PC微信逆向--定位sqlite3_exec和数据库句柄

写在前面

最近在做PC端微信逆向,搞定了基本的收发消息,通讯录获取等,这期间遇到一个小小的问题,从通讯录获取到的内容不全,除非登录后手动点击过某个好友,不然获取不到头像、V3等,所以产生了解密数据库的想法。

收集资料

首先要明确一个想法,这个世界很大,想做的事情,至少90%都可能是别人做过的,有些人会把他们的经历分享到互联网上,我们可以利用这些知识,让自己不需要从0开始。
在这个日新月异的时代,技术存在时效性,找到的资料可以作为参考,我们需要做的,是更新替换那些过期的内容,让别人分享的东西在重新跑起来。
下面是我找到的一些资料,讲的都很详细:

  1. 一个系列教程,通过已打开的数据库句柄完成在线备份
    pc版微信 数据库备份
  2. 调用sqlite3_exec来执行SQL
    绕过加密来访问SQLite数据库
  3. 定位微信数据库密码
    解密数据库文件

信息提炼

通过阅读上面的文章,有些东西基本明确了:

  1. 微信使用的数据库是SQLite,并且使用AES加密
  2. 解密需要用到以下工具或开源库
    2.1 OllyDbg
    2.2 IDA Pro
    2.3 Visual Studio(2019或更高版本)
    2.4 OpenSSL
    2.5 SQLite3

工具下载

OllyDbg建议使用吾爱破解版,如果无法通过杀软,也可以去看雪工具下载。
OpenSSL使用别人编译好的1.1.1n安装版,尽量使用32位。
SQLite3需要3.28.0的源码包,可以去官网下载
IDA也可以在看雪工具找到。
VS需要去微软官网下载安装工具,完成在线安装。
此外,最好安装CE,可以在吾爱破解的工具包中找到,方便进行内存搜索。

如果已准备好上述工具,就让我们开始吧。

目标

需要分步实现下面的目标:

  1. 定位sqlite3_exec函数
  2. 获取微信打开的数据库句柄
  3. 调用微信内部的sqlite3_exec执行SQL
  4. 定位sqlite3_open、sqlite3_backup_init等函数
  5. 完成数据库在线备份
  6. 定位数据库密码的保存位置
  7. 编写数据库离线解密工具

定位sqlite3_exec函数

思路比较简单,先看一下sqlite3_exec的原型:

int sqlite3_exec(
        sqlite3*,                                  /* An open database */
        const char *sql,                           /* SQL to be evaluated */
        int (*callback)(void*,int,char**,char**),  /* Callback function */
        void *,                                    /* 1st argument to callback */
        char **errmsg                              /* Error msg written here */
);
 sqlite3*:通过sqlite3_open打开的数据库句柄 
 const char *sql:要执行的sql语句
 int (*callback)(void*,int,char**,char**):执行sql语句时对应的回调函数
 void *:回调函数的参数
 char **errmsg:存放错误信息

这里还没有必要分析它,只需要知道这个函数需要五个参数就够了,其中第二个参数是要执行的SQL,其他的,暂时当成DWORD类型。
站在正向的角度去思考,当一个新用户下载并开始使用微信,他还没有任何数据库文件,微信一定要对数据库进行初始化,相应的建表语句是:

CREATE TABLE IF NOT EXISTS `table_name` 表结构;

当然,为了方便,这些命令每次登录都要执行一遍,因为微信也不知道你会不会把库给删了。
打开IDA,按Shift+F12打开字符串窗口,Ctrl+F搜索CREATE TABLE IF NOT EXISTS(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第1张图片
找一个比较完整的SQL点进去,在变量名上按下x查看交叉引用(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第2张图片
查看push这个变量的位置(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第3张图片
sub_106D11D0需要两个参数,一个是SQL,另外一个(圈出来的地方)不出意外是数据库句柄,但是这个CALL不是sqlite3_exec,因为参数太少。
双击sub_106D11D0看一下这个CALL的实现(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第4张图片
不远处发现了这样一段汇编,传递了五个参数,末尾的add esp,14h也符合cdecl调用约定;静态调试不是特别明显,可以结合OD进行动态调试,会发现其中一个参数是SQL命令,这里就是在执行数据库的初始化,所以sub_11356570就是sqlite3_exec。
也可以查看CALL的内部(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第5张图片
对比这些特征也能确定(比对sqlite3的源码)。

