附加调试,先提前把TLS的断点删掉免得混淆
找到符号--->WeChatWin.dll,在搜索--->当前区域--->字符串
右键全部断点,再删掉未撤回就断掉的
之后发消息再撤回【这里一定要对方发消息撤回!!!!】
定位到真正的revoke模块,并用;打好注释,共计8次断下
删掉全部断点,打开注释模块(创口贴旁边那个小按键)
找到revoke1,之后再对jb进行汇编修改,加个n变成jnb,x64会自动改为jae
注意!真正的修改是在revoke1下面的那个jb才能成功
之后保存补丁,复制到微信里
IDA的字符串是全局搜索的,x64可以先定位模块再搜索,所以分析起来x64范围会小很多,加载的时间也没那么长,可以先x64分析定位到具体地址,然后IDA重新设置基地址。
问题:IDA pro与x64dbg地址对齐如何实现
首先IDA加载exe,然后在段视图里找到起始地址最小的那个
然后再在新加载的DLL.i64里重新设置基地址为最小
之后再跳转到x64里我们定位到的地址就可以同步了
标签:note,---,x64,微信防,地址,撤回,断点,IDA From: https://www.cnblogs.com/zydt10/p/17732412.html