Frida Hook 微信PC版接收信息功能技术文档<\/h1>

1. 准备工作<\/h2>

1.1 所需工具<\/h3>

CheatEngine：用于内存搜索和定位<\/li>
x64dbg：用于调试和分析函数调用<\/li>
Python：运行Frida脚本<\/li>
Frida：动态插桩工具<\/li>
一台root的手机\/模拟器：用于运行frida-server<\/li>

ADB工具：推送frida-server到设备<\/li> <\/ul>

1.2 环境配置<\/h3>

安装Python和Frida：pip install frida frida-tools<\/code><\/li>

下载对应架构的frida-server并推送到设备：
adb push frida-server \/data\/local\/tmp\/
<\/span><\/span>adb shell chmod +x \/data\/local\/tmp\/frida-server
<\/span><\/span>adb shell \/data\/local\/tmp\/frida-server &
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. 定位消息内存位置<\/h2>
2.1 使用CheatEngine搜索<\/h3>

启动微信PC版（版本3.9.12.51）和小号<\/li>
使用小号发送测试消息（如"imatest"）<\/li>
在CheatEngine中：

附加到wechat.exe进程<\/li>
搜索字符串"imatest"<\/li>
发送多条不同消息，筛选出值随消息变化的地址<\/li>
<\/ul>
<\/li>
<\/ol>
2.2 验证内存地址<\/h3>

右键候选地址，选择"Browse in this memory region"<\/li>
寻找同时包含以下内容的内存区域：

微信ID<\/li>
消息内容<\/li>
XML标签结构<\/li>
<\/ul>
<\/li>
排除临时内存区域（等待一段时间观察是否被回收）<\/li>
<\/ol>
3. 定位消息处理函数<\/h2>
3.1 设置硬件断点<\/h3>

打开x64dbg，附加到wechat.exe<\/li>
按Alt+E打开模块列表，选择wechatwin.dll<\/li>
按Ctrl+G跳转到CheatEngine中找到的地址<\/li>
右键地址设置1字节硬件断点<\/li>
按F9继续运行程序<\/li>
<\/ol>
3.2 触发断点分析<\/h3>

用小号发送新消息触发断点<\/li>
观察右下角栈窗口，向下滚动<\/li>
注意SQL语句（消息存入数据库的操作）<\/li>
定位数据库操作之前的最近函数调用<\/li>
<\/ol>
3.3 确定关键函数<\/h3>

在栈窗口中找到数据库名称<\/li>
向上查找最近的函数调用（数据库名称之前的）<\/li>
右键返回地址，选择"在反汇编中转到指定QWORD"<\/li>
在调用语句处设置断点<\/li>
移除硬件断点<\/li>
<\/ol>
4. 分析消息数据结构<\/h2>
4.1 寄存器分析<\/h3>

触发断点后，查看寄存器窗口<\/li>
64位程序传参顺序：RDI → RSI → RDX → RCX → R8 → R9 → stack<\/li>
右键RDI值，选择"在内存窗口中转到"<\/li>
<\/ol>
4.2 消息结构偏移<\/h3>

观察内存窗口中的消息结构<\/li>
确定关键偏移：

微信ID：RDI + 0x48<\/li>
消息内容：RDI + 0x88<\/li>
<\/ul>
<\/li>
验证偏移的正确性（发送不同消息测试）<\/li>
<\/ol>
5. 计算函数偏移<\/h2>
5.1 获取运行时地址<\/h3>

