赵庆明老师

最近在分析一款智能卡读取程序，目的是提取程序发出的指令，提取程序收到的数据。也就是5F290549 行，的retn,虽然字节数不够，在HOOK的时候还会多覆盖两个字节，但一般函数之间是有间隙的。如果只是提取程序发出的指令，也就是说提取为“SCardTransmit”提供的参数的话，可以这样做。但如果，HOOK下面的CALL指令的话，补充指令，虽然也可行，但计算比较麻烦。接下来，还需要提取程序收到的数据，那么最佳的位置就在函数的尾部。这条指令是一个mov指令，HOOK之后，也容易补充。

上代码：

上源代码：

上代码：输出结果：

上代码：

启动WX，登录WX，遍历SQLite数据库句柄，上代码：

上代码：文件名;wechat_x_room_name.ts

启动WX，登录WX，执行如下脚本，打印个人基本信息（其他信息，待补充）。上代码：文件名：wechat_self.ts

直接上代码联系人链表，数据读取class WeChatContract { private moudule_name: string = "WeChatWin.dll"; private wechat_version: string = "3.6.0.18"; private moudule: Module; private contract_offset: number = 0; private welcome() { console.log("

在VS中配置自动编译功能创建工作文件夹比如，E:\Frida\启动vscode最简单的方式，进入命令行，切换到E:\Frida输入 code点，启动vscode，同时信任该文件夹E:cd E:\FridaFrida>code .创建tsconfig.json文件在vs中按ctrl+`(ESC下面的那个键)，打开内置终端在里面输入tsc --init将创建一个 tsconfig.json配置文件修改配置文件在vs中点击，tsconfig.json，开始编辑设置如下内容

安装vscode + typescript开发环境请参考《vscode编写typescript自动编译以及名称冲突问题》安装python环境https://www.python.org/在安装时，勾选将python添加到路径安装完毕时，点击“Disable path length limit”设置python源国内python源，任意一个都可以：清华：https://pypi.tuna.tsinghua.edu.cn/simple阿里云：http://mirrors.aliyun.com

地址分析过程，暂略。直接上代码如何执行，请参考文件名：wechat_log.tsclass WeChatLog { private moudule_name: string = "WeChatWin.dll"; private wechat_version: string = "3.6.0.18"; private moudule: Module; private _log_state: boolean = false; private hook_offset