分析微信聊天记录(1)——获取微信聊天记录

分析微信聊天记录(1)——获取微信聊天记录

文章目录

  • 分析微信聊天记录(1)——获取微信聊天记录
    • 获取 `EnMicroMsg.db `文件
      • 已root手机
      • 小米手机
    • 获取数据库密码
    • 导出数据库
      • windows
      • linux
      • mac
    • 总结


获取微信聊天记录的主要流程是取 EnMicroMsg.db文件,找密码,导出。

获取 EnMicroMsg.db文件

已root手机

对于root后的手机来说,直接获取/data/data/com.tencent.mm/MicroMsg/{hash}/EnMicroMsg.db文件即可。对于非root手机,可以使用电脑端的安卓模拟器,将聊天记录备份到模拟器中,在模拟器中获取EnMicroMsg.db文件。当然,特殊机型有特殊的办法。

小米手机

利用小米手机的备份功能,即使没有root的手机,也可以获取到微信的聊天记录。步骤如下:
1.打开小米手机上的“设置”,点击“更多设置”,“备份和重置”。
说明:如果小米手机安装的是最新MIUI11系统,则进入手机“设置”后,再点击“我的设备”,“备份和重置”即可。
分析微信聊天记录(1)——获取微信聊天记录_第1张图片
2.点击“本地备份”,按提示输入锁屏密码后,点击“下一步”,最后点击“新建备份”按钮。
分析微信聊天记录(1)——获取微信聊天记录_第2张图片
3.将“系统数据“及“软件程序”前面的勾去掉,再点击软件程序右边的小箭头,仅勾选上“微信”后,开始进行备份。
分析微信聊天记录(1)——获取微信聊天记录_第3张图片
4.备份结束后,将小米手机用数据线连接到电脑上,手机上询问USB的用途,请选择“传输文件”,如果设置为默认的“仅限充电”的话,将无法在电脑上读取手机中的文件。
5.进入手机所在盘符下的“MIUI/backup/AllBackup/备份日期时间”目录,将该目录下的微信(com.tencent.mm).bak文件复制到电脑上。
分析微信聊天记录(1)——获取微信聊天记录_第4张图片
6.使用7zip软件解压微信(com.tencent.mm).bak,进入apps/com.tencent.mm/r目录,将该目录下的MicroMsg文件夹提取出来。
或者参考小米6提取微信聊天记录笔记,使用作者提供的软件进行解压。
首先需要安装Java环境,将abe.jar复制到和微信(com.tencent.mm).bak同一个文件夹下,终端执行:

java -jar abe.jar unpack 微信(com.tencent.mm).bak mm.tar

会生成一个mm.tar文件,用解压软件将这个包解压,会得到一个apps文件夹,聊天记录数据库就存在apps/com.tencent.mm/r/MicroMsg/ 下,打开文件夹会发现里面有32位字符(MD5值)的文件夹(登录过多个用户的有多个),打开此文件夹其中EnMicroMsg.db就是要找的数据库文件。

获取数据库密码

注意!!这是最关键的一步,这一步会卡很久的时间,因为微信各个版本的数据库有细微的区别,有时间因为数据库版本问题或者密码问题,这一步就是过不去。

至此,我们已经获取到了EnMicroMsg.db文件,这是个sqlcipher加密数据库,需要密码才能打开。有以下几种方式生成密码:

数据库密码有很多种生成方式:

  1. 手机IMEI+uin(微信用户id userinformation) 将拼接的字符串MD5加密取前7位。

如IMEI为123456,uin为abc,则拼接后的字符串为123456abc 将此字符串用MD5加密(32位)后为df10ef8509dc176d733d59549e7dbfaf 那么前7位df10ef8 就是数据库的密码,由于有的手机是双卡,有多个IMEI,或者当手机获取不到IMEI时会用默认字符串1234567890ABCDEF来代替(小米10就是!!!),由于种种原因,并不是所有人都能得出正确的密码,此时我们可以换一种方法。

