西西軟件園多重安全檢測(cè)下載網(wǎng)站、值得信賴的軟件下載站!
西西首頁(yè) 電腦軟件 安卓軟件 電腦游戲 安卓游戲 排行榜 專題合集

PC端微信逆向分析(強(qiáng)制輸出微信調(diào)式信息)源碼及工具

v4.81.0.0
  • PC端微信逆向分析(強(qiáng)制輸出微信調(diào)式信息)源碼及工具v4.81.0.0
  • 軟件大小:223KB
  • 更新時(shí)間:2020-01-09 08:41
  • 軟件語(yǔ)言:中文
  • 軟件廠商:
  • 軟件類別:國(guó)產(chǎn)軟件 / 免費(fèi)軟件 / 行業(yè)軟件
  • 軟件等級(jí):4級(jí)
  • 應(yīng)用平臺(tái):WinXP, Win7, win8
  • 官方網(wǎng)站:暫無(wú)
  • 應(yīng)用備案:
好評(píng):50%
壞評(píng):50%

軟件介紹

PC端微信逆向分析(強(qiáng)制輸出微信調(diào)式信息)源碼及工具,由吾愛(ài)大神原創(chuàng)制作的一個(gè)微信逆向分析PC端工具,并提供程序和源碼資源下載,這款PC端微信逆向分析工具由JieKeH的一篇文章《PC微信逆向---分析獲取登錄二維碼的數(shù)據(jù)》啟發(fā),修改了一些功能項(xiàng)目,可以查看微信調(diào)試程序信息,本次帶來(lái)PC端微信逆向分析源碼和程序資源下載,感興趣的朋友們不妨看看吧!

PC端微信逆向分析(強(qiáng)制輸出微信調(diào)式信息)源碼及工具

PC端微信逆向分析說(shuō)明

更簡(jiǎn)單的方式

編寫(xiě)DLL,所涉及到的知識(shí)較多,涉及到編碼、編譯、注入等一系列操作,不但操作復(fù)雜而且修改也不容易。近日,最新正式版的微信2.8.0.106推出,我在此新版本上進(jìn)程了相關(guān)的嘗試,其實(shí)只是在CE中進(jìn)行簡(jiǎn)單的一些設(shè)置,即可滿足需求,就算是新手也不難掌握。由于剪輯視頻太耗時(shí)間,而且相比于上一個(gè)視頻也沒(méi)多少新意,因此僅整理成文檔分享給大家。部分內(nèi)容,之前的視頻中有講解,這里就不再贅述,直接進(jìn)入本文主題。

定位“是否啟用調(diào)試”的地址

在OD中附加微信后,查詢二進(jìn)制代碼“74 14 FF B5 EC FE FF”(為何是這個(gè)二進(jìn)制代碼,請(qǐng)參考之前的視頻講解),定位到如下代碼片段,并在接下來(lái)的CALL(WeChatWi.79164604)上下一個(gè)斷點(diǎn):

ds:[0x79A6CA01],這個(gè)地址,就是是否啟動(dòng)調(diào)試的開(kāi)關(guān)。計(jì)算出偏移地址:0x160CA01。在微信中,這個(gè)地址中的數(shù)據(jù)被設(shè)置成0,因此調(diào)試信息將不會(huì)輸出。只要將這個(gè)地址中的數(shù)據(jù)更改為1,那么輸出調(diào)試信息的開(kāi)關(guān)就被打開(kāi)了。但是,調(diào)試信息還有其他開(kāi)關(guān),那就是調(diào)試級(jí)別。

定位“調(diào)試級(jí)別”的地址

查詢二進(jìn)制代碼“56 89 9D F0 FB FF FF”(為何是這個(gè)二進(jìn)制代碼,請(qǐng)參考之前的視頻講解),定位到如下代碼片段:

