PC微信獲取登陸二維碼

我看到這篇文章以後本身嘗試了一下仍是找不到對應的call，畢竟沒有學習過逆向，只是由於一時興起想逆向一下微信。

找到關鍵CALL

不過我找到了一個投機取巧的辦法：由於已經知道了微信的二維碼圖片是PNG格式的，而PNG有一個通用的文件頭，以下

89 50 4E 47 0D 0A 1A 0A00 00 00 0D49 48 44 52 ; 塒NG........IHDR
 00 00 00 CE 00 00 00 CE 08 02 00 00 00 F9 7D AA ; ...?..?....鶀?
 93 00 00 00 09 70 48 59 73 00 00 0A 75 00 00 0A ; ?...pHYs...u...
75 01 4A 25 DD FD 00 00 0C 91 49 44 41 54 78 9C ; u.J%蔟...慖DATx?
ED 9D D9 96 DC 2A 0C 45 A9 AC FC FF 2F D7 7D 70 ; 頋贃?.E┈?/讅p
C7 97 66 10 9A 98 CF 7E C8 EA 54 95 6D 86 83 24 ; 菞f.殬蟸汝T昺唭$
04 B6 3F DF EF 37 00 D0 9F 3F B3 0B 00 6E 01 52 ; .?嗩7.袩??.n.R
03 83 F8 3B BB 00 AB F2 F9 98 0E 47 58 92 01 A9 ; .凐;?鶚.GX??

咱們能夠利用這個找到內存中的二維碼圖片，而後對它下內存寫入斷點就能夠找到改寫二維碼的代碼段。首先讓微信處於二維碼的狀態，接着咱們用CE附加微信搜索字符串IHDR，也就是上面的文件頭格式中的一個最明顯的標識。

而後把上面的地址放下來，綠色的就不用看了確定不是，從那篇文章能夠看出微信中圖片二維碼存放的是一個結構體，第一個指向的是圖片數據的指針，第二個是圖片的長度。全部這些地址確定還有上一級指針，全部咱們一個一個的搜索他們的上一級指針(這裏須要注意的是咱們搜索的地址是(地址-C)，而不是地址欄中的地址，這是由於IHDR並非PNG文件的文件頭，它前面還有12個字節(十六進制C)的數據，咱們搜的是他的文件頭的地址 )，以下：

找到全部地址的上一級指針的話(沒有的能夠直接刪除)，能夠直接在OD中dd查看一下這個指針，如圖

也能夠dc 0E782C58看一下是否是PNG文件頭的格式。另外，搜出來的地址中也有和這個同樣的，咱們只要長度爲E開頭的三位十六進制數(圖中爲E6F)的，對應大小大概是4K小一點。後面只須要對05FD3CC4這個二維碼地址下內存寫入斷點就能夠知道是哪裏修改了它。下完斷點後，掃描二維碼在返回二維碼登陸就會斷下，如圖：

把上面的代碼扣下來看一下

mov dword ptr ds:[esi],0x0       ;這個時候esi的值就是咱們下內存斷點的指針(05FD3CC4)，將原來圖片數據指針指向0x0
mov dword ptr ds:[esi+0x4],0x0   ;而esi+0x4很明顯就是圖片的長度，這兩行代碼應該是清空原來的數據
push 0x1
push edi
call WeChatWi.5194B3CC
add esp,0x8
mov dword ptr ds:[esi],eax       ;給圖片指針賦值,eax就是新二維碼數據的指針，不過此時只是個空指針，圖片還沒被賦值
xor ecx,ecx
test eax,eax
cmovne ecx,edi
pop edi
mov dword ptr ds:[esi+0x4],ecx   ；給長度賦值

接着咱們按F8單步走，一直到走出函數，也就是執行完retn 0x4，如圖

剛纔的代碼段就是WeChatWi.50D4D5D0中的代碼，剛纔說了，這個函數只是將原來的數據清空了而後賦值了一個空指針和一個長度，那麼圖片數據確定在後面被賦值，也就是在圖中的註釋那個函數中。固然，咱們也能夠看一下這個05FD3CC4這個咱們一開始找到的地址的偏移。

