当前位置：首页 > news >正文

逆向工程实战：如何打造你自己的微信QQ防撤回补丁

news 2026/6/14 17:15:42

逆向工程实战：如何打造你自己的微信QQ防撤回补丁

【免费下载链接】RevokeMsgPatcher:trollface: A hex editor for WeChat/QQ/TIM - PC版微信/QQ/TIM防撤回补丁（我已经看到了，撤回也没用了）项目地址: https://gitcode.com/GitHub_Trending/re/RevokeMsgPatcher

你是否曾经好奇，那些神秘的"防撤回"工具是如何工作的？当别人撤回消息时，你却能看到完整内容，这种技术背后隐藏着怎样的秘密？今天，我们将深入探索RevokeMsgPatcher这个开源项目，揭开防撤回技术的神秘面纱，并带你了解如何从零开始构建自己的消息保护工具。

🔍 消息撤回的困境与解决方案

在日常沟通中，消息撤回功能本是为了纠正错误而设计，但有时却成为信息丢失的根源。重要的工作指示、关键的业务讨论、珍贵的个人回忆——一旦被撤回，就再也无法找回。这种困境催生了一个技术问题：如何在消息被撤回后仍然保留原始内容？

RevokeMsgPatcher正是这个问题的创新解决方案。它通过二进制补丁技术，在Windows平台上为微信、QQ和TIM等主流即时通讯软件提供消息防撤回功能。与传统的消息保存插件不同，这个工具直接在系统层面修改程序逻辑，从根本上阻止了撤回操作的发生。

技术挑战的突破点

挑战	传统方法	RevokeMsgPatcher方案
兼容性	依赖特定API版本，更新即失效	版本自适应，支持多个版本
稳定性	可能影响软件正常运行	精准修改，不影响核心功能
安全性	可能存在恶意代码	开源透明，可审计验证
易用性	需要复杂配置	一键安装，自动检测

🛠️ 从零开始：防撤回补丁的构建之路

第一步：逆向分析与目标定位

真正的技术探索始于逆向工程。要阻止消息撤回，首先需要理解撤回功能是如何实现的。通过分析微信的WeChatWin.dll和QQ的IM.dll文件，开发者发现了关键线索：

使用x32dbg搜索防撤回相关的字符串定位关键代码

在逆向工程过程中，搜索"revokemsg"等关键词成为了突破口。这些字符串通常出现在撤回功能的处理逻辑中，为修改提供了精确的目标位置。

第二步：汇编指令分析与修改

找到撤回功能的位置后，下一步是分析汇编代码。消息撤回通常通过条件跳转指令实现：

; 原始代码 - 条件跳转实现撤回逻辑 cmp eax, 0 ; 比较条件 je revoke_function ; 如果相等，跳转到撤回函数 ; 修改后 - 无条件跳转绕过撤回 cmp eax, 0 ; 比较条件（保留原指令） jmp continue_code ; 无条件跳转，绕过撤回

这种修改将原本的条件判断改为无条件跳转，使得无论撤回条件是否满足，程序都会跳过撤回执行流程。

搜索到包含"revokemsg"字符串的代码位置

第三步：版本兼容性处理

不同版本的软件有着不同的二进制结构，这是防撤回工具面临的最大挑战。RevokeMsgPatcher通过以下机制解决这个问题：

特征码匹配：识别特定版本的二进制模式
版本范围支持：为每个版本范围提供专门的补丁
自动检测：根据文件SHA1值精确匹配版本

查看RevokeMsgPatcher.Assistant/Data/2.1/patch.json文件，你会发现针对不同版本的详细修改记录。这种设计确保了工具能够适应软件的持续更新。