在x64dbg中复制断点处的地址<\/li>
按Alt+E打开模块列表，复制wechatwin.dll基址<\/li>
计算文件偏移：运行时地址 - 模块基址<\/li>
<\/ol>
5.2 脱离调试器<\/h3>
完成分析后，选择菜单"文件→脱离"退出调试状态<\/p>
6. Frida脚本实现<\/h2>
6.1 脚本结构<\/h3>
\/\/ 计算目标函数地址
<\/span><\/span><\/span><\/span>const<\/span> baseAddr<\/span> =<\/span> Module<\/span>.findBaseAddress<\/span>("wechatwin.dll"<\/span>);
<\/span><\/span>const<\/span> hookAddr<\/span> =<\/span> baseAddr<\/span>.add<\/span>(0x123456<\/span>); \/\/ 替换为实际偏移
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ Hook目标函数
<\/span><\/span><\/span><\/span>Interceptor<\/span>.attach<\/span>(hookAddr<\/span>, {
<\/span><\/span>    onEnter<\/span>:<\/span> function<\/span>(args<\/span>) {
<\/span><\/span>        \/\/ args[0]对应RDI寄存器
<\/span><\/span><\/span><\/span>        const<\/span> wxid<\/span> =<\/span> args<\/span>[0<\/span>].add<\/span>(0x48<\/span>).readUtf8String<\/span>();
<\/span><\/span>        const<\/span> message<\/span> =<\/span> args<\/span>[0<\/span>].add<\/span>(0x88<\/span>).readUtf8String<\/span>();
<\/span><\/span>        console<\/span>.log<\/span>(`[+] 收到消息 - 发送者: <\/span>${<\/span>wxid<\/span>}<\/span>, 内容: <\/span>${<\/span>message<\/span>}<\/span>`<\/span>);
<\/span><\/span>    }
<\/span><\/span>});
<\/span><\/span><\/code><\/pre>6.2 Python加载脚本<\/h3>
import<\/span> frida
<\/span><\/span>import<\/span> sys
<\/span><\/span>
<\/span><\/span>def<\/span> on_message<\/span>(message, data):
<\/span><\/span>    print(message)
<\/span><\/span>
<\/span><\/span>with<\/span> open("hook_wechat.js"<\/span>, "r"<\/span>, encoding=<\/span>"utf-8"<\/span>) as<\/span> f:
<\/span><\/span>    js_code =<\/span> f.<\/span>read()
<\/span><\/span>
<\/span><\/span>session =<\/span> frida.<\/span>attach("wechat.exe"<\/span>)
<\/span><\/span>script =<\/span> session.<\/span>create_script(js_code)
<\/span><\/span>script.<\/span>on("message"<\/span>, on_message)
<\/span><\/span>script.<\/span>load()
<\/span><\/span>sys.<\/span>stdin.<\/span>read()
<\/span><\/span><\/code><\/pre>7. 效果验证<\/h2>

运行Python脚本<\/li>
用小号发送测试消息<\/li>
观察控制台输出：

正常显示接收的消息<\/li>
即使消息被撤回，控制台仍保留记录<\/li>
显示发送者ID和消息内容<\/li>
<\/ul>
<\/li>
<\/ol>
8. 注意事项<\/h2>

微信版本差异：不同版本偏移量可能不同，需重新分析<\/li>
内存保护：某些版本可能有反调试措施<\/li>
稳定性：长时间Hook可能导致微信不稳定<\/li>
法律风险：仅限学习和研究用途，勿用于非法目的<\/li>
<\/ol>
9. 扩展思路<\/h2>

消息拦截：修改onEnter函数可实现消息拦截<\/li>
自动回复：结合发送函数Hook可实现自动回复<\/li>
消息存储：将消息保存到本地数据库或文件<\/li>
多账号支持：分析多账号登录时的内存结构差异<\/li>
<\/ol>
10. 排错指南<\/h2>

无法附加进程：检查是否以管理员权限运行<\/li>
偏移无效：确认微信版本和模块基址正确<\/li>
无输出：检查断点是否在正确的消息处理路径<\/li>
崩溃问题：减少Hook函数的操作，避免内存错误<\/li>
<\/ol>
通过以上步骤，可以实现对微信PC版接收消息功能的Hook和监控，为后续的自动化处理和消息分析提供基础。<\/p>

Frida Hook 微信PC版接收信息功能技术文档<\/h1>

1. 准备工作<\/h2>

2. 定位消息内存位置<\/h2>

3. 定位消息处理函数<\/h2>

4. 分析消息数据结构<\/h2>

5. 计算函数偏移<\/h2>

5.2 脱离调试器<\/h3> 完成分析后，选择菜单"文件→脱离"退出调试状态<\/p>

6. Frida脚本实现<\/h2>

5.2 脱离调试器<\/h3>
完成分析后，选择菜单"文件→脱离"退出调试状态<\/p>