都可用的可行性方案,附带frida脚本)
代码都在 GitHub - yincongcyincong/weixin-macos: mac逆向的一些处理 里面包括我的idapro脚本和frida的脚本。其中frida脚本里面的succ.js是能够主动发消息的脚本,使用frida启动后,执行manualTrigger() 函数即可。需要修改receiver配置,发给你本人,你会在mac微信的4.1.6.12版本拿到一个hello world。
我这个方式会有一个小问题,就是你在mac上你看不到你发了消息,只有对方能看到,优点就是理论上三端都能用,我只试了mac,感兴趣的可以试试windows
如果尝试理解这个项目,我为大概讲一下他的原理。
这次我hook的是微信三端最底层的发消息能力,这块代码是开源的,感兴趣google tencent/mars
整个白色的是mars库的整个流程,这个库是三端通用的,我只hook了mac,我理解windows和安卓应该会有一样的逻辑。
hook1是触发函数,和用户回车行为一样,触发startTask。
hook2是对Req2Buf这个函数进行消息体注入,因为hook1触发的时候我其实没有给消息体,但是我注入的这个消息体,在protobuf过程中一直失败,全是指针,根本看不懂。
所以在hook3处我直接注入protobuf的内容,然后进行发送。
hook4是在Req2Buf,清除掉消息体的内容,因为后序在OnTaskEnd会回收内存,如果我这边消息体还在整个的指针上就会被清除,但是这个线程不认识这块内存,整个程序就会crash。
