本帖最后由 anwen 于 2024-11-15 15:20 编辑
该工具用于导出正在运行中的微信进程的 key 并自动解密所有微信数据库文件以及导出 key 后数据库文件离线解密。
可能存在封号风险,后果自负!!!
使用需知: 微信4.0 重构后改用 HMAC_SHA512 算法,寻找 key 的方式和 v3 不同,工具内仍然采用内存暴力搜索的方式,对于 v4 解密时将使用多线程加速,可能会导致 cpu 飙到 100%,取决于 key 离起始查找点的距离。
当然了不止 v4.0 微信能用,之前的v3.x版本也能用
使用环境
-
微信版本:v4.0.0.32
-
微信绑定手机号:+86(如果非要使用+86国内大陆手机号可能需要自己编译一下详情,如果使用的是+852手机号可以使用我编译好的)
-
Wechat dump rsv版本:v1.0.16
-
≥ Windows10 系统
使用教程
详细参数
wechat-dump-rs (1.0.16) - REinject
A wechat db dump tool
Options:
-p, --pid <PID> pid of wechat
-k, --key <KEY> key for offline decryption of db file
-f, --file <PATH> special a db file path
-d, --data-dir <PATH> special wechat data dir path (pid is required)
-o, --output <PATH> decrypted database output path
-a, --all dump key and decrypt db files
--vv <VERSION> wechat db file version [default: 4] [possible values: 3, 4]
-r, --rawkey convert db key to sqlcipher raw key (file is required)
-h, --help Print help
如果不带任何参数,程序只输出所有微信进程的 key、微信号、手机号、数据目录、版本等信息:
使用参数 -a 可以直接导出所有数据库文件。(推荐)
- 使用
-a参数可以直接使用软件进行预览数据库文件了
解密过程
十分的简单,先登录 v4.0版本微信,把软件到文件夹里面,然后在文件夹顶部地址栏输入 cmd 然后再输入 wechat-dump-rs.exe -a 就行
等执行好了之后会告诉你
output to C:\Users\xxxx\AppData\Local\Temp\wechat_dump\wechat_xxxx
这个里面是存放了解密好的文件
PS C:\Users\安稳\Desktop\wechat-dump-rs> .\wechat-dump-rs.exe -a
[+] wechat version is 4.0.0.32
[+] found pre address count: 453
[+] searching key in pre addresses...
[v] found key at 0x151d23cd960
[v] found key at 0x151d912c1d0
[v] found key at 0x151d2034bd0
[v] found key at 0x151d94897e0
[v] found key at 0x151d91bfe60
[v] found key at 0x151d22bb0c0
[v] found key at 0x151d2272150
=======================================
ProcessId: 32520
WechatVersion: 4.0.0.32
AccountName: xtxxxx10
NickName: Coxxxx北
Phone: 176xxxxx262
DataDir: C:\Users\安稳\Documents\xwechat_files\wxid_7xxxxxxx22_e9ad\
key: 98fxxxxxxxxxx99f8472682xxxxxxxxxxbe4a04ae8664392xxxxxxxxxxaf27da
=======================================
scanned 19 files in C:\Users\安稳\Documents\xwechat_files\wxid_7xxxxxxx22_e9ad\db_storage
decryption in progress, please wait...
decryption complete!!
output to C:\Users\安稳\AppData\Local\Temp\wechat_dump\wechat_32520
工具目前对稍微大点的库文件解密后可能存在畸形问题,建议使用 DB Browser for SQLCipher 进行浏览。
- 阿里云盘:https://www.alipan.com/s/f5T1ezC6awp
- 百度云盘:https://pan.baidu.com/s/1eQLy73-M3n9H3I1h5lLNRA?pwd=anwn
打开 sqlcipher 数据库时,选择 “原始密钥”,微信 V3 选择 sqlcipher3,V4 选择 sqlcipher4,每个数据库文件对应的原始密钥都是不一样的,获取方式。
微信 V3 数据库文件 rawkey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c:\users\xxxx\xxxx\contact.db -r -vv 3
微信 V4 数据库文件 rawkey:
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c:\users\xxxx\xxxx\contact.db -r -vv 4
(说实话我没明白如何使用命令行查看 哈哈...)
Wechat dump rsv 软件下载
使用x86_64版本就可以
解密预览
小号来测试的..以下是部分截图
如何打开数据库
output to C:\Users\xxxx\AppData\Local\Temp\wechat_dump\wechat_xxxx
打开 DB Browser for SQLCipher 软件后,选择顶部第二个打开数据库,然后选择上面给你已经解密出来的数据库地址里面去挑选,
至于哪个文件夹里面的哪个数据库是什么作用,参考 v4.0.0.26 库表结构
选择数据库后,顶部有个浏览数据,然后自己选择不同表自己查看
聊天记录
联系人、公众号
文件校验、杀毒
文件: wechat-dump-rs-i686-pc-windows-msvc.zip
大小: 866616 字节
MD5: 01C4F8E4942AEABF2ED8BC28DD8EFE54
SHA1: 7595A7D4DC2FF563368D7E47B040461E87890EC9
CRC32: 54B4A5EB文件: Dwechat-dump-rs-x86_64-pc-windows-msvc.zip
大小: 935353 字节
MD5: 54872AF0EE64061B48F54E2F63578B71
SHA1: 367821DCF3E3B3C8C9826779ADF19701C9DE5799
CRC32: 96199710
解压后软件杀毒报告:
-
wechat-dump-rs-x86_64-pc-windows-msvc.exe:
-
wechat-dump-rs-i686-pc-windows-msvc.exe:
