hookVX发送好友信息 3.6.0.18

寂寞de蠕虫 · 发表于 2022-3-29 20:46:28

[e=0].版本 2

子程序名	返回值类型	公开	备注
子程序_Hook_发送消息			EDX
参数名	类型	参考	可空	数组	备注
ECX

变量名	类型	静态	数组	备注
id	文本型

' filehelper  wxid_ 切换搜索
' 蒋皓轩 wxid_ui2t3s572wjd12
' wxid_yb74478460e722
' 雨后阳光  wxid_2mb30rx0skhi22
' ce搜索用户ID 切换记得勾选UTF-16编码
' 锁定一个用户然后像其他用户发送找出具体CALL
' wxid_2qld5meptfaa22
' 5CF4E391 C740 10 0000000>mov dword ptr ds:[eax+0x10],0x0
' 5CF4E398 8D45 D4       lea eax,dword ptr ss:[ebp-0x2C]
' 5CF4E39B 50             push eax                               ; 0
' 5CF4E39C E8 7F52FEFF    call WeChatWi.5CF33620
' 5CF4E3A1 E8 EA413900    call WeChatWi.5D2E2590                ; 发送消息Call
' 5CF4E3A6 83EC 18       sub esp,0x18
' 5CF4E3A9 C745 C8 60FFF45>mov dword ptr ss:[ebp-0x38],WeChatWi.5CF>
' 5CF4E3B0 8BCC          mov ecx,esp
' 5CDC0000
' 5CF4E39C-5CDC0000=WeChatWin.dll+18E39C  Hook地址
' 5CF33620-5CDC0000=WeChatWin.dll+173620  Call地址
' 把EDX 的地址  的 UNICODE 地址更换为微信ID
' 信息框 (内存读整数 (内存读整数 (EDX)), 0, , )
' 信息框 (EDX, 0, , )
' 信息框 (内存读整数 (EDX), 0, , )
' 信息框 (内存读整数 (内存读整数 (EDX)), 0, , )
' id ＝编码_Unicode到Ansi (内存读字节集 (内存读整数 (ECX ＋十六进制 (“18”)), 100))
' 信息框 (id, 0, , )
. ' 如果真 (id ≠ “”)
写内存字节集 (内存读整数 (ECX ＋十六进制 (“18”)), 编码_Ansi到Unicode (好友id))
客户端发送 (客户端指针, 到字节集 (“FSHYX” ＋ #消息分割符＋好友id ＋ #消息分割符＋好友消息内容), )
' id ＝编码_Unicode到Ansi (内存读字节集 (内存读整数 (ECX ＋十六进制 (“18”)), 100))
' 信息框 (id, 0, , )

' 写内存字节集 (内存读整数 (内存读整数 (EDX)), 编码_Ansi到Unicode (好友id))
' 客户端发送 (客户端指针, 到字节集 (“FSHYX” ＋ #消息分割符＋好友id ＋ #消息分割符＋ “ok”), )

子程序名	返回值类型	公开	备注
子程序_Hook_消息内容			ECX
参数名	类型	参考	可空	数组	备注
ECX

' 5208E331 F7E9          imul ecx
' 5208E333 C1FA 04       sar edx,0x4
' 5208E336 8BC2          mov eax,edx
' 5208E338 C1E8 1F       shr eax,0x1F
' 5208E33B 03C2          add eax,edx
' 5208E33D 8945 E8       mov dword ptr ss:[ebp-0x18],eax
' 5208E340 74 20          je short WeChatWi.5208E362
' 5208E342 833E 01       cmp dword ptr ds:[esi],0x1
' 5208E345 75 13          jnz short WeChatWi.5208E35A
' 5208E347 8D4E 04       lea ecx,dword ptr ds:[esi+0x4]          ; 消息内容
' 5208E34A E8 01052400    call WeChatWi.522CE850
' 5208E34F 84C0          test al,al
' 5208E351 0F84 C8010000 je WeChatWi.5208E51F
' 5208E357 8B45 E8       mov eax,dword ptr ss:[ebp-0x18]
' 5208E35A 47             inc edi
' 5208E35B 83C6 48       add esi,0x48
' 5208E35E 3BF8          cmp edi,eax
' 5CF4E331 F7E9          imul ecx
' 5CF4E333 C1FA 04       sar edx,0x4
' 5CF4E336 8BC2          mov eax,edx
' 5CF4E338 C1E8 1F       shr eax,0x1F
' 5CF4E33B 03C2          add eax,edx
' 5CF4E33D 8945 E8       mov dword ptr ss:[ebp-0x18],eax
' 5CF4E340 74 20          je short WeChatWi.5CF4E362
' 5CF4E342 833E 01       cmp dword ptr ds:[esi],0x1
' 5CF4E345 75 13          jnz short WeChatWi.5CF4E35A
' 5CF4E347 8D4E 04       lea ecx,dword ptr ds:[esi+0x4]          ; 消息内容
' 5CF4E34A  - E9 B11C11A4    jmp 01060000                            ; Hook 消息地址
' 5CF4E34F 84C0          test al,al
' 5CF4E351 0F84 C8010000 je WeChatWi.5CF4E51F
' 5CF4E357 8B45 E8       mov eax,dword ptr ss:[ebp-0x18]
' 5CF4E35A 47             inc edi
' 5CF4E35B 83C6 48       add esi,0x48
' 5CF4E35E 3BF8          cmp edi,eax
' 消息内容 Hook  5208E34A-51F00000=WeChatWin.dll+18E34A = Hook地址
' 522CE850-51F00000=WeChatWin.dll+3CE850 = Call地址
' 把ECX 的地址  的 UNICODE 地址更换为自定义内容
' 信息框 (内存读整数 (内存读整数 (ECX)), 0, , )
' 写内存字节集 (内存读整数 (内存读整数 (ECX)), 编码_Ansi到Unicode (好友消息内容))
写内存字节集 (内存读整数 (ECX), 编码_Ansi到Unicode (好友消息内容))

