即将对Windows 和MacOS 下微信取证进行演示。
准备工作
微信版本:2.6.x
工具:吾爱破解专版OD
Windows下微信取证
1.获取微信聊天记录数据库文件
我的路径在:
C:\Users\free04k\Documents\WeChat Files\XXXX\Msg
2.从内存中读取密钥
a、打开OD然后打开微信,使用OD附加微信登陆进程
b、点击文件菜单,选择“附加”,弹出的对话框找到名称为Wechat的进程,窗口名称为“登陆”,然后点击附加
c、选择查看-可执行模块
d、找到名称为Wechatwin.dll,双击选中
e、在插件中选择中文搜索引擎-搜索ASCII
f、窗口右键 选择 Find,在搜索框中输入“DBFactory::encryptDB”
g、双击
h、到test edx edx 设置断点
i、切换到微信登录页面,点击登录,然后到手机端确认登录。
这是OllyDbg界面中的数据不断滚动,直到EDX不再为全0并且各个窗口内容停止滚动为止。
j、在EDX的值上面点击鼠标右键,在弹出的菜单里面选择“数据窗口中跟随”,则数据窗口中显示的就是EDX的内容。
其中xxxx位置为需要解密的微信id,目录内容如下
k、如果要解密ChatMsg.db,则在命令行窗口输入指令
dewechat ChatMsg.db
回车即可
解密成功后,会在目录中生成de_ChatMsg.db,用sqlite数据库管理软件打开即可。
除了Windows,MacOS下也可以操作。
MacOS下微信取证
1、找到微信数据库文件
~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message
2.从内存中读取密钥
a、打开Mac版微信
b、打开终端数据:lldb -p $(pgrep WeChat)
进入lldb的子shell界面
c、输入br set -n sqlite_key和c
d、登陆微信,会卡在正在登陆的界面
e、然后在终端输入:memory read –size 1 –format x –count 32 $rsi
这个就是64位的字符串的密钥
0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8
3.读取数据
使用DB Browser for SQLite MAC版进行读取即可。
最后最后,最重要的事
工具:吾爱破解专版OD自行下载
链接:
https://pan.baidu.com/s/1KQgjMlO_DKddneDlW-1nZw
提取码:H7QT
来源:freebuf.com 2020-05-09 02:49:19 by: 雷石安全实验室
请登录后发表评论
注册