找到二維碼地址的偏移

若是讓我看OD裏面的彙編代碼來找到偏移，恐怕有點困難。因此我仍是用一個簡單的方法來找偏移：使用CE，首先咱們找到二維碼的地址指針，右鍵它點擊對這個地址使用指針掃描(可能由於CE翻譯版本不一樣有些差別，大體確定是指針掃描)：

其中上面的選項均可以默認，掃描線程數能夠適當調大，容許最大偏移和最大級別默認便可。若是找不到則須要加大。這兩個我先不解釋，後面在解釋。

你會獲得不少的結果，大概以下：

怎麼過濾呢，咱們須要關閉微信，從新打開再找一次二維碼的地址。而後在上面的菜單欄選擇指針掃描器->從新掃描...，以後輸入新找到的地址點肯定便可。這時候就剩下幾個結果了

咱們能夠重複上面的繼續刷選，固然這沒有必要，9個結果已經很理想了。這裏咱們能夠聯想上面OD中找到的彙編代碼段，看這篇博客最後一張OD的截圖

50C5E27E    57              push edi
50C5E27F    8D8E 54060000   lea ecx,dword ptr ds:[esi+0x654]    
50C5E285    E8 46F33600     call WeChatWi.50FCD5D0                   ; 從新賦值圖片
50C5E28A    57              push edi
50C5E28B    53              push ebx
50C5E28C    FFB6 54060000   push dword ptr ds:[esi+0x654]
50C5E292    E8 1954F500     call WeChatWi.51BB36B0                   ; 圖片數據賦值
50C5E297    83C4 0C         add esp,0xC

注意第二行和第六行，第二行的ecx其實就是咱們要的二維碼結構體指針。它是esi+0x654的偏移獲得的，咱們再看CE掃描出的結果。有兩個地址的偏移最後一位是0x654，咱們將全部地址雙擊一遍到地址欄中，重點關注這兩個地址。接着關閉微信在打開，觀察這9個地址的改變，你會發現有一個地址在微信啓動以後就沒變化過，而其餘的會改變。而這個地址正好是上面提到的兩個中的一個，不過這個地址雖然能拿到二維碼的數據可是卻不能用，由於在登陸界面沒出現二維碼的時候(好比肯定登陸的時候)這個地址也是有數據的，也是能讀出二維碼的圖片，固然這個圖片是失效的。因此正常來講，除了這個地址其餘應該都能使用。看來開始關注的點不對。

經過上面的步驟就能夠不用hook注入寫dll這麼麻煩了，直接讀找到的地址偏移就能夠獲得二維碼了。

aardio保存二維碼

使用aardio將地址中的圖片保存下來，代碼有點神奇，我開始還不知道。原先我一直在找怎麼用aardio讀字節，後面發現讀字符串保存到文件也行，由於string.save原本保存的就是字節數據。

import process;
import console;
 
prcs = process.find("WeChat.exe")
數據指針 = 0x05FD3CC4  //二維碼的結構體的地址，既然已經找到了偏移，將這個地址改爲偏移對應的地址就行
數據地址 = prcs.readNumber(數據指針)
長度 = prcs.readNumber(數據指針 + 0x4)
數據 = prcs.readString(數據地址, 長度)
string.save("E:\二維碼.png", 數據)

找二維碼字符串地址偏移

一開始提到的那篇文章還介紹瞭如何獲取二維碼字符串的數據，既然知道告終果，我以爲步驟能夠簡化一下。咱們在CE中搜索字符串找到一部分地址，而後等待刷新排除一部分，應該只剩下幾個了，而咱們能夠經過那篇博客看出這個地址還有上一級指針，並且上一級指針正好是dll地址加偏移，因此咱們直接在CE中搜索四字節的地址，找到有個綠色的就是二維碼字符的基址了。

個人當前版本(2.8.0.121)的基址：WeChatWin.dll+0x1635C58

接着咱們就能夠直接經過這個字符拼接出登陸的連接，而後利用某些網站的API就能夠將這個連接轉換爲二維碼，效果和上面繞了一大圈還要hook是同樣的。