wechat-dump-rs是什么

wechat-dump-rs是一款微信4.0聊天记录数据库文件解密工具(支持微信4.0版本),该工具用于导出正在运行中的微信进程的 key 并自动解密所有微信数据库文件以及导出 key 后数据库文件离线解密。可能存在封号风险,后果自负!!!

使用需知: 微信4.0 重构后改用 HMAC_SHA512 算法,寻找 key 的方式和 v3 不同,工具内仍然采用内存暴力搜索的方式,对于 v4 解密时将使用多线程加速,可能会导致 cpu 飙到 100%,取决于 key 离起始查找点的距离。


wechat-dump-rs解密原理

一般情况下,key 要在运行的微信进程内存中拿到,内存偏移在每个版本都不一样,大部分工具是对每个版本维护一套偏移,但是当出现新版本的时候都要重新找偏移,方法见后面有简单记录。

其实,除了这个方法外,还有一个更通用的方法就是内存暴力搜索找到能用于解密的密钥位置,当然如果对进程全部内存扫一遍肯定不行,所以项目里用下面这种方式缩小密钥内存范围加快扫描速度:

  1. 微信登录设备类型基本只有 iphone、android,在内存中先搜到设备类型所在内存,key 就在它的前面,向前搜就行
  2. key 的内存地址和登录设备类型据我观察是 16 字节对齐的,所以每次向前 16 字节


wechat-dump-rs如何使用/下载地址

下载地址:

夸克网盘

GitHub:

https://github.com/0xlane/wechat-dump-rs

[原创]微信4.0聊天记录数据库文件解密分析:https://bbs.kanxue.com/thread-284417.htm