申请会员ID：xingkongawa【申请通过】

1、申 请 I D：xingkongawa
2、个人邮箱：xkawa@outlook.com

3、原创技术文章：某信Hook登录信息
零、序言本文需要工具：x32dbg、Cheat Engine、某信PC端本文使用的某信是3.8.1.26版本32位，即写下这篇文章时的最新版


一、分析登录状态由于某信的登录状态只有两种：未登录、已登录所以在内存区域中肯定存储的是一个布尔值。
1.寻找状态内存地址打开CE与某信CE附加某信，先不要登录，CE搜索4字节准确数值：0如图，出现三百万个数据：


登录某信，再次将0改成1，再次扫描，退出，扫描0...直至剩下一百个左右数据，如图：


滑动到最底下，将除了如图绿色地址全部添加到列表：


观察列表内的地址，登录某信，选择一个在某信主功能窗口出现后才变成1的地址。右键，选择浏览相关内存区域，观察内存旁是否有某信号等信息，是的话选择此地址，不是则重新选择，并重复此步骤完成后退出某信
2.动态分析登录过程打开x32dbg，附加某信。选择模块，如图：


由于某信的众多操作都是在DLL完成的，所以我们要转到该模块，在底下搜索输入，进入该模块，如图：


转到内存窗口，Ctrl+G转到你刚才的地址，完成后如图：


右键下一个硬件写入字节断点。登录某信可以看到，断下来了一个call，在call上设置断点，并移除刚刚的断点。


转到FPU，右键ESI，选择在内存窗口中转到：


观察寄存器，发现：ESI+C4：某信号ESI+1D0：昵称ESI+140：手机号ESI+384：头像网址复制call的地址减去基址，得到偏移；进入call，复制函数头的地址，减去基址，得到跳回偏移。本篇文章到此结束。

Hmily

I D：xingkongawa
邮箱：xkawa@outlook.com

申请通过，欢迎光临吾爱破解论坛，期待吾爱破解有你更加精彩，ID和密码自己通过邮件密码找回功能修改，请即时登陆并修改密码！
登陆后请在一周内在此帖报道，否则将删除ID信息。

ps：过程有些简单，期待后续分享交流吧。

xingkongawa

新人报道，感谢审核

codeWhere

欢迎大佬，前来吾爱

xingkongawa

codeWhere 发表于 2023-2-11 13:49
欢迎大佬，前来吾爱

你也是的哇