用Cheat Engine和OD定位PC微信3.9.2.23收消息函数：一个逆向新手的实战笔记

逆向工程实战：用Cheat Engine与OllyDbg解析PC微信消息处理机制

微信作为国民级通讯工具，其客户端实现机制一直吸引着众多技术爱好者。本文将从一个逆向工程新手的视角，分享如何利用Cheat Engine(CE)和OllyDbg(OD)这两款经典工具，逐步定位PC微信3.9.2.23版本中的消息接收函数。不同于直接给出Hook地址的教程，我们更注重方法论的传授——即使未来微信版本更新，这套分析思路依然适用。

1. 逆向分析前的准备工作

在开始逆向分析前，我们需要做好以下基础配置：

• 工具准备：

  • Cheat Engine 7.4或更高版本
  • OllyDbg 1.10或2.01版本
  • PC微信3.9.2.23客户端
  • 测试用微信小号（避免在主账号上操作）

• 环境隔离：建议在虚拟机环境中进行操作，避免意外导致主系统不稳定

• 基础概念理解：

  • 内存地址与指针的基本概念
  • 汇编语言基础（特别是mov、lea等指令）
  • Windows API调用约定

提示：逆向工程可能违反软件使用条款，本文仅用于学习交流目的，请勿用于非法用途。

2. 使用Cheat Engine定位关键内存地址

Cheat Engine最初是为游戏修改设计的工具，但其内存扫描功能同样适用于逆向工程分析。我们将利用它来定位微信未读消息计数的内存地址。

2.1 初始扫描设置

1. 启动微信和Cheat Engine，在CE中选择微信进程
2. 首次扫描类型选择"未知的初始值"
3. 向测试账号发送一条消息（不要点开查看）
4. 在CE中执行"增加的数值"扫描
5. 轻微移动微信窗口（触发界面刷新）
6. 执行"未变动的数值"扫描

通过多次重复上述步骤，可以将候选地址范围缩小到几个稳定的值。此时我们关注的是存储未读消息总数的内存地址。

2.2 验证找到的地址

当候选地址减少到可管理数量时，可以通过以下方法验证：

• 手动修改候选地址的值，观察微信未读计数显示是否变化
• 继续发送消息，观察地址值是否同步增加
• 读取消息后，检查地址值是否归零

找到正确的地址后，记录下它的值，这将是我们后续在OllyDbg中设置断点的关键。

3. OllyDbg动态分析实战

有了关键内存地址，我们就可以在OllyDbg中深入分析微信的消息处理逻辑了。

3.1 设置内存写入断点

1. 在OD中附加到微信进程
2. 转到我们找到的内存地址
3. 右键选择"Breakpoint" → "Memory, on write"
4. 再次发送测试消息触发断点

当断点触发时，OD会停在类似这样的指令处：

mov dword ptr ds:[ebx+0x30],eax

这条指令正在更新未读消息计数器，说明我们找对了位置。

3.2 分析堆栈数据结构

断下后，查看数据窗口，可以看到类似如下的数据结构：

这个结构包含了消息的完整信息，是我们理解微信内部消息表示的关键。

4. 追踪消息处理函数

4.1 定位内存分配点

通过分析数据窗口中的指针值，我们可以搜索特定的汇编指令来找到内存分配点。例如搜索：

mov dword ptr ds:[esi],0x5F73C350

这条指令通常用于初始化消息结构。找到相关代码区域后，可以看到更完整的上下文：

lea ecx,dword ptr ds:[esi+0xD8] mov dword ptr ds:[esi],WeChatWi.5F73C350 call WeChatWi.5D650520 ; 内存分配函数

4.2 确定最佳Hook位置

经过多次测试和分析，我们发现以下call指令是最佳的Hook点：

call WeChatWi.5DA520E0 ; 收消息处理函数

在这个位置：

• 完整消息结构已经建立
• 消息内容存储在EBP-0x408的位置
• 尚未进入复杂的后续处理流程

5. 逆向工程中的实用技巧

5.1 常见问题排查

• 断点不触发：检查地址是否正确，确认断点类型（读写执行）
• OD附加失败：尝试以管理员身份运行，或使用其他调试器
• 地址变化：微信可能使用ASLR，需要动态计算偏移

5.2 高级分析建议

• 使用x64dbg等现代调试器辅助分析
• 结合IDA Pro进行静态分析
• 记录不同版本间的偏移变化，建立模式识别

逆向工程就像解谜游戏，每个成功的分析都带来独特的成就感。在实际操作中，我发现最有价值的不是最终找到的Hook点，而是分析过程中对程序逻辑的理解逐渐深入。遇到问题时，多尝试不同的搜索条件和分析方法，往往会有意外收获。