文章分类 - 逆向工程
pj
摘要:1、获取微信号:stcweb(建议根据昵称在CE扫描,因为昵称扫出来的值只有1个,微信号扫出来的有多个,昵称更容易定位) 2、逐个查看绿色地址,发现其中一个地址包含手机号、国家、地址、手机类型等比较齐全的一个地址为我们要找的地址 //微信号 IntPtr WxNameAddress = WeChat
阅读全文
摘要:1、读取指定内存地址内容: var address = ptr("0x18CAF0F1BD0"); // 内存地址 var str = Memory.readUtf16String(address); console.log(str); // 打印读取到的字符串 2、写入指定内存地址内容 var a
阅读全文
摘要:1、根据3节找到的内存地址,切换微信下硬件访问断点。 2、运行到返回按F8单步找到可疑函数下断点,查看内存值否有微信的账号的所有个人信息。 3、计算偏移: 模块基址:00007FFB7F190000 Hook位置(32207266):00007FFB810471A2 | E8 598C8200 |
阅读全文
摘要:1、微信选中“文件传输助手”,CE搜索微文本:filehelper,需勾选上UTF-16选项 2、切换微信昵称为Shi并且账号为stcweb的微信,CE再次搜索,不断切换filehelper和stcweb再次扫描,直到结果变少数据不动时,再把结果全选中添加到下面内存中。 3、微信选中“文件传输助手”
阅读全文
摘要:1、登录微信,CE加载应用程序微软 2、用另一个微信发送一条消息“111”,CE数值类型“字符串”再点击“首次扫描” 3、再发送一条消息“444”,“再次扫描”(当出现图一只有2条结果时省略第4步,只有结果大于2条时才要观察内存地址的变化) 图一: 图二: 4、再发送一条消息“555”,观察地址数值
阅读全文
摘要:一、找查二维码图片地址 1、打开微信,CE加载应用程序微信 2、CE设置扫描类型:未知的初始值,点击首次扫描 3、切换账号,出现二维,CE扫描类型设置“变动的数值”,点击“再次扫描” 4、手机扫码,手机上不要点登录,CE上“再次扫描”,结果变少为1万多条 5、手机上取消登录,再次打码,CE“再次扫描
阅读全文
摘要:1、界面介绍 2、改变窗口内字体显示大小 3、快捷键 回车:在call函数回车可进入函数体内 -:返回上一步 +:返回下一步 空格:反汇窗窗口中选中call函数或其它任一段按空格就能显示真实的地址,然后点中内存窗口按快捷键CTRL+G输入内存地址查看 4、汇编命令 push:推入,但凡是push寄存
阅读全文
摘要:1、在x32dbg打开Acid burn.exe并运行2、所有用户模块搜索关键词“Try Again” 3、按行选中按F2打断点,再切回CPU选项 4、找到跳转处填充NOP,弹窗NPO内容直接确定即可。 5、再次运行测试Check it Baby!已经跳过判断 6、另存新版补丁:CKme NOP.e
阅读全文
摘要:1、x64dbg打开64位软件ChangeTitle.exe并运行 2、在内存区域搜索关键词标题“要修改的标题”,编码可以在扩展与代码页之间更换偿试。 3、修改标题 4、保存补丁文件。
阅读全文
摘要:方法适用于:软件汉化(英文转中文)、标题修改 方法一:OD能搜索出中文标题用OD进行修改标题 左下角:内存窗口-搜索(ctrl+B)-鼠标右键-文本-查找-二进制字串-二进制编辑-选中-复制到可执行文件-鼠标右键-保存文件 方法二:OD不能搜索出中文标题,需借助CE搜索出标题并得到内存地址修改标题再
阅读全文
摘要:1、x32dbg打开Acid burn.exe并运行 2、输入账户和密码提交时并报错 3、在内存里搜索关键词账号stcweb进行查找匹配 4、找到可疑账户与密码,猜测密码相等判断,填写可疑密码进行匹配测试,出现Good job dude=)代表暴破成功
阅读全文
浙公网安备 33010602011771号