首页
论坛
专栏
课程

[原创]我的微信数据监控研究发展过程

2019-1-29 17:49 5657

[原创]我的微信数据监控研究发展过程

2019-1-29 17:49
5657

严重声明
本文的意图只有一个就是通过分析app学习更多的逆向技术,如果有人利用本文知识和技术进行非法操作进行牟利,带来的任何法律责任都将由操作者本人承担,和本文作者无任何关系,最终还是希望大家能够秉着学习的心态阅读此文

以下内容适用范围:已经获取root权限的手机

近两年来一直在做Android端微信的消息备份功能,一开始是调研自己实现,现在是公司业务需要,现已实现好友相关信息备份,监控消息、领取红包、监控发布朋友圈数据、监控朋友圈点赞回复等功能。

微信相关基本知识:

1.聊天消息表、联系人表、头像信息表、联系人标签表、红包转账信息表等都存在EnMicroMsg.db数据库中,但该数据库被加密,需要密码才能查看。
2.EnMicroMsg.db地址是/data/data/com.tencent.mm/MicroMsg/32位字符串/EnMicroMsg.db,32位字符串是通过MD5加密("mm"+uin码)得出的,如果有多个32位字符串的文件夹,说明登录过多个微信号,微信号不同,uin码不同。同一级的还有其他数据库,比如SnsMicroMsg.db,存放的是微信朋友圈相关表,该数据库无密码,可直接查看。
3.EnMicroMsg.db的密码是MD5(imei码+uin码).substring(0, 7).toLowerCase()得到,imei码是通过获取手机IMEI码得到,uin码是微信SharedPerferences中存储的,文件位置\data\data\com.tencent.mm\shared_prefs\auth_info_key_prefs.xml,通过解析xml文件来得到"_auth_uin"字段的值。
4.当前登录微信的账号ID存放于\data\data\com.tencent.mm\shared_prefs\notify_key_pref_no_account.xml文件中,通过解析xml文件来得到"login_weixin_username"字段的值。


1.静态监控

是我一开始参考网上文章后实现监控的方法,使用的是定时复制数据库,并读取的方法
定时复制微信的数据库文件到我的文件夹下,计算得到密码后,使用sqlcipher连接并传入密码来读取数据,然后发送到服务器。

2.动态监控

可以看到静态监控的方法并不完善,并不能做到实时监控,在我接触到Xposed后开始使用hook 拦截的方式来监控微信数据
可以说微信是我反编译大厂app后发现的少数不做加固的app之一,让我省去了脱壳的步骤



这里主要对监控发布朋友圈数据进行详细教程,包含xposed的大多数使用。


-1使用 当前Activity 这个app来查看发布朋友圈页面的包名和Activity。


当然也可以使用adb来查看

-2使用jadx打开微信apk,本案例使用的是6.6.7版本,搜索类SnsUploadUI


可以看到有一个SnsEditText的变量,很大把握可以确定这个变量就是发朋友圈的文本输入框,

-3找到发表按钮

看到发表按钮,可以确定它要么是一个MenuItem,要么是一个普通view,但总会有点击事件
先查找SnsEditText,发现它继承自EditText,直接在这个类中搜索 nRk.getText 的相关调用,很容易找到调用位置。

-4进行hook

try {
    final Class<?> SnsUploadUIClass = cl.loadClass("com.tencent.mm.plugin.sns.ui.SnsUploadUI");
        XposedHelpers.findAndHookMethod(SnsUploadUIClass, "onCreate", Bundle.class,
            new XC_MethodHook() {
                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    super.beforeHookedMethod(param);
                    Object oSnsUploadUI = param.thisObject;
                    XposedHelpers.findAndHookMethod("com.tencent.mm.plugin.sns.ui.SnsUploadUI$5$1",
                        mlpparam.classLoader, "pO", String.class,new XC_MethodHook() {
                            @Override
                            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                                super.beforeHookedMethod(param);
                                //获取SnsUploadUIClass中的nRk变量
                                Object nRk=XposedHelpers.findField(SnsUploadUIClass, "nRk").get(oSnsUploadUI);
                                    
                                //方法1
                                //强转为EditText  
                                EditText editText = (EditText) nRk;
                                //得到发表朋友圈的文本
                                String text=editText.getText().toString();
 
                                //方法2
                                //执行getText().toString()得到发表朋友圈的文本
                                String text=  XposedHelpers.callMethod(nRk,"getText").toString();
                                 
                                //todo上传数据
                            }
                    });
                }
            });
} catch (Exception e) {
    e.printStackTrace();
}
因为源码上有SnsUploadUI.this.nRk.setText("");这段,所以要在beforeHookedMethod中拦截
方法1是因为SnsEditText继承自EditText的,所以通过findField后直接强转成EditText,然后再获取字符串。
方法2是如果不知道SnsEditText是怎样的类的话,但我们知道nRk通过nRk.getText().toString()得到了文本信息,可以通过XposedHelpers.callMethod得到

需要说明的是beforeHookedMethod主要是截取方法参数,afterHookedMethod主要截取方法返回值,如果一个变量在方法中值被改变了,那就看你是要改变前的还是改变后的了。

至此拦截成功,使用Toast显示了一下。

以上代码使用了xposed 的findAndHookMethod,findField,callMethod等方法,相对全面系统。当然还有callStaticMethod、findAndHookConstructor等常用方法,最好查看Xposed Api文档进行学习,多多使用

