IDA定位PC微信sqlite3_exec

发表于2024-04-30|更新于2026-04-04|c

|浏览量:

IDA定位PC微信sqlite3_exec

定位自己写的程序

/public/images/sqlite3-0.png

开始找wechat的sqlite3_exec

思路

所有的数据库执行都必须要先创建数据库，那我们先看从创建数据库SQL开始找

1	create table if not exists ...

/public/images/sqlite3-1.jpg

CTRL + F

/public/images/sqlite3-2.png

/public/images/sqlite3-3.png

鼠标放在黄色区域按下x

/public/images/sqlite3-4.png

/public/images/sqlite3-5.png

/public/images/sqlite3-6.png

看call sub_10F20BF0 双击进去看看是怎么样的

/public/images/sqlite3-7.png

可以看到sqlite3_exec函数的结构

sub_11E24F70 就是sqlite3_exec函数

/public/images/sqlite3-8.png

结论：

10000000 是我的IDA的基址

偏移 11E24F70 - 10000000 = 1E24F70

文章作者: Apache王也道长

文章链接: https://blog.123571.xyz/2024/ida-sqlite3-exec/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Apache王也道长！

c/c++微信 PC微信

赞助

相关推荐

查找PC微信数据库句柄

查找PC微信数据库句柄计算偏移，开始OD调试 10E79B0D - 10000000 = E79B0D OD断点地址为 WeChatWin.dll + 0xE79B0D OD基址为：78620000 78620000 + E79B0D = 79499B0D 然后登录微信看到有数据库名称根据上篇sqlite_exec定位分析我们确定edi+0x38就是数据库句柄我们找到函数头 push ebp 下断点重新启动微信，断点后扫码登录我们查看一下edi+0x38的值当执行到call esi时，值发生变化我们进入call esi 单步调试执行到7953FFF3 esi+0x38 被赋值这里就是数据库句柄

注入dll到微信0x0 首先要打开微信进程 12345678910111213141516wchar_t wxPath[] = L"C:\\Program Files (x86)\\Tencent\\WeChat\\WeChat.exe";STARTUPINFO si = { 0 };PROCESS_INFORMATION pi = { 0 };ZeroMemory(&si, sizeof(si));si.cb = sizeof(si);ZeroMemory(&pi, sizeof(pi));si.dwFlags = STARTF_USESHOWWINDOW;si.wShowWindow = SW_SHOW;// 打开进程BOOL bCp = CreateProcess(NULL, wxPath, NULL, NULL, FALSE, NULL, NULL, NULL, &si, &pi);if (bCp == 0){ MessageBox(NULL, L"启动微信失...

OllyICE_1.10 调试sqlite3

OllyICE_1.10 调试sqlite3 下载 OllyICE https://tool.kanxue.com/index-detail-1.htm 下载 IDA https://tool.kanxue.com/index-detail-6.htm 根据windows cpp编译sqlite3 生成的程序打开OllyICEFile -》 Open -》选择sqlitetest.exe CTRL+G 输入sqlite3_open 可以看到特征码1234567891011007FE2F0 >/$ 55 push ebp007FE2F1 |. 8BEC mov ebp, esp007FE2F3 |. 8B55 0C mov edx, dword ptr [ebp+C]007FE2F6 |. 8B4D 08 mov ecx, dword ptr [ebp+8]007FE2F9 |. 6A 00 push 0007FE2FB |....

window编译sqlite3

windows cpp 编译sqlite3 下载 https://www.sqlite.org/2019/sqlite-preprocessed-3280000.zip解压D:\sqlite-preprocessed-3280000 把.c和.h文件分离，创建一个include文件夹用来存放.h文件打开visual studio 2017 创建一个c++控制台项目名称：sqlitetest 添加头文件解决方案资源管理器 -》头文件 -》右键 -》添加 -》现有项选中include中所有的.h文件添加.c文件解决方案资源管理器 -》源文件 -》右键 -》添加 -》现有项选中所有的.c文件编译visual studio 菜单栏 -》项目 -》sqlitetest属性配置：Release 配置属性 -》C/C++ -》常规 -》附加包含目录 -》点击编辑点击带*的文件夹图标 -》点击… -》选中D:\sqlite-preprocessed-3280000\include 配置属性 -》C/C++ -》优化 -》内联函数扩展 -》已禁用 visu...