【黑科技】macOS 微信数据库结构分析

最新推荐文章于 2024-04-27 23:06:51 发布
最新推荐文章于 2024-04-27 23:06:51 发布
阅读量555 收藏
点赞数
分类专栏: windows 文章标签: golang
原文链接:https://mp.weixin.qq.com/s/5S_QDBAWBDt84qhv5A_YdA
版权

https://blog.macoder.tech/macOS-6faf0534323c42259f5277bd95d35c43

凹陷外壳

分享巴斯.zznQ的图一乐研究,做难且正确的事!

7篇原创内容

公众号

点击上方蓝色字体,关注,星标公众号

每日分享网络安全前沿技术!

坚持每天利用碎片时间学习,终将能够变得更强!

环境准备

iMac Retina 5K, 27-inch, 2019

GoLand 2022.3.2

SQLite 客户端 https://download.sqlitebrowser.org/DB.Browser.for.SQLite-3.12.2.dmg

安装 frida-core-devkit

.h 放到 /usr/local/include/frida-core.h

.a 放到 /usr/local/lib/libfrida-core.a

安装 cargo

brew install cargo

curl https://sh.rustup.rs -sSf | sh

编译

CGO_ENABLED=1 go build dumpkey.go

运行

启动微信,运行 dumpkey

获取到key 然后运行DB工具,查看WeChat

查看

本地聊天数据库存储路径:~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/[version]/[uuid]/Message/*.db

App: DB Browser for SQLite

选择如下配置,复制密钥,即可打开浏览:

遇到问题

问题1:Failed to attach: unable to access process with pid 31250 from the current user account

解决办法:

关闭电脑的SIP功能:

1、重新启动您的Mac。 

2、在OS X启动之前,按住 Command-R 并保持不动,直到看到Apple图标和进度条。发布。这将引导你进入恢复。 

3、从 “实用工具” 菜单中选择 “终端”。 

4、在提示符处输入以下内容,然后按回车键:

