VXHOOK 3.0.18 VX收发信息Call

寂寞de蠕虫 · 发表于 2022-4-1 09:28:45

Hook_Pro (m_基址＋十六进制 (“4C0F79”), { 96, 87, 232, 0, 0, 0, 0, 97 }, 到整数 (&子程序_Hook_接收好友新消息), m_基址＋十六进制 (“1A07A81”), 假)

子程序名	返回值类型	公开	备注
子程序_Hook_接收好友新消息
参数名	类型	参考	可空	数组	备注
edi

变量名	类型	静态	数组	备注
好友消息id	文本型
好友消息消息内容	文本型
好友消息昵称	文本型
消息类型	整数型

' 51450F4B 8D85 6CF6FFFF lea eax,dword ptr ss:[ebp-0x994]
' 51450F51 C645 FC 08    mov byte ptr ss:[ebp-0x4],0x8
' 51450F55 50             push eax
' 51450F56 8D85 D4F7FFFF lea eax,dword ptr ss:[ebp-0x82C]
' 51450F5C 8BCE          mov ecx,esi
' 51450F5E 50             push eax
' 51450F5F E8 2C5B2000    call WeChatWi.51656A90
' 51450F64 C645 FC 07    mov byte ptr ss:[ebp-0x4],0x7
' 51450F68 8B8D D4F7FFFF mov ecx,dword ptr ss:[ebp-0x82C]
' 51450F6E 8885 1FF8FFFF mov byte ptr ss:[ebp-0x7E1],al
' 51450F74 85C9          test ecx,ecx
' 51450F76 74 09          je short WeChatWi.51450F81
' 51450F78 51             push ecx
' 51450F79 E8 036B5401    call WeChatWi.52997A81                ; Hook 好友新消息地址
' 51450F7E 83C4 04       add esp,0x4
' 51450F81 8B85 E0F7FFFF mov eax,dword ptr ss:[ebp-0x820]
' 51450F87 85C0          test eax,eax
' 51450F89 74 09          je short WeChatWi.51450F94
' 51450F8B 50             push eax
' 51450F8C E8 F06A5401    call WeChatWi.52997A81
' 51450F91 83C4 04       add esp,0x4
' 51450F94 80BD 1FF8FFFF 0>cmp byte ptr ss:[ebp-0x7E1],0x0
' 51450F9B 0F84 7D010000 je WeChatWi.5145111E
' 51450FA1 8BB5 F0F6FFFF mov esi,dword ptr ss:[ebp-0x910]
' 51450FA7 8D8D 08FCFFFF lea ecx,dword ptr ss:[ebp-0x3F8]
' 51450FAD 0BB5 F8F7FFFF or esi,dword ptr ss:[ebp-0x808]
' 51450F79-50F90000=WeChatWin.dll+4C0F79  hook
' 52997A81-50F90000=WeChatWin.dll+1A07A81 call
' ESP 数值地址的地址内容 UNICODE 内容为好友  ID 、
' EDI + 10数值地址的地址内容 UNICODE 内容为好友消息内容
' 出栈是反着出的
' pushad
' push eax
' push ecx
' push edx
' push ebx
' push esp
' push ebp
' push esi
' push edi
' call Label1
' Label1:
' popad
消息类型＝内存读整数 (edi)
' 信息框 (消息类型, 0, , )

判断 (消息类型＝ 0) ' 这个是发送消息

判断 (消息类型＝ 1) ' 这个是接收消息

好友消息id ＝编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi －十六进制 (“28”)), 100))

好友消息昵称＝编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi －十六进制 (“14”)), 100))

好友消息消息内容＝编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi ＋十六进制 (“10”)), 100))

' 信息框 (好友消息id ＋ “:” ＋好友消息昵称＋ “:” ＋好友消息消息内容, 0, , )

如果真 (好友消息昵称＝ “”)

好友消息昵称＝ “【未知】”

如果真 (好友消息id ≠ “” 且好友消息消息内容 ≠ “” 且好友消息昵称 ≠ “”)

客户端发送 (g_客户指针, 到字节集 (“JHXX1” ＋ #消息分割符＋好友消息id ＋ #消息分割符＋好友消息昵称＋ #消息分割符＋好友消息消息内容))

