VXHOOK 5.获取文本消息发送地址

一个发消息的函数，至少需要两个参数。第一个是发送给谁，第二个是发送的内容，所以我们可以从参数入手，然后通过栈回溯的方式找到发送消息的call。

至于突破口我们可以从发送的消息内容和消息的接收者的微信ID入手，比如文件传输助手的微信ID是filehelper，这个可以在接收消息的call中拿到。以这个微信ID为突破口会比从文本来追溯方便。
1.打开CE，将微信聊天窗口设置为文件传输助手。
2.CE搜索字符串 [ UTF-16 ] filehelper filehelper
3.切换好友 搜索 wxid
4.搜索完毕，改变ID数值为：filehelper 发送消息
5.直到好友消息发送到文件传输助手，循环减少！

6.定位地址后OD载入下内存访问断点。
7.先输入好消息，在下断点，然后发送，要不然没输入信息就会断下来

8.然后第一个堆载回车返回，往上下断点。
9.然后重新发一条消息，然后F8单步跟随！

注意观察寄存器区域变化，变红表示有数值更新，找到至少包含2个参数的那个CALL(如下图,包含了push eax 和 push edi)
10.最后下面的就是消息CALL

观察EAX寄存器，在@时这里有值，不是@消息时这里为0，可以在这里判断是不是群@消息