前言本文基于anhkgg大佬的文章《微信PC端技术研究(2)-拿下语音》原文链接:
https://bbs.pediy.com/thread-249274.htm
anhkgg大佬的这篇文章找到了保存语音消息的接口,这里直接给出相关特征码,方便定位(我使用的微信版本依旧是2.6.8.52)
偏移为0x30E326,下面的特征码
文章插图
基于保存语音的相关延伸其实这个地方不单单有语音消息,还有图片消息,当我们发送一条图片消息时
文章插图
[edi+0x30]的内容里面保存有这一次发送图片的相关数据,包括微信ID等一系列原始的数据 。我们当然可以在这个地方写HOOK来保存图片,但是没有必要 。因为这里的消息内容过多,处理起来相对会比较麻烦 。
图片处理的相关流程既然这个地方是最原始的消息内容,那么后面肯定会对消息进行相关处理 。而且我们已经知道微信的接收的图片会用异或加密的方式保存到本地 。那么我们不妨猜测一下图片相关的处理流程 。
首先接收到原始的消息后,会对消息进行一系列的处理,其中就包括判断消息是否是图片 。那么如果是图片则会取出图片数据,然后在内存中对图片进行加密 。加密完成之后调用文件操作的API,写入加密后的图片到本地 。
整个过程如图所示:
文章插图
自动保存图片相关思路既然了解图片处理的流程,而且已经有了接收图片消息的call,那么我们就可以在接收到图片消息之后,在CreateFileW创建图片之前,找到对图片进行加密的算法和函数,将未加密前的图片保存出来 。
实战保存聊天图片
文章插图
在OD中找到保存语音的call,发送图片消息让程序断下的同时,对CreateFileW进行下断 。之后F9运行
文章插图
此时文件路径为xlog,这个明显不符合我们的要求,继续F9运行
文章插图
一直找到图片路径带有Image关键字时,在创建图片
文章插图
此时我们点击K显示堆栈,找到第一层返回地址,右键显示调用
文章插图
当微信运行到这里的时候,图片加密已经完成,我们要在这个函数之前找到图片的加密算法,其实就在上面一点点的位置,鼠标稍微往上翻一下就能看到
文章插图
找到这个地方之后清除剩下的所有的断点,只保留这一个
对保存图片call的相关分析再次发送一张图片,程序断下 。这段代码首先用循环的方式对图片进行加密,循环的次数即ecx的值,也就是图片的大小 。其中有两个数据比较重要 。
文章插图
我们先在内存中查看[ebp-0x14]的内容,想要知道这段数据是什么其实很简单 。先下CreateFileW断点
文章插图
当CreateFileW断点断下后,执行到返回,查看打开的文件句柄
文章插图
此时打开的图片句柄为0xF80,此时再下WriteFile断点
文章插图
WriteFile断下后可以看到句柄为F80,写入的缓冲区地址为39FE820,而[ebp-0x14]的地址正好也是39FE820 。也就是说[ebp-0x14]这个位置保存的是加密后的图片数据
回到之前的断点,再次发送一张图片,查看[ebp-0x4]的数据
文章插图
此时[ebp-0x4]中保存了接收的图片,而ecx保存了图片的大小
文章插图
文章插图
这里借用PCHunter查看->进程内存,将这一段数据dump下来
推荐阅读
- 淘宝下单自动发货怎么弄 淘宝卖家怎么自动发货
- 黑客如何实现每隔10-60秒免费自动更改IP
- 降维算法:主成分分析 VS 自动编码器
- 黑客必备神器,包括系统和网络安全、逆向等工具
- 分居多久可以自动离婚
- 全自动洗衣机不进水
- 自动豆浆机
- 淘宝联盟怎么使用机器人发单 淘宝联盟怎么自动发链接
- 拼多多系统自动确认收货是几天?拼多多自动确认收货是几天?
- Selenium自动化中无头浏览器的应用