wechat dump rs
v1.0.26
Dieses Tool wird verwendet, um den Schlüssel eines laufenden WeChat -Prozesss zu exportieren und alle WeChat -Datenbankdateien automatisch zu entschlüsseln und die Datenbankdateien nach dem Exportieren des Schlüssels offline zu entschlüsseln.
Möglicherweise besteht das Risiko, das Konto zu verbieten, und die Konsequenzen sind auf eigenes Risiko! ! !
Verwenden Sie es zu wissen : Nach dem Refactoring WeChat 4.0 wechselten wir zum HMAC_SHA512 -Algorithmus. Der Weg, Schlüssel zu finden, unterscheidet sich von V3. Das Tool verwendet weiterhin die Suche nach Gedächtnisstruppen. Für die V4-Entschlüsselung wird die Beschleunigung von Multi-Thread verwendet, wodurch die CPU abhängig vom Abstand zwischen dem Schlüssel und dem Start-Suchpunkt auf 100%steigt.
wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
-p, --pid < PID > pid of wechat
-k, --key < KEY > key for offline decryption of db file
-f, --file < PATH > special a db file path
-d, --data-dir < PATH > special wechat data dir path (pid is required)
-o, --output < PATH > decrypted database output path
-a, --all dump key and decrypt db files
--vv < VERSION > wechat db file version [default: 4] [possible values: 3, 4]
-r, --rawkey convert db key to sqlcipher raw key (file is required)
-h, --help Print helpWenn Sie keine Parameter haben, gibt das Programm nur Schlüssel, WeChat -Konto, Handynummer, Datenverzeichnis, Version und andere Informationen aller WeChat -Prozesse aus:
=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
======================================= Verwenden Sie Parameter -a , um alle Datenbankdateien direkt zu exportieren.
Die vom Tool automatisch entschlüsselten Dateien können Deformitäten aufweisen. Sie können den DB -Browser für SQLCipher verwenden, um die ursprünglichen Datenbankdateien direkt zu durchsuchen.
Wählen Sie beim Öffnen der SQLCIPHER -Datenbank "Originalschlüssel", wählen Sie Benutzerdefiniert für WeChat V3 (Seitengröße 4096/KDF Iteration 64000/HMAC -Algorithmus SHA1/KDF -Algorithmus SHA1) und wählen Sie SQLCIPHER4 standardmäßig aus. Der ursprüngliche Schlüssel, der jeder Datenbankdatei entspricht, ist unterschiedlich und die Erfassungsmethode lautet wie folgt:
WeChat V3 -Datenbankdatei Rawkey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3WeChat V4 -Datenbankdatei Rawkey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4Im Allgemeinen muss der Schlüssel im Gedächtnis des laufenden WeChat -Prozesses erhalten werden. Der Speicherversatz ist in jeder Version unterschiedlich. Die meisten Tools verwalten für jede Version eine Reihe von Offsets, aber wenn eine neue Version angezeigt wird, müssen Sie den Offset erneut finden. Die Methode finden Sie später für einen einfachen Datensatz.
Tatsächlich gibt es zusätzlich zu dieser Methode eine weitere allgemeinere Methode, bei der es darum geht, die Brute -Kraft von Speicher zu durchsuchen, um den wichtigsten Ort zu finden, der zur Entschlüsselung verwendet werden kann. Wenn Sie den gesamten Speicher des Prozesses scannen, funktioniert dies natürlich nicht. Daher verwendet das Projekt die folgende Methode, um den Schlüsselspeicherbereich einzugrenzen, um die Abtastgeschwindigkeit zu beschleunigen:
Es gibt einige andere kleine Details, schauen Sie sich einfach den Code an.
Andere ungetestete Versionen bedeuten nicht, dass sie nicht verwendet werden können. Diese Liste ist nur eine Umgebung, die ich in lokaler Ebene habe.
4.0 CHAT -Datensatz Inhalt Parsing Referenzbeispiel Exportieren Sie Chat -Rekord in TXT.
