V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2143 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景

如题

作用

群聊、私聊撤回均无效

食用方式

考虑到安全问题，就放补丁文件，请自己使用x64dbg修改。

修改内容

TIM(2.3.1.20994)：修改 2 字节

im.dll

0004DDE6:85->84

0004E038:85->84

微信(2.6.6.28)：修改 1 字节

wechatwin.dll

0024B18E:75->74

GitHub

注意：仅针对 Win PC 版本

第 1 条附言 · 2019-01-10 09:41:38 +08:00

比较忙，简单交代下思路：

附加到进程
选择对应模块
搜索关键字"revoke"
下断点
调试
记录特征值(方便下次修改)

第 2 条附言 · 2019-01-10 10:51:06 +08:00

打补丁方法

下载软件
文件=>附加=>选择TIM或者WeChat
符号选项卡=>TIM找IM.dll;WeChat找WeChatWin.dll,双击打开模块
CPU选项卡=>右键=>补丁=>导入=>修补文件=>不要直接覆盖原文件(被占用),先存其他地方
关闭软件=>关闭TIM或WeChat=>备份原有文件后覆盖补丁文件
直接打开TIM或者WeChat

enjoy it

Tim

dll

撤回

修改

37 条回复 • 2019-02-14 12:43:55 +08:00

mario85

2019-01-10 00:35:03 +08:00 via iPhone

你这叫学习向？
起码说下，修改的地方都什么指令，函数什么逻辑，才能叫学习

suduo1987

2019-01-10 00:41:49 +08:00

@mario85 成果向？

cattrace

2019-01-10 06:55:34 +08:00

怎么找到的点能说下么？学习下

ThirdFlame

2019-01-10 08:48:20 +08:00

求个思路

ThirdFlame

2019-01-10 09:00:04 +08:00

另外 wechatwin.dll 2.6.6.28 MD5:92F13F3D1E82A973F8FE8CFD4D08FF4D
0024B18E 并不是 75 啊，winhex 打开的不行？

suduo1987

2019-01-10 09:42:01 +08:00

@ThirdFlame 用我说的软件,WinHex 我没有试过

littleylv

2019-01-10 09:43:46 +08:00

占楼插播一个 Mac QQ 版： https://github.com/doveccl/QQU
用了好几年了，美滋滋

wjm2038

2019-01-10 10:21:33 +08:00 via Android

歪个楼，这头像是。。？

yiFire

2019-01-10 10:34:46 +08:00

不好意思，== 给个操作方法把···这方面不懂

suduo1987

2019-01-10 10:51:35 +08:00

@wjm2038 额,头像咋啦?

suduo1987

2019-01-10 10:51:48 +08:00

@yiFire 更新了方法

wjm2038

2019-01-10 11:02:30 +08:00 via Android

@suduo1987 有点感兴趣出处。。

2019-01-10 11:04:06 +08:00 via Android

会影响自己的撤回吗？

cheese

2019-01-10 11:10:20 +08:00

emmm,我这里不行，在导入补丁的时候，显示“当前进程中没有需要应用的补丁”