  1. 反序列化CompatibleInfo.cfgsystemInfo.cfg

不管是否有多个IMEI ,或者是微信客户端没有获取到IMEI,而使用默认字符串代替,微信客户端都会将使用的信息保存在MicroMsg文件夹下面的CompatibleInfo.cfg和systemInfo.cfg文件中,可以通过这两个文件来得到正确的密码,但是这两个文件需要处理才能看到信息。注意!通常这一步会显示IMEI值为null,此时若密码不正确,可将IMEI换为1234567890ABCDEF然后使用第一种方法。
IMEI.javaCompatibleInfo.cfgsystemInfo.cfg三个文件放在相同目录下终端运行(IMEI.java内容见下文):
javac IMEI.java
java IMEI systemInfo.cfg CompatibleInfo.cfg

  1. 使用hook方式得到数据库的密码,这个方法最有效参考
  2. 暴力破解

MD5加密在线:md5加密

IMEI.java文件的内容为:

import java.io.FileInputStream;
import java.io.ObjectInputStream;
import java.security.MessageDigest;
import java.util.HashMap;
public class IMEI {
     
 public static void main(String[] args) {
     
  try {
     
   ObjectInputStream in = new ObjectInputStream(new FileInputStream(
     args[0]));
   Object DL = in.readObject();
   HashMap hashWithOutFormat = (HashMap) DL;
   ObjectInputStream in1 = new ObjectInputStream(new FileInputStream(
     args[1]));
   Object DJ = in1.readObject();
   HashMap hashWithOutFormat1 = (HashMap) DJ;
   String s = String.valueOf(hashWithOutFormat1.get(Integer
     .valueOf(258))); // 取手机的IMEI
   System.out.println("The IMEI is : " + s);
   String uin = String.valueOf(hashWithOutFormat.get(Integer.valueOf(1)));
   System.out.println("The uin is : " + uin);
   s = s + uin; //合并到一个字符串
   s = encode(s); // hash
   System.out.println("The Key is : " + s.substring(0, 7));
   in.close();
   in1.close();
  } catch (Exception e) {
     
   e.printStackTrace();
  }
 }
 public static String encode(String content)
  {
     
   try {
     
    MessageDigest digest = MessageDigest.getInstance("MD5");
    digest.update(content.getBytes());
    return getEncode32(digest);
    }
   catch (Exception e)
   {
     
    e.printStackTrace();
   }
   return null;
  }
  private static String getEncode32(MessageDigest digest)
  {
     
   StringBuilder builder = new StringBuilder();
   for (byte b : digest.digest())
   {
     
    builder.append(Integer.toHexString((b >> 4) & 0xf));
    builder.append(Integer.toHexString(b & 0xf));
   }
    return builder.toString();

  }
}

运行结束后就会获得密码:
分析微信聊天记录(1)——获取微信聊天记录_第5张图片

导出数据库

windows

Windows用户可以使用sqlcipher.exe软件来查看数据库。打开数据库,输入密码,就可以查看数据库中的表。文字聊天记录储存在message表中,可以选中表,点击软件的右上角file-export导出表到csv文件,可以通过Excel查看表中的信息 执行这段命令可以查看制定对象的聊天记录

select datetime(subStr(cast(m.createTime as text),1,10),'unixepoch', 'localtime') as theTime,case m.isSend when 0 then r.nickname when 1 then '我'end as person,m.content from message m inner join rcontact r on m.talker = r.username where m.type=1 and r.nickname = '对方微信昵称'

linux

Linux用户可以使用sqlcipher来解密

sudo apt-get update
sudo apt-get install sqlcipher
sqlcipher EnMicroMsg.db 'PRAGMA key = "yourkey"; PRAGMA cipher_use_hmac = off; PRAGMA kdf_iter = 4000; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;' 

执行上面的命令之后会得到一个解密后的数据库decrypted_database.db,可以使用数据库软件查看。
当然了,一定一定要主要sqlcipher的版本问题!最好使用参考链接中的软件,否则,就算是密码正确了也无法导出。

mac

对于mac系统,推荐使用sqLiteStudio,版本号是3.2.0。
在这里插入图片描述
分析微信聊天记录(1)——获取微信聊天记录_第6张图片
按照图像中的配置,输入密码,测试连接成功之后,就可以打开数据库。
分析微信聊天记录(1)——获取微信聊天记录_第7张图片
数据库中的message表,就是我们所需要的表。我们右键选择导出该表,可以将数据表导出到csv文件中,注意,导出到csv的过程中,会失去聊天记录中语音通话时长的信息。这部分bug以后再修复。

总结

我们完成了微信聊天记录的提取与导出,最终导出到一个csv表中,方便后续的处理。

你可能感兴趣的:(其他)