roger 发表于 2020-6-9 00:57:55

PC微信逆向:分析通用设置数组

                                                                                        文章目录

[*]前言
[*]通用设置切入点
[*]分析通用设置数据结构
[*]分析通用设置数组
[*]随机的数组下标
前言  微信版本2.8.0.121
  分析诉求->通过代码实现关闭微信通用设置里的“有更新时自动升级微信"。
通用设置切入点  这种复选框的设置无非就是一个标志位的问题,分析起来比较简单,中间肯定会涉及到一些数据结构。作为开发者肯定不会把每一个设置选项都单独存放,而是放在一个数据结构里方便管理。
  首先用CE附加微信
  在取消勾选状态下搜索0
  在勾选状态下搜索1
  重复这个步骤,直到筛选出唯一一个地址。
  然后在这个地址上下内存写入断点,并且让程序断下
分析通用设置数据结构  eax+0x8就是我们要找的标志位,这里要往上追eax的值
基址=eax+0x8
  eax一般作为返回值来源于上面的call,但是上面一个call不会断下,说明不来自于call,而是来自
基址=+0x8
  在这个位置下断,查看+0x8的值,这里我们发现不是我们要找的标志位,说明中间有代码改变了ecx的值

  一直F7往下走,发现有一个循环,先确定循环头和循环尾,接着来分析整段代码
  先比较的值是否等于ebx,这里是循环的跳出条件。ebx等于0x69,这个0x69后续等分析完了整个结构大概可以猜到是什么。
  接着edx自增1,edx的值在循环体外被初始化为0,说明这个edx相当于循环的i。然后比较edx和esi,esi的值为0x12,也就是说循环的次数最大为0x12,整个数据结构的总共有0x12个成员。
  继续往下
  这里将ecx+4,数据窗口跟随查看一下ecx,这种连续的地址明显是一个数组。ecx是数组首地址。这个数组没有用最常见的的的方式进行遍历,而是用首地址一直+4的方式来遍历整个数组。
  再回到之前的偏移表达式
  这里ecx来自于,就是数组首地址
基址=[]+0x8
  这里就要修改一下这个偏移表达式了
基址=[+i*0x4]+0x8
  接下来确定数组下标
  在循环跳出条件的地址下断,观察edx的值,此时edx等于4
  当下标为4时,这个结构体数组指向我们要找的标志位
基址=[+4*0x4]+0x8
  继续往上追edi
  edi来自
基址=[[+0x4]+4*4]+0x8
  往上找esi
  esi来自ecx
基址=[[+0x4]+4*4]+0x8
  返回上层函数追ecx
  ecx来自edi
  edi又来自ecx,返回上层追ecx
  ecx来自eax,进到上面的call追eax
  这里我们看到eax来自于一个基址,到这里,禁止更新的基址就找完了。
分析通用设置数组  接着我们来分析一下整个结构体数组
[[[+0x4]+0x4]+i*4]+0x8
  整个表达式可以拆分为下面几部分
数组首地址=[+0x4]+0x4
数组下标=i*4
偏移=0x8
  首先来观察数组的首地址,0x2B32A58就是整个通用设置结构体数组的首地址,下面的0x12是数组成员个数。数据窗口跟随
  这里是结构体数组,每一个成员都是一个结构体。再观察下标为4的表达式内容
[[[+0x4]+0x4]+4*4]+0x8
  这里的值为0x69,正好是循环的结束条件,这个应该是类似功能ID之类的唯一标识。另外每一个下标都对应不同的通用设置,这里列出部分
i=2:开启新消息提醒声音
i=3:开启语音和视频通话提醒声音
i=4:有更新时自动升级微信
i=5:热键与其他冲突时提醒
i=6:适用系统缩放比例
  这里还会碰到一个很玄学的问题,每台电脑的偏移不一样,比如i=4在我这里是有更新时自动升级微信,在另外一台机器上可能是i=7的时候是这个功能设置。
随机的数组下标  想要解决这个问题,就要回顾之前的代码
  这一块是整个数组的遍历代码,所有的通用设置都会走这段代码,当勾选开启语音和视频通话提醒声音时,这个功能ID为0x68
0x68:开启新消息提醒声音
0x172:开启语音和视频通话提醒声音
0x69:有更新时自动升级微信
0x6D:保留聊天记录
  所以修改通用设置的关键并不是数组下标对应的标志位,这个数组下标是随机的。关键在于功能ID对应的标志位,有点类似Key->Value的组合
功能ID:[[[+0x4]+0x4]+i*4]+0x4
标志位:[[[+0x4]+0x4]+i*4]+0x8
  如果想要修改对应的通用设置,就要先比对功能ID,然后修改ID对应的标志位。到这里,整个通用设置算是分析完成了。
  最后 附Github地址:https://github.com/TonyChen56/WeChatRobot

页: [1]
查看完整版本: PC微信逆向:分析通用设置数组