.版本 2<br />
<br />
.子程序 子程序_Hook_接收好友新消息<br />
.参数 edi<br />
.局部变量 好友消息id, 文本型<br />
.局部变量 好友消息消息内容, 文本型<br />
.局部变量 好友消息昵称, 文本型<br />
.局部变量 消息类型, 整数型<br />
<br />
<br />
<br />
' 51450F4B    8D85 6CF6FFFF   lea eax,dword ptr ss:[ebp-0x994]<br />
' 51450F51    C645 FC 08      mov byte ptr ss:[ebp-0x4],0x8<br />
' 51450F55    50              push eax<br />
' 51450F56    8D85 D4F7FFFF   lea eax,dword ptr ss:[ebp-0x82C]<br />
' 51450F5C    8BCE            mov ecx,esi<br />
' 51450F5E    50              push eax<br />
' 51450F5F    E8 2C5B2000     call WeChatWi.51656A90<br />
' 51450F64    C645 FC 07      mov byte ptr ss:[ebp-0x4],0x7<br />
' 51450F68    8B8D D4F7FFFF   mov ecx,dword ptr ss:[ebp-0x82C]<br />
' 51450F6E    8885 1FF8FFFF   mov byte ptr ss:[ebp-0x7E1],al<br />
' 51450F74    85C9            test ecx,ecx<br />
' 51450F76    74 09           je short WeChatWi.51450F81<br />
' 51450F78    51              push ecx<br />
' 51450F79    E8 036B5401     call WeChatWi.52997A81                   ; Hook 好友新消息地址<br />
' 51450F7E    83C4 04         add esp,0x4<br />
' 51450F81    8B85 E0F7FFFF   mov eax,dword ptr ss:[ebp-0x820]<br />
' 51450F87    85C0            test eax,eax<br />
' 51450F89    74 09           je short WeChatWi.51450F94<br />
' 51450F8B    50              push eax<br />
' 51450F8C    E8 F06A5401     call WeChatWi.52997A81<br />
' 51450F91    83C4 04         add esp,0x4<br />
' 51450F94    80BD 1FF8FFFF 0>cmp byte ptr ss:[ebp-0x7E1],0x0<br />
' 51450F9B    0F84 7D010000   je WeChatWi.5145111E<br />
' 51450FA1    8BB5 F0F6FFFF   mov esi,dword ptr ss:[ebp-0x910]<br />
' 51450FA7    8D8D 08FCFFFF   lea ecx,dword ptr ss:[ebp-0x3F8]<br />
' 51450FAD    0BB5 F8F7FFFF   or esi,dword ptr ss:[ebp-0x808]<br />
<br />
' 51450F79-50F90000=WeChatWin.dll+4C0F79  hook<br />
' 52997A81-50F90000=WeChatWin.dll+1A07A81 call<br />
' ESP 数值地址 的 地址内容 UNICODE 内容为好友  ID 、<br />
' EDI + 10数值地址 的 地址内容 UNICODE 内容为好友 消息内容<br />
<br />
' 出栈是反着出的<br />
' pushad<br />
' push eax<br />
' push ecx<br />
' push edx<br />
' push ebx<br />
' push esp<br />
' push ebp<br />
' push esi<br />
' push edi<br />
' call Label1<br />
' Label1:<br />
' popad<br />
消息类型 ＝ 内存读整数 (edi)<br />
' 信息框 (消息类型, 0, , )<br />
.判断开始 (消息类型 ＝ 0)  ' 这个是发送消息<br />
<br />
.判断 (消息类型 ＝ 1)  ' 这个是接收消息<br />
    好友消息id ＝ 编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi － 十六进制 (“28”)), 100))<br />
    好友消息昵称 ＝ 编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi － 十六进制 (“14”)), 100))<br />
    好友消息消息内容 ＝ 编码_Unicode到Ansi (内存读字节集 (内存读整数 (edi ＋ 十六进制 (“10”)), 100))<br />
    ' 信息框 (好友消息id ＋ “:” ＋ 好友消息昵称 ＋ “:” ＋ 好友消息消息内容, 0, , )<br />
    .如果真 (好友消息昵称 ＝ “”)<br />
        好友消息昵称 ＝ “【未知】”<br />
    .如果真结束<br />
    .如果真 (好友消息id ≠ “” 且 好友消息消息内容 ≠ “” 且 好友消息昵称 ≠ “”)<br />
        客户端发送 (g_客户指针, 到字节集 (“JHXX1” ＋ #消息分割符 ＋ 好友消息id ＋ #消息分割符 ＋ 好友消息昵称 ＋ #消息分割符 ＋ 好友消息消息内容))<br />
    .如果真结束<br />
<br />
.默认

hsyh · 发表于 2023-3-7 16:17:22

学习了，感谢分享

lzptts · 发表于 2023-2-5 21:54:23

楼主有没有接收群聊的信息

cherryy · 发表于 2022-5-6 20:30:11

想学习下

airansate · 发表于 2022-4-1 22:40:18

学习了，感谢分享

		自动登录	找回密码
密码			注册

[Windows逆向] VXHOOK 3.0.18 VX收发信息Call