.版本 2<br />
[e=0].版本 2<br />
<br />
.子程序 子程序_Hook_发送消息, , , EDX<br />
.参数 ECX<br />
.局部变量 id, 文本型<br />
<br />
' filehelper  wxid_ 切换搜索<br />
' 蒋皓轩 wxid_ui2t3s572wjd12<br />
' wxid_yb74478460e722<br />
<br />
' 雨后阳光  wxid_2mb30rx0skhi22<br />
<br />
' ce搜索 用户ID 切换   记得勾选UTF-16编码<br />
' 锁定一个用户 然后像其他用户发送 找出具体CALL<br />
' wxid_2qld5meptfaa22<br />
<br />
' 5CF4E391    C740 10 0000000>mov dword ptr ds:[eax+0x10],0x0<br />
' 5CF4E398    8D45 D4         lea eax,dword ptr ss:[ebp-0x2C]<br />
' 5CF4E39B    50              push eax                                 ; 0<br />
' 5CF4E39C    E8 7F52FEFF     call WeChatWi.5CF33620<br />
' 5CF4E3A1    E8 EA413900     call WeChatWi.5D2E2590                   ; 发送消息Call<br />
' 5CF4E3A6    83EC 18         sub esp,0x18<br />
' 5CF4E3A9    C745 C8 60FFF45>mov dword ptr ss:[ebp-0x38],WeChatWi.5CF><br />
' 5CF4E3B0    8BCC            mov ecx,esp<br />
' 5CDC0000<br />
' 5CF4E39C-5CDC0000=WeChatWin.dll+18E39C  Hook地址<br />
' 5CF33620-5CDC0000=WeChatWin.dll+173620  Call地址<br />
' 把EDX 的 地址  的 UNICODE 地址更换为微信ID<br />
' 信息框 (内存读整数 (内存读整数 (EDX)), 0, , )<br />
<br />
<br />
' 信息框 (EDX, 0, , )<br />
' 信息框 (内存读整数 (EDX), 0, , )<br />
' 信息框 (内存读整数 (内存读整数 (EDX)), 0, , )<br />
<br />
' id ＝ 编码_Unicode到Ansi (内存读字节集 (内存读整数 (ECX ＋ 十六进制 (“18”)), 100))<br />
' 信息框 (id, 0, , )<br />
<br />
.' 如果真 (id ≠ “”)<br />
    写内存字节集 (内存读整数 (ECX ＋ 十六进制 (“18”)), 编码_Ansi到Unicode (好友id))<br />
    客户端发送 (客户端指针, 到字节集 (“FSHYX” ＋ #消息分割符 ＋ 好友id ＋ #消息分割符 ＋ 好友消息内容), )<br />
    ' id ＝ 编码_Unicode到Ansi (内存读字节集 (内存读整数 (ECX ＋ 十六进制 (“18”)), 100))<br />
    ' 信息框 (id, 0, , )<br />
.如果真结束<br />
<br />
' 写内存字节集 (内存读整数 (内存读整数 (EDX)), 编码_Ansi到Unicode (好友id))<br />
' 客户端发送 (客户端指针, 到字节集 (“FSHYX” ＋ #消息分割符 ＋ 好友id ＋ #消息分割符 ＋ “ok”), )<br />
<br />
<br />
.子程序 子程序_Hook_消息内容, , , ECX<br />
.参数 ECX<br />
<br />
<br />
' 5208E331    F7E9            imul ecx<br />
' 5208E333    C1FA 04         sar edx,0x4<br />
' 5208E336    8BC2            mov eax,edx<br />
' 5208E338    C1E8 1F         shr eax,0x1F<br />
' 5208E33B    03C2            add eax,edx<br />
' 5208E33D    8945 E8         mov dword ptr ss:[ebp-0x18],eax<br />
' 5208E340    74 20           je short WeChatWi.5208E362<br />
' 5208E342    833E 01         cmp dword ptr ds:[esi],0x1<br />
' 5208E345    75 13           jnz short WeChatWi.5208E35A<br />
