本文探讨了某音如何可能获取用户的即时通讯聊天记录,通过Frida和SqlcipherStudio工具,揭示了聊天记录存储位置、密码获取方法及数据库查看过程。作者揭示了wcdb库和可能的加密机制,并提供了技术手段破解示例。
刷某音的时候总会刷到一些自己在wx里聊天的内容,但在某音里却没搜索过,它为什么知道我最近在聊这个,难道是?so,最近,总感觉自己聊天被监控了。针对这个问题,我们分解为以下几个步骤,一点点来看看。
1.聊天记录是否能被窃取到呢。
2.其他APP如何获取到某IM聊天记录。
今天我们来对第一个问题一探究竟。
工具:
1.受害对象
2.frida 用于获取数据库密码
3.sqlcipher studio 用于查看数据库
https://github.com/pawelsalawa/sqlitestudio/releases/tag/3.2.1(特定这个版本)
首先给自己的号发几条消息:
其实很早以前就有人分析过某IM的聊天记录,路径和加密算法都已知。但是呢,尝试用老办法,发现无法打开数据库:
某IM数据库使用的是她们自己开发的框架wcdb。我估计DB browser无法打开的原因是因为文件解析不了。估计是加密算法和文件格式的一些原因。没有深究。wcdb是开源的,有兴趣的可以自己研究下。
那么接下来我们进入正题:
1.聊天记录保存在哪个数据库?
/data/data/com.tencent.mm/MicroMsg/xxxxxxxxxx/EnMicroMsg.db
其中的xxxxxxxx与账号有关,不同账号xxxx不同,反正就是MicroMsg目录下名字最长的那个文件夹
2.密码怎么获取,wcdb库要连接每个数据库,都会生成一个对应的SQLiteConnection实例来管理对这个数据库的连接操作。密码就存在这个实例对象中。
用上我的代码,妈妈再也不用担心我算错密码了。
上frida代码:
可以爬取到所有数据库的存储路径及对应密码。同时红色输出日志可以看到某IM对数据库执行的操作。
密码拿到,数据库拿到。开始查看了。
使用sqlcipher studio(注意,需要使用3.2.1版本,更高版本可能是我设置不对,反正打不开,解密不了)
理论上使用sqlcipher命令行解密再导出,也是可以的,因为懒,所以我就不写这部分代码了。直接上效果图:
1108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
