本篇博客园地址https://www.cnblogs.com/bbqzsl/p/18171552
计划来个wechat的逆向系列,包括主程序WeChat,以及小程序RadiumWMPF。
开篇,对WeChat入口进行分析。
depends显示WeChat.exe并没有依赖CRT,入口地址也找到那个Startup函数的特征。初步猜想这个程序的作用是个loader。
上WinDbg,good,不像TdxW君万般不让给,人家就大大方方欢迎您来调试。
先来 trace 一趟。
在WeChat+0x7170开始加载所有DLL,
然后打开主窗口,阻塞等待登入。
现在我们来trace这个主逻辑函数。
千呼万唤中,现在主角`WeChatWin!StartWechat`终于登场,位于WeChat+0x7a75。
现在Trace `WeChatWin!StartWechat`
本篇就跟踪到打开登陆窗口,下一期再见。