十年老鸟开发-优快云博客

一是：自己写一个系统dll的壳，自己的dll只是实现间接的调用系统dll的功能。第一种：主动加载，通过注入的方式加载，先启动目标进程，在注入目标进程。二是：编写一个LSP（分层服务提供程序）。（2）：目标进程已经启动，通过枚举目标进程，然后加载外挂dll。第二种：被动加载，让目标自己主动去加载我们的dll。（1）：目标进程由我们主动启动，然后加载外挂dll。如何实现，让目标自动加载自己编写的dll呢？我今天要说的是第一种加载方式：主动加载。三是：系统驱动，这个要相对复杂了。（2）：枚举进程代码。

2024-11-13 17:32:44 400

原创 pc版微信数据库备份（6）外挂程序编写

我这个人比较懒，有别人现成的代码，我就拿来用一下，修改一下，就可以了。

2024-11-13 17:32:04 847

原创 pc版微信数据库备份（5）外挂程序编写确定hook位置

我们用xdbg32调试微信的时候，在 sqlite3_open,sqlite3_open_v2,sqlite3_open16 上下断点，都不会执行，因为微信没有调用这三个函数，而是直接调用了 openDatabase 这个函数。（3）将钩子（通过jmp，call等指令跳转到自己的代码的指令）占据的原来的指令，保存起来，放到合适的地方。是最后的两个参数，这是由于编译器优化的缘故，前两个参数，通过寄存器的方式来传递，一个是ecx，一个是edx。（2）分析hook地址处的代码，找到合适下钩子的地方。

2024-11-13 17:31:21 381

原创 pc版微信数据库备份（4）分析自己的例程，找到sqlite函数的特征码，定位微信中函数的位置

在第三篇编译程序时候，要取消编译器优化，要不找不到 sqlite_open这个函数，因为都被内联优化了，直接调用了 openDatabase 这个函数。观察这个函数，找出能代表这个函数特征的指令序列（尽可能通过搜索后，减少匹配的序列）我们去ida（打开weChatWin.dll的ida）中搜索这个。这篇解决了如何快速定位函数，找到了关键函数，下一步，就是写一个外挂程序，实现数据库的备份。这样我们就做到了做尽可能少的逆向工作，就可以快速定位要定位的函数。双击打开查看，对比一下，看看是不是我们要找的函数。

2024-11-13 17:29:38 433

原创 pc版微信数据库备份（3）sqlite 例程编写

【代码】pc版微信数据库备份（3）sqlite 例程编写。

2024-11-13 17:28:51 1439

原创 pc版微信数据库备份（2）编译sqlite源码

选择项目菜单中的 TestSqlite属性（TestSqlite是项目的名称，你创建项目时，使用的名称）为了下面方便添加头文件，和源文件，新建一个头文件夹include，将.h文件都移动到这个文件夹中。选中所有刚才下载的sqlite头文件（自己新建的include文件中的文件）里面都是头文件（.h)和c源码文件(.c)经过以上的操作后，就可以编译成功了。点击创建，就创建了一个控制台项目。（1）添加头文件(.h)（2）添加源文件（.c)（1）头文件路径的配置。（2）编译（生成项目）（3）解决编译中的错误。

2024-11-13 17:27:57 340

2403_88960584的博客

原创 0基础破解一款经典游戏反作弊器的过程

原创 pc版微信数据库备份（7）加载器编写

原创 pc版微信数据库备份（6）外挂程序编写

原创 pc版微信数据库备份（5）外挂程序编写确定hook位置

原创 pc版微信数据库备份（4）分析自己的例程，找到sqlite函数的特征码，定位微信中函数的位置

原创 pc版微信数据库备份（3）sqlite 例程编写

原创 pc版微信数据库备份（2）编译sqlite源码

原创 pc版微信数据库备份（1）sqlite 版本的定位

原创浅析Emotet银行木马

原创剑网三怪物二叉树分析

原创逆向记录分析

空空如也

空空如也