微信Hook实战记录2:动手实现恶意dll内存插入器

最新推荐文章于 2024-08-29 04:17:45 发布
原创 最新推荐文章于 2024-08-29 04:17:45 发布 · 1.1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#微信hook #Python

本文介绍如何使用C++编写一个内存注入工具,将恶意DLL注入到微信进程中。通过Hook技术,详细讲解了获取微信PID、申请内存、注入DLL路径以及调用Kernel32.dll的LoadLibraryA/W方法实现DLL注入的步骤。最后,讨论了恶意DLL可能实现的功能,如监控聊天和自动操作。

Hook任何软件,整体思路都是通过内存调试软件对软件运行时内存进行断点调试,找到想要hook的内存地址,转为可以通过程序主dll可以获得的相对地址,然后再此处插入自己的恶意汇编代码,如果代码比较复杂,还需要编写寄存器保护逻辑,避免自己的恶意代码修改了寄存器中的值后,程序正常的逻辑无法运行。

前言

在上一篇文章「微信Hook实战记录 1:找到个人信息」中,介绍了如何使用OD与CE来找到微信中存放个人信息的内存位置,本篇文章尝试通过C++编写一个简单的内存注入工具,将我们自己的恶意dll注入到微信的内存中。

本文记录了大量细节,完全可以模仿复现相同的效果。

内存注入工具的编写

打开 Visual Studio 2019(下载的时候勾选 C++ 桌面支持,6.9G左右),选择创建新项目

选择创建 Windows 桌面向导

然后创建就可以了,这里创面项目名为 Project1

创建完后,VS 会为我们创建一个默认的界面,我们在 解决方案 -> 源文件 中找到 Project1.cpp,这个文件就是我们要写逻辑的主要界面

将其中多余的代码删除,就留下如下代码

// Project1.cpp : 定义应用程序的入口点。
//

#include "framework.h"
#include "Project1.h"

int APIENTRY wWinMain(_In_ HINSTANCE hInstance,
	_In_opt_ HINSTANCE hPrevInstance,
	_In_ LPWSTR    lpCmdLine,
	_In_ int       nCmdShow)
{
   
   
    return 0;
}

wWinMain 是界面程序的入口,所有不必删除

接着将 解决方案 --> 资源文件 中的内容删除,这是 VS 默认创建好的,删除后,自己新建一个资源文件

选择 Dialog,即弹出框

调整一下创建出的按钮位置以及整体大小

要设置按钮与整体的属性,如按钮要设置其内容与ID,而整体Dialog也要设置一下其ID,可以右键点击 --> 属性

其他控制以相同的方式去设置,设置后后,就可以写代码了

首先修改一下 Project1.h 中的内容,如下

#pragma once

#include "resource1.h"

具体内容要看你VS为你生成了什么,前面我们通过图像界面操作后,VS会生成的相应的头文件,这里我生成了 resource1.h 的头文件,其内容如下:

//{
   
   {NO_DEPENDENCIES}}
// Microsoft Visual C++ 生成的包含文件。
// 供 Project1.rc 使用
//
#define ID_MAIN                         101
#define UN_DLL                          1001
#define INJECT_DLL                      1002

// Next default values for new objects
// 
#ifdef APSTUDIO_INVOKED
#ifndef APSTUDIO_READONLY_SYMBOLS
#define _APS_NEXT_RESOURCE_VALUE        103
#define _APS_NEXT_COMMAND_VALUE         40001
#define _APS_NEXT_CONTROL_VALUE         1003
#define _APS_NEXT_SYMED_VALUE           101
#endif
#endif

#endif

可以看出,其实就是我们设置的ID等内容

接着来修改一下 Project1.cpp, 其 wWinMain 方法修改如下:

#include "framework.h"
#include "Project1.h"
#include <TlHelp32.h>  
#include <stdio.h>

// 微信进程名
#define WECHAT_PROCESS_NAME "WeChat.exe"

int APIENTRY wWinMain(_In_ HINSTANCE hInstance,
	_In_opt_ HINSTANCE hPrevInstance,
	_In_ LPWSTR    lpCmdLine,
	_In_ int       nCmdShow)
{

