wechat dump rs

このツールは、実行中のWeChatプロセスのキーをエクスポートし、すべてのWeChatデータベースファイルを自動的に復号化し、キーをエクスポートした後にデータベースファイルをオフラインで復号化するために使用されます。

アカウントを禁止するリスクがある可能性があり、その結果はあなた自身の責任にあります！ ！ ！

使用する必要がある使用：WeChat 4.0をリファクタリングした後、HMAC_SHA512アルゴリズムに切り替えました。キーを見つける方法はV3とは異なります。このツールは、メモリブルートフォース検索を使用しています。 V4復号化の場合、キーと開始検索ポイントの間の距離に応じて、マルチスレッドアクセラレーションが使用されます。

wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
  -p, --pid < PID >        pid of wechat
  -k, --key < KEY >        key for offline decryption of db file
  -f, --file < PATH >      special a db file path
  -d, --data-dir < PATH >  special wechat data dir path (pid is required)
  -o, --output < PATH >    decrypted database output path
  -a, --all              dump key and decrypt db files
      --vv < VERSION >     wechat db file version [default: 4] [possible values: 3, 4]
  -r, --rawkey           convert db key to sqlcipher raw key (file is required)
  -h, --help             Print help

パラメーターがない場合、プログラムのみがキー、WeChatアカウント、携帯電話番号、データディレクトリ、バージョン、およびすべてのWeChatプロセスのその他の情報のみを出力します。

=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
=======================================

パラメーター-aを使用して、すべてのデータベースファイルを直接エクスポートします。

ツールによって自動的に復号化されたファイルには、変形がある可能性があります。 SQLCipherにDBブラウザを使用して、元のデータベースファイルを直接閲覧できます。

SQLCipherデータベースを開くときは、「オリジナルキー」を選択し、WeChat V3（ページサイズ4096/KDFイテレーション64000/HMACアルゴリズムSHA1/KDFアルゴリズムSHA1）でカスタムを選択し、デフォルトでSQLCIPHER4を選択します。各データベースファイルに対応する元のキーは異なり、取得方法は次のとおりです。

wechat v3データベースファイルrawkey：

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3

wechat v4データベースファイルRawkey：

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4

一般的に言えば、キーは実行中のWeChatプロセスのメモリで取得する必要があります。メモリオフセットは各バージョンで異なります。ほとんどのツールは、各バージョンのオフセットのセットを維持していますが、新しいバージョンが表示される場合は、再度オフセットを見つける必要があります。後で簡単なレコードの方法を参照してください。

実際、この方法に加えて、もう1つのより一般的な方法があります。これは、メモリブルートフォースを検索して、復号化に使用できる重要な場所を見つけることです。もちろん、プロセスのすべてのメモリをスキャンすると、それは間違いなく機能しません。したがって、プロジェクトは次の方法を使用して、キーメモリ範囲を絞り込んでスキャン速度を高速化します。

1. WeChatログインのデバイスタイプは、基本的にiPhoneとAndroidのみです。最初に、デバイスタイプがメモリ内にあるメモリを検索します。キーはその前にあります。前方に検索するだけです。
2. キーのメモリアドレスとログインデバイスのタイプは、私が観察したとおりに16バイトの整列であるため、毎回16バイトです

他の小さな詳細がいくつかあります。コードを見てください。

他のテストされていないバージョンは、それらを使用できないという意味ではありません。このリストは、私がローカルにある環境にすぎません。

• 3.9.6.33
• 3.9.7.25
• 3.9.7.29
• 3.9.8.9
• 3.9.8.15
• 3.9.10.19
• 3.9.11.25
• 3.9.12.15
• 3.9.12.17
• 4.0.0.26
• 4.0.0.32
• 4.0.0.34
• 4.0.0.35
• 4.0.1.11
• 4.0.1.13
• 4.0.1.17

• 4.0.0.26

4.0チャットレコードコンテンツの解析リファレンス例TXTへのエクスポートチャットレコード。

• WeChat 3.9オフセットを手動で検索します
• WeChat 4.0検索プロセス