前几天讲了怎么用od断window的消息事件来找微信机器人踢人Call,不过因为消息事件断下来的时候,其实是在window领空,我们还要经过好几次的中转反复,才能进入到程序领空,其实是相当麻烦的。所以这篇咱就来讲下怎么用ida极速查找到微信机器人踢人的Call。
首先我们用Ida载入微信,然后切换到wechatwin.dll模块,等程序加载好后,我们按快捷键shift+f12切换到字符串搜索功能,然后输入“doDelMemberFromChatRoom”关键词查找,不要问我为什么是这个词,如果你真的要研究微信机器人相关知识的话,你自然而然的就会明白的。
包括像Contact,ChatRoom,其实这些都是微信里面的相关变量名或者是备注名或者是字段名。具体的看下流程:
1.关键词搜索后,会发现只有1个地方,我们双击进入
2.进入到汇编后,我们找到它的变量名,然后鼠标点它,按快捷键"x",跳出交叉引用的相关弹窗,发现也只有1处地方引用,这样很好,如果是多处的话,我们在od里面就要多处断点,会麻烦点。
3.双击过去后,就到了汇编的地方,ida牛x的地方就在于可以清晰的看整个流程图,知道函数头函数尾,所以我们找到这个函数的上层函数,然后拿出ida和od的偏移地址计算工具,计算出od里面的位置,然后打开od
剩下的就不说了,因为现在写文章,也没开od,只是把自己的分析流程大概写下,记得好像还要再往外一层才是最好Hook的地方,这个大家可以自己试看看,因为关键的地方咱们已经断下来了。也不是什么都直接教给大家才是好的,很多东西要自己去尝试才会变成自己的本领。
接下来打个广告吧,神牛微信机器人已经实现了微信群管理,比如微信群积分,关键词自动回复,自动踢人,微信多开,微信群导出,微信批量加人软件等的功能了,如有需要欢迎联系客服。
下回咱再来聊聊微信机器人怎么实现微信群批量自动加好友软件的,。