发表于 2023-1-28 18:59

申请会员ID:xingkongawa【申请通过】

1、申 请 I D:xingkongawa
2、个人邮箱:xkawa@outlook.com

3、原创技术文章:某信Hook登录信息
零、序言本文需要工具:x32dbg、Cheat Engine、某信PC端本文使用的某信是3.8.1.26版本32位,即写下这篇文章时的最新版
https://t.gmit.vip/2023/01/28/rg1rxo.png

一、分析登录状态由于某信的登录状态只有两种:未登录、已登录所以在内存区域中肯定存储的是一个布尔值。
1.寻找状态内存地址打开CE与某信CE附加某信,先不要登录,CE搜索4字节准确数值:0如图,出现三百万个数据:
https://t.gmit.vip/2023/01/28/s77rng.png

登录某信,再次将0改成1,再次扫描,退出,扫描0...直至剩下一百个左右数据,如图:
https://t.gmit.vip/2023/01/28/s8gprb.png

滑动到最底下,将除了如图绿色地址全部添加到列表:
https://t.gmit.vip/2023/01/28/s96tqf.pnghttps://t.gmit.vip/2023/01/28/se9xmo.png

观察列表内的地址,登录某信,选择一个在某信主功能窗口出现后才变成1的地址。右键,选择浏览相关内存区域,观察内存旁是否有某信号等信息,是的话选择此地址,不是则重新选择,并重复此步骤完成后退出某信
2.动态分析登录过程打开x32dbg,附加某信。选择模块,如图:
https://t.gmit.vip/2023/01/28/shf8j1.png

由于某信的众多操作都是在DLL完成的,所以我们要转到该模块,在底下搜索输入,进入该模块,如图:
https://t.gmit.vip/2023/01/28/shf74c.png

转到内存窗口,Ctrl+G转到你刚才的地址,完成后如图:
https://t.gmit.vip/2023/01/28/sm8ok6.png

右键下一个硬件写入字节断点。登录某信可以看到,断下来了一个call,在call上设置断点,并移除刚刚的断点。
https://t.gmit.vip/2023/01/28/tvvjj9.png

转到FPU,右键ESI,选择在内存窗口中转到:
https://t.gmit.vip/2023/01/28/twpqac.png

观察寄存器,发现:ESI+C4:某信号ESI+1D0:昵称ESI+140:手机号ESI+384:头像网址复制call的地址减去基址,得到偏移;进入call,复制函数头的地址,减去基址,得到跳回偏移。本篇文章到此结束。

Hmily 发表于 2023-1-31 10:52

I D:xingkongawa
邮箱:xkawa@outlook.com

申请通过,欢迎光临吾爱破解论坛,期待吾爱破解有你更加精彩,ID和密码自己通过邮件密码找回功能修改,请即时登陆并修改密码!
登陆后请在一周内在此帖报道,否则将删除ID信息。

ps:过程有些简单,期待后续分享交流吧。

xingkongawa 发表于 2023-1-31 12:25

新人报道,感谢审核{:1_893:}

codeWhere 发表于 2023-2-11 13:49

欢迎大佬,前来吾爱

xingkongawa 发表于 2023-2-11 21:33

codeWhere 发表于 2023-2-11 13:49
欢迎大佬,前来吾爱

你也是的哇:handshake
页: [1]
查看完整版本: 申请会员ID:xingkongawa【申请通过】