微信表情包制作 赚钱怎么操作-太棒了！将微信表情导出为GIF文件

不知道你是否遇到过这样的情况：你遇到了一个漂亮的微信表情，想导出成GIF文件在其他地方自己使用。

今天，看完这篇文章，相信你知道该怎么做了！

查找表情文件

微信有很多表情包，但是我们想要的表情包文件在哪里呢？ 解决这个问题第一步：找到表情包文件。

在手机上操作不方便，建议在Windows电脑上实现。

打开神器：ProcMon.exe，这是一个系统监控工具，可以监控整个系统所有进程的文件、注册表、网络等访问行为。

通过配置过滤器，只过滤掉进程名中包含“wechat”字样的进程，并且过滤掉Wechat进程的所有文件访问行为：

这时找到我们想要获取的表情文件，点击发送（发送给任何人都可以，这里为了方便测试，我发送给了我自己的文件传输助手）

然后在ProcMon中停止监控，可以看到它捕获了刚才操作过程中微信进程所有与文件相关的操作记录。

向下滚动可以看到最近对某个文件的多次读写ip形象，从该文件的路径可以猜测这是一个用户自定义（CustomEmotion）表情包：

打开该路径所在文件夹，可以看到目标文件：

必须是你！

我们给它添加一个.gif扩展名，打开看看是不是刚才的表情包。

哎呀，看来开启失败了！ 这不是GIF文件吗？ 用十六进制编辑器打开它，看看这个文件是什么格式！

V1MMWX？ 这是什么格式的标记？ 小白来世多年，从来没有见过这种格式的文件。

接下来微信表情包制作 赚钱怎么操作，我查看了同一目录下的其他文件，它们都是以这个标签开头的。

嗯~~微信好像对表情文件进行了加密！

这并不难理解。 现在很多微信表情包作者都是通过制作表情包来赚钱的。 这些表情包图片都是知识产权微信表情包制作 赚钱怎么操作，自然要有一定的安全保护。

但有些图片显然不是付费表情包，而且还经过加密。 这不可能。 我们必须找到一种方法来解密它们！

破解加密文件

根据ProMon监控记录中的调用堆栈信息，可以追溯到读取表情包的位置：

在IDA中打开分析目标模块WeChatWin.dll文件，发现几个解密图像文件的调用：

这些功能位于另一个模块 VoipEngine 中。 在调试器WinDbg中打断点ip形象，再次发送表情包文件触发断点，发现isWxGF函数命中。 检查堆栈并找到文件的纯文本！

使用windbg的内存转储命令将数据转储到磁盘并查看：

.writemem f:emj.gif 0x128352b8 L 0x1073f

果然是之前的表情包！

有了清晰的文字，问题就更容易解决了！ 编写一个DLL，自动将内存中的明文文件转储到磁盘！

注意：本文中的方法有一定的局限性。 不知道微信什么时候会增加检测方式~然后~

科技名人榜：“中国版乔布斯”雷军

欢迎大家点击文末视频号了解更多

该死的！ 这个软件直接让同类软件黯然失色！