AD--vx

一、猜想数据存放路径

查看微信的databases目录看看内容：
cd /data/data/com.tencent.mm
MicroMsg目录比较特殊：
cd MicroMsg
在52fd7a8329ed15872eb4ec82b5ebc5cf目录中找到了一些db文件：
EnMicroMsg.db //比较可疑
SnsMicroMsg.db
这里可以直接使用SQLiteExpert可视化工具进行查看：

打开失败了，数据库文件被加密了。

二、静态分析

在Android中如果使用数据库的话，肯定会涉及到一个类：SQLiteDatabase。

jadx找到这个类，首先肯定看看他的openDatabase方法，不过会发现很多重载方法，不过最终都要调用的是这个openDatabase方法：

内部接着调用了open方法，继续跟进：

内部有调用了openInner方法，接着跟进：

调用了SQLiteConnectionPool的open方法，再跟进去：

这里果然有一个密码的字段！那么这个值就是SQLiteDatabase中的openDatabase方法中的第二个参数。

那么现在分析哪里调用了SQLiteDatabase的openDatabase方法，因为该方法重载的太多了（乔装打扮了？！），一个一个找很费劲，所以直接搜索SQLiteDatabase被调用的地方，可以直接使用Jadx的查找跟踪功能：

查找结果：

发现很多地方调用了，看起来很麻烦，所以：
我们刚刚看到SQLiteDatabase类中的open方法都是static的，所以在调用的时候肯定是：
Lcom/tencent/kingkong/database/SQLiteDatabase

这个是标准的smali语法调用形式，全局搜索这个字符串内容：

最终看到在com.tencent.mm.bb.e这个类中，有多个地方调用了：

果然在d方法中调用了数据库的open方法，而且传入的str2就是密码，在跟踪d方法在哪里被调用了：

查看：

这里的this.Ee就是密码，看他的赋值，是先调用j方法构造一个字符串出来，然后取前7个字符即可，再看看j方法：

这个方法看起来就眼熟了，计算字符串的MD5值的，这里需要注意的是，MD5的值是小写的，好了，到这里我们就了解了：密码其实是一个字符串的MD5值的前7位字符串，那么接下来的问题在继续跟踪是哪个字符串来计算MD5的：

在继续跟踪a方法在哪里被调用了：

找到后点击进入：

注意：
final在Java中是一个保留的关键字，可以声明成员变量、方法、类以及本地变量。一旦你将引用声明作final，你将不能改变这个引用了，编译器会检查代码，如果你试图将变量再次初始化的话，编译器会报编译错误；又public final Boolean a(,,,,,)，所以是同名不同方法。

继续跟踪a方法在哪里被调用了，这里调用的比较深，所以需要多次进行查找跟踪，耐心点即可：

最终到了这个类的方法中，我们看到，mY值是通过mY方法获取的，j2值是上面的i值转化过来的：

查看mY方法的实现，很简单，获取设备的IMEI值，而i值在前面进行赋值了：

看到了，是一个uin值，再看看这个uin值在哪里进行赋值操作的：

看到这里就放心了，原来这个uin值存放在SharedPreferences中的，那么就简单了，我们在开始的时候把沙盒数据全部导出来了，可以全局搜一下uin字符串的值：

哈哈，在这里找到了这个值。

总结：

到这里我们就分析完了微信中数据库加密的密码获取流程了，下面来总结一下：

1、首先我们全局查找SQLiteDatabase类，因为这个类是操作数据库的核心类，他是突破口。

2、找到这个类的定义之后，再次查看他的open系列方法，因为要操作数据库肯定有open之类的方法。

3、再去全局查找SQLiteDatabase的open方法的调用地方，这里调用的地方比较多，所以大家需要耐心的查找，而且为了缩小查找范围，我们可以根据smali语法调用格式的字符串内容来进行查找。

4、找到了这个方法的被盗用的地方，下面就开始一步一步的往下跟踪，到了一个核心的方法中了解到了，密码是一个字符串计算MD5之后取前7个字符串的值。

5、继续跟踪，找到这个被计算MD5的字符串内容，最后跟踪到这个字符串其实是设备的IMEI加上用户的uin值，而这个uin值是保存在SharedPreferences中的。