目标

当前微信网页版限制越来越多，考虑尝试在手机上实现类似机器人的功能。本文目的是利用 Xposed 快速实现简易机器人功能，包括获取好友发来的消息，以及回复消息。后续可以增加智能回复，比如接入图灵机器人，或者自己自定义实现一些功能。

快速实现

项目框架的搭建

WechatSpellbook - 站在"巨人"的肩膀上

WechatSpellbook 是微信巫师作者在微信巫师的基础提取出来的通用微信 Xposed 插件框架。它提供了友好的的 API，提供自动分析微信内部结构特征的API(忽略微信版本差异)，对 hook 微信出现的常见问题都做了优化，总之就是使用它会更容易对微信 hook，感谢作者的贡献，项目的集成和详细介绍参见wiki，以下步骤的实现都是基于这个框架的。

以下源码均基于微信 6.6.6 版本，由于使用了 WechatSpellbook 框架动态匹配的原理，大部分微信版本均可自动适配。

获得好友发来的消息

实现机器人功能的首要步骤就是获得好友发来的消息，获得消息之后才能回复吧，才能叫“机器人”吧。

使用了 WechatSpellbook，获取消息是很容易的，参见api，当新消息存入数据库后回调，具体代码：

object WechatMessageHook : IMessageStorageHook {

override fun onMessageStorageInserted(msgId: Long, msgObject: Any) {

XposedBridge.log("onMessageStorageInserted msgId=$msgId,msgObject=$msgObject")

// 这些都是消息的属性，内容，发送人，类型等

val field_content = XposedHelpers.getObjectField(msgObject, "field_content") as String?

val field_talker = XposedHelpers.getObjectField(msgObject, "field_talker") as String?

val field_type = (XposedHelpers.getObjectField(msgObject, "field_type") as Int).toInt()

val field_isSend = (XposedHelpers.getObjectField(msgObject, "field_isSend") as Int).toInt()

XposedBridge.log("field_content=$field_content,field_talker=$field_talker," +

"field_type=$field_type,field_isSend=$field_isSend")

if (field_isSend == 1) {// 代表自己发出的，不处理

return

}

// 做其他事情

}

}

其中字段名含义如下：

field_content： 消息内容

field_talker： 发送者

field_type： 消息类型

field_isSend： 是谁发出的，我自己发出为1

这步到此就完成了，下一步是机器人怎么将消息回复给好友。

机器人回复消息

机器人回复消息需要找到发送消息出去这个 API，然后 hook 它，在我们的代码里调用就行了。

利用 Monitor 的 Method Profiling 功能分析

首先在模拟器中打开微信聊天窗口，打开 Monitor，选中微信进程，点击Start Method Profiling，然后在聊天窗口随便发送一条消息，然后回来点击Stop Method Profiling，会生成分析文件。分析步骤如下：

先搜索 click，点击发送按钮，肯定是触发了点击事件的嘛，先找找看

image.png

发现调用了 ChatFooter$3.onClick() 方法，单从名字上来看，应该就是这里了，点进去，看这个函数调用了哪里

image.png

它调用了 chatting.o.FZ 方法，注意参数是 String，返回值是 Boolean，大胆猜测一下，这个字符串就是消息文本，返回值应该是发送是否成功。验证一下，直接 Hook 这个函数，运行发现猜测是真的，这里比较简单就不贴代码了。

分析到这里，已经知道了chatting.o.FZ 方法就是发送消息的，参数就是消息文本，但是有个很重要的地方忽略了，为什么没有接收者参数？，微信内部联系人 ID 一般是以 wx_idxxx 开头的，接收者 id 设置在哪，怎么设置 hook，现在就差这个问题了。

到这里已经知道了发送消息的 API，hook 掉就可以搞事情了，但是缺少接收者这个重要参数的设置，分析下源码吧。

反编译查看源码分析

反编译之后分析 chatting.o.FZ 方法源码：

public final boolean FZ(String str) {

mS(false);

ctQ();

return this.yOg.yRO.dt(str, 0);

}

然后分析yOg.yRO.dt方法，它是com.tencent.mm.ui.chatting.b类的方法，看下源码：

public final boolean dt(String str, int i) {

int i2 = 0;

String Xf = bh.Xf(str);

if (Xf == null || Xf.length() == 0) {

w.e("MicroMsg.ChattingUI.TextImp", "doSendMessage null");

return false;

