小编点评

**WeChat入口分析** **依赖：** * WeChat.exe 没有依赖CRT，入口地址也找到那个Startup函数的特征。 **初步猜想：** * 该程序的作用是个loader。 **跟踪过程：** * 在WeChat+0x7170开始加载所有DLL，然后打开主窗口，阻塞等待登入。 * 现在我们来trace这个主逻辑函数。 * 千呼万唤中，现在主角`WeChatWin!StartWechat`终于登场，位于WeChat+0x7a75。 * 现在Trace`WeChatWin!StartWechat`本篇就跟踪到打开登陆窗口，下一期再见。 **总结：** * 该程序是WeChat的入口程序，负责引导用户进入登录界面。 * 它没有依赖CRT，而是通过启动机制加载其他DLL。 * 该程序的启动函数位于`WeChat+0x7a75`。

正文

本篇博客园地址https://www.cnblogs.com/bbqzsl/p/18171552

计划来个wechat的逆向系列，包括主程序WeChat，以及小程序RadiumWMPF。

开篇，对WeChat入口进行分析。

depends显示WeChat.exe并没有依赖CRT，入口地址也找到那个Startup函数的特征。初步猜想这个程序的作用是个loader。

 上WinDbg，good，不像TdxW君万般不让给，人家就大大方方欢迎您来调试。

先来 trace 一趟。

 在WeChat+0x7170开始加载所有DLL，

然后打开主窗口，阻塞等待登入。

现在我们来trace这个主逻辑函数。

千呼万唤中，现在主角`WeChatWin!StartWechat`终于登场，位于WeChat+0x7a75。 

现在Trace `WeChatWin!StartWechat`

 本篇就跟踪到打开登陆窗口，下一期再见。