PC微信逆向：使用HOOK获取好友列表和群列表|安全文摘|黑白网

获取好友列表目前有三种方法，第一种就是二叉树遍历，通过一层一层的往下读取来拿到所有的好友列表。第二种是通过在内存里面找好友的地址列表。第三种就是通过查找微信数据库来获取列表获取好友列表的切入点要想获取微信的好友列表，就必须找到微信读取好友列表的地方。突破口在于微信在点击个人名片时，会获取当前联系人的详细信息，然后显示在右侧。那么我们可以大胆猜测微信在登陆的

获取好友列表目前有三种方法，第一种就是二叉树遍历，通过一层一层的往下读取来拿到所有的好友列表。第二种是通过在内存里面找好友的地址列表。第三种就是通过查找微信数据库来获取列表

获取好友列表的切入点

要想获取微信的好友列表，就必须找到微信读取好友列表的地方。突破口在于微信在点击个人名片时，会获取当前联系人的详细信息，然后显示在右侧。

那么我们可以大胆猜测微信在登陆的时候，需要先调用这个call，循环拿到所有好友的详细信息，然后再显示到右侧

第一步：我们首先要找到微信获取好友详细信息的函数。这个函数在读取好友列表时必然会被调用，第二步，再通过这个函数找到获取好友列表的地方。

另外还有一种方法就是通过好友的数量，先搜索当前好友的数量，然后删除一个，再次搜索。直到找到保存好友数量的地址。

定位查询好友信息的函数

那么如何找到查询好友信息的函数呢？突破口在于当前窗口的微信号，只要找到微信号的地址，然后对微信号下内存写入断点，栈回溯分析就能找到我们需要的函数。

定位微信号的地址

首先搜索当前的微信号，勾选Unicode

接着切换联系人，再次扫描

最终会剩下五个结果，我们需要逐个排查每一个结果

一次错误的尝试

随便找一个地址，下内存写入断点。然后切换当前联系人窗口，断点断下。删除内存断点。

我们需要找到一个地址，地址里面包含联系人的所有信息

在堆栈的地址中我们发现了一个返回地址，返回地址下面有微信的个人数据。那么这个有可能就是我们需要的call

切换当前窗口联系人，等待断点断下

此时，堆栈和eax寄存器中保存了当前联系人的所有数据

继续往下拉会发现eax中保存有签名和国家等信息。也就是说这个call里面保存了当前聊天窗口的好友的所有信息。

接着我们删除好友，让好友列表刷新，看看这个地方会不会断下来。如果会断下来，那么这个地方就有可能保存了所有好友的信息。

删除之后，断点并未断下，那么这个call就不是我们想要的

再次查找目标函数

继续找另外一个地址，下内存写入断点

此时再次搜索返回地址，你会发现在压入返回地址前的一个参数中有一个完整的好友信息

这个call将一个完整的好友信息压入堆栈，那么说明这个call之前好友信息已经被查询出来了。我们需要继续往上找，反汇编窗口跟随这个call

在函数头部的位置下断点

等程序断下时在堆栈中找到返回地址

然后在找到的上一层函数下断点，断下之后按F8单步步过，看看这个函数的作用是什么

在这个call执行完毕之后，edi里面保存的就是好友的所有信息。那么说明这个call的作用就是查询当前好友的详细信息！

成功定位获取好友信息的函数

接着我们F7进入这个函数，看看好友的详细信息具体是从哪里个函数中查询出来的

单步到这里我们发现在进入临界区之后有一个函数，这个函数将微信ID的指针压入栈，我们F8步过函数查看一下返回值

此时eax里保存了当前好友的所有详细信息。通过参数和返回值也就可以猜到这个call的作用是通过微信ID获取详细信息。那么我们第一步就算是大功告成了。

定位获取好友列表的函数

我们重新载入微信，然后在找到的获取好友详细信息的函数下断点

登录微信，此时断点断下，接着按F8步过

此时eax寄存器中保存有联系人的数据，这个函数会调用多次，每调用一次查询一个好友信息。

事实上获取好友列表的call不止这一个地方，但是这个地方拿到的数据是最多的。可以拿到所有的好友列表和群列表以及公众号

函数已经找到了，那么我们只要写一个dll，注入到微信的进程空间中，利用Inline HOOK就能获取到所有的好友列表了

示例代码

部分示例代码如下：

开始HOOK：

VOID StartHook(DWORD hookAdd, LPVOID jmpAdd)
{
 BYTE JmpCode[HOOK_LEN] = { 0};//我们需要组成一段这样的数据
// E9 11051111(这里是跳转的地方这个地方不是一个代码地址 而是根据hook地址和跳转的代码地址的距离计算出来的)
JmpCode[0] = 0xE9;//计算跳转的距离公式是固定的