PC端微信逆向分析(強(qiáng)制輸出微信調(diào)式信息)源碼及工具


進(jìn)入 WeChatWi.79154DB0這個(gè)CALL后,到達(dá)如下代碼片段:

ds:[0x79A1CD54],這個(gè)地址,就是調(diào)試級(jí)別的設(shè)置。計(jì)算出偏移地址:0x15BCD54。在微信中,這個(gè)地址中的數(shù)據(jù)被設(shè)置成2,也就是高于“kLevelDebug”的信息才會(huì)被輸出。只要將這個(gè)地址中的數(shù)據(jù)更改為0,也就是“kLevelAll”或“kLevelVerbose”,也就是輸出全部調(diào)試信息。

定位調(diào)試數(shù)據(jù)的代碼段

在JieKeH的文章中,完成這兩步設(shè)置后,調(diào)試信息即可輸出,在DebugView中課捕獲微信自身的調(diào)試信息。正如前文所述,隨著微信版本的升級(jí),此方法很快失效。于是,基于此設(shè)置,我再用HOOK的方式,重新讓微信具備了調(diào)試信息的輸出的功能。到目前最新的2.8.0.106版本,HOOK方法依然有效。當(dāng)然,無(wú)論怎么做,定位調(diào)試數(shù)據(jù)這個(gè)步驟還是不能少的。

用鼠標(biāo)動(dòng)一動(dòng)微信,OD中程序?qū)和T谡{(diào)用“WeChatWi.79164604”處(之前下的斷點(diǎn)處),按F7進(jìn)入該函數(shù)。注意觀察堆棧窗口,持續(xù)按F8,單步執(zhí)行,直到堆棧頂部出現(xiàn)如下類似的信息。這些信息,就是原本要輸出的調(diào)試信息。接下來(lái),在HOOK中,同樣把這個(gè)數(shù)據(jù)提取出來(lái),從調(diào)試信息中輸出,然后在DebugView中捕獲。

這時(shí)候,觀察程序運(yùn)行的代碼部分,計(jì)算出該代碼片段中“add esp,0x4c“所在匯編代碼的偏移地址:0x‭CE7853‬。其代碼片段如下:‬

在上一個(gè)HOOK的視頻中,我在這里進(jìn)行了HOOK。在本文中,我使用CE來(lái)進(jìn)行一小段“代碼注入”即可代替編寫(xiě)DLL這種難度高、而且手續(xù)繁雜的工作。

定位堆棧中數(shù)據(jù)的地址

雖然數(shù)據(jù)在堆棧頂部,但是由于下來(lái)要對(duì)堆棧進(jìn)行操作,如果使用ESP來(lái)取數(shù)據(jù),還需一些手動(dòng)的計(jì)算,稍顯麻煩。由于EBP在堆棧操作過(guò)程中會(huì)保持不變,因此我們使用EBP加上一定的偏移量來(lái)取數(shù)據(jù),這樣就不需要額外的手動(dòng)計(jì)算。

在OD堆棧窗口中,點(diǎn)右鍵選擇“轉(zhuǎn)到EBP“,在該行的地址上雙擊,變成”$==>“

然后,在OD堆棧窗口中,點(diǎn)右鍵選擇“轉(zhuǎn)到ESP“,記錄該行相對(duì)于EBP的偏移:$-40E0。也就是說(shuō),當(dāng)前的數(shù)據(jù)位于[ebp-0x40E0]這個(gè)地方,也就是ESP所指向的地方。因此,我們?nèi)〉搅藬?shù)據(jù)存儲(chǔ)的地址:ebp-0x40E0。

PC端微信逆向分析測(cè)試

輸出調(diào)試信息:1

設(shè)置調(diào)試級(jí)別:0

OutPutDebug:?jiǎn)⒂茫莻(gè)方框中間畫(huà)一個(gè)叉)

以管理管身份啟動(dòng)“DebugView”軟件,用鼠標(biāo)動(dòng)一動(dòng)微信,即可觀察到微信輸出的調(diào)試信息。

PC端微信逆向分析相關(guān)

其他版本下載

發(fā)表評(píng)論

昵稱:
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
查看所有(0)條評(píng)論 > 字?jǐn)?shù): 0/500

TOP
軟件下載