一、猜想数据存放路径
查看微信的databases目录看看内容:
cd /data/data/com.tencent.mm
MicroMsg目录比较特殊:
cd MicroMsg
在52fd7a8329ed15872eb4ec82b5ebc5cf目录中找到了一些db文件:
EnMicroMsg.db //比较可疑
SnsMicroMsg.db
这里可以直接使用SQLiteExpert可视化工具进行查看:
打开失败了,数据库文件被加密了。
二、静态分析
在Android中如果使用数据库的话,肯定会涉及到一个类:SQLiteDatabase。
jadx找到这个类,首先肯定看看他的openDatabase方法,不过会发现很多重载方法,不过最终都要调用的是这个openDatabase方法:
内部接着调用了open方法,继续跟进:
内部有调用了openInner方法,接着跟进:
调用了SQLiteConnectionPool的open方法,再跟进去:
这里果然有一个密码的字段!那么这个值就是SQLiteDatabase中的openDatabase方法中的第二个参数。
那么现在分析哪里调用了SQLiteDatabase的openDatabase方法,因为该方法重载的太多了(乔装打扮了?!),一个一个找很费劲,所以直接搜索SQLiteDatabase被调用的地方,可以直接使用Jadx的查找跟踪功能:
查找结果:
发现很多地方调用了,看起来很麻烦,所以:
我们刚刚看到SQLiteDatabase类中的open方法都是static的,所以在调用的时候肯定是:
Lcom/tencent/kingkong/database/SQLiteDatabase
这个是标准的smali语法调用形式,全局搜索这个字符串内容:
最终看到在com.tencent.mm.bb.e这个类中,有多个地方调用了:
果然在d方法中调用了数据库的open方法,而且传入的str2就是密码,在跟踪d方法在哪里被调用了:
查看:
这里的this.Ee就是密码,看他的赋值,是先调用j方法构造一个字符串出来,然后取前7个字符即可,再看看j方法:
这个方法看起来就眼熟了,计算字符串的MD5值的,这里需要注意的是,MD5的值是小写的,好了,到这里我们就了解了:密码其实是一个字符串的MD5值的前7位字符串,那么接下来的问题在继续跟踪是哪个字符串来计算MD5的:
在继续跟踪a方法在哪里被调用了:
找到后点击进入:
注意:
final在Java中是一个保留的关键字,可以声明成员变量、方法、类以及本地变量。一旦你将引用声明作final,你将不能改变这个引用了,编译器会检查代码,如果你试图将变量再次初始化的话,编译器会报编译错误;又public final Boolean a(,,,,,),所以是同名不同方法。
继续跟踪a方法在哪里被调用了,这里调用的比较深,所以需要多次进行查找跟踪,耐心点即可:
最终到了这个类的方法中,我们看到,mY值是通过mY方法获取的,j2值是上面的i值转化过来的:
查看mY方法的实现,很简单,获取设备的IMEI值,而i值在前面进行赋值了:
看到了,是一个uin值,再看看这个uin值在哪里进行赋值操作的:
看到这里就放心了,原来这个uin值存放在SharedPreferences中的,那么就简单了,我们在开始的时候把沙盒数据全部导出来了,可以全局搜一下uin字符串的值:
哈哈,在这里找到了这个值。
总结:
到这里我们就分析完了微信中数据库加密的密码获取流程了,下面来总结一下:
1、首先我们全局查找SQLiteDatabase类,因为这个类是操作数据库的核心类,他是突破口。
2、找到这个类的定义之后,再次查看他的open系列方法,因为要操作数据库肯定有open之类的方法。
3、再去全局查找SQLiteDatabase的open方法的调用地方,这里调用的地方比较多,所以大家需要耐心的查找,而且为了缩小查找范围,我们可以根据smali语法调用格式的字符串内容来进行查找。
4、找到了这个方法的被盗用的地方,下面就开始一步一步的往下跟踪,到了一个核心的方法中了解到了,密码是一个字符串计算MD5之后取前7个字符串的值。
5、继续跟踪,找到这个被计算MD5的字符串内容,最后跟踪到这个字符串其实是设备的IMEI加上用户的uin值,而这个uin值是保存在SharedPreferences中的。