[Reverse]PC微信（一）个人数据基址

个人数据基址

• OD附加进程
• 查看内存和数据窗口

OD附加进程

附加完了如上图

查看内存和数据窗口

我们要看看头像在哪里存放着，很有可能是通过指针的方式存放 eg： xxxxxxxxx muxiuyulin9456 xxxxxxxxx 123456 dc xxxxxxxxx “http://wx.com//xxxxxxx”

这样我们是找到了WeChatWin.dll

如上图我们找到了头像的偏移 那我就把我们想要的所有信息的偏移都计算一下 大致方法就是在OD数据窗口选中你想要的字符串的第一个字母，左下角会出现一个地址，添加这个地址即可，这个地址再减去WeChatWin.dll的地址就是偏移量了

如上图是验证一下我们找的头像的偏移地址是否正确，step如下：首先复制WeChatWin.dll+1AC FBF4 添加地址，4字节形式，将数据修改为16进制显示，再将这个16进制的数据作为地址添加，就是上图了。

WeChatWin.dll+1ACF92C 昵称地址 WeChatWin.dll+1ACFBF4 头像地址 WeChatWin.dll+1ACFA90 微信账号地址 WeChatWin.dll+1ACF960 手机号地址 WeChatWin.dll+1ACFA30 地区地址 WeChatWin.dll+1ACFD80 手机地址 上面是我找的写数据，大家可以找按照自己的喜好添加数据