2

微信数据库解密 - wechat-dump-rsv v1.0.16 (支持微信4.x、3.x两种版本)11.15

[复制链接]
150 3
雪儿 2024-11-15 17:21:29 | 显示全部楼层 |阅读模式
该工具用于导出正在运行中的微信进程的 key 并自动解密所有微信数据库文件以及导出 key 后数据库文件离线解密。

可能存在封号风险,后果自负!!!
使用需知: 微信4.0 重构后改用 HMAC_SHA512 算法,寻找 key 的方式和 v3 不同,工具内仍然采用内存暴力搜索的方式,对于 v4 解密时将使用多线程加速,可能会导致 cpu 飙到 100%,取决于 key 离起始查找点的距离。
当然了不止 v4.0 微信能用,之前的v3.x版本也能用

使用环境
  • 微信版本:v4.0.0.32
  • 微信绑定手机号:+86(如果非要使用+86国内大陆手机号可能需要自己编译一下详情,如果使用的是+852手机号可以使用我编译好的)
  • Wechat dump rsv版本:v1.0.16
  • ≥ Windows10 系统

使用教程
详细参数
  1. wechat-dump-rs (1.0.16) - REinject
  2. A wechat db dump tool
  3. Options:
  4.   -p, --pid <PID>        pid of wechat
  5.   -k, --key <KEY>        key for offline decryption of db file
  6.   -f, --file <PATH>      special a db file path
  7.   -d, --data-dir <PATH>  special wechat data dir path (pid is required)
  8.   -o, --output <PATH>    decrypted database output path
  9.   -a, --all              dump key and decrypt db files
  10.       --vv <VERSION>     wechat db file version [default: 4] [possible values: 3, 4]
  11.   -r, --rawkey           convert db key to sqlcipher raw key (file is required)
  12.   -h, --help             Print help
复制代码
解密过程
十分的简单,先登录 v4.0版本微信,把软件到文件夹里面,然后在文件夹顶部地址栏输入 cmd 然后再输入 wechat-dump-rs.exe -a 就行
1.gif
等执行好了之后会告诉你
  • output to C:\Users\xxxx\AppData\Local\Temp\wechat_dump\wechat_xxxx
这个里面是存放了解密好的文件
8.png
  1. PS C:\Users\安稳\Desktop\wechat-dump-rs> .\wechat-dump-rs.exe -a
  2. [+] wechat version is 4.0.0.32
  3. [+] found pre address count: 453
  4. [+] searching key in pre addresses...
  5. [v] found key at 0x151d23cd960
  6. [v] found key at 0x151d912c1d0
  7. [v] found key at 0x151d2034bd0
  8. [v] found key at 0x151d94897e0
  9. [v] found key at 0x151d91bfe60
  10. [v] found key at 0x151d22bb0c0
  11. [v] found key at 0x151d2272150
  12. =======================================
  13. ProcessId: 32520
  14. WechatVersion: 4.0.0.32
  15. AccountName: xtxxxx10
  16. NickName: Coxxxx北
  17. Phone: 176xxxxx262
  18. DataDir: C:\Users\安稳\Documents\xwechat_files\wxid_7xxxxxxx22_e9ad\
  19. key: 98fxxxxxxxxxx99f8472682xxxxxxxxxxbe4a04ae8664392xxxxxxxxxxaf27da
  20. =======================================

  21. scanned 19 files in C:\Users\安稳\Documents\xwechat_files\wxid_7xxxxxxx22_e9ad\db_storage
  22. decryption in progress, please wait...
  23. decryption complete!!
  24. output to C:\Users\安稳\AppData\Local\Temp\wechat_dump\wechat_32520
复制代码
打开 sqlcipher 数据库时,选择 “原始密钥”,微信 V3 选择 sqlcipher3,V4 选择 sqlcipher4,每个数据库文件对应的原始密钥都是不一样的,获取方式如下:
游客,如果您要查看本帖隐藏内容请回复

解密预览:
小号来测试的..以下是部分截图
如何打开数据库
  1. output to C:\Users\xxxx\AppData\Local\Temp\wechat_dump\wechat_xxxx
复制代码
打开 DB Browser for SQLCipher 软件后,选择顶部第二个打开数据库,然后选择上面给你已经解密出来的数据库地址里面去挑选,

至于哪个文件夹里面的哪个数据库是什么作用,参考 :
游客,如果您要查看本帖隐藏内容请回复

选择数据库后,顶部有个浏览数据,然后自己选择不同表自己查看

聊天记录
9.png 10.png
联系人、公众号
11.png 12.png
文件校验、杀毒
文件: wechat-dump-rs-i686-pc-windows-msvc.zip
大小: 866616 字节
MD5: 01C4F8E4942AEABF2ED8BC28DD8EFE54
SHA1: 7595A7D4DC2FF563368D7E47B040461E87890EC9
CRC32: 54B4A5EB

文件: Dwechat-dump-rs-x86_64-pc-windows-msvc.zip
大小: 935353 字节
MD5: 54872AF0EE64061B48F54E2F63578B71
SHA1: 367821DCF3E3B3C8C9826779ADF19701C9DE5799
CRC32: 96199710

解压后软件杀毒报告:
wechat-dump-rs-x86_64-pc-windows-msvc.exe:
https://www.virustotal.com/gui/file/fcead9b9523e2ad914ac90dc91133f9d2d9afc0cf60234df76bd648f2beef9ed
wechat-dump-rs-i686-pc-windows-msvc.exe:
https://www.virustotal.com/gui/file/3af27094b46c614c7f7a175a8e742689602976c7ca4bb01c206f7f747930b6ac
一起来加入破走大家庭!
lanfeng 2024-11-15 18:19:13 | 显示全部楼层
楼主的帖子真是前无古人,后无来者
17531130460 2024-11-15 22:18:19 来自手机 | 显示全部楼层
膜拜神贴,后面的请保持队形~
cfdx000 2024-11-17 09:57:27 | 显示全部楼层
我喂此帖袋盐,奥利给!
快捷回复: 换一换
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    手机版|破走论坛

    本站资源来自互联网用户收集发布,如有侵权请邮件与我们联系处理:pozou@qq.com

    Copyright © 2018-2024 破走论坛. Powered by 破走论坛!