Tim防撤回破解

目录

收集信息

这一步非常关键，因为在分析时，思路如果不对，基本上是分析不出来的。这里我们从敏感字符串开始。
由于我们要找的撤销功能，那我们要把撤销相关的英文、中文单词都找出来。这里使用百度翻译可以查看撤销的英文：

如图可知撤销英文单词：revoke,recall,cancel
当锁定了关键词之后，使用Notepad++的搜索功能，在文件中搜索。指定文件夹，搜索revoke
打开搜索

查看搜索结果

可以看到，有两个动态库与消息撤回有关，IM.dll和MsgMgr.dll。其他的根据查询到的字符串，并没有涉及消息。所以优先分析IM.dll和MsgMgr.dll

初步分析IM.dll和MsgMgr.dll

使用PEID或是其他PE文件查看DLL的导出，发现这两个DLL的导出函数都有以下四个函数：

DllCanUnloadNow
DllGetClassObject
DllRegisterServer
DllUnregisterServer

这四个函数是COM组件的标配。所以可以确定是COM组件。（COM组件是windows下抽象于二进制层的API接口，可以适应各种编程语言，包括C++,C#,VB等，比SDK API适应性更强）


可以发现MsgMgr.dll只有四个导出，其他没有了，而IM.dll还有几个导出函数，貌似与网络通信有有关(导出函数PostTask….),，所以暂时先不分析MsgMgr.dll，主攻IM.dll

使用x32dbg详细分析IM.dll

运行TIM,附加程序
在符号选项卡中找到IM.dll模块，进入其代码空间

查找该模块的所有字符串

在字符串中寻找和撤销(revoke)相关的

搜索字符串：搜索->当前模块->字符串

在字符串中中定位撤销字符串

由于撤销字符串比较多，为了方便定位代码，可以右键在所有命令上下断点

构建测试环境，寻找撤销CALL
再启动一个tim ，给被调试的tim 发消息，然后再撤销，发现会断到以下代码处，分析附近的代码。

测试附近的每一个CALL，让其直接返回，可以找到起作用的CALL。

经过测试附近代码，发现关键函数是以下CALL。

修改关键代码，完成patch

测试结果

总结

Tim 的聊天记录在本地和服务器都应该有保存，而撤销功能，服务器我们没有办法阻止，本地我们有机会做到不撤销，本节分析的最后结果可以验证我们所想，防撤销的原理就是patch掉修改本地聊天信息的代码，让对方撤销之后，本地依然显示即可。