查看: 126|回复: 0

[转载图文] PC微信逆向:分析微信发送文件call

[复制链接]
发表于 2020-6-9 00:59:30 | 显示全部楼层 |阅读模式
                                                                                        文章目录

    • 发送文件call的结构体参数分析
    • 组合数据call的分析
    • 定位发送文件的call

接上一篇文章,PCXX逆向:发送与接收消息的分析与代码实现:https://blog.csdn.net/qq_38474570/article/details/93339861发送文件call的结构体参数分析

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  首先在OD中定位到发送消息的call,不管是发送文件还是图片都是需要经过这个call。

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  直接拉到函数头部,发送一个文本消息让OD断下

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  接着查看一下压入堆栈的参数,也就是eax的值,是之前分析过的发送艾特消息的结构体

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  然后在第一个地址数据窗口跟随,在偏移为0的位置的消息类型,偏移为4的位置的发送的文件的绝对路径,接着我们F7进入这个call,来分析整个call。
组合数据call的分析

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  这里发现了一个call,里面传入了要发送的文件的绝对路径,继续往下走

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  这里有一个call传入了接收者的微信ID,那么这个call就比较关键了,继续单步

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  这里有一个call传入一块缓冲区

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  当单步过这个call时,缓冲区里写入了接收者的微信ID和要发送的文件信息
定位发送文件的call  现在我们看到了这么多函数都传入了相关的参数,那么到底哪个才是用来发送文件的call呢。

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  首先可以确定的是,这三个函数是一定要写的

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  问题在于后面的这些函数到底要不要执行,如果要执行的话,执行哪一个才是关键?想要确定这个,就需要在每次测试的时候去nop掉其中一个函数,如果nop那个函数的时候崩溃了。就证明被nop的函数的一定要执行的

PC微信逆向:分析微信发送文件call

PC微信逆向:分析微信发送文件call
  经过分析,最后一个call是一定要执行的,前面几个call都是在组装数据,最后一个可能才是发送文件的call。如果要写代码实现发送文件的话,需要连续调用这四个call
  目前微信机器人的成品已经发布,需要代码请移步Github。还请亲们帮忙点个star
https://github.com/TonyChen56/WeChatRobot


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的最好奖励,还可以获得学币奖励,请尊重作者的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046
微信公众号
快速回复 返回顶部 返回列表