前言
适用:PC端微信 2.6.8.51版本
发布于2019年8月25日
本文仅作技术研究
一直在想微信收藏的表情包为什么不能右键另存为到本地
像QQ一样多好,有时候想把微信的表情导入到QQ里面用也不行,多不方便
百度查了一下,都是找CustomEmotions目录下的文件,将后缀名改成gif,貌似已经被和谐了,现在都不管用了
于是就开始研究了一下,发现有个捷径可以将微信里面的收藏所有表情导出,甚至可以把聊天中对方发的表情存下来
开始步入正题
首先就是OD看一波,看看进程都加载了什么模块,能不能从中发现一些信息
看看加载模块
首先筛选出与表情相关,最有可能用到模块
WeChatResource.dll 应该是关于资源的,表情好像也跟资源有关吧
WeChatWin.dll 似乎是一个主模块!20多M!比exe还大,估计整个程序的框架主逻辑都在这里面
WXAMDecoder.dll 看名字是跟解密有关的,表情的缓存文件似乎是被加密过了,应该会跟这个有关
接下来开个监控软件,监控一下发表情的时候都有什么文件读写操作
你会发现微信会打开这些文件名为哈希值的文件,且没有后缀名
随便找一个文件,拖到十六进制里面看看
你会发现这些文件前面几个字节都是这个标识符:V1MMWX
很明显这些文件的数据都是经过加密的,应该是微信开发人员自定义的文件格式
这时候就可以想到,我们每发一个表情,微信就在本地生成对应的缓存文件,这个缓存文件可能是使用表情加密后生成
那么回到我们刚刚筛选出的那几个模块,其中有一个似乎跟加解密有关的模块:WXAMDecoder.dll
然后我们来看看这个模块都有写什么导出函数
看见这些导出函数名,是不是心里突然兴奋了一下?似乎还有几个跟图片有关的!
我们来筛选一下
WxAMFrame_delete 框架删除?沾不上关系
WxAMFrame_new 跟框架一对的似乎
wxam_dec_decode_buffer_4 解密buffer,这个有嫌疑!
wxam_dec_getWXGFInfo_4 取用微信gif信息,emmm,是有点远方亲戚关系
wxam_dec_get_option_4 这个应该不是了
wxam_dec_init_4 解密初始化,可以忽略
wxam_dec_isWXGF_4 是否微信的gif,有点远方亲戚关系
wxam_dec_rewind_buffer_4 这个看名字不像
wxam_dec_uninit_4 这个也不像
wxam_dec_wxam2picSeq_4 am转到pic?
wxam_dec_wxam2pic_4 am转到pic?
wxam_dec_wxpc2jpg_4 pc转到jpg?
好吧,有些看着像又不像,先不管了,全部打上断点试一下都会调哪些接口
然后发个表情,马上击中要害
经验告诉我,首先看堆栈里面传的都是什么
果然不出所料,根据前面几个字节判断,GIF89似乎是gif图片文件的标识符!
这么说第一个是储存表情buff的指针,第二个是size!
为了验证自己的猜想是否正确,来写个小程序把对应的buff dump出来看看是不是图片!
简单的用易语言写了2行代码,没错,就2行足矣,将目标进程的指定的内存地址数据dump出来并生成一个1.gif的文件
似乎是一张图片!打开看看
没错,就是我在微信里发的表情
瞬间明白,原来发表情会走这个接口:wxam_dec_isWXGF_4
看接口名字,似乎是判断是不是微信的gif?
于是我换了一个静态的表情发出去,也会调用这个接口,看来非gif也会调这个接口
后来发现一个问题,就是发过的表情,再发就不会调用这个接口了,估计是调用之前会检查一下缓存文件是否存在,如果存在就不调了
解决方法:
用OD调一下吧,估计也就几个判断和跳转的问题
WeChatWin.dll + 0x7DB79
没错就这里了,如果跳过的话就不会调用接口了,所以只要把它nop即可!
彩蛋
后面发现原来打开收藏表情的那个窗口,也会调用wxam_dec_isWXGF_4
就是这个窗口
然后可以把wxam_dec_isWXGF_4 接口勾上,全部都写出文件,就能把自己收藏的全部表情转存到本地了!
