准备工具:Cheat Engine
,OllyDbg
,IDA
前一篇()已经说过 CE 是什么,也应用 CE 研究了如何保存微信语音,这篇继续使用 CE 和 OD 来研究一下微信的消息发送接口。
思路大概是这样:在消息框中输入内容之后,通过 CE 找到内容地址,然后通过内存断点来找到发送该数据的相关代码,从而找到消息发送接口。
分析过程
查找关键数据地址
在输入框输入一个比较特别的文字内容(避免搜索时太多内存选项)后,使用 CE 搜索该内容地址。
由于已经知道确切的消息内容,很容易就能通过 CE 的 Exact value->String
来找到内容地址,修改内容多次筛选,最后留下两个结果(详细操作见上一篇文章)。
通过 CE 修改一下内存的内容,微信输入框中内容同步改变,说明这个内存地址就是输入框中内容地址,最终确认地址是2A1E1A8
。
接着在点击发送按钮之后,输入框内容会被清空,所以第一想法就是对内存地址下内存写入断点,可以找到发送过程中清空内容的代码。
打开 OD,挂载到 WeChat.exe 进程,在右下角数据窗口 Ctrl+G 输入2A1E1A8
,然后右键选择断点->内存写入断点。
F9 让 OD 跑起来,然后点击微信发送按钮,没想到意外发生了,输入框内容清空了,但是断点却没有触发。
怎么回事?断点弄错?地址找错?暂时没有答案。
用 CE 多次重复前面的操作,地址依然是这个地址,断点就是不触发。
通过 OD 查看到,在输入框清空后,2A1E1A8
的内容确实没有变化,和发送前一样,并且在重新输入新的内容之后,该内存内容同步更新。
所以结论就是输入框内容地址确实是2A1E1A8
,但是清空输入框并不是清空该内存内容,猜测编辑框可能通过控制字符串长短来控制显示的,清空输入框内容就是设置字符串长度为 0。
找到输入框类
清空输入框没有进展了,那怎么办呢?
尝试去找了其他数据,比如发送按钮的发送(S)
,发送按钮的提示内容不能发送空白内容
等等,数据地址也可以很快找到,但是和我们的分析目标偏的太远了。
几番折腾后,作罢。
转念一想,清空不行,发送总的读取输入框中内容吧,那换成内存访问断点尝试一下。
依然是在右下角数据窗口 Ctrl+G 输入2A1E1A8
,然后右键选择断点->内存访问断点。
完成后回到微信界面,没想到直接断下了,我还没点发送按钮呢。根据以前的经验,下意识就觉得是界面刷新显示文字触发了断点,这可能会影响分析,根本没办法通过发送按钮来触发内存访问断点。
一般解决方法有:
1、条件断点。也就是屏蔽掉刷新界面触发的断点,但是好像内存断点不支持条件断点啊,要么通过脚本来完成,好麻烦。
2、找其他切入点。废话,清空那边的路都断了,死心吧。
3、其他我不知道的...
放弃了一般的解决方法,我决定看看本次断点究竟干嘛了。
注意到断点的位置不是微信模块WeChatWin.dll
中,而是在msftedit.dll
,很少见的一个模块。根据目录可以看到是微软系统的一个模块,名字中的edit
也可以看出这应该是一个编辑框相关的模块。
可执行模块, 条目 20
基址=6F050000
大小=00094000 (606208.)
入口=6F05D53D msftedit.<ModuleEntryPoint>
名称=msftedit (系统)
文件版本=5.41.21.2510
路径=C:\Windows\System32\msftedit.dll
好像和我们的分析目标很贴近嘛,在 OD 中数据窗口右键断点->删除内存断点,然后按下 Alt+F9 回到用户模块领空,也就是跳过系统模块的代码,直接回到微信的模块代码中,省过对系统代码的分析。
看到返回到6E20CCC2
这个地址,上一行代码就是调用msftedit.dll
的函数,我们对其下一个断点,鼠标点击到6E20CCBF
这行代码,按下F2
下一个int 3
断点,然后F9
跳过本次分析。
OD 继续断下,此次直接断在了6E20CCBF
这个位置,可以看到call
调用了msftedit.6F05AD69
,这是个什么函数呢?
既然msftedit.dll
是微软模块,那么肯定是有符号的嘛,嘿嘿。
这里可以直接在 OD 中加载符号来分析,使用方法是:
1、在 WingDbg 目录下拷贝 dbgeng.dll,dbghelp.dll,srcsrv.dll,symbolcheck.dll,symsrv.dll,symsrv.yes,一共 6 个文件至 OD 目录下。
2、打开 OD,设置符号路径。调试--->选择符号路径。
3、设置 StrongOD 的插件选项。选择加载符号。
原文:
但是只支持本地符号,也就是得自己下载了模块对应符号到本地,OD 设置符号文件路径后,才能正常使用,有点麻烦。
我这时候一般就会使用 IDA 了,因为它会自己在线下载模块对应的符号,很方便。
用 IDA 打开msftedit.dll
,等待些许时间,IDA 下载符号,解析等等完成后,我们去找到msftedit.6F05AD69
对应的函数究竟是个什么东西。
但是这里msftedit.6F05AD69
的模块基址是6F050000
,而 IDA 解析使用的是默认基址0x6FCD0000
,要么修改IDA解析基址为6F050000
,等待 IDA 重新解析,要么通过偏移计算对应地址。
再解析等太久,直接计算吧,所以要安利我写的一个小工具([偏移计算工具](https://mp.weixin.qq.c
楼主残忍的关闭了评论