PC微信hook逆向实战（二）—— 动态追踪消息发送机制

1. 从静态到动态：为什么这次要用OD追踪发送流程？

上一篇文章我们聊了怎么用CE（Cheat Engine）在PC微信的内存里“大海捞针”，找到个人信息的基址和偏移。那感觉就像拿到了一张藏宝图，知道了宝藏（比如昵称、头像）大概在哪个区域。但今天我们要干的事儿，难度直接上了一个台阶——我们要搞清楚微信是怎么把一条消息从你的输入框，送到对方聊天窗口里的。

这不再是静态地查看某个固定地址里存了什么，而是要动态追踪一个完整的函数调用过程。为什么必须用OD（OllyDbg）？我打个比方：CE更像一个超级望远镜，能帮你扫描整片内存海洋，找到那些静止的“岛屿”（数据地址）。而OD，则是一艘装备了雷达和潜水器的科考船，它能让你实时跟踪微信这个“生物”内部血液（数据）的流动、神经（指令）的传导。你想知道“发送消息”这个动作背后，程序到底执行了哪几百行、几千行汇编指令？CE就有点力不从心了，这时候必须请出OD。

简单说，我们的目标变了。之前是“找到数据在哪”，现在是“搞清楚程序是怎么运作的”。我们要找到那个最关键的“发送消息”的函数，看看它被调用时，接收了哪些参数（比如发给谁、发什么内容、是什么类型），然后才能“模仿”它，实现自动化发送。这个过程，业内通常叫“Hook”（钩子），意思就是在这个关键函数执行前或执行后，插入我们自己的代码逻辑。

所以，准备好你的OD和CE，这次我们要当一回程序的“影子”，紧紧跟着它，看清它发送消息的每一个脚步。

2. 环境与工具准备：别在第一步就踩坑

工欲善其事，必先利其器。老手和新手最大的区别，往往就在工具使用的熟练度和一些细节处理上。这里我结合自己踩过的坑，给你捋一遍准备工作，能帮你省下好几个小时的折腾时间。

2.1 工具版本与兼容性：选对的不选新的

首先，微信版本是最大的变数。不同版本的微信，其内部函数地址、数据结构甚至调用约定都可能发生变化。我强烈建议你找一个相对较旧且稳定的版本进行学习，比如2020-2021年左右的版本。新版微信的反调试和代码混淆可能会强很多，增加不必要的学习难度。你可以从一些软件历史版本库中找到这些旧版本。

其次，OD版本。网上有很多修改版，我实战下来最顺手的是“吾爱破解专用版OllyDbg”。它集成了很多实用的插件，比如强大的字符串搜索、API断点设置功能，对中文支持也好。别用太原始的版本，很多功能需要自己找插件，麻烦。

CE就用最新的稳定版就行，它的内存扫描功能在定位一些特征码时非常给力。把这两个工具都放在没有中文和空格的路径下，比如 D:\Tools\CE 和 D:\Tools\OD，能避免一些玄学问题。

2.2 关键一步：以调试模式启动微信

这是很多教程里一笔带过，但实际操作中第一个拦路虎。你不能直接打开微信再用OD去“附加”（Attach），因为微信有很强的反调试检测，附加上去它可能直接崩溃或者功能异常。

正确做法是：用OD直接启动微信。

1. 打开OD。
2. 点击菜单栏的 文件(File) -> 打开(Open)。
3. 找到你的微信安装目录下的 WeChat.exe，选中并打开。
4. OD会中断在系统领空（一般是ntdll模块里），这时候别慌，直接按 F9（运行）或者点击工具栏的小三角按钮，让程序跑起来。
5. 微信登录界面正常出现，登录你的账号。

这样做，OD从微信进程一诞生就是它的“监护人”（调试器），很多反调试手段就失效了。这就是“动态追踪”的起点——我们从起点开始跟。

2.3 认识你的战场：OD界面与核心功能

OD界面看起来有点复杂，但对我们追踪消息发送来说，主要关注几个窗