Xposed-我收到微信好友发来的100万红包

前两天发了一篇自己的经验总结，但参与度并不高，让我不禁怀疑是不是大家更喜欢这种夸张式标题。

前有改支付宝资产，后有改微信余额显示，我只好改改微信红包金额了。

严重声明本文的意图只有一个就是通过分析app学习更多的逆向技术，如果有人利用本文知识和技术进行非法操作进行牟利，带来的任何法律责任都将由操作者本人承担，和本文作者无任何关系，最终还是希望大家能够秉着学习的心态阅读此文。

同样以微信7.0.3为例：

其实之前做微信消息监控的时候做过红包监控，大概知道Hook点，要改很容易，但从读者的角度讲清楚流程就有些费时费力了，只好尽量讲清楚了。

红包详情页

红包金额的显示就在红包详情页LuckyMoneyDetailUI，不管是收到红包后第一次点击，还是再次点击，终归会进入到红包详情页。

第一次点击红包	红包详情

所以重点就在LuckyMoneyDetailUI这个页面。

jadx打开apk后搜索类LuckyMoneyDetailUI。

打开后变量下就是十几二十个匿名内部类，直接跳过寻找onCreate方法。

数据来源

onCreate方法.png

可以看到有很多getIntent()方法的调用。

一般情况下我看到很多getIntent()就会打印一下数据，能传过来的大部分都是有用的。

                    findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "onCreate", Bundle.class,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);
                                    Bundle bundle=((Activity)param.thisObject).getIntent().getExtras();
                                    StringBuffer buffer=new StringBuffer("onCreate--");
                                    for (String s : bundle.keySet()) {
                                        buffer.append("-key="+s+"=value=");
                                        buffer.append(bundle.get(s)+"\n");
                                    }
                                    log(buffer.toString());

                                }
                            });

可以看到打印数据如下：

红包详情页intent接收值.png

可以看到detail_info这个bit数组是很可疑的。

继续跟踪：

detail_info数据.png

可以看到获取到bit数组后会转化为一个数据类对象。如果这个对象是null的话就直接finish掉了。

由此可见这个数据类对象是很重要的。

数据类.png

可以看到这个数据类中的变量都是基础数据类型，我们可以把这个数据类对象打印一下，因为这个对象不为null的时候传入了m21242a方法，所以直接hook a方法的参数：

final Class<?> modelClass = XposedHelpers.findClass("com.tencent.mm.plugin.luckymoney.model.j",
                            loadPackageParam.classLoader);

findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "a", modelClass,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);

                                    log("LuckyMoneyDetailUI-" + Tools.beanToString(param.args[0]));

                                }
                            });
public static String beanToString(Object object) {
        if (object==null){
            return "null";
        }
        return (new Gson()).toJson(object);
    }

拦截到的数据类打印结果如下：

数据类json数据.png

这是两次红包的数据，对比如下：

json树.png

因为第一次收到红包金额是0.01，第二次是0.03，所以第一次是1第二次是3的数据就比较可疑。可以看到有三个字段是可疑的，至于nuf中的list集合为什么不计入其中，因为这个数据既是单人红包也是多人红包，list集合就是展示所有抢了这个红包的人的信息的。所以只分析前三个字段

直接在页面搜索.cGT .ntR .ntS

只有cGT有使用到

可以看到cGT在某个位置赋值给了field_receiveAmount，代表了收到的金额数，而且在this.npx.setText(C9368e.m15470F(((double) c45587j.cGT) / 100.0d));更可以确定是金额格式化后进行setText展示。

Xposed修改

直接修改cGT这一变量。

findAndHookMethod("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyDetailUI", loadPackageParam.classLoader,
                            "a", modelClass,
                            new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(final MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);

                                    log("LuckyMoneyDetailUI-" + Tools.beanToString(param.args[0]));
                                    XposedHelpers.setLongField(param.args[0],"cGT",100000000L);
                                }
                            });

直接修改为100W。

修改红包结果.gif

至此完成，看到结果就不得不吐槽一下微信了，为啥不做一下金额的长度兼容？嘿嘿。。

大家看完乐呵一下就行了。

分析红包详情页

红包详情页

数据来源

Xposed修改

CATALOG

FEATURED TAGS