解密聊天记录数据库

解密聊天记录数据库

微信6.2.5使用sqlcipher进行AES加密,因此我们要得到密钥,根据编译的信息,可以得知微信使用 key=md5(IMEI+uin) | cut -c -7 , 即取md5的前7位做为密钥。解密微信聊天数据库就是简单的一行代码,(注意sqlcipher新版本(3.x)默认不向下兼容,需要使用,cipher_use_hmac 是兼容1.1.x,kdf_iter 是兼容2.1.x的)。

1

2

3

4

5

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_use_hmac = off; PRAGMA kdf_iter = 4000; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

 

或者

 

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_migrate; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

IMEI很容易获取,uin在shared_prefs/多个文件中存在,如com.tencent.mm_preferences.xml,auth_info_key_prefs.xml, system_config_prefs.xml。理论上是在system_config_prefs.xml文件中的default_uin,注意有可能是负的,之前我没有意识到这个问题,导致一直解码不成功,直到看了这个博客。ps. 负数是因为溢出int32(2639833126) = -1655134170 。

 

这方面已经很人做了,比如github上的wechat-dump,效果还是可以的,稍微有点问题,日后再改。

日后改了一些东西,最重要的是微信的头像文件不再单一保存,而是用 avatar.index 来索引,保存在一个大文件中avatar.block.0000x。经测试,可以得知用户头像以avatar.index中的数值为起始位置,找到avatar.block.0000x相应连续的96×96×3×4个连续字节就算用户头像的bitmap(png.bm)。具体见代码:

get avatar

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

    def read_bm_block(self, pos):

        hex_pos = hex(pos)

        fname = os.path.join(self.avt_dir,

                'avatar.block.0000' + hex_pos[2])

        f = open(fname, 'rb')

        start_pos = pos - 2 ** 34

        f.seek(start_pos+30)

        while f.read(1) != b"\x00":

            continue

 

        size = (96, 96, 3)

        img = np.zeros(size, dtype='uint8')

        for i in range(96):

            for j in range(96):

                r, g, b, a = map(ord, f.read(4))

                img[i,j] = (r, g, b)

        return img

 

 

 

  •  

  • How To Decrypt WeChat EnMicroMsg.db Database?

  • A look at WeChat security

  • Android微信數據導出

你可能感兴趣的:(解密聊天记录数据库)