📊 核心架构：模块化设计的智慧

项目结构解析

RevokeMsgPatcher采用了清晰的模块化设计，每个组件都有明确的职责：

RevokeMsgPatcher/ ├── Modifier/ # 修改器核心模块 │ ├── WechatModifier.cs # 微信修改器 │ ├── QQModifier.cs # QQ修改器 │ ├── TIMModifier.cs # TIM修改器 │ └── FileHexEditor.cs # 十六进制编辑器 ├── Model/ # 数据模型 │ ├── ModifyInfo.cs # 修改信息 │ ├── ReplacePattern.cs # 替换模式 │ └── TargetInfo.cs # 目标信息 └── Utils/ # 工具类 ├── ByteUtil.cs # 字节操作工具 └── FileUtil.cs # 文件操作工具

关键技术实现

字节级精确修改在FileHexEditor.cs中，工具实现了对二进制文件的精确修改。通过计算文件的SHA1值来验证版本，然后应用预定义的字节替换模式：

public class FileHexEditor { public string FileSHA1 { get { if (sha1 == null) { sha1 = FileUtil.ComputeFileSHA1(FilePath); } return sha1; } } public void ApplyPatch(List<Change> changes) { // 读取原始文件 byte[] fileBytes = File.ReadAllBytes(FilePath); // 应用每个修改 foreach (Change change in changes) { for (int i = 0; i < change.Content.Length; i++) { fileBytes[change.Position + i] = change.Content[i]; } } // 保存修改后的文件 File.WriteAllBytes(fileReplacedPath, fileBytes); } }

多版本支持机制项目通过ModifyInfo和CommonModifyInfo两个类分别处理精确版本匹配和版本范围匹配，实现了灵活的版本兼容：

{ "Name": "WeChatWin.dll", "Version": "3.3.5.25", "SHA1Before": "3e94753ccbc2799d98f3c741377e99bdae33b4cf", "Changes": [ {"Position": 3413977, "Content": [235]}, {"Position": 12159591, "Content": [235]} ] }

🚀 实战指南：三步实现防撤回功能

准备工作与环境配置

在开始之前，你需要准备以下环境：

开发环境：Visual Studio 2019或更高版本
运行环境：.NET Framework 4.5.2+
目标软件：微信/QQ/TIM的PC版本
调试工具：x32dbg或OllyDbg（用于逆向分析）

获取项目源码

git clone https://gitcode.com/GitHub_Trending/re/RevokeMsgPatcher cd RevokeMsgPatcher

编译与运行

使用Visual Studio打开RevokeMsgPatcher.sln解决方案文件
选择Release配置进行编译
以管理员权限运行生成的RevokeMsgPatcher.exe

防撤回工具主界面，支持微信、QQ、TIM三大平台

使用流程详解

第一步：自动检测与路径选择工具会自动从注册表读取已安装软件的路径，对于绿色版软件，可以手动选择安装目录。

第二步：功能选择与配置

防撤回：阻止消息撤回功能
多开：允许同时运行多个实例（仅微信支持）

第三步：应用补丁点击"安装补丁"按钮，工具会自动备份原始文件，然后应用修改。整个过程通常只需几秒钟。

对wechatwin.dll文件应用补丁修改

🔬 技术深度：防撤回的实现原理

二进制补丁技术

RevokeMsgPatcher的核心技术是二进制补丁。与传统的软件修改不同，它不修改源代码，而是直接修改编译后的二进制文件。这种方法有几个关键优势：

无需源代码：适用于闭源软件
精确控制：只修改特定位置的字节
快速部署：补丁文件小，应用速度快

版本适配的智能策略

项目通过双重策略实现版本适配：

策略一：精确SHA1匹配对于已知版本，直接使用预计算的SHA1值进行匹配，确保修改的准确性。

策略二：特征码搜索对于新版本，通过搜索特定的字节序列（特征码）来定位修改位置，即使版本变化也能找到正确的修改点。

安全备份机制

每次修改前，工具都会创建备份文件（.h.bak），确保在出现问题时可以快速恢复：

public void Backup() { // 不覆盖同版本的备份文件 if (File.Exists(FileBakPath)) { if (FileVersion != BackupFileVersion) { File.Copy(FilePath, FileBakPath, true); } } else { File.Copy(FilePath, FileBakPath, true); } }