Windows逆向分析入门(八)——实战篇(收发文本消息)
本帖最后由 KongKong20 于 2020-6-27 19:00 编辑# 前言
这一篇,用到找偏移的第三个方法:日志;第四个方法:字符串;第五个方法:系统函数;第六个方法:第三方库。目标是收发文本消息。
# 一、发送消息
## 分析
1、发送信息的一般流程
1、界面上编辑消息
2、点击发送按钮
3、消息存入数据库
4、通过网络发送出去
2、可以切入的点
1、界面
2、数据库
3、网络发送函数
3、入手方式
界面入手,得跟踪Duilib的响应过程
数据库入手,得监听数据库Sqlite的函数
网络函数入手,数据依据加密了,难识别出来
数据从产生到发送,中间会有比较长的过程。
看下日志有没有可以参考的信息。
## Xlog
WX的日志模块是第三方库:Xlog。
关于Xlog的介绍和分析,后续会分享了《微信日志Xlog分析——带源码》。
注入打开日志的dll
随便操作界面,就有日志输出
发送一个文本信息
日志看到了关键词On MsgAdd PrefixId,和 sendTextMsg。
用OD搜索字符串,发现没有sendTextMsg,但是有On MsgAdd PrefixId,进行断点。
## 触发断点
函数调用的关系有两种
1、函数A调用函数B,函数B调用函数C(一条线)
2、函数A调用函数B,函数A调用函数C(分叉开)
点击发送按钮,WX会收到操作信息,部分信息给Duilib处理,部分信息给系统自带的函数处理:ntdll.NtdllDefWindowProc_W。
堆栈里面往下翻,发现有这个函数。意味着这个断点的位置,和发送消息函数的调用的关系是一条线的。也就是说,在堆栈就能找到发送消息的函数。
## 找函数
问题来了,堆栈这么多函数,到底哪一个呢?
一般发送消息函数的格式是:发送消息函数(参数:接收人,参数:发送的消息)
函数的调用约定有多种情况 __fastcall __stdcall __cdecl __thiscall。
这就意味这发送消息函数至少需要两个参数.
但不一定都在堆栈,可能在ecx或者edx。
从断点往回找,看有没有满足条件的。
第一个函数,堆栈没有关键的参数,函数也没用到ecx和edx,排除。
第二个函数,堆栈有发送的消息;两个参数,其中一个是0,函数也没用到ecx和edx,排除
第三个函数,堆栈有接收人;三个参数,没有发送的消息,函数也没用到ecx和edx,排除
第四个函数,堆栈有发送的消息;用到ecx和edx,加上3个push,总共五个参数,断点看下
可以看到这里的参数是齐全的。
但是参数1未知,是函数内一个变量,清空后发现能发送信息,可以直接伪造
修改发送的内容,验证下
1、发送老的信息 oldmsg
2、od里看下拦截的数据也是oldmsg
3、修改成newmsg
4、最终发送的是newmsg,这里就是我们要找的发送信息函数
## 算偏移
基址 :5A090000
Executable modules, 条目 8
基址=5A090000
大小=01946000 (26501120.)
入口=5ADE4A63 WeChatWi.<ModuleEntryPoint>
名称=WeChatWi
文件版本=2.9.0.123
路径=C:\Program Files (x86)\Tencent\WeChat\WeChatWin.dll
源码
5A17CA91 6A 01 push 0x1 ; 参数5:1
5A17CA93 8D43 34 lea eax,dword ptr ds:
5A17CA96 50 push eax ; 参数4:空结构
5A17CA97 53 push ebx ; 参数3:发送的消息
5A17CA98 8D55 9C lea edx,dword ptr ss: ; 参数2:接收人
5A17CA9B 8D8D C8F8FFFF lea ecx,dword ptr ss: ; 参数1:未知 可置空
5A17CAA1 E8 AAFF2500 call WeChatWi.5A3DCA50 ; 发送文本消息函数
5A17CAA6 83C4 0C add esp,0xC ;平衡堆栈用
参数
eax
13EF5AA800000000
13EF5AAC00000000
13EF5AB000000000
13EF5AB400000000
ebx
13EF5A7413FB51E0UNICODE "发送文本消息"
13EF5A7800000006
13EF5A7C00000008
13EF5A8000000000
13EF5A8400000000
ecx
空buffer:char buffer = {0};
edx
0096EF0013CA0610UNICODE "filehelper"
0096EF040000000A
0096EF0800000010
0096EF0C00000000
0096EF1000000000
偏移 = 内存地址 - 基址
发送文本消息函数 5A3DCA50 - 5A090000 = 34CA50
## 写代码
参数结构
构造参数
调用函数
# 二、接收消息
当WX收到消息时,也会在On MsgAdd PrefixId处触发断点。
跳转到ebp(ebp相对比较稳定)
双击ebp所在的行,地址这一列显示的是相对地址。
发送者 : ebp-0x220
$-220 > 13BD3EC0UNICODE "filehelper"
发送的消息:ebp -0x1F8
$-1F8 > 13C0C380UNICODE "手机发送的消息"
HOOK拦截至少需要五个字节,这里刚好五个(68 C0 03 49 5B)
5A3B9743 68 C003495B push WeChatWi.5B4903C0 ; UNICODE "On MsgAdd PrefixId : %I64d RealId : %I64d, SvrId :"
## 算偏移
基址:5A090000
Executable modules, 条目 8
基址=5A090000
大小=01946000 (26501120.)
入口=5ADE4A63 WeChatWi.<ModuleEntryPoint>
名称=WeChatWi
文件版本=2.9.0.123
路径=C:\Program Files (x86)\Tencent\WeChat\WeChatWin.dll
偏移 =内存地址 - 基址
接收消息hook位置 5A3B9743- 5A090000 = 329743
被覆盖的数据偏移5B4903C0 - 5A090000 = 14003C0
## 写代码
subtlelonging 发表于 2020-6-30 20:20
注入打开日志的dll
你好SOD注入的是那个dll
这个还没整理,可以先研究xlog,开源的。 lxhwan100 发表于 2020-6-27 19:30
很细致啊,感谢分享
小白一路走坑走过来的,自己也希望看到的资料是比较详细点:lol 很细致啊,感谢分享 膜拜!!!!!! 太厉害了 学习了 小白入坑,感觉分享! 感谢分享,非常详细 谢谢分享,高手。我等小白只能仰望。 注入打开日志的dll
你好SOD注入的是那个dll
页:
[1]
2