Windows &MacOS 下微信取证 – 作者:雷石安全实验室

即将对Windows 和MacOS 下微信取证进行演示。

准备工作

微信版本：2.6.x

工具：吾爱破解专版OD

Windows下微信取证

                             

1.获取微信聊天记录数据库文件

我的路径在：

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

2.从内存中读取密钥

 a、打开OD然后打开微信，使用OD附加微信登陆进程

 b、点击文件菜单，选择“附加”，弹出的对话框找到名称为Wechat的进程，窗口名称为“登陆”，然后点击附加

c、选择查看-可执行模块

d、找到名称为Wechatwin.dll,双击选中

 e、在插件中选择中文搜索引擎-搜索ASCII

f、窗口右键 选择 Find，在搜索框中输入“DBFactory::encryptDB”

g、双击

 h、到test edx edx 设置断点

i、切换到微信登录页面，点击登录，然后到手机端确认登录。

这是OllyDbg界面中的数据不断滚动，直到EDX不再为全0并且各个窗口内容停止滚动为止。

j、在EDX的值上面点击鼠标右键，在弹出的菜单里面选择“数据窗口中跟随”，则数据窗口中显示的就是EDX的内容。

其中xxxx位置为需要解密的微信id，目录内容如下

k、如果要解密ChatMsg.db，则在命令行窗口输入指令

dewechat        ChatMsg.db

回车即可

解密成功后，会在目录中生成de_ChatMsg.db，用sqlite数据库管理软件打开即可。

除了Windows，MacOS下也可以操作。

MacOS下微信取证                        

1、找到微信数据库文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

2.从内存中读取密钥

a、打开Mac版微信

b、打开终端数据：lldb -p $(pgrep WeChat)

进入lldb的子shell界面

c、输入br set -n sqlite_key和c

d、登陆微信，会卡在正在登陆的界面

e、然后在终端输入：memory read –size 1 –format x –count 32 $rsi

这个就是64位的字符串的密钥

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.读取数据

使用DB Browser for SQLite MAC版进行读取即可。

最后最后，最重要的事

工具：吾爱破解专版OD自行下载

链接：

https://pan.baidu.com/s/1KQgjMlO_DKddneDlW-1nZw 

提取码：H7QT

来源：freebuf.com 2020-05-09 02:49:19 by: 雷石安全实验室