wechat dump rs
v1.0.26
Esta herramienta se utiliza para exportar la clave de un proceso de WeChat en ejecución y descifrar automáticamente todos los archivos de base de datos WeChat y descifrar los archivos de la base de datos fuera de línea después de exportar la clave.
Puede haber un riesgo de prohibir la cuenta, ¡y las consecuencias son su propio riesgo! ! !
Use la necesidad de saber : después de refactorizar WeChat 4.0, cambiamos al algoritmo HMAC_SHA512. La forma de encontrar claves es diferente de V3. La herramienta todavía usa la búsqueda de fuerza bruta de memoria. Para el descifrado de V4, se utilizará la aceleración de múltiples subprocesos, lo que puede hacer que la CPU se dispare al 100%, dependiendo de la distancia entre la clave y el punto de búsqueda inicial.
wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
-p, --pid < PID > pid of wechat
-k, --key < KEY > key for offline decryption of db file
-f, --file < PATH > special a db file path
-d, --data-dir < PATH > special wechat data dir path (pid is required)
-o, --output < PATH > decrypted database output path
-a, --all dump key and decrypt db files
--vv < VERSION > wechat db file version [default: 4] [possible values: 3, 4]
-r, --rawkey convert db key to sqlcipher raw key (file is required)
-h, --help Print helpSi no tiene ningún parámetro, el programa solo genera clave, cuenta de WeChat, número de móvil, directorio de datos, versión y otra información de todos los procesos de WeChat:
=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
======================================= Use el parámetro -a para exportar todos los archivos de base de datos directamente.
Los archivos descifrados automáticamente por la herramienta pueden tener deformidades. Puede usar el navegador DB para SQLCIPHER para navegar directamente los archivos de la base de datos originales.
Al abrir la base de datos SQLCIPHER, seleccione "Clave original", seleccione personalizado en WeChat V3 (tamaño de página 4096/KDF iteración 64000/HMAC Algoritmo SHA1/KDF Algoritmo SHA1), y seleccione SQLCIPHER4 de forma predeterminada. La clave original correspondiente a cada archivo de base de datos es diferente, y el método de adquisición es el siguiente:
Archivo de base de datos WeChat V3 RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3Archivo de base de datos WeChat V4 RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4En términos generales, la clave debe obtenerse en la memoria del proceso WeChat en ejecución. El desplazamiento de memoria es diferente en cada versión. La mayoría de las herramientas mantienen un conjunto de compensaciones para cada versión, pero cuando aparece una nueva versión, debe encontrar el desplazamiento nuevamente. Vea el método para un registro simple más adelante.
De hecho, además de este método, hay otro método más general, que es buscar la fuerza bruta de la memoria para encontrar la ubicación clave que se puede usar para el descifrado. Por supuesto, si escanea toda la memoria del proceso, definitivamente no funcionará. Por lo tanto, el proyecto utiliza el siguiente método para reducir el rango de memoria clave para acelerar la velocidad de escaneo:
Hay otros pequeños detalles, solo mire el código.
Otras versiones no probadas no significan que no puedan usarse. Esta lista es solo un entorno que tengo en local.
4.0 Registro de chat Contenido Contenido Ejemplo de referencia de exportación Registro de chat a TXT.
