wechat dump rs

เครื่องมือนี้ใช้เพื่อส่งออกคีย์ของกระบวนการ WeChat ที่กำลังทำงานอยู่และถอดรหัสไฟล์ฐานข้อมูล WeChat ทั้งหมดโดยอัตโนมัติและเพื่อถอดรหัสไฟล์ฐานข้อมูลออฟไลน์หลังจากส่งออกคีย์

อาจมีความเสี่ยงในการห้ามบัญชีและผลที่ตามมาคือความเสี่ยงของคุณเอง! - -

ใช้ความจำเป็นต้องรู้ : หลังจาก refactoring WeChat 4.0 เราเปลี่ยนเป็นอัลกอริทึม HMAC_SHA512 วิธีการค้นหาคีย์นั้นแตกต่างจาก V3 เครื่องมือยังคงใช้การค้นหา Force Memory Brute สำหรับการถอดรหัส V4 จะใช้การเร่งความเร็วแบบหลายเธรดซึ่งอาจทำให้ CPU สูงถึง 100%ขึ้นอยู่กับระยะห่างระหว่างคีย์และจุดค้นหาเริ่มต้น

wechat-dump-rs (1.0.13) - REinject
A wechat db dump tool
Options:
  -p, --pid < PID >        pid of wechat
  -k, --key < KEY >        key for offline decryption of db file
  -f, --file < PATH >      special a db file path
  -d, --data-dir < PATH >  special wechat data dir path (pid is required)
  -o, --output < PATH >    decrypted database output path
  -a, --all              dump key and decrypt db files
      --vv < VERSION >     wechat db file version [default: 4] [possible values: 3, 4]
  -r, --rawkey           convert db key to sqlcipher raw key (file is required)
  -h, --help             Print help

หากคุณไม่มีพารามิเตอร์ใด ๆ โปรแกรมเอาต์พุตเท่านั้นบัญชี WeChat หมายเลขมือถือไดเรกทอรีข้อมูลเวอร์ชันและข้อมูลอื่น ๆ ของกระบวนการ WeChat ทั้งหมด:

=======================================
ProcessId: 4276
WechatVersion: 4.0.0.26
AccountName: xxxxxx
NickName: xxxxxx
Phone: 15111611111
DataDir: C: U sers x xx D ocuments x wechat_files w xid_xxxx_xxa
key: f11fd83bxxxxxx4f3f4x4ddxxxxxe417696b4axx19e09489ad48c
=======================================

ใช้พารามิเตอร์ -a เพื่อส่งออกไฟล์ฐานข้อมูลทั้งหมดโดยตรง

ไฟล์ถอดรหัสโดยอัตโนมัติโดยเครื่องมืออาจมีความผิดปกติ คุณสามารถใช้ DB เบราว์เซอร์สำหรับ SQLCipher เพื่อเรียกดูไฟล์ฐานข้อมูลต้นฉบับโดยตรง

เมื่อเปิดฐานข้อมูล SQLCipher ให้เลือก "คีย์ดั้งเดิม" เลือก Custom บน WeChat V3 (ขนาดหน้า 4096/KDF การทำซ้ำ 64000/HMAC อัลกอริทึม SHA1/KDF อัลกอริทึม SHA1) และเลือก SQLCipher4 โดยค่าเริ่มต้น คีย์ต้นฉบับที่สอดคล้องกับไฟล์ฐานข้อมูลแต่ละไฟล์แตกต่างกันและวิธีการได้มามีดังนี้:

ไฟล์ฐานข้อมูล WeChat V3 Rawkey:

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 3

ไฟล์ฐานข้อมูล WeChat V4 Rawkey:

wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c: u sers x xxx x xxx c ontact.db -r --vv 4

โดยทั่วไปแล้วจำเป็นต้องได้รับกุญแจในหน่วยความจำของกระบวนการ WeChat ที่กำลังทำงานอยู่ ออฟเซ็ตหน่วยความจำแตกต่างกันในแต่ละเวอร์ชัน เครื่องมือส่วนใหญ่รักษาชุดของออฟเซ็ตสำหรับแต่ละเวอร์ชัน แต่เมื่อมีเวอร์ชันใหม่ปรากฏขึ้นคุณต้องค้นหาออฟเซ็ตอีกครั้ง ดูวิธีการบันทึกอย่างง่ายในภายหลัง

ในความเป็นจริงนอกเหนือจากวิธีนี้ยังมีอีกวิธีทั่วไปอีกวิธีหนึ่งซึ่งคือการค้นหาแรงเดรัจฉานหน่วยความจำเพื่อค้นหาตำแหน่งสำคัญที่สามารถใช้สำหรับการถอดรหัส แน่นอนถ้าคุณสแกนความทรงจำทั้งหมดของกระบวนการมันจะไม่ทำงานอย่างแน่นอน ดังนั้นโครงการจึงใช้วิธีการต่อไปนี้เพื่อ จำกัด ช่วงหน่วยความจำที่สำคัญเพื่อเพิ่มความเร็วในการสแกน:

1. ประเภทอุปกรณ์ของการเข้าสู่ระบบ WeChat นั้นเป็นเพียง iPhone และ Android เท่านั้น ก่อนอื่นค้นหาหน่วยความจำที่ประเภทอุปกรณ์อยู่ในหน่วยความจำ กุญแจสำคัญอยู่ข้างหน้า เพียงแค่ค้นหาไปข้างหน้า
2. ที่อยู่หน่วยความจำและประเภทอุปกรณ์เข้าสู่ระบบของคีย์คือ 16 ไบต์จัดเรียงตามที่ฉันสังเกตดังนั้นแต่ละครั้งคือ 16 ไบต์

มีรายละเอียดเล็ก ๆ น้อย ๆ อื่น ๆ เพียงแค่ดูรหัส

เวอร์ชันที่ยังไม่ผ่านการทดสอบอื่น ๆ ไม่ได้หมายความว่าพวกเขาไม่สามารถใช้งานได้ รายการนี้เป็นเพียงสภาพแวดล้อมที่ฉันมีในท้องถิ่น

• 3.9.6.33
• 3.9.7.25
• 3.9.7.29
• 3.9.8.9
• 3.9.8.15
• 3.9.10.19
• 3.9.11.25
• 3.9.12.15
• 3.9.12.17
• 4.0.0.26
• 4.0.0.32
• 4.0.0.34
• 4.0.0.35
• 4.0.1.11
• 4.0.1.13
• 4.0.1.17

• 4.0.0.26

4.0 แชทเรคคอร์ดเนื้อหาการแยกวิเคราะห์ตัวอย่างอ้างอิงการส่งออกบันทึกการแชทไปยัง txt

• WeChat 3.9 ค้นหาด้วยตนเองด้วยตนเอง
• กระบวนการค้นหา WeChat 4.0