[原创]Dump微信PC端的界面Duilib文件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Dump微信PC端的界面Duilib文件

发表于: 2020-5-11 18:02 17142

[原创]Dump微信PC端的界面Duilib文件

KongKong20 活跃值

2020-5-11 18:02

17142

网上大多数的微信逆向思路，是CE搜索数据得到地址，OD下访问断点，然后在堆栈里面大海捞针的找Call，效率太低了。

其实微信的界面是用Duilib做的，Duilib的界面布局写在XML文件。然后界面的消息处理，是通过控件名处理的。比如发送按钮，XML文件里面是"send_btn"，代码里面是 if(xxx== "send_btn")。利用这个特性，可以直接用字符串定位，省事很多。

原版Duiib源码地址：f2fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1N6h3W2D9K9h3u0Q4x3V1k6V1N6h3W2D9K9h3t1`.

微信Duilib源码地址：36cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1k6h3&6U0k6h3&6@1P5i4g2F1i4K6u0r3g2p5W2y4f1@1c8w2i4K6u0r3N6s2u0W2k6g2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3y4J5L8%4y4K6i4K6u0V1M7r3I4S2N6r3k6G2M7X3#2Q4x3V1k6i4K9h3&6V1L8%4N6K6i4K6u0r3d9f1#2m8M7s2m8Q4x3V1k6n7j5i4y4A6j5#2)9J5c8X3c8#2K9h3I4A6j5R3`.`.

创建界面流程

窗口过程：CWindowWnd::__WndProc

消息处理函数：WindowImplBase::HandleMessage

处理创建窗口消息：WM_CREATE: WindowImplBase::OnCreate

创建界面：CDialogBuilder::Create（加载界面） CDialogBuilder::Create（处理控件）

加载界面资源：CMarkup::Load CMarkup::LoadFromFile CMarkup::LoadFromMem

WindowImplBase::OnCreate

MessageBox(NULL, _T("加载资源文件失败"), _T("Duilib"), MB_OK | MB_ICONERROR);

IDA打开 WeChatWin.dll

搜索字符串 Duilib

参考源码备注

调用偏移 080D8C0

builder.Create 偏移 0x08199EA

F7进入，F8单步调试，发现乱码XML

再F7进入，F8单步调试，两次MultiByteToWideChar就得到xml

对应源码这里是bool CMarkup::LoadFromMem

0FD7DC62 53 push ebx

0FD7DC63 6A 00 push 0x0

0FD7DC65 68 E9FD0000 push 0xFDE9

0FD7DC6A FF15 B4A47510 call dword ptr ds:[<&KERNEL32.MultiByteT>; kernel32.MultiByteToWideChar

0FD7DC70 8B5D FC mov ebx,dword ptr ss:[ebp-0x4]

0FD7DC73 33C9 xor ecx,ecx

Executable modules, item 6

Base=0F560000

Size=018A2000 (25829376.)

Entry=1023AA01 WeChatWi.

Name=WeChatWi

File version=2.8.0.121

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2020-5-12 10:06 被KongKong20编辑，原因：调整格式

