微信PC端多開的秘密
- 2020 年 7 月 23 日
- 筆記
微信電腦端也能多開
昨天,偶然從好朋友小林(微信公眾號:小林Coding)處得知,他的電腦居然可以同時上兩個微訊號。
手機端多開微信我知道,像華為、小米等手機系統都對此做了支援,不過在運行Windows系統的電腦上怎麼啟動兩個微信呢,這倒是一下引起了我的好奇。
小林告訴我他是這樣做的,寫了一個批處理:
start D:\WeChat\WeChat.exe
start D:\WeChat\WeChat.exe
然後直接雙擊批處理文件,就能啟動兩個微信進程。
我試了一下,果然如此!
隨後我又加了一行,竟然還能啟動3個:
接著我在網路上搜了一下,原來這一招早就被人用過了,看來是我火星了。不過到底為什麼用這種方式就能多開,我倒是很想知道這個迷底。
TIPS:如果對技術分析部分不感興趣,可以跳過直接來到後面的真相部分。
微信的單例模式
正常情況下,直接手動雙擊微信圖標啟動,後面啟動的進程會進行全局單例模式檢查,如果發現已經存在微信進程,就會直接把對應進程的微信窗口激活,定位到桌面最前面,隨後自己退出。
但為什麼用上面的方式就能啟動倆呢?我們來一探究竟。
首先,分析一下上面描述的微信單個實例是如何實現的。
做過Windows平台應用程式開發的朋友可能對此比較熟悉,一般是進程啟動後創建一個全局唯一名字的互斥體,創建成功則正常啟動,創建失敗則判斷一下是否這個互斥體已經存在。如果已經存在則說明已經有對應程式之前啟動。
帶著這種猜想,用工具procexp查看一下微信進程打開的所有內核對象,並找到互斥體部分:
果然,這其中有一個名字叫 _WeChat_App_Instance_Identity_Mutex_Name 的互斥體,從這個名字可以猜出,這個跟微信的單例模式絕對有關係。
接著,啟動神器APIMonitor,它可以幫你監控指定進程的API調用情況,勾選上CreateMutex和GetLastError這兩個Windows API函數。在已經有微信在運行的情況下,用這個工具再啟動一個微信進程,看一下函數調用情況:
可以看到,創建這個名字的互斥體後,隨後又調用了GetLastError函數,並返回了0x000000b7,查看手冊,其含義:
表示已經存在。
來看一下,這個CreateMutex調用的堆棧,看看是哪個地方的程式碼在創建這個全局互斥體:
從堆棧看出,調用來自於微信目錄下的一個動態庫WeChatWin.dll。具體位置在偏移0x8e271b處的前一條指令。
接下來就要祭出神器中的神器,大名鼎鼎的反彙編軟體IDA,這傢伙支援x86、x64、ARM、MIPS等多種處理器架構和Windows、Linux、Android、MacOS、JVM等多種系統平台的程式分析。
用IDA打開這個WeChatWin.dll文件,並定位到偏移0x8e271b處:
如上圖所示,創建互斥體的動作,發生在函數sub_108e26d0。
上層是sub_108e2660函數在調用它:
上面這張圖反映了創建互斥體後的判斷邏輯:
- 如果sub_108e26d0的返回值為0,表示沒有錯誤,當前函數也直接返回0。
- 如果sub_108e26d0的返回值不為0,表示出現了錯誤,則依次判斷WeChatMainWndForPC和WeChatLoginWndForPC兩個窗口是否存在,如果存在則使用BringWindowToTop函數將其置頂彈出。這兩個窗口分別代表的是微信的主介面窗口和登陸介面窗口,如果一個微信實例已經存在,則勢必處於這兩種狀態之一。
問題就出在上面這個判斷中,彙編程式碼看起來有點辣眼睛,咱們F5來還原一下C程式碼(還原效果只能湊合看,能看清楚邏輯就行):
上面圖片的註解已經說明了,函數sub_108e2660的返回值將決定是否啟動微信實例進程,還是直接退出。
真相只有一個
事情到這裡就真相大白了,來總結一下。
微信判斷是否啟動的2個條件:
- 如果能成功創建互斥體對象,則啟動微信
- 如果不能創建互斥體:
- 如果找到對應窗口,則置頂之,自己退出
- 如果沒有找到,則啟動微信
用偽程式碼來表示一下:
if (CreateMutex() == SUCCESS) {
啟動微信
} else {
if (FindWindow() == SUCCESS) {
將已有窗口置頂
} else {
啟動微信
}
}
而直接使用腳本啟動的多個進程,雖然作業系統內核層面保證了互斥體的唯一,但由於啟動速度相差不大,相應的窗口還沒有來得及創建出來,導致走入上面的第二個啟動邏輯,從而可以啟動多個實例。
小發現
在分析的過程中,發現了一個有趣的事情:
在WeChatWin.dll中,上面的創建互斥體再上一級函數名字叫StartWaChat,也是作為導出函數被該DLL導出:
這裡不知道是故意還是不小心把微信的WeChat寫成了WaChat,如果是筆誤,這位程式設計師同學看到了趕緊偷偷去改一下吧。
往期TOP5文章
