这个脚本会批量搜索 json文件中定义好的密文特征 并在ida中 执行字符替换。并显示为明文
ida 加载 Weixin.dll 对应版本必须是 4.1.5.30 然后 ait+F7 执行python脚本 会自动重命名加密符号 此操作会修改 .rdata 区段内容
手动在ida中导出 dif 文件 x64dbg 加载 dif 导出 .1337 补丁文件, 分析时重新打开 x64dbg直接 加载 .1337补丁文件 即可
找低版本的 微信 我这里用的是 4.0.3.22
Hook日志函数并打印
得到如下关键信息
源码文件 行号 类名 函数名 输出内容
上面的输出 是 4.0.3.22 可以看到 都是动态解密后的明文日志 下面的输出是 4.1.5.30 可以看到 是加密后的(我这里替换了明文的 类名 函数名) 输出内容未做更改
加密字符串定位特征 A1...B1...C1 由于 加密后的 字符串 都是固定的密文。所以 很好被特征识别到
由于 微信 4.0~4.1 的密文 都是一致的 为变动过,所以这个脚本也适用与其他版本。 当你找到 新的 A1...B1...C1 对应的明文时,可以在现有的json后面 添加 新内容 例如
{
"target_addr": "0x1873c4548",
"real_name": "InitGpuConfig"
},
target_addr 是密文字符串的起始位置 real_name 是需要替换的明文内容 然后 IDA中 执行 脚本