吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3429|回复: 26
收起左侧

[原创] PCVX逆向全解:登录二维码分析与获取

[复制链接]
xingkongawa 发表于 2023-3-4 15:38
本帖最后由 xingkongawa 于 2023-3-5 07:23 编辑

PCVX逆向全解:登录二维码分析与获取

前言

尝试了各种教程,基本都是只适用于2.X版本的VX

经过两个小时的含辛茹苦地研究,研究出一种适用于3.X的登录二维码的分析思路

环境

1.PCVX:3.9.0.28(理论3.X通用思路,3.9.0.28测试通过)

2.CE

3.x32dbg或者OD

4.WinHex(可选)

避坑注解:建议使用ODx32dbg可能会出现VX莫名其妙退出的问题

基础知识(大佬可直接跳过)

VX的登录二维码在内存内是以png形式存储的

让我们先看一下png的文件格式

避坑注解:新版本是指向?png,而非IHDR

因此一直找不到二维码地址,后来才发现被他人的教程误导了

寻找二维码图片指针

打开VX,CE附加VX

搜索字节数组89 50 4E 47

2023/3/5注:此处步骤标注错误,应先点击新的扫描再输入89 50 4E 47
将除了绿色地址的所有地址添加到地址列表

(由于隔得时间比较久了,二维码可能刷新了,我这边重新扫描了一次)

搜索第一个地址,如图:

(如果没找到或者只有绿色的地址,则用地址栏内第二个地址尝试搜索,直到找到不是绿色的地址)

PS:此处可能扫描到多个地址,随意选择一个即可

寻找CALL

打开OD,附加VX,在搜到的指针处下断

用手机扫描VX二维码,点击取消登录,观察是否断下

此时VX极容易崩溃。。。崩溃了只好重试了

若未断下,就只能从头重新尝试了...

此处我是未断下,重新尝试...


经过一段时间的尝试,成功断下

断下的地方像这样:

断下后删除内存断点,在断下的地址下断

继续运行VX,重新扫码,取消登录

断下后查看堆栈窗口

选中后Enter进入

来到像这样的内存

显而易见,是调用了这个call才导致该指针发生改变

call处下断,取消原断点

F8跟进到retn

retn后来到如图所示内存,继续F8

retn后来到如图所示内存,在疑似关键CALL上下断,删除原断点

结构就像这样:

7965BCEA    8B75 14         mov esi,dword ptr ss:[ebp+0x14]
7965BCED    BA 288A4E7B     mov edx,WeChatWi.7B4E8A28                ; ASCII "LoginWnd::eventProc"
7965BCF2    56              push esi
7965BCF3    68 81020000     push 0x281
7965BCF8    B9 0C844E7B     mov ecx,WeChatWi.7B4E840C                ; ASCII "LoginWnd"
7965BCFD    E8 2EA92500     call WeChatWi.798B6630
7965BD02    83C4 08         add esp,0x8
7965BD05    84C0            test al,al
7965BD07    0F85 51110000   jnz WeChatWi.7965CE5E
7965BD0D    FF76 34         push dword ptr ds:[esi+0x34]
7965BD10    8D4D 0C         lea ecx,dword ptr ss:[ebp+0xC]
7965BD13    FF76 30         push dword ptr ds:[esi+0x30]
7965BD16    E8 A5494400     call WeChatWi.79AA06C0
7965BD1B    8D45 0C         lea eax,dword ptr ss:[ebp+0xC]
7965BD1E    C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
7965BD25    8B4F 38         mov ecx,dword ptr ds:[edi+0x38]
7965BD28    50              push eax
7965BD29    E8 32E2EFFF     call WeChatWi.79559F60                   ; 疑似关键CALL
7965BD2E    8B4F 28         mov ecx,dword ptr ds:[edi+0x28]
7965BD31    6A 01           push 0x1
7965BD33    6A 00           push 0x0
7965BD35    E8 8EE71F01     call WeChatWi.7A85A4C8

断下后F8一下(让他调用完CALL

右键EAX,点击数据窗口中跟随

如果你看到了类似这个样子的结构,那么恭喜你找到登录二维码的CALL

本篇文章到此结束,如果反响不错,我会出一篇代码HOOK的教程 :P

又:附上本版本VX原版下载地址


下载地址.txt (325 Bytes, 下载次数: 9)

免费评分

参与人数 15吾爱币 +20 热心值 +14 收起 理由
xiaoaoyong + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
笙若 + 1 + 1 谢谢@Thanks!
yuanyuanliya + 1 谢谢@Thanks!
helian147 + 1 + 1 热心回复!
liujing0735 + 1 + 1 谢谢@Thanks!
fengchuan + 1 用心讨论,共获提升!
xsi178964 + 1 用心讨论,共获提升!
腿毛哥 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
menghun + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Jvin + 1 + 1 我很赞同!
yuxinmo + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
chinawolf2000 + 1 + 1 热心回复!
xyl52p + 1 + 1 谢谢@Thanks!
danran + 2 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| xingkongawa 发表于 2023-3-5 21:56
只是稍稍编辑了一下,竟然审核了一天。。以后有补充的直接回帖,不编辑了
 楼主| xingkongawa 发表于 2023-3-7 21:26
xunqiudaka1 发表于 2023-3-7 17:08
大佬膜拜,有机会能不能帮我破解一下

如果是为此专门买一个账号没什么必要。。到时候我在别的平台发(标题和此贴标题相同),你直接在那下面留言就行了
 楼主| xingkongawa 发表于 2023-3-7 21:24
本帖最后由 xingkongawa 于 2023-3-7 22:05 编辑

那应该不是一个单独的call... (自动保存图片)HOOK接收图片消息CALL,然后解密dat文件,思路大概就是这样
过几天试试
hackerxj 发表于 2023-3-4 23:08
前排支持一个, 希望继续出后面HOOK的教程
头像被屏蔽
dengyy 发表于 2023-3-4 23:14
提示: 该帖被管理员或版主屏蔽
zjh889 发表于 2023-3-5 00:13
很好的技术贴,谢谢楼主分享!
头像被屏蔽
shenapex 发表于 2023-3-5 00:38
提示: 该帖被管理员或版主屏蔽
头像被屏蔽
weikechi626 发表于 2023-3-5 00:48
提示: 该帖被管理员或版主屏蔽
skoa 发表于 2023-3-5 03:13
期待后面的hook教程
Jvin 发表于 2023-3-6 10:35
大佬.我想知道自动下载图片的call怎么找
天空の幻像 发表于 2023-3-6 11:23
那种免扫码登录怎么弄的啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 23:48

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表