Windows &MacOS 下微信取证 – 作者:雷石安全实验室

即将对Windows 和MacOS 下微信取证进行演示。


准备工作

微信版本:2.6.x

工具:吾爱破解专版OD

Windows下微信取证

                             

1.获取微信聊天记录数据库文件

我的路径在:

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

image.png

2.从内存中读取密钥

 a、打开OD然后打开微信,使用OD附加微信登陆进程

 b、点击文件菜单,选择“附加”,弹出的对话框找到名称为Wechat的进程,窗口名称为“登陆”,然后点击附加

image.png

c、选择查看-可执行模块

image.png

d、找到名称为Wechatwin.dll,双击选中

image.png

 e、在插件中选择中文搜索引擎-搜索ASCII

image.png

f、窗口右键 选择 Find,在搜索框中输入“DBFactory::encryptDB”

image.png

g、双击

image.png

 h、到test edx edx 设置断点

image.png

i、切换到微信登录页面,点击登录,然后到手机端确认登录。

这是OllyDbg界面中的数据不断滚动,直到EDX不再为全0并且各个窗口内容停止滚动为止。

image.png

j、在EDX的值上面点击鼠标右键,在弹出的菜单里面选择“数据窗口中跟随”,则数据窗口中显示的就是EDX的内容。

image.png

其中xxxx位置为需要解密的微信id,目录内容如下

image.png

k、如果要解密ChatMsg.db,则在命令行窗口输入指令

dewechat        ChatMsg.db

回车即可

image.png

解密成功后,会在目录中生成de_ChatMsg.db,用sqlite数据库管理软件打开即可。

除了Windows,MacOS下也可以操作。

MacOS下微信取证                        

1、找到微信数据库文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

image.png

2.从内存中读取密钥

a、打开Mac版微信

b、打开终端数据:lldb -p $(pgrep WeChat)

进入lldb的子shell界面

image.png

c、输入br set -n sqlite_key和c

image.png

d、登陆微信,会卡在正在登陆的界面

image.png

e、然后在终端输入:memory read –size 1 –format x –count 32 $rsi

image.png

这个就是64位的字符串的密钥

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.读取数据

使用DB Browser for SQLite MAC版进行读取即可。

最后最后,最重要的事

工具:吾爱破解专版OD自行下载

链接:

https://pan.baidu.com/s/1KQgjMlO_DKddneDlW-1nZw 

提取码:H7QT

来源:freebuf.com 2020-05-09 02:49:19 by: 雷石安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论