使用xposed,最难的可能就是找到hook点,一般对于微信这种大量依赖数据库的,要么找到数据解析方法来拦截,要么找到数据入库或者查询操作自己解析判断来拦截
如果一开始无处下手,可以先找到它的数据库相关insert、update、delete、query操作,这样就可以通过打印的sql查询方法知道它每个页面查的是哪个数据表,然后分析数据表的结构和字段含义,再找到执行页面进行代码分析。


[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

最后于 2019-1-30 13:59 被JovenHe编辑 ,原因:
上一主题 下一主题
打赏 + 6.00
打赏次数 3 金额 + 6.00
收起 
赞赏  Editor   +2.00 2019/02/25 精品文章~
赞赏  supperlitt   +2.00 2019/02/16
赞赏  junkboy   +2.00 2019/01/29
最新回复 (33)
junkboy 2019-1-29 17:55
2
0
支持   
Editor 2019-1-29 18:24
3
0
666 厉害了
邓dg 2019-1-30 07:56
4
0
666 
LowRebSwrd 1 2019-1-30 10:50
5
0
感谢分享
许文伟爱工作 2019-1-31 10:34
6
0
,辛苦辛苦
Mr.T800 2019-2-1 13:17
7
0
支持 支持
小黄鸭爱学习 2019-2-3 12:10
8
0
我感觉使用xposed获取微信数据封号率很高 至今无法解决 
JovenHe 2019-2-11 14:13
9
0
小黄鸭爱学习 我感觉使用xposed获取微信数据封号率很高 至今无法解决
我的微信测试号一直在用我写的Xposed的模块,至今两年多,从来没有封号或者警告过。
要么是你的模块某些行为触及到微信底线,要么你的微信号是新注册的,是有封号风险的。
张taozi 2019-2-15 23:59
10
0
微信最近通过好友,封号极其严重, 不知道是否能避开检测或是有办法可以通过好友验证。降低封号成本
supperlitt 2019-2-16 12:21
11
0
感谢分享。
芝麻杆 2019-2-25 17:12
12
0
大神,怎么实现一个Xposed的模块,监控多个微信号呢?
zhangnew 2019-2-25 18:33
13
0
微信被封过几次不敢玩了
petersonhz 2019-2-27 21:26
14
0
zhangnew 微信被封过几次不敢玩了
封号后如何解开呢
zhangnew 2019-2-28 19:50
15
0
petersonhz 封号后如何解开呢[em_20]
永封无解,不是永封的它会告诉你怎么解
hbwazxf 2019-2-28 20:26
16
0
纯 技术贴支持一下…………感谢分享
邓dg 2019-2-28 21:14
17
0
不明觉厉
petersonhz 2019-3-1 05:16
18
0
zhangnew 永封无解,不是永封的它会告诉你怎么解
用xposed被让企鹅发现么
zhangnew 2019-3-2 01:18
19
0
petersonhz 用xposed被让企鹅发现么[em_16]
抢红包(微x)
petersonhz 2019-3-3 18:18
20
0
zhangnew 抢红包(微x)
你用xposed抢到多少钱红包呢
无法无天shen 2019-3-3 18:26
21
0
感谢分享。
zhangnew 2019-3-9 14:34
22
0
petersonhz 你用xposed抢到多少钱红包呢[em_13]
没多少,正常使用而已
petersonhz 2019-3-10 08:36
23
0
zhangnew 没多少,正常使用而已
那企鹅为啥要封你呢
乐宝daddy 2019-3-13 11:19
24
0
可以用用 FastHook——一种高效稳定、简洁易用的Android Hook框架    hook框架。
基于yahfa hook方案 改进的。填了好多坑。。应该会比xpose 好用。
当时也是基于 微信做的。基本上什么坏事都可以干吧。
最后于 2019-3-13 11:19 被乐宝daddy编辑 ,原因: 添加超链接
zhangnew 2019-3-13 11:45
25
0
petersonhz 那企鹅为啥要封你呢[em_4]
因为用了 Xposed
zhangnew 2019-3-13 11:46
26
0
乐宝daddy 可以用用&nbsp;FastHook——一种高效稳定、简洁易用的Android Hook框架 &nbsp;&nbsp;&nbsp;hook框架。基于yahfa& ...
我们是不会hook吗?我们是不会逆向
petersonhz 2019-3-13 12:36
27
0
zhangnew 我们是不会hook吗?我们是不会逆向[em_5]
你要做什么逆向啊
zhangnew 2019-3-14 17:00
28
0
petersonhz 你要做什么逆向啊[em_21]
Android 微信防封大佬会吗
coolsnake 2019-3-15 12:21
29
0
哥厉害了
petersonhz 2019-3-15 12:48
30
0
zhangnew 永封无解,不是永封的它会告诉你怎么解
永封的理由是什么呢,企鹅能自动检测xposed么?
zhangnew 2019-3-15 14:38
31
0
petersonhz 永封的理由是什么呢[em_15],企鹅能自动检测xposed么?
理由是使用外挂呗。

当然能检测了,这个不要太容易了,方式方法多种多样
petersonhz 2019-3-16 04:48
32
0
zhangnew 理由是使用外挂呗。 当然能检测了,这个不要太容易了,方式方法多种多样
企鹅封你的理由是你用外挂么
zhangnew 2天前
33
0
petersonhz 企鹅封你的理由是你用外挂么[em_21]
什么意思
petersonhz 2天前
34
0
zhangnew 没多少,正常使用而已
红包少抢点,是不是不会被封呢
游客
登录 | 注册 方可回帖
返回