查找PC微信数据库句柄

发表于2024-05-08|更新于2026-04-04|c

|浏览量:

查找PC微信数据库句柄

/public/images/sqlite3-handle-1.png

计算偏移，开始OD调试

10E79B0D - 10000000 = E79B0D

OD断点地址为 WeChatWin.dll + 0xE79B0D

OD基址为：78620000

78620000 + E79B0D = 79499B0D

/public/images/sqlite3-handle-2.png

然后登录微信

/public/images/sqlite3-handle-3.png

看到有数据库名称

根据上篇sqlite_exec定位分析

/public/images/sqlite3-handle-8.png

我们确定edi+0x38就是数据库句柄

我们找到函数头 push ebp 下断点

/public/images/sqlite3-handle-4.png

重新启动微信，断点后扫码登录

/public/images/sqlite3-handle-5.png

我们查看一下edi+0x38的值

/public/images/sqlite3-handle-6.png

当执行到call esi时，值发生变化

/public/images/sqlite3-handle-7.png

我们进入call esi

单步调试

/public/images/sqlite3-handle-9.png

执行到7953FFF3 esi+0x38 被赋值

这里就是数据库句柄

文章作者: Apache王也道长

文章链接: https://blog.123571.xyz/2024/pcwechat-sqlite3-handle/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Apache王也道长！

c/c++微信 PC微信微信机器人

赞助

相关推荐

OllyICE_1.10 调试sqlite3

OllyICE_1.10 调试sqlite3 下载 OllyICE https://tool.kanxue.com/index-detail-1.htm 下载 IDA https://tool.kanxue.com/index-detail-6.htm 根据windows cpp编译sqlite3 生成的程序打开OllyICEFile -》 Open -》选择sqlitetest.exe CTRL+G 输入sqlite3_open 可以看到特征码1234567891011007FE2F0 >/$ 55 push ebp007FE2F1 |. 8BEC mov ebp, esp007FE2F3 |. 8B55 0C mov edx, dword ptr [ebp+C]007FE2F6 |. 8B4D 08 mov ecx, dword ptr [ebp+8]007FE2F9 |. 6A 00 push 0007FE2FB |....

window编译sqlite3

windows cpp 编译sqlite3 下载 https://www.sqlite.org/2019/sqlite-preprocessed-3280000.zip解压D:\sqlite-preprocessed-3280000 把.c和.h文件分离，创建一个include文件夹用来存放.h文件打开visual studio 2017 创建一个c++控制台项目名称：sqlitetest 添加头文件解决方案资源管理器 -》头文件 -》右键 -》添加 -》现有项选中include中所有的.h文件添加.c文件解决方案资源管理器 -》源文件 -》右键 -》添加 -》现有项选中所有的.c文件编译visual studio 菜单栏 -》项目 -》sqlitetest属性配置：Release 配置属性 -》C/C++ -》常规 -》附加包含目录 -》点击编辑点击带*的文件夹图标 -》点击… -》选中D:\sqlite-preprocessed-3280000\include 配置属性 -》C/C++ -》优化 -》内联函数扩展 -》已禁用 visu...

注入dll到微信0x0 首先要打开微信进程 12345678910111213141516wchar_t wxPath[] = L"C:\\Program Files (x86)\\Tencent\\WeChat\\WeChat.exe";STARTUPINFO si = { 0 };PROCESS_INFORMATION pi = { 0 };ZeroMemory(&si, sizeof(si));si.cb = sizeof(si);ZeroMemory(&pi, sizeof(pi));si.dwFlags = STARTF_USESHOWWINDOW;si.wShowWindow = SW_SHOW;// 打开进程BOOL bCp = CreateProcess(NULL, wxPath, NULL, NULL, FALSE, NULL, NULL, NULL, &si, &pi);if (bCp == 0){ MessageBox(NULL, L"启动微信失...

IDA定位PC微信sqlite3_exec

IDA定位PC微信sqlite3_exec 定位自己写的程序开始找wechat的sqlite3_exec 思路所有的数据库执行都必须要先创建数据库，那我们先看从创建数据库SQL开始找 1create table if not exists ... CTRL + F 鼠标放在黄色区域按下x 看call sub_10F20BF0 双击进去看看是怎么样的可以看到sqlite3_exec函数的结构 sub_11E24F70 就是sqlite3_exec函数结论： 10000000 是我的IDA的基址偏移 11E24F70 - 10000000 = 1E24F70