wechat dump rs
v1.0.26
Cet outil est utilisé pour exporter la clé d'un processus WECHAT en cours et déchiffrer automatiquement tous les fichiers de base de données WeChat et pour décrypter les fichiers de base de données hors ligne après l'exportation de la clé.
Il peut y avoir un risque d'interdire le compte, et les conséquences sont à vos propres risques! ! !
Utilisation doit savoir : Après avoir refactorisé WeChat 4.0, nous sommes passés à l'algorithme HMAC_SHA512. La façon de trouver des clés est différente de la v3. L'outil utilise toujours la recherche de force brute à mémoire. Pour le décryptage V4, l'accélération multi-thread sera utilisée, ce qui peut faire monter le CPU à 100%, en fonction de la distance entre la clé et le point de recherche de départ.
wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
-p, --pid < PID > pid of wechat
-k, --key < KEY > key for offline decryption of db file
-f, --file < PATH > special a db file path
-d, --data-dir < PATH > special wechat data dir path (pid is required)
-o, --output < PATH > decrypted database output path
-a, --all dump key and decrypt db files
--vv < VERSION > wechat db file version [default: 4] [possible values: 3, 4]
-r, --rawkey convert db key to sqlcipher raw key (file is required)
-h, --help Print helpSi vous n'avez pas de paramètres, le programme ne sort que la clé, le compte WeChat, le numéro mobile, le répertoire de données, la version et d'autres informations de tous les processus WeChat:
=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
======================================= Utilisez le paramètre -a pour exporter directement tous les fichiers de base de données.
Les fichiers déchiffrés automatiquement par l'outil peuvent avoir des déformations. Vous pouvez utiliser le navigateur DB pour SQLCiPher pour parcourir directement les fichiers de base de données d'origine.
Lors de l'ouverture de la base de données SQLCIPHER, sélectionnez "Key Original", sélectionnez Custom sur WeChat V3 (Taille de la page 4096 / KDF itération 64000 / HMAC Algorithm Sha1 / KDF Algorithm Sha1) et sélectionnez SQLCIPHER4 par défaut. La clé d'origine correspondant à chaque fichier de base de données est différente et la méthode d'acquisition est la suivante:
WECHAT V3 Database File RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3Fichier de base de données WeChat V4 RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4D'une manière générale, la clé doit être obtenue à la mémoire du processus WECHAT en cours. Le décalage de mémoire est différent dans chaque version. La plupart des outils conservent un ensemble de décalages pour chaque version, mais lorsqu'une nouvelle version apparaît, vous devez retrouver le décalage. Voir la méthode pour un enregistrement simple plus tard.
En fait, en plus de cette méthode, il existe une autre méthode plus générale, qui consiste à rechercher une force brute de mémoire pour trouver l'emplacement clé qui peut être utilisé pour le décryptage. Bien sûr, si vous analysez toute la mémoire du processus, cela ne fonctionnera certainement pas. Par conséquent, le projet utilise la méthode suivante pour rétrécir la plage de mémoire clé pour accélérer la vitesse de balayage:
Il y a d'autres petits détails, il suffit de regarder le code.
D'autres versions non testées ne signifient pas qu'elles ne peuvent pas être utilisées. Cette liste est juste un environnement que j'ai en local.
4.0 Enregistrement de chat Contenu Analyse de référence Exemple d'exportation Record de chat vers TXT.
