
因为首先知道了QQ防撤回文件是与”IM.dll”这个文件有关的,所以就不需要搜索字符串了.直接打开x32dbg附加QQ.

点击符号-搜索im-然后双击左上角的im.dll模块

右键-搜索-当前区域-字符串

搜索完字符串之后在左下角搜索revoke(撤销字符串),可以看到搜索出来很多个.

然后右键-在所有命令上设置断点

断点后点击左上角的运行直到左下角显示运行中

然后用另外一个QQ给调试中QQ发信息 然后撤回 .你会发现其中一个断点变成了黑色而左下角也变回了已暂停状态,然后双击黑色的那个断点

然后查看断点附近的代码----(看不懂????没事我也看不懂)

我有一个最笨的方法 就是你可以看到图中断点下面的第二个call 在下面一行是有一个test的.然后记住最左边的一串字符.(图片上面的是5149E818)

记住了那串字符之后,重新回到断点然后经过一个call之后的第一个push双击输入”jmp 0x5149E818”(就是test左边的那串字符)---确定

然后你会看到,直接从Push就直接跳过断点下面第二个call到了下面(这个call应该就是撤回的那个吧.....据我理解...)

然后右键-补丁-修补补丁命名为”IM.dll”替换就可以了 或者快捷键Ctrl+P也是可以的
效果图如下↓↓↓↓↓↓↓↓↓↓↓↓

成品我就不发了因为论坛里面也有,免得重复了会被删帖或者违规什么的.(如果可以发手动流程帖,可能下一章会发PC微信的撤回,勋章墙我还不会弄,有空在研究一下)