forked from wanzi6666/NTQQ-sign-to-Lagrange-sign
-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy path正确使用x64dbg.txt
More file actions
93 lines (67 loc) · 2.27 KB
/
正确使用x64dbg.txt
File metadata and controls
93 lines (67 loc) · 2.27 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
=== 正确使用 x64dbg 打开 wrapper.node ===
⚠️ 重要:不要附加进程,要直接打开文件!
步骤 1: 启动 x64dbg
- 运行 x64dbg.exe (64位版本)
步骤 2: 打开文件(不是附加)
- 点击菜单:文件 → 打开
- 或按快捷键:F3
步骤 3: 浏览到 wrapper.node
9.9.12-25493 版本:
C:\Users\admin\Documents\qqnt\9912\resources\app\versions\9.9.12-25493\wrapper.node
9.9.20-37051 版本:
C:\Program Files\Tencent\QQNT\versions\9.9.20-37051\resources\app\wrapper.node
步骤 4: 验证是否正确加载
✅ 正确的标志:
- 顶部标题栏显示:x64dbg - wrapper
- CPU 窗口第一行地址类似:180000000 或 7FFA3C6B0000
- 反汇编显示:4D 5A (MZ 头)
❌ 错误的标志:
- 显示其他程序名(如 QQ.exe, x64dbg.exe)
- 看到很多系统 DLL
- 没有 wrapper 模块
步骤 5: 查看模块基址
方法 1 - CPU 窗口第一行:
180000000 4D 5A 90 00 ...
↑ 这就是模块基址
方法 2 - 顶部状态栏:
wrapper - 基址: 180000000
方法 3 - 内存映射(Alt+M):
基址 大小 模块
180000000 ... wrapper ← 找这行
步骤 6: 跳转到签名函数
按 Ctrl+G,输入:
wrapper+A996E0 (9.9.12 版本)
或
wrapper+A9CE90 (9.9.20 版本,待验证)
步骤 7: 验证是否找对
应该看到:
- 函数序言:push rbp, push r15, push r14...
- 大量代码,不是空白或乱码
- 函数结尾有 ret 指令
=== 常见错误 ===
错误 1: 附加到正在运行的 QQ
❌ 文件 → 附加
✅ 文件 → 打开
错误 2: 打开了错误的文件
检查文件路径是否正确
确认文件名是 wrapper.node
错误 3: 看到的是系统内存
如果看到 kernel32, ntdll 等系统 DLL
说明你在查看系统内存,不是 wrapper.node
=== 快速测试清单 ===
□ 关闭所有 x64dbg 窗口
□ 重新启动 x64dbg
□ 文件 → 打开(不是附加)
□ 选择 wrapper.node 文件
□ 等待加载完成
□ 确认顶部显示 wrapper
□ 查看模块基址
□ 跳转到偏移地址
□ 验证函数代码
=== 如果还是不行 ===
直接测试方案:
1. 编译项目
2. 创建 sign.json
3. 运行 start.bat
4. 访问 http://localhost:8080/
这样更快更直接!