异想之旅:本人原创博客完全手敲,绝对非搬运,全网不可能有重复;本人无团队,仅为技术爱好者进行分享,所有内容不牵扯广告。本人所有文章仅在CSDN、掘金和个人博客(一定是异想之旅域名)发布,除此之外全部是盗文!
写在前面:本人对微信数据库的全部了解已经书写在本文中,不接受微信相关问题的私信咨询!
概述
微信的数据文件根目录(WeChat Files)可以在设置中的“文件管理”选项中查看,通常位于电脑的“文档”文件夹中。
这其中有数据库文件以及收到的图片、视频、文件等等,而我们主要讨论的数据库文件,存放于WeChat Files/wxid_xxxxx/Msg之中。这里的wxid_xxxxx也可能是你自己设置的微信号。
这个文件夹中有很多文件,可能是用来校验的,我们只需要看.db结尾的 SQLite 文件。不过这些文件是经过 AES 加密的,所以我们需要找到密钥并且解密。
获取密钥
说实话这一步并不怎么一帆风顺,我在最开始做的时候踩了不少坑。
完成这一步大致有两个方向,直接用内存分析工具爆破微信(网上的博客中大多也说的是这个方式),不过在 GitHub 上其实有两个项目可以帮我们快速完成这一步:
- AdminTest0/SharpWxDump
- SpenserCai/GoWxDump(根据作者描述,这只是把上面那个项目使用 Go 重构的版本)
其中第一个项目在编译时就遇到了困难(本人没用过 C# 和 .NET),我最后是狠下心来跟着这篇教程下了个 VS 才编译出来,也将编译产物上传到了我 Fork 的仓库,然而发给别人用的时候发现似乎兼容性比较差,悲……不过应该说自己在自己的设备上用 VS 编译是最可靠的
第二个仓库就方便很多,只要电脑上有 Go 环境直接执行build.bat就行(记得配置go get的代理,否则下载第三方包会很慢)。不过需要说明的是,建议大家只使用它的show_info功能,它的解密极其不可靠。
我这里对 Go 的这个版本也进行了编译,下载地址
如果你使用的是第一个,那么下载好后用管理员身份从命令行运行exe,他就会输出类似下面的格式(中间乱码的WeChatMail忽略就行):
[+] WeChatProcessPID: 15176
[+] WeChatVersion: 3.9.2.23
[+] WeChatName: XXX
[+] WeChatAccount: wxid_xxxxx
[+] WeChatMobile: 1**********
[+] WeChatMail: ?M??@魢#??M????????????T?B
??L???3??????f7i?J???M??h?v??M??`?v????????T?B
?J?3?????f7
[+] WeChatKey: 92AD63A674************************222544426
[+] Done
如果是第二个,双击启动之后输入show_info并回车,会有类似这样的输出:
>>show_info
WeChat Version: 3.9.2.23
WeChat NickName: XXX
WeChat Account: wxid_xxxxx
WeChat Mobile: 1**********
WeChat Key: 92AD63A674************************222544426
其中的WeChatKey就是我们解密数据库文件需要的 AES 密钥。
解密数据库
打开微信数据文件所在的目录,例如我的是 D:\Documents\WeChat Files\wxid_r5xxxxxxxxxx12\Msg,将这里面的所有.db文件复制到一个新的文件夹中(别忘了Multi文件夹中还有一些),然后可以通过下面的 Python 脚本进行解密(在前两行输入好你的文件所在目录):
input_pass = '92AD63A674************************222544426'
input_dir = r'D:\微信数据库文件'
import ctypes
import hashlib
import hmac
from pathlib import Path
from Crypto.Cipher import AES
SQLITE_FILE_HEADER = bytes('SQLite format 3', encoding='ASCII') + bytes(1)
IV_SIZE = 16
HMAC_SHA1_SIZE = 20
KEY_SIZE = 32
DEFAULT_PAGESIZE = 4096
DEFAULT_ITER = 64000
password = bytes.fromhex(input_pass.replace(' ', ''))
def decode_one(input_file):
input_file = Path(input_file)
with open(input_file, 'rb') as (f):
blist = f.read()
print(len(blist))
salt = blist[:16]
key = hashlib.pbkdf2_hmac('sha1', password, salt, DEFAULT_ITER, KEY_SIZE)
first = blist[16:DEFAULT_PAGESIZE]
mac_salt = bytes([x ^ 58 for x in salt])
mac_key = hashlib.pbkdf2_hmac('sha1', key, mac_salt, 2, KEY_SIZE)
hash_mac = hmac.new(mac_key, digestmod='sha1')
hash_mac.update(first[:-32])
hash_mac.update(bytes(ctypes.c_int(1)))
if hash_mac.digest() == first[-32:-12]:
print('Decryption Success')
else:
print('Password Error')
blist = [
blist[i:i + DEFAULT_PAGESIZE]
for i in range(DEFAULT_PAGESIZE, len(blist), DEFAULT_PAGESIZE)
]
with open(input_file.parent / f'decoded_{input_file.name}', 'wb') as (f):
f.write(SQLITE_FILE_HEADER)
t = AES.new(key, AES.MODE_CBC, first[-48:-32])
f.write(t.decrypt(first[:-48]))
f.write(first[-48:])
for i in blist:
t = AES.new(key, AES.MODE_CBC, i[-48:-32])
f.write(t.decrypt(i[:-48]))
f.write(i[-48:])
if __name__ == '__main__':
input_dir = Path(input_dir)
for f in input_dir.glob('*.db'):
decode_one(f)
这个脚本可以将你设置的目录下的所有.db文件进行解密,例如对于abc.db,会生成decoded_abc.db文件。特别说明的是,如果复制出来后你的Multi文件夹还是独立的一个文件夹,需要分别对D:\微信数据库文件操作和D:\微信数据库文件\Multi进行操作。
另外,xinfo.db无需解密,可直接查看。
解密后,你就可以通过任意一个你喜欢的数据库可视化查看工具查看这些数据库了。
关于各个数据库存放的数据内容,详见:
450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
