分析微信聊天记录(1)——获取微信聊天记录

分析微信聊天记录(1)——获取微信聊天记录

---

获取微信聊天记录的主要流程是取 EnMicroMsg.db文件，找密码，导出。

获取 EnMicroMsg.db文件

已root手机

对于root后的手机来说，直接获取/data/data/com.tencent.mm/MicroMsg/{hash}/EnMicroMsg.db文件即可。对于非root手机，可以使用电脑端的安卓模拟器，将聊天记录备份到模拟器中，在模拟器中获取EnMicroMsg.db文件。当然，特殊机型有特殊的办法。

小米手机

利用小米手机的备份功能，即使没有root的手机，也可以获取到微信的聊天记录。步骤如下：
1.打开小米手机上的“设置”，点击“更多设置”，“备份和重置”。
说明：如果小米手机安装的是最新MIUI11系统，则进入手机“设置”后，再点击“我的设备”，“备份和重置”即可。

2.点击“本地备份”，按提示输入锁屏密码后，点击“下一步”，最后点击“新建备份”按钮。

3.将“系统数据“及“软件程序”前面的勾去掉，再点击软件程序右边的小箭头，仅勾选上“微信”后，开始进行备份。

4.备份结束后，将小米手机用数据线连接到电脑上，手机上询问USB的用途，请选择“传输文件”，如果设置为默认的“仅限充电”的话，将无法在电脑上读取手机中的文件。
5.进入手机所在盘符下的“MIUI/backup/AllBackup/备份日期时间”目录，将该目录下的微信(com.tencent.mm).bak文件复制到电脑上。

6.使用7zip软件解压微信(com.tencent.mm).bak，进入apps/com.tencent.mm/r目录，将该目录下的MicroMsg文件夹提取出来。
或者参考小米6提取微信聊天记录笔记，使用作者提供的软件进行解压。
首先需要安装Java环境，将abe.jar复制到和微信(com.tencent.mm).bak同一个文件夹下，终端执行：

java -jar abe.jar unpack 微信(com.tencent.mm).bak mm.tar

会生成一个mm.tar文件，用解压软件将这个包解压，会得到一个apps文件夹，聊天记录数据库就存在apps/com.tencent.mm/r/MicroMsg/ 下，打开文件夹会发现里面有32位字符(MD5值)的文件夹(登录过多个用户的有多个)，打开此文件夹其中EnMicroMsg.db就是要找的数据库文件。

获取数据库密码

注意！！这是最关键的一步，这一步会卡很久的时间，因为微信各个版本的数据库有细微的区别，有时间因为数据库版本问题或者密码问题，这一步就是过不去。

至此，我们已经获取到了EnMicroMsg.db文件，这是个sqlcipher加密数据库，需要密码才能打开。有以下几种方式生成密码：

数据库密码有很多种生成方式：

1. 手机IMEI+uin(微信用户id userinformation) 将拼接的字符串MD5加密取前7位。

如IMEI为123456，uin为abc，则拼接后的字符串为123456abc 将此字符串用MD5加密(32位)后为df10ef8509dc176d733d59549e7dbfaf 那么前7位df10ef8 就是数据库的密码，由于有的手机是双卡，有多个IMEI，或者当手机获取不到IMEI时会用默认字符串1234567890ABCDEF来代替（小米10就是！！！），由于种种原因，并不是所有人都能得出正确的密码，此时我们可以换一种方法。

2. 反序列化CompatibleInfo.cfg和systemInfo.cfg。

不管是否有多个IMEI ，或者是微信客户端没有获取到IMEI，而使用默认字符串代替，微信客户端都会将使用的信息保存在MicroMsg文件夹下面的CompatibleInfo.cfg和systemInfo.cfg文件中，可以通过这两个文件来得到正确的密码，但是这两个文件需要处理才能看到信息。注意！通常这一步会显示IMEI值为null，此时若密码不正确，可将IMEI换为1234567890ABCDEF然后使用第一种方法。
将IMEI.java、CompatibleInfo.cfg和systemInfo.cfg三个文件放在相同目录下终端运行(IMEI.java内容见下文)：
javac IMEI.java
java IMEI systemInfo.cfg CompatibleInfo.cfg

