小白第一次逆向破解微信撤回功能（文末有福利）

前言：

最近在完成老师布置的一个逆向作业，之前从没接触过逆向，老师布置的两个程序，我仅解出来半个，因为有两层密码，其中第一层就是用“爆破法”做的。

主要的是，我在学习逆向时，逛论坛的时候看了一篇反编译QQ的文章（连接在文章末尾处），引发了我的好奇心，尝试去操作，没想到基本上是一模一样的操作，目的就是找出撤回功能，然后将这个功能jmp掉，就成功了。如果逆向大佬看到这篇文章，不用浪费时间了。

第一次的成功，为我揭开了逆向一层浅浅的面纱。

最后，我文末打包好的WechatWin.dll文件，去替换掉微信目录下的这个文件即可关掉微信撤回功能。

进入正题

破解流程:

1、首先，检查微信版本，并打开我们的OD工具：

2、现在，我们点击这个“文件”：

3、里面点开有个“附加”按钮，点击它，进入：

4、上图，我们能看到我们电脑里的进程，找到微信的进程进行添加，双击已经找到的进程：

5、看到了一大堆，看不懂的文件。不过没关系，接着往下看！如图：

7、点击工具栏上的“e”这个按钮：

8、可以看到我们进程里的模块！我已经花了1个小时时间逐个测试过了，为了省时间直接告诉大家，撤回功能就在这个模块里！双击进入！

9、接下来在选中的地方，鼠标右键>找到“中文搜索”>中文搜索里面的“智能搜索”（稍微等一会儿，电脑好的土豪应该很快就能全部跑出来！）：

小插曲：我们先来看下“撤回”英语是啥？

10、进入OD，ctrl+f 逐个搜索，这里差不多又花了半个小时，最终确定撤回功能是在revoke这个单词里，我们来看下！

注意：这里有很多revoke字符串，我也是逐个测试（一定要有耐心！），最终确认是在这个里面！双击进入！！！

11、看到这里有个jnz（jz是jump zero，jnz是jump not zero）有个判断！点击右键>选择“汇编”然后我们把他修改成jmp：

12、选中这个被修改的区域，然后右击，找到“复制可执行文件”，然后单击“选择”：

13、右键这个被选中的窗口当中的被修改数据，点击“保存文件”！

14、最后保存在桌面上的是这个文件：

15、那么接下来只需要找到微信的路径，替换成这个“WechatWin.dll”即可。

关闭OD，重启一下微信，我们来测试下是不是PC版微信的撤回功能被我们破解了：

成功了，成功了！！！

所有第一次的成功都是无言诉说的激动。

备注：

目前测试，仅限pc版微信：2.6.7.X