获取微信打开的数据库句柄

IDA静态分析

刚才定位sqlite3_exec是从引用SQL的地方(下图)向下追溯:
PC微信逆向--定位sqlite3_exec和数据库句柄_第6张图片
猜测[esi+0x64]是数据库句柄,不过这里没有数据库名,也找不到保存句柄的容器,所以需要向上追溯,找到句柄的来源。回到函数头查看交叉引用(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第7张图片
什么都没有,惊喜又意外,这时候需要使用OD进行动态调试,在这之前,先说一下怎么算地址。
如上图所示,在IDA中,sub_106646500的地址是0x10664650,我的IDA基址是0x10000000(可能跟你的不同),那么sub_106646500对应的偏移就是0x664650,在OD中,需要跳转下断的位置是WeChatWin.dll + 0x664650

OD动态调试

明确之后,我们继续,打开OD,通过OD启动微信,暂时不要点登录,按Ctrl+G,输入地址后回车(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第8张图片
在函数头下断,然后扫码登录并在手机上点击确认,断下后查看堆栈窗口(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第9张图片
反汇编窗口跟随(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第10张图片
是通过寄存器调用的,IDA中找不到交叉引用也很正常。
在回到上层调用之前,先分析下数据库初始化之前的代码:

0FD3465D    56              push esi
0FD3465E    8BF1            mov esi,ecx                              ; esi赋值ecx
...
0FD34672    FFD2            call edx                                 ; WeChatWi.0FD34650
...
0FD346DF    68 50545311     push WeChatWi.11535450                   ; SQL
0FD346E4    FF76 64         push dword ptr ds:[esi+0x64]             ; 数据库句柄
0FD346E7    8BCE            mov ecx,esi
0FD346E9    E8 E2CA0600     call WeChatWi.0FDA11D0                   ; 数据库初始化

猜测esi+0x64是保存数据库句柄的指针,在函数开始时,为esi赋值了ecx,查看下ecx+0x64处的数据(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第11张图片
现在还没有东西,按F8执行单步,看看哪个CALL执行完毕得到的数据库句柄,当步过call edx时,esi+0x64处的数据发生了变化(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第12张图片
从0变成了0x9996AB8,再往下esi+0x78保存数据库名,esi+0x8C处保存表名,esi来自ecx,(如果想通过Hook的方式取得句柄,就要进入call edx具体分析了,本文暂不赘述)接下来回到上一层去分析ecx的来源:

0FAD721C    E8 2F820600     call WeChatWi.0FB3F450
0FAD7221    8B08            mov ecx,dword ptr ds:[eax]
0FAD7223    8B51 4C         mov edx,dword ptr ds:[ecx+0x4C]
0FAD7226    8D8D B0FBFFFF   lea ecx,dword ptr ss:[ebp-0x450]
0FAD722C    51              push ecx
0FAD722D    8BC8            mov ecx,eax                              ; ecx == eax
0FAD722F    FFD2            call edx

这里只能得到ecx来自eax,eax这个寄存器比较特殊,可能是前一个CALL执行完毕的返回值,所以要回到函数头下断,看看eax是怎么来的(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第13张图片
断下后开始单步,注意给eax赋值的指令和每个CALL执行后eax的变化。发现最后改变eax的CALL:

...
1038720F    E8 3C820600     call WeChatWi.103EF450                   ; 最后改变eax的CALL
...
1038721C    E8 2F820600     call WeChatWi.103EF450
...
1038722C    51              push ecx
1038722D    8BC8            mov ecx,eax                              ; ecx == eax
1038722F    FFD2            call edx

追进去(F7或Ctrl+G直接跳)看一下,建议从retn往前找:

0FAEF4DE    A1 FCF38A11     mov eax,dword ptr ds:[0x118AF3FC]
0FAEF4E3    83C0 28         add eax,0x28
...
0FAEF4F7    C3              retn

