wechat dump rs

이 도구는 실행중인 WeChat 프로세스의 키를 내보내고 모든 wechat 데이터베이스 파일을 자동으로 해독하고 키를 내보낸 후 오프라인으로 데이터베이스 파일을 해독하는 데 사용됩니다.

계정을 금지 할 위험이있을 수 있으며 결과는 자신의 위험에 처해 있습니다! ! !

필요에 대한 사용 : WeChat 4.0을 리팩토링 한 후 HMAC_SHA512 알고리즘으로 전환했습니다. 키를 찾는 방법은 V3과 다릅니다. 이 도구는 여전히 메모리 Brute Force 검색을 사용합니다. V4 암호 해독의 경우, 멀티 스레드 가속도가 사용되며, 이로 인해 키와 시작 검색 지점 사이의 거리에 따라 CPU가 100%로 급증 할 수 있습니다.

wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
  -p, --pid < PID >        pid of wechat
  -k, --key < KEY >        key for offline decryption of db file
  -f, --file < PATH >      special a db file path
  -d, --data-dir < PATH >  special wechat data dir path (pid is required)
  -o, --output < PATH >    decrypted database output path
  -a, --all              dump key and decrypt db files
      --vv < VERSION >     wechat db file version [default: 4] [possible values: 3, 4]
  -r, --rawkey           convert db key to sqlcipher raw key (file is required)
  -h, --help             Print help

매개 변수가없는 경우 프로그램은 키, WECHAT 계정, 휴대 전화 번호, 데이터 디렉토리, 버전 및 모든 WeChat 프로세스의 기타 정보 만 출력합니다.

=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
=======================================

매개 변수 -a 사용하여 모든 데이터베이스 파일을 직접 내보내십시오.

도구에 의해 자동으로 해독 된 파일의 변형이있을 수 있습니다. sqlcipher의 DB 브라우저를 사용하여 원래 데이터베이스 파일을 직접 찾아 볼 수 있습니다.

SQLCIPHER 데이터베이스를 열 때 "원래 키"를 선택하고 WeChat v3 (페이지 크기 4096/KDF 반복 64000/HMAC 알고리즘 SHA1/KDF 알고리즘 SHA1)에서 사용자 정의를 선택하고 SQLCIPHER4를 기본으로 선택하십시오. 각 데이터베이스 파일에 해당하는 원래 키는 다르며 획득 방법은 다음과 같습니다.

Wechat v3 데이터베이스 파일 Rawkey :

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3

Wechat v4 데이터베이스 파일 Rawkey :

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4

일반적으로, 핵심은 WeChat 프로세스의 메모리에서 얻어야합니다. 메모리 오프셋은 각 버전마다 다릅니다. 대부분의 도구는 각 버전에 대한 오프셋 세트를 유지하지만 새 버전이 나타나면 오프셋을 다시 찾아야합니다. 나중에 간단한 레코드에 대한 방법을 참조하십시오.

실제로,이 방법 외에도, 또 다른 일반적인 방법이 있는데, 이는 메모리 무차별 힘을 검색하여 암호 해독에 사용할 수있는 주요 위치를 찾는 것입니다. 물론 프로세스의 모든 메모리를 스캔하면 확실히 작동하지 않습니다. 따라서이 프로젝트는 다음 방법을 사용하여 주요 메모리 범위를 좁히기 위해 스캔 속도를 높입니다.

1. WeChat 로그인의 장치 유형은 기본적으로 iPhone 및 Android입니다. 먼저 장치 유형이 메모리에있는 메모리를 검색하십시오. 열쇠는 그 앞에 있습니다. 앞으로 검색하십시오.
2. 키의 메모리 주소 및 로그인 장치 유형은 내가 관찰 한대로 정렬 된 16 바이트이므로 매번 16 바이트입니다.

다른 작은 세부 사항이 있습니다. 코드를보십시오.

다른 테스트되지 않은 버전은 사용할 수 없다는 것을 의미하지 않습니다. 이 목록은 내가 현지에서 가지고있는 환경 일뿐입니다.

• 3.9.6.33
• 3.9.7.25
• 3.9.7.29
• 3.9.8.9
• 3.9.8.15
• 3.9.10.19
• 3.9.11.25
• 3.9.12.15
• 3.9.12.17
• 4.0.0.26
• 4.0.0.32
• 4.0.0.34
• 4.0.0.35
• 4.0.1.11
• 4.0.1.13
• 4.0.1.17

• 4.0.0.26

4.0 채팅 레코드 콘텐츠 구문 분석 참조 예제 TXT에 채팅 기록 내보내기.

• WeChat 3.9 수동으로 오프셋을 검색하십시오
• Wechat 4.0 검색 프로세스