}

x xVar = this.yXC;

if (!ah.oB(Xf)) {

az azVar = new az();

azVar.setContent(Xf);

azVar.eW(1);

xVar.aB(azVar);

}

bt btVar = new bt();

// 省略

}

可以看到在azVar.setContent(Xf);这里将发送的消息文本放在放在了az这个类中，setContent() 是 az 的父类com.tencent.mm.g.c.cg的方法，看下这个类的源码：

// 截取了几个方法

public final void av(long j) {

this.field_createTime = j;

this.eRw = true;

}

public final long wQ() {

return this.field_createTime;

}

public final void ed(String str) {

this.field_talker = str;

this.feh = true;

}

public final String wR() {

return this.field_talker;

}

public final void setContent(String str) {

this.field_content = str;

this.eRE = true;

}

只截取了几个方法，可以看到这个类不仅仅包含消息文本，还包含了接受者field_talker，发送时间field_createTime等，大胆猜想，这个类就是消息的包装类，包含消息所有的属性，这里关注的字段是接收者 field_talker，只要知道在哪里调用了ed方法 hook 掉就可以为所欲为了。

但是，通过 AS 查找调用这个的地方有很多，根本无法判断具体发消息是哪里调用了，怎么办。

借助 Xposed 分析com.tencent.mm.g.c.cg.ed()方法，也就是设置接收者 field_talker 的方法，只要 hook 这个方法，然后打印出调用堆栈看看到底是哪里回调了。

val clz = XposedHelpers.findClass("com.tencent.mm.g.c.cg", WechatGlobal.wxLoader)

XposedHelpers.findAndHookMethod(clz, "ed", String::class.java, object : XC_MethodHook() {

override fun beforeHookedMethod(param: MethodHookParam?) {

log("set field_talker start")

LogUtil.logStackTraces() // 打印调用堆栈

log("set field_talker end")

}

})

打印结果：

image.png

可以看到函数调用链，关键点在com.tencent.mm.modelmulti.i.，看下这个方法的源码：

public i(String str, String str2, int i, int i2, Object obj) {

w.d("MicroMsg.NetSceneSendMsg", "dktext :%s", new Object[]{bh.cjG()});

if (!bh.oB(str)) {

cg azVar = new az();

azVar.eV(1);

azVar.ed(str);

azVar.av(bd.in(str));

azVar.eW(1);

azVar.setContent(str2);

azVar.setType(i);

String a = a(((o) g.l(o.class)).s(azVar), obj, i2);

if (!bh.oB(a)) {

azVar.ej(a);

w.d("MicroMsg.NetSceneSendMsg", "NetSceneSendMsg:MsgSource:%s", new Object[]{azVar.fnF});

// 省略很多代码

}

可以看到这个类的构造方法实例化了cg azVar = new az();，并调用了ed()方法。分析下这个构造函数，很有意思的是：参数 str 就是微信 id，str2是文本内容，后几个不知道，大胆猜测下这个类就是去发送消息的，从源码很难分析，hook 掉看看。

hook com.tencent.mm.modelmulti.i的构造方法打印参数，看下是否和发送消息有关。这里就不贴代码和截图了，结论是有关。那可以 hook 这个类的构造方法发送消息啊。

找到的 hook 关键点

com.tencent.mm.ui.chatting.o.FZ(String) 方法，参数是消息文本，调用该方法可以发消息，但是无法设置接收者

com.tencent.mm.modelmulti.i()构造方法，第0个参数是接收者 id，第1个参数是消息文本

机器人回复消息思路：调用第一个 API 发送消息文本，hook 第二个 API 修改接收者 id，然后就可以愉快的发消息了

关键点存在的问题

上述 hook 思路存在的问题：当 hook 第二个API 时，不知道该条消息的接收者是谁，不太好设置。

问题解决方法

既然我能 hook 这两个 API，那么我可不可以直接在调用第一个 API 的时候，将接收者 id 放在文本消息前面，然后在 hook 第二个 API 时将文本消息中的接收者 id 解析出来赋值给第0个参数。

新消息文本 = 接收者ID + 分隔符号 + 真实消息文本

分割符号可以采用特殊字符，用户不会输入的字符，比如 \t 等

代码实现

源码在这里，关键地方都有注释，有兴趣可以 star

效果图

image.png