这里将一个基址保存的数据赋值给eax,然后再加0x28,查看之后也确实是接下来要用到的参数,但是不知道细心的你有没有发现一个问题,刚才我们在函数头下的断点,一直都只断下来一次。
难道微信只有一个数据库?或者为每个数据库写了单独的打开函数?
正常来说,为了提高代码的复用性,应该会对sqlite3_exec进行包装,数据库路径、表名、初始化用的SQL作为参数,写一个循环来初始化所有要用到的数据库。
所以要在刚才的函数头(下图),再向上追溯(因为多次重启微信,所以地址会不一样,可根据地址后四位判断):
PC微信逆向--定位sqlite3_exec和数据库句柄_第14张图片
断下后反汇编窗口跟随返回地址(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第15张图片
然后怎么办呢,回函数头or单步,其实都可以,回函数头也是要单步的,就先往下走吧,后面不远处就是一个循环:

0FE5E2DF    8BB7 88180000   mov esi,dword ptr ds:[edi+0x1888]
0FE5E2E5    83C4 18         add esp,0x18
0FE5E2E8    8B87 8C180000   mov eax,dword ptr ds:[edi+0x188C]
0FE5E2EE    3BF0            cmp esi,eax
...
0FE5E301    C745 CC 0000000>mov dword ptr ss:[ebp-0x34],0x0
0FE5E30A    83C0 78         add eax,0x78
0FE5E30D    50              push eax
0FE5E30E    E8 6DF9C2FF     call WeChatWi.0FA8DC80
...
0FE5E322    FF50 4C         call dword ptr ds:[eax+0x4C]
...
0FE5E32E    83C6 04         add esi,0x4
0FE5E331    3BF7            cmp esi,edi
0FE5E333  ^ 75 CC           jnz short WeChatWi.0FE5E301

上面这段汇编,遍历[edi+0x1888]到[edi+0x188C],还会引用[esi]+0x78处的数据,这里跟前面讲的一样,保存着数据库的名字,那[esi]+0x64处会保存,或者说,将会保存什么呢?当然是数据库句柄。
在这个循环内,步过每一个CALL后观察下[esi]+0x64的变化,发现执行call dword ptr ds:[eax+0x4C]之后得到了数据库句柄,那么问题就转化为找到edi的来源,这个就很简单了,往上找发现了这个赋值指令:

0FE5E07A    8B3D FCF3C111   mov edi,dword ptr ds:[0x11C1F3FC]

刚才找eax的时候后四位也是F3FC,其实就是同一个地方,不过加的数值不一样,这一次要加0x1888,看看数据(下图):
PC微信逆向--定位sqlite3_exec和数据库句柄_第16张图片
(0x654 - 0x5F0) / 4 = 0x19 = 25,这里初始化了25个表,至于有多少库,就得去重后再统计,看一下成果:
PC微信逆向--定位sqlite3_exec和数据库句柄_第17张图片

计算偏移

理清楚之后,算一算偏移,方便后面查找句柄,此时WeChatWin.dll的基址是0x0F9F0000

Executable modules, 条目 83
 基址=0F9F0000
 大小=02680000 (40370176.)
 入口=11337B60 WeChatWi.<ModuleEntryPoint>
 名称=WeChatWi
 文件版本=3.6.0.18
 路径=D:\WeChat\[3.6.0.18]\WeChatWin.dll

则edi的计算公式是WeChatWin.dll + 0x11C1F3FC - 0x0F9F0000
开始遍历的地址:[[WeChatWin.dll + 0x222F3FC] + 0x1888]
结束遍历的地址:[[WeChatWin.dll + 0x222F3FC] + 0x188C]
设单个元素为esi,数据库句柄在esi+0x64,数据库名在esi+0x78

写在后面

本篇文章整理了资料和工具,并通过IDA和OD找到了微信中sqlite3_exec函数位置以及保存数据库句柄的地址,下一篇文章,介绍下如何调用sqlite3_exec函数。如果你已经迫不及待,可以参考本文提供的资料,尝试动手实现。

你可能感兴趣的:(软件逆向,微信,安全)