' 5208E347    8D4E 04         lea ecx,dword ptr ds:[esi+0x4]           ; 消息内容<br />
' 5208E34A    E8 01052400     call WeChatWi.522CE850<br />
' 5208E34F    84C0            test al,al<br />
' 5208E351    0F84 C8010000   je WeChatWi.5208E51F<br />
' 5208E357    8B45 E8         mov eax,dword ptr ss:[ebp-0x18]<br />
' 5208E35A    47              inc edi<br />
' 5208E35B    83C6 48         add esi,0x48<br />
' 5208E35E    3BF8            cmp edi,eax<br />
<br />
<br />
' 5CF4E331    F7E9            imul ecx<br />
' 5CF4E333    C1FA 04         sar edx,0x4<br />
' 5CF4E336    8BC2            mov eax,edx<br />
' 5CF4E338    C1E8 1F         shr eax,0x1F<br />
' 5CF4E33B    03C2            add eax,edx<br />
' 5CF4E33D    8945 E8         mov dword ptr ss:[ebp-0x18],eax<br />
' 5CF4E340    74 20           je short WeChatWi.5CF4E362<br />
' 5CF4E342    833E 01         cmp dword ptr ds:[esi],0x1<br />
' 5CF4E345    75 13           jnz short WeChatWi.5CF4E35A<br />
' 5CF4E347    8D4E 04         lea ecx,dword ptr ds:[esi+0x4]           ; 消息内容<br />
' 5CF4E34A  - E9 B11C11A4     jmp 01060000                             ; Hook 消息地址<br />
' 5CF4E34F    84C0            test al,al<br />
' 5CF4E351    0F84 C8010000   je WeChatWi.5CF4E51F<br />
' 5CF4E357    8B45 E8         mov eax,dword ptr ss:[ebp-0x18]<br />
' 5CF4E35A    47              inc edi<br />
' 5CF4E35B    83C6 48         add esi,0x48<br />
' 5CF4E35E    3BF8            cmp edi,eax<br />
<br />
' 消息内容 Hook  5208E34A-51F00000=WeChatWin.dll+18E34A = Hook地址<br />
' 522CE850-51F00000=WeChatWin.dll+3CE850 = Call地址<br />
' 把ECX 的 地址  的 UNICODE 地址更换为自定义内容<br />
' 信息框 (内存读整数 (内存读整数 (ECX)), 0, , )<br />
' 写内存字节集 (内存读整数 (内存读整数 (ECX)), 编码_Ansi到Unicode (好友消息内容))<br />
<br />
写内存字节集 (内存读整数 (ECX), 编码_Ansi到Unicode (好友消息内容))

      m_基址＝取模块基址 (“WeChatWin.dll”)
      Hook_Pro (m_基址＋十六进制 (“18E34A”), { 96, 81, 232, 0, 0, 0, 0, 97 }, 到整数 (&子程序_Hook_消息内容), m_基址＋十六进制 (“3CE850”), 真)  ' ECX
      Hook_Pro (m_基址＋十六进制 (“18E39C”), { 96, 81, 232, 0, 0, 0, 0, 97 }, 到整数 (&子程序_Hook_发送消息), m_基址＋十六进制 (“173620”), 假)  ' ECX
[/e]

BQXR · 发表于 2023-8-29 16:31:47

牛逼牛逼

BQXR · 发表于 2023-8-28 09:47:26

感谢大哥

coolya · 发表于 2022-4-11 21:32:02

coolya · 发表于 2022-4-11 21:31:47

Amwsffpl · 发表于 2022-3-30 00:14:11

谢谢分享

		自动登录	找回密码
密码			注册

[Windows逆向] hookVX发送好友信息 3.6.0.18