3. 使用hook方式得到数据库的密码，这个方法最有效参考
4. 暴力破解

MD5加密在线：md5加密

IMEI.java文件的内容为：

import java.io.FileInputStream;
import java.io.ObjectInputStream;
import java.security.MessageDigest;
import java.util.HashMap;
public class IMEI {
 public static void main(String[] args) {
  try {
   ObjectInputStream in = new ObjectInputStream(new FileInputStream(
     args[0]));
   Object DL = in.readObject();
   HashMap hashWithOutFormat = (HashMap) DL;
   ObjectInputStream in1 = new ObjectInputStream(new FileInputStream(
     args[1]));
   Object DJ = in1.readObject();
   HashMap hashWithOutFormat1 = (HashMap) DJ;
   String s = String.valueOf(hashWithOutFormat1.get(Integer
     .valueOf(258))); // 取手机的IMEI
   System.out.println("The IMEI is : " + s);
   String uin = String.valueOf(hashWithOutFormat.get(Integer.valueOf(1)));
   System.out.println("The uin is : " + uin);
   s = s + uin; //合并到一个字符串
   s = encode(s); // hash
   System.out.println("The Key is : " + s.substring(0, 7));
   in.close();
   in1.close();
  } catch (Exception e) {
   e.printStackTrace();
  }
 }
 public static String encode(String content)
  {
   try {
    MessageDigest digest = MessageDigest.getInstance("MD5");
    digest.update(content.getBytes());
    return getEncode32(digest);
    }
   catch (Exception e)
   {
    e.printStackTrace();
   }
   return null;
  }
  private static String getEncode32(MessageDigest digest)
  {
   StringBuilder builder = new StringBuilder();
   for (byte b : digest.digest())
   {
    builder.append(Integer.toHexString((b >> 4) & 0xf));
    builder.append(Integer.toHexString(b & 0xf));
   }
    return builder.toString();

  }
}

运行结束后就会获得密码：

导出数据库

windows

Windows用户可以使用sqlcipher.exe软件来查看数据库。打开数据库，输入密码，就可以查看数据库中的表。文字聊天记录储存在message表中，可以选中表，点击软件的右上角file-export导出表到csv文件，可以通过Excel查看表中的信息 执行这段命令可以查看制定对象的聊天记录

select datetime(subStr(cast(m.createTime as text),1,10),'unixepoch', 'localtime') as theTime,case m.isSend when 0 then r.nickname when 1 then '我'end as person,m.content from message m inner join rcontact r on m.talker = r.username where m.type=1 and r.nickname = '对方微信昵称'

linux

Linux用户可以使用sqlcipher来解密

sudo apt-get update
sudo apt-get install sqlcipher
sqlcipher EnMicroMsg.db 'PRAGMA key = "yourkey"; PRAGMA cipher_use_hmac = off; PRAGMA kdf_iter = 4000; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;' 

执行上面的命令之后会得到一个解密后的数据库decrypted_database.db，可以使用数据库软件查看。
当然了，一定一定要主要sqlcipher的版本问题！最好使用参考链接中的软件，否则，就算是密码正确了也无法导出。

mac

对于mac系统，推荐使用sqLiteStudio，版本号是3.2.0。


按照图像中的配置，输入密码，测试连接成功之后，就可以打开数据库。

数据库中的message表，就是我们所需要的表。我们右键选择导出该表，可以将数据表导出到csv文件中，注意，导出到csv的过程中，会失去聊天记录中语音通话时长的信息。这部分bug以后再修复。

总结

我们完成了微信聊天记录的提取与导出，最终导出到一个csv表中，方便后续的处理。