搜索字符串revoke,看看有没有比较可疑的地方,下断进行尝试

这里有个EnableMsgRevokeMenuItem,看起来应该是软件初始化之类的,不管他,全部都下断点试试

  1. 小号给自己发条消息并撤回,断点没反应,那就重复此步骤,在下一个模块内继续搜索下断,直到断下来
  1. 找到关键位置,进行具体分析
  1. im.dll中我们通过revoke发现了大量的关键字

L"DoRevokeBuddyMessage failed to get msg_info."撤回好友消息失败的日志,基本可以确定就撤回就和这个模块相关了,继续看看下面的字符

这三个有重大嫌疑啊,从上到下分别是 好友(buddy)、讨论组(discussion)、群(group)消息撤回,三个都下断点,进行尝试。

  1. 小号发消息并撤回,成功断在了5FBBDE65:OnNotifyBuddyMessageRevoked(pNotifyMsgBody, pDataExtraInfo)

  1. 单步往下,很快就可以看到一个大跳转,不过看了一下跳转的地址5FBBDFA2,是直接过了返回,再往下那块就是讨论组的撤回了,应该不是这里,继续往下

  1. 来到第一个call,<kbd>F7</kbd>跟进

  1. 发现两个大跳转,直接跳转到了返回处

  1. 直接改之,<kbd>F9</kbd>,然后程序疯狂异常,无奈重启程序

  2. 重启过程中想了下,都确定了这里就是实现撤回的函数,那直接返回应该也行的

  3. 直接在函数入口处改返回

push ebp改为ret 8

  1. 小号发消息撤回试试

  1. 第一张是电脑截图,第二张是手机截图,成功解决~

  2. 依法修改群消息的撤回

成功。这里我是直接用的讨论组,因为我之前调试的时候发现讨论组撤回是直接走的群撤回逻辑,也就是说之前发现的三个关键处只需要修改两个就可以实现了,中间那个并没有发现哪里有调用

  1. 修改完成就直接打补丁呗。<kbd>Crtl</kbd>+<kbd>p</kbd>

  1. 退出tim,将保存的文件替换掉原来的文件,记得备份,至此大功告成~

第一次发帖,有什么问题还望多多指教,感谢!
参考资料: https://www.52pojie.cn/thread-702082-1-1.html

免费评分

参与人数 32吾爱币 +34 热心值 +30 收起 理由
Hacker-无心 + 1 + 1 大佬辛苦了,学习了
醒时对人笑 + 1 谢谢@Thanks!
qinpan + 1 + 1 有ios成品吗?
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
断刃 + 1 + 1 谢谢@Thanks!
zhangliwang + 1 + 1 谢谢@Thanks!
颍水畔 + 1 + 1 用心讨论,共获提升!
yosuganosora + 1 热心回复!
skiss + 1 + 1 用心讨论,共获提升!
CrazyNut + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
cenvin + 1 + 1 我很赞同!
送温暖的36E + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
LIMB0 + 1 我很赞同!
rpp78 + 1 + 1 我很赞同!
silvanevil + 1 + 1 谢谢@Thanks!
菜鸟出学习 + 1 用心讨论,共获提升!
hx924923235 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qichen + 1 + 1 谢谢@Thanks!
gh饕餮 + 1 + 1 用心讨论,共获提升!
老司车开机 + 1 + 1 用心讨论,共获提升!
ssd1997 + 1 + 1 用心讨论,共获提升!
莫流云 + 1 + 1 用心讨论,共获提升!
sdysyhj + 1 + 1 谢谢@Thanks!
蓦留 + 1 + 1 用心讨论,共获提升!
说再见 + 1 + 1 热心回复!
cxp521 + 1 + 1 用心讨论,共获提升!
gaosld + 1 + 1 用心讨论,共获提升!
墨与非 + 1 + 1 谢谢@Thanks!
suxichao + 1 我很赞同!
liphily + 1 + 1 用心讨论,共获提升!
黑龍 + 3 + 1 热心回复!
hshcompass + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 有语无语 发表于 2019-10-10 22:54 <
diors-man 发表于 2019-10-10 21:24
企业微信防撤回怎么搞,也是按照这个思路?

企业微信没试过呢,不过微信也是差不多思路,微信的是直接修改WeChatWin.dll就可以实现
推荐
 楼主| 有语无语 发表于 2019-10-14 17:00 <
Mo. 发表于 2019-10-12 22:48
楼主请问我那三个地方也设置断点了然后用小号发消息再撤回没有出现你图上的那个断点咋回事呀?

私聊我一起探讨下?
沙发
hshcompass 发表于 2019-10-10 17:42
3#
hhhdddlll 发表于 2019-10-10 17:43
学习了,感谢分享
4#
vethenc 发表于 2019-10-10 17:45
感谢分享,不明觉厉。
5#
 楼主| 有语无语 发表于 2019-10-10 17:47 <
这排版让我有点绝望
6#
l58483675 发表于 2019-10-10 17:53
感谢分享,不明觉厉
7#
ouhuangbili 发表于 2019-10-10 18:23
支持楼主一波
8#
妙哉春风 发表于 2019-10-10 18:32
学到了学到了
9#
Wowaka_Forever 发表于 2019-10-10 19:23
谢谢 分享
10#
zhoumingsu1 发表于 2019-10-10 19:29
现在都用tim了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-10-14 21:01

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表