收藏・33

免费・7

支持

最新回复 (10)
devenshu 雪币： 39 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	devenshu 2 楼 666 2020-5-11 23:37 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 3 楼网上的 C++逆向分析连IDA都不用，更别谈C++了，上来就是一手，我们先用CE搜XXXX，然后下断。然后这个call 2020-5-12 11:06 0
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 4 楼柒雪天尚网上的 C++逆向分析连IDA都不用，更别谈C++了，上来就是一手，我们先用CE搜XXXX，然后下断。然后这个call 逆向分析和 c++别扯一起。 ida只是静态分析工具，这样的工具还有很多。楼主说的CE OD 一样也可以用其它的代替。 2020-5-12 15:20 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 5 楼 yimingqpa 逆向分析和 c++别扯一起。 ida只是静态分析工具，这样的工具还有很多。楼主说的CE OD 一样也可以用其它的代替。 C程序的代码大抵上和C++分析出来的结构，不相同的还是有很多。做分析又不是为了单纯找数据， 2020-5-12 18:29 0
零下八度雪币： 238 活跃值： (1095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	零下八度 6 楼 nice，谢谢分享，又学到了一招~ 我尝试写段OD脚本来dump，在您说的 xor ecx,ecx 处下段，xml的内容确实是直接用dm命令dump下来了，想再请教下，在这时候怎么读到正确文件名？我在堆栈只找到了文件名 xxx/xxxx.xml ，没找到其长度存在哪。 2020-5-21 21:23 0
KongKong20 雪币： 3278 活跃值： (3081) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 59 关注私信	KongKong20 7 楼零下八度 nice，谢谢分享，又学到了一招~ 我尝试写段OD脚本来dump，在您说的 xor ecx,ecx 处下段，xml的内容确实是直接用dm命令dump下来了，想再请教下，在这时候怎么读到正确文件名 ... 可以参考下我给出的源码，里面都有的 2020-5-25 10:34 0
mb_ejekfyqx 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	mb_ejekfyqx 8 楼有个问题，我把奇游的xml给拿到了，但是我在字符串下断，只有初始化时才断到，怎么解决，谢谢了 2023-7-16 19:19 0
秋狝雪币： 5531 活跃值： (31866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-7-17 10:01 1
duhefei 雪币： 1072 活跃值： (1593) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	duhefei 10 楼解决问题的角度不一样,思路一下就开阔了,原来用CE找串的方式就显的有点低级了,每升级一次版本就有可能得改一次 2023-7-25 10:00 0
小小童话雪币： 15 活跃值： (432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	小小童话 11 楼楼主你联系方式多少 2024-2-7 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KongKong20

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
devenshu 雪币： 39 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	devenshu 2 楼 666 2020-5-11 23:37 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 3 楼网上的 C++逆向分析连IDA都不用，更别谈C++了，上来就是一手，我们先用CE搜XXXX，然后下断。然后这个call 2020-5-12 11:06 0
yimingqpa 雪币： 7187 活跃值： (5186) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 58 关注私信	yimingqpa 1 4 楼柒雪天尚网上的 C++逆向分析连IDA都不用，更别谈C++了，上来就是一手，我们先用CE搜XXXX，然后下断。然后这个call 逆向分析和 c++别扯一起。 ida只是静态分析工具，这样的工具还有很多。楼主说的CE OD 一样也可以用其它的代替。 2020-5-12 15:20 0
柒雪天尚雪币： 183 活跃值： (751) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 327 粉丝 5 关注私信	柒雪天尚 5 楼 yimingqpa 逆向分析和 c++别扯一起。 ida只是静态分析工具，这样的工具还有很多。楼主说的CE OD 一样也可以用其它的代替。 C程序的代码大抵上和C++分析出来的结构，不相同的还是有很多。做分析又不是为了单纯找数据， 2020-5-12 18:29 0
零下八度雪币： 238 活跃值： (1095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	零下八度 6 楼 nice，谢谢分享，又学到了一招~ 我尝试写段OD脚本来dump，在您说的 xor ecx,ecx 处下段，xml的内容确实是直接用dm命令dump下来了，想再请教下，在这时候怎么读到正确文件名？我在堆栈只找到了文件名 xxx/xxxx.xml ，没找到其长度存在哪。 2020-5-21 21:23 0
KongKong20 雪币： 3278 活跃值： (3081) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 37 粉丝 59 关注私信	KongKong20 7 楼零下八度 nice，谢谢分享，又学到了一招~ 我尝试写段OD脚本来dump，在您说的 xor ecx,ecx 处下段，xml的内容确实是直接用dm命令dump下来了，想再请教下，在这时候怎么读到正确文件名 ... 可以参考下我给出的源码，里面都有的 2020-5-25 10:34 0
mb_ejekfyqx 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	mb_ejekfyqx 8 楼有个问题，我把奇游的xml给拿到了，但是我在字符串下断，只有初始化时才断到，怎么解决，谢谢了 2023-7-16 19:19 0
秋狝雪币： 5531 活跃值： (31866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-7-17 10:01 1
duhefei 雪币： 1072 活跃值： (1593) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	duhefei 10 楼解决问题的角度不一样,思路一下就开阔了,原来用CE找串的方式就显的有点低级了,每升级一次版本就有可能得改一次 2023-7-25 10:00 0
小小童话雪币： 15 活跃值： (432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	小小童话 11 楼楼主你联系方式多少 2024-2-7 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复