//计算公式为 跳转的地址(也就是我们函数的地址) - hook的地址 - hook的字节长度
 *(DWORD *)&JmpCode[1] = (DWORD)jmpAdd - hookAdd - HOOK_LEN; //hook第二步 先备份将要被我们覆盖地址的数据 长度为我们hook的长度 HOOK_LEN 5个字节

//获取进程句柄
 HANDLE hWHND = OpenProcess(PROCESS_ALL_ACCESS, NULL, GetCurrentProcessId()); //备份数据
if (ReadProcessMemory(hWHND, (LPVOID)hookAdd, backCode, HOOK_LEN, NULL) == 0) {
MessageBox(NULL,"hook地址的数据读取失败","读取失败", MB_OK); return;
}//真正的hook开始了 把我们要替换的函数地址写进去 让他直接跳到我们函数里面去然后我们处理完毕后再放行吧！
if (WriteProcessMemory(hWHND, (LPVOID)hookAdd, JmpCode, HOOK_LEN, NULL) == 0) {
MessageBox(NULL,"hook写入失败，函数替换失败","错误", MB_OK); return;
}

}

显示好友列表

//显示好友列表VOID insertUserLists(DWORD userData)
{

 DWORD wxidAdd = userData + 0x10;
 DWORD wxuserIDAdd = userData + 0x44;
 DWORD wxidV1Add = userData + 0x58;
 DWORD wxNickAdd = userData + 0x8C;
 DWORD headPicAdd = userData + 0x11C;//DWORD wxNickAdd = userData + 0x8C;

wchar_twxid[0x100] = {0};if ((LPVOID *)wxidAdd) {
 swprintf_s(wxid, L"%s", *((LPVOID *)wxidAdd));
}wchar_tnick[0x100] = { 0};if ((LPVOID *)wxNickAdd) {
 swprintf_s(nick, L"%s", *((LPVOID *)wxNickAdd));
}wchar_twxuserID[0x100] = { 0};if ((LPVOID *)wxuserIDAdd) {
 swprintf_s(wxuserID, L"%s", *((LPVOID *)wxuserIDAdd));
}if(oldWxid[0] == 0 && newWxid[0] == 0) {
 swprintf_s(newWxid, L"%s", *((LPVOID *)wxidAdd));
}if(oldWxid[0] == 0 && newWxid[0] != 0) {
 swprintf_s(oldWxid, L"%s", newWxid);
 swprintf_s(newWxid, L"%s", *((LPVOID *)wxidAdd));
}if(oldWxid[0] != 0 && newWxid[0] != 0) {
 swprintf_s(oldWxid, L"%s", newWxid);
 swprintf_s(newWxid, L"%s", *((LPVOID *)wxidAdd));
}if (wcscmp(oldWxid,newWxid) != 0) {

 LVITEM item = { 0};
 item.mask = LVIF_TEXT;

 item.iSubItem = 0;
 item.pszText = UnicodeToANSI(wxid);
 ListView_InsertItem(gHwndList, &item); ////wxuserID
 item.iSubItem = 1;
 item.pszText = UnicodeToANSI(wxuserID);
 ListView_SetItem(gHwndList, &item);

 item.iSubItem = 2;
 item.pszText = UnicodeToANSI(nick);
 ListView_SetItem(gHwndList, &item);
}
}