微信聊天记录dump解密
通过Version.dll 劫持 WeChat.exe 并通过特征
($44, $42, $46, $61, $63, $74, $6F, $72, $79, $3A, $3A, $65, $6E, $63, $72, $79, $70, $74, $44, $42)
找到函数入口并Hook
Function Func_Dst(Args1, Args2, Args3 :PPointer):Pointer; Stdcall;
Arg1^ 为数据库名, Arg3^ 为数据库解密Key
通过打开WeChat.exe进程并定位到模块WeChatWin.dll,将DLL模块内存整个读取并通过AobScan找出加密Key并读取
通过打开WeChat.exe进程并定位到模块WeChatWin.dll,将DLL模块内存整个读取并通过AobScan找到神奇的函数地址,并使用反汇编引擎(BeaEngine)取出寄存器中加密Key的存放地址。 至此开始版本通杀之路
添加MiniZip自动打包
加入对绿色版和修改版(包括魔改版)PC微信的支持
由于PC微信更新所有文件从x86升级为x64,更新增加对x64的支持。通过PEB遍历遍历模块,并使用NtWow64ReadVirtualMemory64(32位Beacon时,64位用ReadProcessMemory)读取内存