csrutil disable

5、终端应显示SIP被禁用的消息。

6、从菜单中选择 重新启动。

问题2:nightly-x86_64-apple-darwin 找不到

rustup component add rustfmt-preview --toolchain=nightly-x86_64-apple-darwin

rustup override set nightly

rustup component add rust-src --toolchain nightly-x86_64-apple-darwin

感谢技术 @凹陷外壳

由于关键字上限,所以需要的小伙伴关注上面的小莫分享公众号回复关键字“微信”可获取工具。

小莫分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
frida替换函数实现mac微信防撤回
不仅仅是个程序员的博客
01-08 1793
在逆向过程中, 我们经常有这样的需求: hook某个目标函数, 将它的实现过程给屏蔽掉, 以达到想要的效果. frida中提供了Interceptor.replace()来实现此功能. 例如, 我们想在mac上实现微信3.0消息防撤回的功能, 已经判断出撤回消息调用的方法是 -[FFProcessReqsvrZZ FFToNameFavChatZZ:sessionMsgList:] , 那我们只要把这个方法实现屏蔽掉就能达到防撤回的效果, 接下来, 我们用frida实现. 通过lldb对微信调试后发现, m
macOS 数据库 TablePlus
02-17
TablePlus 是一款流行的跨平台数据库管理工具,可以在 macOS 上使用。它支持连接多种类型的数据库,包括 MySQL、PostgreSQL、SQLite、Microsoft SQL Server、Oracle 等。
微信数据库查看工具
09-18
支持查看微信的数据的工具,支持查看微信的数据的工具。
逆向、反编译、微信相关记录
qq_35916684的博客
07-07 1452
逆向
Firda介绍
weixin_43733912的博客
05-03 1961
Firda介绍 Frida 是一款基于 Python + JavaScript 的 Hook 与调试框架。 Firda 是一款易用的跨平 Hook 工具, Java 层到 Native 层的 Hook 无所不能,是一种 动态 的插桩工具,可以插入代码到原生 App 的内存空间中,动态的去监视和修改行为,原生平台包括 Win、Mac、Linux、Android、iOS 全平台。 静态二进制插桩:在程序执行前插入额外的代码和数据,生成一个永久改变的可执行文件。 动态二进制插桩:在程序运行时实时地插入额外代码和数
Frida-hook:微信数据库的破解
记录和分享程序人生的点点滴滴
08-31 1554
我们可以从root过的手机中,找到微信相关数据库,例如EnMicroMsg.db,是最关键的一个。但是,无法用sqlit攻击直接打开,因为这个数据库是加密过的。为了正常显示,就需要解密。用Frida 对Android SQLiteDatabase相关Api进行hook,就可以得到key,进而用sqlite软件可以打开了。本篇主要介绍如何hook,得到key,然后打开EnMicroMsg.db数据库
Frida Internal - Part 2: 核心组件 frida-core
有价值炮灰
04-30 3845
前文已经介绍了 frida 中的核心组件 frida-gum 以及对应的 js 接口 gum-js,但仅有这些基础功能并不能让 frida 成为如此受欢迎的 Instrumentation (hook) 框架。为了实现一个完善框架或者说工具,需要实现许多系统层的功能。比如进程注入、进程间通信、会话管理、脚本生命周期管理等功能,屏蔽部分底层的实现细节并给最终用户提供开箱即用的操作接口。而这一切的实现都在 frida-core 之中,正如名字所言,这其中包含了 frida 相关的大部分关键模块和组件,比如 fr
微信数据库解析总结
weixin_41821642的博客
03-17 6286
获取添加未通过的好友信息,此时有两种情况:1)添加同属一个群的好友。rcontact表存放了该账号涉及的所有账号(微信账号,群账号)的基本信息(eg:微信昵称,备注,原微信号,改之后的微信号,全拼等等)。:如果是群账号,说明这条消息是群会话消息,发送人在content内容前面(发送人微信号:发送内容);注意:这里如果通过微信号,扫码添加的陌生人,其username是一长串的以@stranger结尾的key,同 时。微信的好友相关数据涉及三张表:rcontact,bizinfo,img_flag。
微信PC端各个数据库文件结构与功能简述 - Multi文件夹
异想之旅的博客
04-14 7410
异想之旅:本人原创博客完全手敲,绝对非搬运,全网不可能有重复;本人无团队,仅为技术爱好者进行分享,所有内容不牵扯广告。本人所有文章仅在CSDN、掘金和个人博客(一定是异想之旅域名)发布,除此之外全部是盗文!Multi文件夹中的文件解码和之前的其它数据库操作相同。FTSMSGMediaMSG和MSG。这里说是三种不是三个,是因为这里的数据库达到一定大小后会拆分。
安卓逆向学习(第一课 环境搭建)
qq_43720310的博客
07-23 777
安卓逆向学习(frida环境搭建)
微信PC端数据库文件解密
热门推荐
异想之旅的博客
04-08 1万+
微信的数据文件根目录()可以在设置中的“文件管理”选项中查看,通常位于电脑的“文档”文件夹中。这其中有数据库文件以及收到的图片、视频、文件等等,而我们主要讨论的数据库文件,存放于之中。这里的wxid_xxxxx也可能是你自己设置的微信号。这个文件夹中有很多文件,可能是用来校验的,我们只需要看.db结尾的 SQLite 文件。不过这些文件是经过 AES 加密的,所以我们需要找到密钥并且解密。
macOS微信分身.zip
06-02
微信分身是由macOS原生应用自动操作机器人加载的,可以登录2个微信
微信 macOS 客户端增强 Tweak 动态库.zip
03-29
微信 macOS 客户端增强 Tweak 动态库.zip
macOS微信远程桌面客户端Microsoft_Remote_Desktop支持M1
01-12
macOS微信远程桌面客户端,mac可用远程连接Windows10,Windows11,Microsoft Remote Desktop。
微信插件-MacOS
02-04
已移除
golang学习之旅】Go里面 if 条件判断语句
m0_60511809的博客
04-27 340
Go里面if条件判断语句中**不需要括号**
golang调用阿里云发短信
最新发布
hjx_dou的专栏
04-27 299
之前用golang封装的一个发送阿里云短信的工具包,代码如下。
Golang爬虫代理接入的技术与实践
Z_suger7的博客
04-26 538
在介绍Golang爬虫代理接入之前,我们先来简要了解一下Golang爬虫的基本步骤。制定爬虫目标:明确需要爬取的网站或数据来源。制定一个爬虫接口:设计爬虫的请求接口,包括URL、请求头等信息。发出HTTP请求,获取数据:使用Golang标准库中的net/http包发送HTTP请求,获取目标网站的数据。屏蔽无效请求:处理HTTP请求返回的状态码,过滤掉无效的请求,提高爬取效率。解析数据内容:使用HTML解析库(例如goquery)解析网页内容,提取需要的数据。
20个 Golang 常见面试问题
sre救赎之路
04-26 530
Golang 提供了 encoding/json 包,使用 json.Marshal 和 json.Unmarshal 函数将 Go 类型编码为 JSON,并将 JSON 解码为 Go 类型。Golang 鼓励显式地将错误作为返回值返回,并提供了如 errors.New 和 fmt.Errorf 这样的函数来创建和格式化错误。Golang 提供了同步原语,如互斥锁(mutexes)和通道(channels),用于在并发场景中安全地访问和修改共享资源。Golang 中的反射允许在运行时检查类型、值和结构体。
macos 设置微信开发者工具gps定位功能
03-14
可以通过以下步骤来设置微信开发者工具的 GPS 定位功能: 1. 打开微信开发者工具,进入“设置”页面。 2. 在“设置”页面中,选择“安全设置”。 3. 在“安全设置”页面中,找到“位置信息”选项,将其打开。 4. 然后,你可以在微信开发者工具中使用 GPS 定位功能了。 希望这个回答能够帮到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值