深扒微信多開的秘密后，我發(fā)現(xiàn)一個(gè) BUG

微信電腦端也能多開

昨天，偶然從好朋友小林（微信公眾號(hào)：小林Coding）處得知，他的電腦居然可以同時(shí)上兩個(gè)微信號(hào)。

手機(jī)端多開微信我知道，像華為、小米等手機(jī)系統(tǒng)都對(duì)此做了支持，不過在運(yùn)行Windows系統(tǒng)的電腦上怎么啟動(dòng)兩個(gè)微信呢，這倒是一下引起了我的好奇。

小林告訴我他是這樣做的，寫了一個(gè)批處理：

start?D:\WeChat\WeChat.exe
start?D:\WeChat\WeChat.exe

然后直接雙擊批處理文件，就能啟動(dòng)兩個(gè)微信進(jìn)程。

我試了一下，果然如此！

隨后我又加了一行，竟然還能啟動(dòng)3個(gè)：

接著我在網(wǎng)絡(luò)上搜了一下，原來這一招早就被人用過了，看來是我火星了。不過到底為什么用這種方式就能多開，我倒是很想知道這個(gè)迷底。

TIPS：如果對(duì)技術(shù)分析部分不感興趣，可以跳過直接來到后面的真相部分。

微信的單例模式

正常情況下，直接手動(dòng)雙擊微信圖標(biāo)啟動(dòng)，后面啟動(dòng)的進(jìn)程會(huì)進(jìn)行全局單例模式檢查，如果發(fā)現(xiàn)已經(jīng)存在微信進(jìn)程，就會(huì)直接把對(duì)應(yīng)進(jìn)程的微信窗口激活，定位到桌面最前面，隨后自己退出。

但為什么用上面的方式就能啟動(dòng)倆呢？我們來一探究竟。

首先，分析一下上面描述的微信單個(gè)實(shí)例是如何實(shí)現(xiàn)的。

做過Windows平臺(tái)應(yīng)用程序開發(fā)的朋友可能對(duì)此比較熟悉，一般是進(jìn)程啟動(dòng)后創(chuàng)建一個(gè)全局唯一名字的互斥體，創(chuàng)建成功則正常啟動(dòng)，創(chuàng)建失敗則判斷一下是否這個(gè)互斥體已經(jīng)存在。如果已經(jīng)存在則說明已經(jīng)有對(duì)應(yīng)程序之前啟動(dòng)。

帶著這種猜想，用工具procexp查看一下微信進(jìn)程打開的所有內(nèi)核對(duì)象，并找到互斥體部分：

果然，這其中有一個(gè)名字叫_WeChat_App_Instance_Identity_Mutex_Name的互斥體，從這個(gè)名字可以猜出，這個(gè)跟微信的單例模式絕對(duì)有關(guān)系。

接著，啟動(dòng)神器APIMonitor，它可以幫你監(jiān)控指定進(jìn)程的API調(diào)用情況，勾選上CreateMutex和GetLastError這兩個(gè)Windows API函數(shù)。在已經(jīng)有微信在運(yùn)行的情況下，用這個(gè)工具再啟動(dòng)一個(gè)微信進(jìn)程，看一下函數(shù)調(diào)用情況：

可以看到，創(chuàng)建這個(gè)名字的互斥體后，隨后又調(diào)用了GetLastError函數(shù)，并返回了0x000000b7，查看手冊(cè)，其含義：

表示已經(jīng)存在。

來看一下，這個(gè)CreateMutex調(diào)用的堆棧，看看是哪個(gè)地方的代碼在創(chuàng)建這個(gè)全局互斥體：

從堆棧看出，調(diào)用來自于微信目錄下的一個(gè)動(dòng)態(tài)庫WeChatWin.dll。具體位置在偏移0x8e271b處的前一條指令。

接下來就要祭出神器中的神器，大名鼎鼎的反匯編軟件IDA，這家伙支持x86、x64、ARM、MIPS等多種處理器架構(gòu)和Windows、Linux、Android、MacOS、JVM等多種系統(tǒng)平臺(tái)的程序分析。

用IDA打開這個(gè)WeChatWin.dll文件，并定位到偏移0x8e271b處：

如上圖所示，創(chuàng)建互斥體的動(dòng)作，發(fā)生在函數(shù)sub_108e26d0。

上層是sub_108e2660函數(shù)在調(diào)用它：

上面這張圖反映了創(chuàng)建互斥體后的判斷邏輯：

• 如果sub_108e26d0的返回值為0，表示沒有錯(cuò)誤，當(dāng)前函數(shù)也直接返回0。
• 如果sub_108e26d0的返回值不為0，表示出現(xiàn)了錯(cuò)誤，則依次判斷WeChatMainWndForPC和WeChatLoginWndForPC兩個(gè)窗口是否存在，如果存在則使用BringWindowToTop函數(shù)將其置頂彈出。這兩個(gè)窗口分別代表的是微信的主界面窗口和登陸界面窗口，如果一個(gè)微信實(shí)例已經(jīng)存在，則勢(shì)必處于這兩種狀態(tài)之一。

問題就出在上面這個(gè)判斷中，匯編代碼看起來有點(diǎn)辣眼睛，咱們F5來還原一下C代碼（還原效果只能湊合看，能看清楚邏輯就行）：

上面圖片的注解已經(jīng)說明了，函數(shù)sub_108e2660的返回值將決定是否啟動(dòng)微信實(shí)例進(jìn)程，還是直接退出。

真相只有一個(gè)

事情到這里就真相大白了，來總結(jié)一下。

微信判斷是否啟動(dòng)的2個(gè)條件：

• 如果能成功創(chuàng)建互斥體對(duì)象，則啟動(dòng)微信
• 如果不能創(chuàng)建互斥體：
• 如果找到對(duì)應(yīng)窗口，則置頂之，自己退出
• 如果沒有找到，則啟動(dòng)微信

用偽代碼來表示一下：

if?(CreateMutex()?==?SUCCESS)?{
??啟動(dòng)微信
}?else?{
??if?(FindWindow()?==?SUCCESS)?{
????將已有窗口置頂
??}?else?{
????啟動(dòng)微信
??}
}

而直接使用腳本啟動(dòng)的多個(gè)進(jìn)程，雖然操作系統(tǒng)內(nèi)核層面保證了互斥體的唯一，但由于啟動(dòng)速度相差不大，相應(yīng)的窗口還沒有來得及創(chuàng)建出來，導(dǎo)致走入上面的第二個(gè)啟動(dòng)邏輯，從而可以啟動(dòng)多個(gè)實(shí)例。

小發(fā)現(xiàn)

在分析的過程中，發(fā)現(xiàn)了一個(gè)有趣的事情：

在WeChatWin.dll中，上面的創(chuàng)建互斥體再上一級(jí)函數(shù)名字叫StartWaChat，也是作為導(dǎo)出函數(shù)被該DLL導(dǎo)出：

這里不知道是故意還是不小心把微信的WeChat寫成了WaChat，如果是筆誤，這位程序員同學(xué)看到了趕緊偷偷去改一下吧。