前言

本文章仅供学习,请勿用于违法犯罪!

修改过程

1. 用x32dbg附加ti(防和谐)m.exe

2. 符号搜索im.dll,双击点进去

3. 右键 搜索->当前区域->字符串引用

4. 搜索完之后在搜索结果里搜索bytes_reserved,应该会有几个,找到类似这种结构的,再作如下修改,这是私聊的防撤回

5. 群聊的在修改完以后搜索bytes_userdef,也会有几个,在找到类似这种结构的,并修改

6. 最后右键 补丁->补丁文件,名字先改为另一个非im.dll的,保存好之后把x32dbg关掉,在去tim的目录,把im.dll删掉以及把另一个改好的改成im.dll

7. 重新上以后就发现实现了防撤回

温馨提示

1. q(防和谐)q同理
2. jmp的是哪个test的地址,不一定一定相同
3. 如果无效可以多试几次,也许有几个一样的结构
4. 可以提前备份一下原文件以免…

原理

原理是前辈以前在ti(防和谐)m的目录(亦或者是q(防和谐)q的目录)里面搜索与撤回相关的字符串,后面定位到了im.dll这个文件所以我们可以直接找到这个dll,当然字符串也是前辈找到的,咱只管用

另外就是中间跳过的那个call估计就是执行撤回消息的call了