開源微信/QQ/TIM防撤回工具
有時候我們在聊微信或者QQ時,稍不注意,就不知道對方撤回了你非常感興趣的東西。這時候,你可能會有些失落,甚至好奇心暴增。這款適用于 Windows 下 PC 版微信/QQ/TIM的防撤回補丁或許可以玩玩。
微信/QQ/TIM防撤回補丁,支持最新版微信/QQ/TIM,其中微信能夠選擇安裝多開功能。
使用方法
- 首先,你的系統需要滿足以下條件:
Windows 7 或更高版本,不支持XP。
.NET Framework 4.5.2 或更高版本。低于此版本在打開程序時可能無反應,或者直接報錯。
- 使用本程序前,先關閉微信/QQ/TIM。
- 以管理員身份運行本程序,等待右下角獲取最新的補丁信息。
- 選擇微信/QQ/TIM的安裝路徑。如果你用的安裝版的微信/QQ/TIM,正常情況下本程序會自動從注冊表中獲取安裝路徑,綠色版需要手動選擇路徑。
- 點擊防撤回。界面可能會出現一段時間的無響應,請耐心等待。由于修改了微信的 WeChatWin.dll 文件、QQ/TIM的 IM.dll 文件,殺毒軟件可能會彈出警告,放行即可。
微信防撤回與多開原理
- 需要安裝x32dbg或者OllyDbg
- 打開 x32dbg ,
點擊 文件 -> 附加 ,切換到 符號 選項卡,在左下角搜索 WeChatWin.dll ,雙擊 wechatwin.dll 進入 CPU 選項卡 ,右鍵 搜索 -> 當前區域 -> 字符串,搜索撤回關鍵詞 revokemsg,然后雙擊第一個”revokemsg”進入
需要進行修改的是當前行的上面一行: je xxxxxx ,雙擊 je xxxxxx ,把 je 修改為 jmp 即可 修改為jmp
接下來搜索防多開關鍵詞
WeChat_App_Instance_Identity_Mutex_Name,然后雙擊第一個L”WeChat_App_Instance_Identity_Mutex_Name”進入 ,需要進行修改的是當前行的上面第一個出現的 push ebp ,雙擊 push ebp ,把 push ebp 修改為 ret 即可 修改為jmp
點擊生成補丁的按鈕,然后點擊修補文件就可以得到修改后的 WeChatWin.dll
QQ或TIM防撤回
- 打開 x64dbg ,點擊 文件 -> 附加
- 附加QQ的進程
3. 切換到 符號 選項卡,在左下角搜索 IM.dll ,雙擊 IM.dll 進入 CPU 選項卡
右鍵 搜索 -> 當前區域 -> 字符串 搜索好友撤回關鍵詞 bytes_reserved,然后雙擊第三個 “bytes_reserved” 進入 ,需要進行修改的是當前行的上面一行: push ecx ,目標是讓其 jmp 到下面的 test eax,eax 的地址,此處地址為 0x5D8F77B5 ,雙擊 push ecx ,修改為 jmp 下面test的地址 ,即 jmp 0x5D8F77B5 jmp到test
搜索群聊撤回關鍵詞 bytes_userdef,然后雙擊第三個/第四個 “bytes_userdef” 進入,測試兩個都改才有效,此處以第三個為例 ,需要進行修改的是當前行: push xxx ,和上面一樣,目標是讓其 jmp 到下面的 test eax,eax 的地址,此處地址為 0x5D8F73E9 ,雙擊 push xxx ,修改為 jmp 下面test的地址 ,即 jmp 0x5D8F73E9 jmp到test ,同樣的方法修改第四個 “bytes_userdef”
點擊生成補丁的按鈕,然后點擊修補文件就可以得到修改后的 IM.dll
RevokeMsgPatcher工具
前面就是防撤回的原理,那么RevokeMsgPatcher這個工具就是將前面的找到的特征值,用十六進制編輯的方式修改對應的DLL文件。
代碼地址
:https://github.com/huiyadanli/RevokeMsgPatcher.git
因為該方式只是直接跳過撤回的邏輯,所以,我們也區分不出撤回的是哪一條消息,只有通過手機端和PC對比吧。
Mac版本的代碼:??https://github.com/sunnyyoung/WeChatTweak-macOS.git??
