因为被迫开始更多使用wechat了,因为我觉得很多地方设计其实不合理. 所以有必要单独调教一番,以及处理一些比较棘手的问题.
直接上干货.
0x00.离线保存wechat动图表情
首先我发现wechat居然非gif类图片是不能添加到emoji的? 其次我发现很多表情我不能保存到本地/手机,只能发送好友或者存起来.造成tim跟wechat的表情难以同步,久而久之我表示不能忍了.要研究一下.
因为我习惯在pc端用wechat,图片(包括动图)这个东西占空间不小,传统来说自然会缓存,那么我就从最直接的思路开始找图片缓存,win上wechat保存表情的相对路径是 WeChat Files\yourUserIDxxx\CustomEmotions 文件夹下.打开看到了许多二进制文件 (无后缀).
不是直接的图片文件,那先打开看看十六进制. 打开发现意外的naive. 基本没有改变原本的文件结构.那么只需一行代码要把文件转回gif就行了.
1 | for /f %%x in ('dir /b *') do (ren %%x %%x.gif) |
当然,这样会把bat文件本身也补上后缀,所以之后加个排查为宜. 再就是有些图片是静态的,这种可能需要单独对文件二进制头或分析,判断自动改为png ,后续再说吧.
0x01.wechat分析好友关系(推荐)
因为wechat还采用不知为何的单方面删除(18.3月更新据说下个大版本会添加双方删除). 为了确认有些单方僵尸,又不用发消息勿扰别人引起误会. 参考网友后最好的办法是
转账测试: (**截止18.3月有效,**失效请告知更新)
- 弹出密码确认窗口时.如果无提示,代表没被拉黑/删除.
- 其他情况都是被拉黑or删除了.
另外,参考zhihu说也可以用拉好友成组不说话的方式测试,因为觉得比较麻烦且有可能误操作. 没有测试,仅供参考.
0x02.wechat手机号绑定
因为现在手机大多都实名了,安全我是没有感受的,但是精准诈骗/骚扰之类的,我是有切身体会的. 基于最小信任原则,其实不能把真实手机跟这种IM绑定. 那么这里有两个问题
- 一个手机如何注册多个wechat账号
- 如何获取临时的手机注册各种社交网络号
针对第一个问题,参考网友说可以注册了然后申请解绑的方式,但是这个方法我以前在百度云就试过,长期来说肯定不是好办法,因为官方可以简单的加入一次再审查机制,不绑定新的不让你登…其他办法暂时没看到过.
针对多号问题或者保护个人隐私安全,主要就是第二个问题了. 常见手段是各种手机短信验证平台.
以前这样做很好用,但是现在因为监管+外卖新用户等各种滥用, 风险性已经大了不少. 且有被他人手机找回风险. 所以暂时还是推荐使用小号模式: 比如以前阿里出的阿里小号APP , 各种渠道卖的实名但非个人的安全手机号. 点到即止,后续希望补充
0x03.wechat的ID问题
因为很早wechat会自动生成一个随机id,并且那时候可以和企鹅绑定.导致wechat的唯一ID有很多安全或中二问题. 比如暴露隐私以及id不合适.. 对于随机的id,wechat允许修改一次. 但是这对以前绑定过来或者取过的没有效果.
暂时还不知道如何解决这个问题,或者不显示wechatid. 例如企鹅不显示数字账号.(代用邮箱之类的)
0x04.wechat anti-setback
这个功能我现在还没去了解实现原理,可能是直接捕获了消息事件,也可能是多种方法综合。后续等Xposed后再来尝试,顺便贴上最新的github地址
0x0n.其他技巧
1.微信公众号搜索历史文章
这个非常有用,方法就是点击历史文章进入后,下拉文章列表然后顶部就会出现隐藏的搜索框了. 至于为什么是这样藏起来的,暂时不得而知….(新版本也可能放出来?)