微信版本3.1.0.41
主要几个步骤:
1、用CE找hook地址
找小号向测试的微信号发送消息,然后用ce搜索,注意搜索字符串(多发送几次,删除明显不对的),
找到很多个结果,右键“浏览相关内存区域”查看内存中是否存在带<msg>的内存
一般这个就是了。
确定内存地址为0x11022973,CE结束了开始使用OD。
2、OD查找call。
查找内存区域,命令dd 0x11022973 (下断点用bp)
下内存写入断点
再次用小号发送消息到测试号
断下来了。有下面查找堆栈访问信息,一直往下找,大概在十几个这样子会找到,一个个点进去看
或者直接按alt+k查找堆栈。
如果找到这种数据库操作的一般来说就是找到了,这个函数内做数据库操作。
这里不适合做hook点,往上一级找hook点,在函数头下断点
把之前的断点去除,继续运行,在发送一次消息
好断下来了,返回上一级函数
看起来也不太适合
我们继续上一步的操作 找到函数头 下断点
继续返回上一层
我们在call上 下一个断点 然后把刚刚前面几个断点先取消了
这里 一共是压入了3个参数
我们在第一个 mov eax,xxxx 这里下一个断点
单步来分析一下 这里面都有什么
我们看下ecx 的值
可以右键右上角的寄存器中的 ecx 寄存器,这里可以看到 ecx 的值是一个 0x0
然后 选择数据窗口跟随
这里在压入 eax 之前 eax 的值 + 0x14
我们已经知道 eax 在最开始 就是赋值了 [ebp-0x3c]
我们来看下 他这里面到底放了什么东西
这里指向了一个内存地址
我们在追进去看下
可以看到 还是一个内存指针
继续追进去
这里 已经有我们的wxid 发的内容 这些消息了 也就是说 压入的这个参数 就是 我们微信消息的结构体
eax 这个地址怎么来呢
78A0A55D 8B45 C4 mov eax,dword ptr ss:[ebp-0x3C] ; eax 赋值 [ebp-0x3c]
78A0A564 83C0 14 add eax,0x14
也就是
消息结构体内存地址 = [[ebp + 0x3c] + 0x14]
我们继续看 下一个参数是什么
由于我们是在写入库的上一层做的分析 第三个参数这里是一个数据库文件名字
这个我们可以不用管它 毕竟我们用不到她
我们现在记录下 微信模块WeChatWin.dll的基址 等会我们拿数据 得用这个来计算偏移量
Executable modules, 条目 11
基址=786A0000
大小=01B0C000 (28360704.)
入口=79514DAC WeChatWi.<ModuleEntryPoint>
名称=WeChatWi
文件版本=3.1.0.41
路径=C:\Program Files (x86)\Tencent\WeChat\WeChatWin.dll
我们吧这个call 也记录下来
