防撤回dll

在家闲着无聊想做些小东西，玩游戏被神仙打到自闭就顺便查了查神仙的科技都咋回事，其中有的就是dll注入做的，但其实在看dalao的文章之前我连dll都不知道是啥（看了之后也不知道），看到看雪的一篇文章是写wx的防撤回，本身学的东西又很少，就看着dalao的文章试着（抄）一下，侵权必删，别骂了，再骂人就傻了。。看雪那个大佬的原文链接：https://bbs.pediy.com/thread-258054.htm

工具：CE  OD  vs2017

1.首先当然是打开CE，选择微信进程，然后发消息，在CE查找消息，然后让对方撤回消息，查看变化。

然后看到revokemessage，（具体为什么选这个咧，俺也不知道，但是撤回肯定要从撤回的提示找找看咯）

打开OD ，附加微信进程，然后寻找这个地址

让另一个账号发消息

在这里打内存写入断点 然后撤回

发现成功在这里暂停

去栈中寻找有用的信息

找到一截包含撤回提示，wxid，和撤回内容。

完全不懂，有dalao有兴趣可以点播一下，我猜是因为应该有方法是专门管撤回的，撤回会删掉存着的内容并返回xxx撤回了一条消息，如果我们随便找一个有刚刚撤回的内容的方法可能做出来就相当与不论谁发消息都存下来，这样就很**

单击返回到那一行并在反汇编窗口中跟随，在这个call语句打断点。F9继续运行，再用别的号给我们发消息然后撤回。

成功断下，栈中存着我们想要的信息。

数一下，得出

• esp + 0x4 ：撤回消息的提示
• esp + 0x50 : 撤回消息人的wxid
• esp + 0x78 : 撤回消息的内容

然后就是写一个dll程序注入。

这篇写了（抄了大佬）如何找（玄学分析）需要的地址

下一篇讲这个程序怎么写。