3.PC微信Hook查找发送消息call

1、微信选中“文件传输助手”，CE搜索微文本：filehelper，需勾选上UTF-16选项

2、切换微信昵称为Shi并且账号为stcweb的微信，CE再次搜索，不断切换filehelper和stcweb再次扫描，直到结果变少数据不动时，再把结果全选中添加到下面内存中。

3、微信选中“文件传输助手”时，通过手动修改CE地址数值为微信号“stcweb”，在文件助手里发送一条消息，观察是否发送到了微信号stcweb中，如果没有删除地址，如果更改完微信号后当光标定位在文件助时内存数值变回filehelper，也需要删除此地址，当光标没有被选中“文件助手”时，需要调整回选中状态，并且删除此内存地址。

4、x64dbg附加微信，在内存窗口找到地址1B0CD762510，微信切换到文件传输助手，并添加消息“FEWC”（微信与x64dbg并排显示），在内存地址下硬件断点，点击“发送”消息，删除硬件断点。

5、点运行到返回及按F8单步找到要分析的call按F2下断点，再跳过去。

6、找到带聊天记录与微信账号同时具有的相关call，对多个call打断点调试找到真正的发送消息的call

7、计算偏移

模块基址：00007FFB7F190000

Hook位置：00007FFB8106A325 | E8 C65BD4FF              | call wechatwin.7FFB80DAFEF0             |

RCX：000000F81913BE00

接收消息账号：000000F81913BE48 0000027BE8BCEE50 Pî¼è{... L"filehelper"

消息内容：000000F81913BE88 0000027BEB64A2E0 à¢dë{... L"A002"

计算偏移(微信版本号：3.9.11.17)

模块基址：00007FFD8E490000

Hook位置：00007FFD9029EB69 | E8 02354B00              | call wechatwin.7FFD90752070             |

RDX：000000B0537BB70 000002A9E05FE590 .å_à©... L"stcweb"

接收消息账号：000000B0537BB70 000002A9E05FE590 .å_à©... L"stcweb"

消息内容：000000B0537BBDF 000002A9E51FF470 pô.å©... L"600"

         R8：000002A9E7C446A 000002A9E51FF4E0 àô.å©... L"600"

00007FFD9029EB3A | 8B43 04                  | mov eax,dword ptr ds:[rbx+4]            |
00007FFD9029EB3D | 4C:8D4B 50               | lea r9,qword ptr ds:[rbx+50]            |
00007FFD9029EB41 | 48:897C24 38             | mov qword ptr ss:[rsp+38],rdi           |
00007FFD9029EB46 | 894424 30                | mov dword ptr ss:[rsp+30],eax           |
00007FFD9029EB4A | C74424 28 01000000       | mov dword ptr ss:[rsp+28],1             |
00007FFD9029EB52 | C74424 20 01000000       | mov dword ptr ss:[rsp+20],1             |
00007FFD9029EB5A | 4C:8D43 08               | lea r8,qword ptr ds:[rbx+8]             |
00007FFD9029EB5E | 48:8D55 90               | lea rdx,qword ptr ss:[rbp-70]           |
00007FFD9029EB62 | 48:8D8D 30020000         | lea rcx,qword ptr ss:[rbp+230]          |
00007FFD9029EB69 | E8 02354B00              | call wechatwin.7FFD90752070             |