零、有啥用

網上大多數的微信逆向思路，是CE搜索數據得到地址，OD下訪問斷點，然后在堆棧里面大海撈針的找Call，效率太低了。

其實微信的界面是用Duilib做的，Duilib的界面布局寫在XML文件。然后界面的消息處理，是通過控件名處理的。比如發送按鈕，XML文件里面是"send_btn"，代碼里面是 if(xxx== “send_btn”)。利用這個特性，可以直接用字符串定位，省事很多。

一、資料

原版Duiib源碼地址：https://github.com/duilib/duilib

微信Duilib源碼地址：https://github.com/tencentyun/TIMSDK/tree/master/cross-platform/Windows/IMApp/Basic/duilib

二、界面創建流程

創建界面流程

窗口過程：CWindowWnd::__WndProc

消息處理函數：WindowImplBase::HandleMessage

處理創建窗口消息：WM_CREATE:? ? WindowImplBase::OnCreate

創建界面：CDialogBuilder::Create（加載界面） CDialogBuilder::Create（處理控件）

加載界面資源：CMarkup::Load CMarkup::LoadFromFile CMarkup::LoadFromMem

三、分析過程

1、切入點

WindowImplBase::OnCreate

MessageBox(NULL, _T(“加載資源文件失敗”), _T(“Duilib”), MB_OK | MB_ICONERROR);

2、找偏移過程

IDA打開 WeChatWin.dll

搜索字符串 Duilib

參考源碼備注

調用偏移 080D8C0

builder.Create 偏移 0x08199EA

F7進入，F8單步調試，發現亂碼XML

再F7進入，F8單步調試，兩次MultiByteToWideChar就得到xml

對應源碼 這里是bool CMarkup::LoadFromMem

四、偏移記錄

0FD7DC62? ? 53? ? ? ? ? ? ? push ebx

0FD7DC63? ? 6A 00? ? ? ? ? ?push 0x0

0FD7DC65? ? 68 E9FD0000? ? ?push 0xFDE9

0FD7DC6A? ? FF15 B4A47510? ?call dword ptr ds:[<&KERNEL32.MultiByteT>; kernel32.MultiByteToWideChar

0FD7DC70? ? 8B5D FC? ? ? ? ?mov ebx,dword ptr ss:[ebp-0x4]

0FD7DC73? ? 33C9? ? ? ? ? ? xor ecx,ecx

Executable modules, item 6

Base=0F560000

Size=018A2000 (25829376.)

Entry=1023AA01 WeChatWi.

Name=WeChatWi

File version=2.8.0.121

Path=C:\Program Files (x86)\Tencent\WeChat\WeChatWin.dll

偏移 0FD7DC70 - 0F560000 =? 81DC70?

五、Hook代碼

源碼地址：https://github.com/KongKong20/WeChatPCHook

總結

以上是生活随笔為你收集整理的Dump微信PC端的界面Duilib文件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。