smallgoogle

2019-01-10 11:12:10 +08:00

V2 什么时候变成了那么低端的地方了。。。瞬间以后都不想上了。

suduo1987

2019-01-10 11:14:08 +08:00

@ob 不会

suduo1987

2019-01-10 11:14:26 +08:00

@cheese 模块不对

suduo1987

2019-01-10 11:14:53 +08:00

@smallgoogle 不好意思,底端到您了

cheese

2019-01-10 11:19:20 +08:00

@suduo1987 #17 模块是没问题的，但是我找不到那个值

Shynoob

2019-01-10 11:23:09 +08:00

已 star，另外楼上说低端不清楚啥意思

yiFire

2019-01-10 11:35:19 +08:00

感谢~

luosuosile

2019-01-10 11:38:41 +08:00

楼上说低端的，我猜是觉得广告贴变多了把。。
我觉得实现这个蛮有意思

sbh3c4k

2019-01-10 11:46:41 +08:00

@smallgoogle 别把自己想的多牛逼隔行如隔山技术一般的就喜欢装逼

wallriding

2019-01-10 11:48:37 +08:00

@smallgoogle 快别上了您呐，真是个人物。

ThirdFlame

2019-01-10 11:55:07 +08:00

经测试成功。使用 winhex 直接 16 进制修改 0024A58E 75->74 （ 2.6.6.28 wechatwin.dll 2.6.6.28 MD5:92F13F3D1E82A973F8FE8CFD4D08FF4D ）即可

suduo1987

2019-01-10 12:12:09 +08:00

@cheese 版本号不对吧,这东西严格控制版本,特征值我还没找到,还有商店版要用商店版的补丁

suduo1987

2019-01-10 12:13:35 +08:00

@wjm2038 我也忘了= =,总之来源互联网~

suduo1987

2019-01-10 12:16:47 +08:00

@ThirdFlame 之前是不是弄错文件了?我只是想知道原因

wafm

2019-01-10 12:53:27 +08:00

以前做过游戏，懂一些汇编。。

虽然没实践过，我就按照我的理解去给试着解释一下

如果有不对请指出哦。。

其实根据撤回原理可以分析出是撤回是本地判断，意思是其实消息会先到本地，如果接受到服务器的撤回指令，那么就撤回

但是注意消息其实先到了本地的，如果我们在本地把撤回判断给逆了，让服务器的撤回指令无效那就没法撤回了，消息依然在本地。

搜索关键字“ revoke ”是为了快速定位代码块，有些开发者在开发的时候喜欢使用一些近似意思的英语翻译，所以这就使得定位代码块简单了很多，如果没有此类关键字断点是不好的断的（何为断点：当程序执行到某一关键动作调试器会暂停，暂停的位置可以理解成断点，例如早期游戏界鼎鼎大名的 bp send ）

没记错的话 85 -> 84 应该是不等于 -> 等于

75 -> 74 也是同理

总之就是分析流程，让程序正常跑一次，分析清楚程序的内部运行情况再做条件修改。

由于是本地判断，程序又没有加密混淆加壳，还给出了关键字所以修改起来就是简单的条件判断就修改了。

ThirdFlame

2019-01-10 12:53:53 +08:00

@suduo1987 不是的，用 x32dbg 0024B18E:75->74 最终体现在文件上的结果就是 0024A58E 75->74，应该是 dll 文件调用时加载地址的偏移问题。我二进制小白，猜测的。

wafm

2019-01-10 12:56:22 +08:00

@ThirdFlame 对，就是文件偏移量转换百度或者 GOOGLE 可以很简单的搜索到转换原理

yongshou

2019-01-10 13:07:03 +08:00 via Android

下载个看看有没有用

suduo1987

2019-01-10 13:29:10 +08:00

@wafm 对的就是这个意思

bosshida

2019-01-10 22:35:38 +08:00

下载了 2.6.6.28 版本的微信，用 x32dbg 查这个 wechatwin.dll ，然后在 [转到] -- [文件偏移] 到“ 0024B18E ”这个偏移，显示正确的表达式：67B9BD8E，确定后，偏移右侧显示的数值是：68 2BCEF7E9，并没有 75. 请问是怎样修改的？

bosshida

2019-01-10 22:40:37 +08:00

试了 30 楼的那个偏移就可以了。 [转到] -- [文件偏移] 到“ 0024A58E ”这个偏移，就有 75 了

flowfire

2019-02-11 10:35:30 +08:00 via Android

…………直接修改二进制文件…………？

seanzzz

2019-02-14 12:43:55 +08:00

谢，亲测可以

[学习向]最近很忙，换个思路，送上最新版 TIM 和微信防撤回补丁

背景

作用

食用方式

修改内容