如果写出过的表情,也不会再调用wxam_dec_isWXGF_4 接口,还是用OD调一下,改一个跳转就可以了
WeChatWin.dll + 0x2841D6
改成imp就好了,每次打开收藏表情的窗口,都能调用wxam_dec_isWXGF_4 接口
成果
最后撸起袖子敲一把代码,写成了一个dll,注入到微信进程内即可获取、导出微信所有表情了
成品下载:https://pan.baidu.com/s/1fDVs_n01jGuXF9-QNC1a9Q
提取码: cb4d
运行微信,随便打开一个人的聊天框,然后运行 RemoteInject.exe
注入成功后弹出提示框,转存的表情会放入微信运行目录下的GetWeChatPic文件夹
图片的名称使用了哈希值命名
源代码:
使用VS2015以上编译
RemoteInject.exe
// RemoteInject.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" #include "atlstr.h" #include <TlHelp32.h> char* GetProgramDll() { static char exeFullPath[MAX_PATH] = { 0 }; // Full path char *nWeak; GetModuleFileNameA(NULL, exeFullPath, MAX_PATH); nWeak = strrchr(exeFullPath, '\\'); memcpy(nWeak + 1, "GetWeChatPic.dll", strlen("GetWeChatPic.dll")); return exeFullPath; } DWORD GetProcessPid(CString nProcessName) { PROCESSENTRY32 nPT; nPT.dwSize = sizeof(nPT); HANDLE nSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); BOOL nRet = Process32First(nSnapShot, &nPT); while (nRet) { if (nProcessName.MakeLower() == CString(nPT.szExeFile).MakeLower()) { return nPT.th32ProcessID; } nRet = Process32Next(nSnapShot, &nPT); } return 0; } int main() { printf("适用:PC端微信 2.6.8.51版本\r\n更新与2019年8月25日\r\n"); DWORD nPid = GetProcessPid("wechat.exe"); HANDLE nHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, nPid); printf("进程ID:%d - 进程句柄:%d\r\n", nPid, nHandle); CHAR *DllPath = GetProgramDll(); int nLen = strlen(DllPath)+1; LPVOID pBuf = VirtualAllocEx(nHandle, NULL, nLen, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE); if (!pBuf) { printf("申请内存失败!\r\n"); getchar(); return 0; } if (!WriteProcessMemory(nHandle, pBuf, DllPath, nLen, 0)) { printf("写入内存失败!\r\n"); getchar(); return 0; } HANDLE hRemoteThread = CreateRemoteThread(nHandle, NULL, NULL,(LPTHREAD_START_ROUTINE)LoadLibraryA, pBuf, 0, 0); WaitForSingleObject(hRemoteThread, -1); CloseHandle(hRemoteThread); VirtualFreeEx(nHandle, pBuf, 0, MEM_FREE); printf("注入完成!\r\n"); getchar(); return 0; }
GetWeChatPic.dll
// dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "stdio.h" #include "windows.h" #include <shellapi.h> DWORD FileBuff; DWORD FileSize; CHAR FileName[MAX_PATH]; FILE *pFile; DWORD Old_wxam_dec_isWXGF_4; void MyHook(LPVOID HookAddress, LPVOID NewAddress, DWORD *OldAddress,DWORD HookBytesNum) { BYTE JumpByte[6] = { 0x68,0x00,0x00,0x00,0x00,0xc3 }; *(DWORD*)(JumpByte + 1) = (DWORD)HookAddress + HookBytesNum; *OldAddress = (DWORD)VirtualAlloc(NULL, 1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy((LPVOID)*OldAddress, HookAddress, HookBytesNum); memcpy((BYTE*)*OldAddress + HookBytesNum, JumpByte,6); *(DWORD*)(JumpByte + 1) = (DWORD)NewAddress; WriteProcessMemory((HANDLE)-1, HookAddress, JumpByte, 6, 0); } DWORD GetHash(char *nBuff,int nBuffSize) { DWORD nHash = 0; for (int i = 0; i < nBuffSize; i++) { nHash = ((nHash << 25) | (nHash >> 7)); nHash = nHash + nBuff[i]; } return nHash; } char* GetProgramDir() { static char exeFullPath[MAX_PATH] = { 0 }; // Full path char *nWeak; GetModuleFileNameA(NULL, exeFullPath, MAX_PATH); nWeak = strrchr(exeFullPath, '\\'); memcpy(nWeak + 1, "GetWeChatPic", strlen("GetWeChatPic")); return exeFullPath; } __declspec(naked) void Hook() { __asm { pushad; mov eax, [esp + 36]; mov FileBuff, eax; mov eax, [esp + 40]; mov FileSize, eax; } sprintf_s(FileName, 256, "GetWeChatPic\\%08X.gif", GetHash((char*)FileBuff, FileSize)); fopen_s(&pFile, FileName, "wb+"); fwrite((LPVOID)FileBuff, FileSize, 1, pFile); fclose(pFile); __asm { popad; jmp Old_wxam_dec_isWXGF_4; } } BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: { { HMODULE nHmodule = GetModuleHandleA("WeChatWin.dll"); BYTE HookByte2[2] = { 0x90,0x90 }; DWORD pFunAddress = (DWORD)nHmodule + 0x7DB79;//聊天收发的表情全部保存下来 WriteProcessMemory((HANDLE)-1, (LPVOID)pFunAddress, HookByte2, 2, 0); BYTE HookByte5[5] = { 0xe9,0x82,0,0,0 }; pFunAddress = (DWORD)nHmodule + 0x2841DC;//打开收藏的表情全部保存下来 WriteProcessMemory((HANDLE)-1, (LPVOID)pFunAddress, HookByte5, 5, 0); } HMODULE nHmodule = GetModuleHandleA("WXAMDecoder.dll"); LPVOID pFunAddress = GetProcAddress(nHmodule, "wxam_dec_isWXGF_4"); if (pFunAddress) { MyHook(pFunAddress, Hook, &Old_wxam_dec_isWXGF_4, 9); SECURITY_ATTRIBUTES SecurityAttributes; SecurityAttributes.lpSecurityDescriptor = 0; SecurityAttributes.bInheritHandle = false; SecurityAttributes.nLength = sizeof(SecurityAttributes); CreateDirectoryA("GetWeChatPic", &SecurityAttributes); if (MessageBoxA(0, "注入成功!\r\n是否打开储存的表情文件夹?", "Tips", MB_ICONINFORMATION | MB_YESNO)==IDYES) ShellExecuteA(NULL, ("open"), ("explorer"), GetProgramDir(), NULL, SW_SHOW); } else { MessageBoxA(0, "注入失败!请重启微信进入到聊天框内再注入!", "Tips", MB_ICONERROR); } } case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: break; } return TRUE; }