这是一个只分享“逆向能力”的仓库, 不包含业务自动化封装.
仓库收的是这次逆向微信 PC no-GUI 发送链时真正用到的几类东西:
ida-ops的 skill + CLIwindows-app-reverse这类逆向 skill- 稳定版
frida_file_runner.py - IDA helper 脚本
- 只读 WeChat reverse probes
- 逆向流程文档
- 方法论和踩坑总结
它的目标不是一键帮你发消息, 而是把“怎么找主线, 怎么证伪伪主线, 怎么稳定采样”的那套逆向工具链和工作流整理出来.
skills/ida-ops/skills/windows-app-reverse/
这两套 skill 负责约束分析路径, 工具选择和恢复顺序.
clis/ida-ops/
这里放的是完整 ida-ops CLI 源码, 用来从 WSL 稳定调 Windows 上的 IDA Pro MCP.
tools/frida/frida_file_runner.py
这是一个有清理边界的 Frida runner, 重点是短生命周期 attach, 落盘 jsonl, 以及 bounded cleanup.
probes/wechat/read-only/
这里放的是只读探针和 trace 脚本, 用来做:
- mainline probe
- contract trace
- serializer trace
- socket / sqlite / tls / xeditor / cronet 等外围观察
- IDA 静态 survey / layout / xref helper
docs/methodology/reverse-methodology.mddocs/pitfalls/wechat-reverse-pitfalls.mddocs/share/wechat-no-gui-send-analysis.md
cd clis/ida-ops
make install-local验证:
command -v ida-ops
ida-ops doctor --jsonuv run python tools/frida/frida_file_runner.py \
--pid <wechat-pid> \
--script probes/wechat/read-only/wechat_coldstart_stage1_mainline_probe.js \
--log /tmp/wechat-mainline.jsonl \
--duration 60- 先读
docs/methodology/reverse-methodology.md - 再看
skills/ida-ops/和skills/windows-app-reverse/ - 用
clis/ida-ops/连 IDA - 用
tools/frida/frida_file_runner.py跑只读 probe - 只在运行时主线坐实后, 再往上恢复 contract 和 ctx
仓库内置一个最小验证脚本:
./scripts/validate.sh它会检查:
ida-opsCLI Python 语法- Frida runner Python 语法
- 关键只读 probe 的 JavaScript 语法
skills/
ida-ops/
windows-app-reverse/
clis/
ida-ops/
tools/
frida/
frida_file_runner.py
probes/
wechat/
read-only/
docs/
methodology/
pitfalls/
share/
scripts/
validate.sh
这个仓库只分享逆向工具链, 不分享下面这些内容:
- 业务自动化发送封装
- 群发, 日报发送, GUI 控制流程
- 账号相关配置, 本地私有路径, 私有数据库
- ready-made message bot
也就是说, 这里分享的是“怎么逆”, 不是“帮你直接跑业务”.