	// hInstance 将句柄传递给弹窗  
	// 传入 Dialgo 主体ID
	// DialogProc 回调函数,是一个指针,即该函数的地址
	DialogBox(hInstance, MAK
最低0.47元/天 解锁文章
python版公众号爬虫
爬虫进击之路
12-29 674
一、公众号抓取来源 通过DLL注入PC微信监听微信公众号推送,实时抓取。优点是可以多开,且封号率几乎为0!项目采用gayhub上开源的DLL注入和python进行交互。目前支持的微信PC版本是2.8.0.121。WeChatSetup_2.8.0.121.exe 提取码:fg8b,源代码可在关注博主后留言获得。 二、DLL注入原理 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。要实现DLL注入。 三、具体功能 可以来实现: 监控或收集微信消息 自动消息推送 聊天机
PC端微信HOOK并与Python对接
热门推荐
小小明-代码实体的专栏
08-17 2万+
一款基于易语言开发的微信HOOK框架DaenWxHook内存级别控制PC端微信
hook 微信3.5.0.46的信息接收call,并写Dll
weixin_57272288的博客
04-25 7150
使用工具 wechat版本3.5.0.46 Cheat Engine 简称ce 吾爱破解[LCG] 简称od Visual Studio的c++ 第一步查找收消息的内存 先用ce加载wechat程序,再在“数值类型”中选择“字符串”选项,在’数值’这个选项里写上你发的内容,我收到的是“123‘,按”新的扫描“这时我们看到的结果很多,没关系,再次输入你再次收到的消息内容,选”再次扫描“,结果会大幅减少,反复这样操作,直到结果数量不变为止,然后把得到的结果都拉下来。 然后我们要挑选真正存消
微信HOOK 易源码,无DLL ,想写机人拿去学习吧
01-10
首先声明这源码之前有坛友发表过,之前研究过不成功。最近重新拿出来测试发现可以使用,特出来讲解下 应该很多朋友都尝试过。 对应的版本微:v2.4.5.37 ,编译出来为version.dll文件,放入微X安装目录下启动即可。 实现自己信息获取,好友信息获取,接收信息。发送信息没进行HOOK。原理劫持version.dll,获取基址-写入汇编函数-CALL回调函数。 用了个HOOK内存模块,可以通过论坛的模块反编译工具反编译出来。 开源才能更好的学习 感谢之前开源的伙伴,希望大家不要藏私了,,**写的完整源码分享下!
Doge-sRDI:Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
:frog: 青蛙自动扫描 :dog_face: 总督为国防规避和进攻安全 总督 Golang的反射式DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-PsC.dll Outflank-PsC.bin PS D:\> .\loader.exe .\Outflank-PsC.bin 1 Mess with the banana, die like the... banana? -------------------------------------------------------------------- [+] ProcessName: svchost.exe
微信 HOOK 与机人开发:数据库解密、公众号采集爬虫及企业微信 HOOK 全解析
07-25
WeChatHelper作为服务端,通过注入微信进程实现数据获取、HOOK等操作,并将数据回传客户端。客户端与服务端采用WM_COPYDATA方式实现进程间通信。 将WeChatRobot.exe与WeChatHelper.dll放置在同一目录,程序支持打开...
企业微信hook,PC企业微信hook,企业微信hook教程,易语言企业微信hook,pc微信hook小程序,pc微信hook全套教程,pc微信hook最新版本,企业微信hook 加好友,pc.zip
11-28
企业微信hook,PC企业微信hook,企业微信hook教程,易语言企业微信hook,pc微信hook小程序,pc微信hook全套教程,pc微信hook最新版本,企业微信hook 加好友,pc企业微信hook全套教程,PC企业微信HOOK接口在前面的内容中读者...
基于微信 PC 端 Python 接口:轻松实现人与群管理等强大功能的 x64 微信 hook 工具(3.9.10.19 版本适用)
最新发布
07-26
通过它可开展二次开发,实现微信人、群管理等实用功能。 社区版虽小巧但功能完备,不过存在一些限制:不支持长时间运行,且已停止维护更新,适配的微信版本为 3.6.0.18。 专业版则在功能上更具优势:不仅功能更...
Python基于PC版微信实现
