吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14343|回复: 16
收起左侧

[调试逆向] 记录一下逆微信标题过程 (非特征码查找)

  [复制链接]
program_mx 发表于 2019-2-8 18:54
工具1:CE,  OD,   VS2013
首先用CE 加载微信 用 unicode 查找string

点击别的聊天窗口 发现:0BF71544
这个地址字符串就是窗口标题缓冲区
我们再用 OD附加微信 在dump区域输入 0BF71544
360截图20190208182230837.jpg
这个地址没错了
使用 write硬件断点, 再切换下窗口
360截图20190208182504715.jpg
这时的上下文环境 MOV WORD [EDI],AX,
这里的EDI 就是缓冲区地址,之后就是顺着摸上去看看最终是谁给了EDI 这个值
根据栈回溯这里就略过

360截图20190208183542324.jpg
最后发现 4169这里的Call返回的指针+偏移最终得到缓冲区地址
[[[[[[[EAX]]+4]]]+70c]+580]+1b8=标题字符串缓冲区
再往上逆就发现这个EAX=[EBP-64] 是 sub esp,68 分配出来的;
这里我笔者也没搞清楚为啥sub esp,68 会刚好有一个有效的指针,为啥不怕分配一个无效指针,希望读这篇文章的大佬可以解答

知道了地址加偏移后面就好办了 我的做法是hook 416E 这个地址之后查看偏移的有效指针
判断 [[[[[[[EAX]]+4]]]+70c]+580]+1b8 是否为真 则得到缓冲去地址 使用 ReadProcessMemory 这个函数来判断

不过这个模块的的地址是会改变的 所以需要得到模块的地址 我的做法是hook DispatchMessageW 函数和VadateHandle 函数

得到模块地址后HOOK 416E地址 代码 判断 [[[[[[[EAX]]+4]]]+70c]+580]+1b8指针的有效性 得到标题字符串

文章没有写得到模块地址不过会HOOK的读者应该不难知道。
这里谢谢我的导师老高。

免费评分

参与人数 2吾爱币 +7 热心值 +2 收起 理由
辰扉 + 1 + 1 我很赞同!
Hmily + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

爱飞的猫 发表于 2019-2-9 06:06
sub esp, 68

应该是函数头,长这样:

[Asm] 纯文本查看 复制代码
push ebp
mov ebp, esp
sub esp, 0x68


那你找到的应该就是改标题的函数了,直接 hook 这个函数即可
 楼主| program_mx 发表于 2019-2-8 19:09
补上注入和Dll VS2013编写

Work.zip

32.85 KB, 下载次数: 4, 下载积分: 吾爱币 -1 CB

注入器和dll

su123 发表于 2019-2-8 21:24
zqguang3708 发表于 2019-2-8 22:07
不明觉厉  
 楼主| program_mx 发表于 2019-2-9 15:51 来自手机
jixun66 发表于 2019-2-9 06:06
sub esp, 68

应该是函数头,长这样:

/抱拳,原来如此 谢谢
JUNGLE_CN 发表于 2019-2-9 15:53
可以利用在多开上面加版权
taoxiami 发表于 2019-2-12 11:44
不错,谢谢分享哈~~
sunson 发表于 2019-2-14 11:50
感谢分享!
bj2018 发表于 2019-3-11 21:31
关于微信APP的改写,很难。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 22:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表