本篇博客園地址https://www.cnblogs.com/bbqzsl/p/18171552
計劃來個wechat的逆向系列,包括主程序WeChat,以及小程序RadiumWMPF。
開篇,對WeChat入口進行分析。
depends顯示WeChat.exe並沒有依賴CRT,入口地址也找到那個Startup函數的特徵。初步猜想這個程序的作用是個loader。
上WinDbg,good,不像TdxW君萬般不讓給,人家就大大方方歡迎您來調試。
先來 trace 一趟。
在WeChat+0x7170開始加載所有DLL,
然後打開主窗口,阻塞等待登入。
現在我們來trace這個主邏輯函數。
千呼萬喚中,現在主角`WeChatWin!StartWechat`終於登場,位於WeChat+0x7a75。
現在Trace `WeChatWin!StartWechat`
本篇就跟蹤到打開登陸窗口,下一期再見。
下期內容將使用我在逆向通達信系列開發的工具一同逆向。
逆向通達信系列
逆向通達信Level-2 續十一 (無帳號登陸itrend研究版)
逆向通達信Level-2 續九 (無帳號打開itrend研究版)
逆向通達信Level-2 續八 (BackTrace, Trace任意TdxW.exe內部函數, Breakin)
逆向通達信Level-2 續四 (調試level2數據接口)
逆向通達信Level-2 續三 (KTL python控制檯動態調試)