huachao1001的专栏
08-07 8633
在github中有基于web版的微信实现的实时收发消息api,python调用起来非常简单。但是目前来说,大部分的用户没法登录web版的微信,因此也就没法使用。今天我们介绍基于windows版的微信实现实时收发信息。本文站在巨人的肩膀上,基于第三方提供的库,实现自动聊天机人。...
最新vxhook开源,仅供学习研究交流使用!
04-12
VX-Hook 3.9.12.45 是一款基于 Windows API Hook 技术的开源工具,主要用于 Windows 应用程序的调试、逆向分析和功能扩展。该项目以 学习研究 为目的,提供了一套完整的 DLL 注入 + API Hook 实现方案,适合安全研究人员、逆向工程师和 Windows 开发人员学习使用。
Python dll注入
weixin_42583683的博客
02-11 812
"DLL injection" 是指将一个DLL文件加载到一个运行中的进程,从而使该进程能够使用这个DLL文件中的函数和数据。 在Python中,可以使用ctypes库进行DLL注入,但这通常是不推荐的,因为它可能存在安全风险。如果您需要访问一个第三方DLL,更好的方法是通过接口或其他方式与其进行交互,而不是直接注入到进程中。 ...
【PC微信探秘】用易语言编写一个微信DLL注入
赵庆明老师
06-03 4814
.版本 2 .程序集 窗口程序集_启动窗口 .子程序 _按钮1_被单击 .局部变量 快照句柄, 整数型 .局部变量 进程信息, LPPROCESSENTRY32 .局部变量 下一个, 逻辑型 .局部变量 微信PID, 整数型 .局部变量 微信句柄, 整数型 .局部变量 DLL文件, 文本型 .局部变量 DLL文件字符串长度, 整数型 .局部变量 申请内存地址, 整数型 .局部变量 LoadLi...
两步hook获取64位微信(3.9.11.25)好友列表
jysatuo的博客
08-29 2060
在黄色框中下拉可以看到好友信息完整压入堆栈,点击红色框,在蓝色的汇编代码处写入断点,这个就是要hook的位置,好友信息在寄存rbp中。附frida代码,后续代码会上传github,另外我们目前在寻找合适的创业项目,有想法的朋友可以沟通交流,后面先拉个共创群,蔚Jysauto1314辛。cheat engine搜索微信好友列表中的微信号,点击不同好友,再次扫描当前好友微信号,直到结果数量减少。添加图片注释,不超过 140 字(可选) 添加图片注释,不超过 140 字(可选)
【亲测免费】 探索技术创新:WXHook - 一款强大的微信插件开发框架
gitblog_00082的博客
04-04 1830
探索技术创新:WXHook - 一款强大的微信插件开发框架 项目简介 是一个专为微信小程序开发者设计的开源框架,它提供了对微信小程序运行时环境的深度钩子和增强功能。借助此项目,开发者可以更灵活地定制和扩展微信小程序的功能,实现一些在官方API之外的需求。 技术分析 1. 模块化设计 WXHook 采用模块化的架构,各个功能模块独立,便于开发者选择需要的部分进行集成,降低了耦合度。这样的设计使得代码...
微信PC端钩子工具 - wechat-pc-hook-python
gitblog_00027的博客
03-28 1345
微信PC端钩子工具 - wechat-pc-hook-python 去发现同类优质开源项目:https://gitcode.com/ 该项目是基于Python开发的一个微信PC客户端钩子工具,可以在不修改微信原代码的情况下,实现一些自动化和定制化的功能。通过GitCode平台,你可以找到完整的源代码和详细的文档: 项目简介 wechat-pc-hook-python 主要利用了Python的钩子库...
基于hook技术实现微信办公助手、群发
wangtulaoda1234的博客
12-08 3072
基于hook技术实现微信办公助手
比较安全的方法有哪些
穆雄雄的博客
02-16 2179
前面两篇文章分别介绍了下chatgpt微信中如何接入chatgpt机人才比较安全(不会收到警告或者f号)之第一步登录微信微信中如何接入chatgpt机人才比较安全(不会收到警告或者f号)之第二步注入dll文件下载hook大恩的dll文件下载指定版本的微信,版本为:WeChatSetup3.6.0.18将文件复制到微信安装的目录下面双击Daen注入,填写dll路径,然后点击【注入并启动】此时微信就会自动打开,然后直接登录即可。此时的我们,就有了监听微信8055。
微信HOOK 协议接口 实战开发篇 3.收发文本消息 附详细步骤
q750936486的博客
12-26 6688
本次文章附带详细的HOOK步骤,使用了之前文章提到的字符搜索法。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值