Xposed-我收到微信好友发来的100万红包

前两天发了一篇自己的经验总结,但参与度并不高,让我不禁怀疑是不是大家更喜欢这种夸张式标题,只好趁着下班时间水一篇。前有改支付宝资产,后有改微信余额显示,我只好改改微信红包金额了。

严重声明
本文的意图只有一个就是通过分析app学习更多的逆向技术,如果有人利用本文知识和技术进行非法操作进行牟利,带来的任何法律责任都将由操作者本人承担,和本文作者无任何关系,最终还是希望大家能够秉着学习的心态阅读此文。

同样以微信7.0.3为例:其实之前做微信消息监控的时候做过红包监控,大概知道Hook点,要改很容易,但从读者的角度讲清楚流程就有些费时费力了,只好尽量讲清楚了。红包详情页红包金额的显示就在红包详情页LuckyMoneyDetailUI,不管是收到红包后第一次点击,还是再次点击,终归会进入到红包详情页。 第一次点击红包 红包详情

所以重点就在LuckyMoneyDetailUI这个页面。jadx打开apk后搜索类LuckyMoneyDetailUI。

打开后变量下就是十几二十个匿名内部类,直接跳过寻找onCreate方法。

数据来源
可以看到有很多getIntent()方法的调用。一般情况下我看到很多getIntent()就会打印一下数据,能传过来的大部分都是有用的。[Java] 纯文本查看 复制代码

findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "onCreate", Bundle.class,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);
                                    Bundle bundle=((Activity)param.thisObject).getIntent().getExtras();
                                    StringBuffer buffer=new StringBuffer("onCreate--");
                                    for (String s : bundle.keySet()) {
                                        buffer.append("-key="+s+"=value=");
                                        buffer.append(bundle.get(s)+"\n");
                                    }
                                    log(buffer.toString());

                                }
                            });

可以看到打印数据如下:

可以看到detail_info这个bit数组是很可疑的。继续跟踪:

可以看到获取到bit数组后会转化为一个数据类对象。如果这个对象是null的话就直接finish掉了。由此可见这个数据类对象是很重要的。

可以看到这个数据类中的变量都是基础数据类型,我们可以把这个数据类对象打印一下,因为这个对象不为null的时候传入了m21242a方法,所以直接hook a方法的参数:[Java] 纯文本查看 复制代码

final Class<?> modelClass = XposedHelpers.findClass("com.tencent.mm.plugin.luckymoney.model.j",
                            loadPackageParam.classLoader);

findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "a", modelClass,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);

                                    log("LuckyMoneyDetailUI-" + Tools.beanToString(param.args[0]));

                                }
                            });
public static String beanToString(Object object) {
        if (object==null){
            return "null";
        }
        return (new Gson()).toJson(object);
    }

拦截到的数据类打印结果如下:

这是两次红包的数据,对比如下:

因为第一次收到红包金额是0.01,第二次是0.03,所以第一次是1第二次是3的数据就比较可疑。可以看到有三个字段是可疑的,至于nuf中的list集合为什么不计入其中,因为这个数据既是单人红包也是多人红包,list集合就是展示所有抢了这个红包的人的信息的。所以只分析前三个字段直接在页面搜索.cGT .ntR .ntS只有cGT有使用到

可以看到cGT在某个位置赋值给了field_receiveAmount,代表了收到的金额数,而且在this.npx.setText(C9368e.m15470F(((double) c45587j.cGT) / 100.0d));更可以确定是金额格式化后进行setText展示。Xposed修改直接修改cGT这一变量。[Java] 纯文本查看 复制代码

findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "a", modelClass,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);

                                    log("LuckyMoneyDetailUI-" + Tools.beanToString(param.args[0]));
                                    XposedHelpers.setLongField(param.args[0],"cGT",100000000L);
                                }
                            });

直接修改为100W。

至此完成,看到结果就不得不吐槽一下微信了,为啥不做一下金额的长度兼容?嘿嘿。。大家看完乐呵一下就行了。

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消

    请填写用户信息: