PC端:
微信的主要功能都是在WeChat\[3.9.10.27]\WeChatWin.dll
动态链接库中实现的
直接进IDA分析
都没有符号表
我们需要找一下实现撤回功能的函数,尝试在字符串里搜索revokeMsg
也是有非常多的字符串
我们需要用frida来hook这些字符串来找出撤回实际调用的函数
先初步写一个脚本找到WeChatWin.dll的基地址
#wecaht_hook
import frida
import sys
def main(target_process):
session = frida.attach(target_process)
jsCode = """
//找WeChatWin.dll映射到内存的根地址
const baseAddr = Module.findBaseAddress('WeChatWin.dll');
console.log("WeChatWin.dll baseAddr: " + baseAddr);
"""
#js脚本控制注入逻辑
script = session.create_script(jsCode)
script.load() #加载脚本
print("Process attatched successfully!")
sys.stdin.read() #持续执行
if __name__=='__main__':
target_process = 15964 #pid
main(target_process)
'''
WeChatWin.dll baseAddr: 0x7ffb6d8e0000
Process attatched successfully!
'''