wechat dump rs
v1.0.26
Essa ferramenta é usada para exportar a chave de um processo WECHAT em execução e descriptografar automaticamente todos os arquivos do banco de dados do WeChat e descriptografar os arquivos de banco de dados offline após a exportação da chave.
Pode haver um risco de proibir a conta, e as consequências estão por sua conta e risco! ! !
Use precisar saber : Após a refatoração do WeChat 4.0, mudamos para o algoritmo HMAC_SHA512. A maneira de encontrar chaves é diferente da V3. A ferramenta ainda usa pesquisa de força bruta de memória. Para a descriptografia V4, será usada a aceleração multi-thread, o que pode fazer com que a CPU suba a 100%, dependendo da distância entre a chave e o ponto de pesquisa de partida.
wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
-p, --pid < PID > pid of wechat
-k, --key < KEY > key for offline decryption of db file
-f, --file < PATH > special a db file path
-d, --data-dir < PATH > special wechat data dir path (pid is required)
-o, --output < PATH > decrypted database output path
-a, --all dump key and decrypt db files
--vv < VERSION > wechat db file version [default: 4] [possible values: 3, 4]
-r, --rawkey convert db key to sqlcipher raw key (file is required)
-h, --help Print helpSe você não tiver parâmetros, o programa produzirá apenas a chave, conta do WeChat, número de celular, diretório de dados, versão e outras informações de todos os processos do WeChat:
=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
======================================= Use o parâmetro -a para exportar todos os arquivos de banco de dados diretamente.
Os arquivos descriptografados automaticamente pela ferramenta podem ter deformidades. Você pode usar o Browser DB para o SQLCIPHER navegar diretamente nos arquivos originais do banco de dados.
Ao abrir o banco de dados SQLCIPHER, selecione "Chave Original", selecione Custom no WeChat V3 (Tamanho da página 4096/KDF Algoritmo 64000/HMAC Algoritmo SHA1/KDF Algoritmo SHA1) e selecione SQLCIPHER4 por padrão. A chave original correspondente a cada arquivo de banco de dados é diferente e o método de aquisição é o seguinte:
Arquivo de banco de dados WeChat V3 RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3Arquivo de banco de dados WeChat V4 RawKey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4De um modo geral, a chave precisa ser obtida na memória do processo WeChat em execução. O deslocamento da memória é diferente em cada versão. A maioria das ferramentas mantém um conjunto de compensações para cada versão, mas quando uma nova versão aparece, você deve encontrar o deslocamento novamente. Veja o método para um registro simples mais tarde.
De fato, além desse método, existe outro método mais geral, que é pesquisar a força bruta da memória para encontrar o local principal que pode ser usado para descriptografia. Obviamente, se você escanear toda a memória do processo, ele definitivamente não funcionará. Portanto, o projeto usa o seguinte método para restringir a faixa de memória -chave para acelerar a velocidade de varredura:
Existem outros pequenos detalhes, basta olhar para o código.
Outras versões não testadas não significam que elas não podem ser usadas. Esta lista é apenas um ambiente que tenho no local.
4.0 Registro de conteúdo Exemplo de referência de referência de conteúdo Exportar Registro de bate -papo para TXT.
