Windows下微信取证


Windows下微信取证

微信版本:2.6.x
工具:吾爱破解专版OD

1.获取聊天记录数据库文件

​ 我的路径在:C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

image-20200409160142878

2.从内存中读取密钥

​ 打开OD然后打开微信,使用OD附加微信登陆进程

​ 点击文件菜单,选择“附加”,弹出的对话框找到名称为Wechat的进程,窗口名称为“登陆”,然后点击附加

image-20200409161048162

选择查看-可执行模块

image-20200409160508103

找到名称为Wechatwin.dll,双击选中

image-20200409161201122

在插件中选择中文搜索引擎-搜索ASCII

image-20200409161330613

​ 窗口右键 选择 Find,在搜索框中输入“DBFactory::encryptDB”

image-20200409161539923

​ 双击

image-20200409162047899

到test edx edx 设置断点

image-20200409162231094

切换微信登陆页面,点击登陆,

切换到微信登录页面,点击登录,然后到手机端确认登录。这是OllyDbg界面中的数据不断滚动,直到EDX不再为全0并且各个窗口内容停止滚动为止。

img

在EDX的值上面点击鼠标右键,在弹出的菜单里面选择“数据窗口中跟随”,则数据窗口中显示的就是EDX的内容。

image-20200410142553126

其中****位置为需要解密的微信id,目录内容如下

如果要解密ChatMsg.db,则在命令行窗口输入指令dewechat ChatMsg.db回车即可

img

解密成功后,会在目录中生成de_ChatMsg.db,用sqlite数据库管理软件打开即可。


Author: Free04kSec
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint polocy. If reproduced, please indicate source Free04kSec !
 Previous
MacOS下微信取证 MacOS下微信取证
MacOS下微信取证1. 找到微信数据库文件​ ~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWe
2020-04-13 Free04kSec
Current 
Windows下微信取证 Windows下微信取证
Windows下微信取证微信版本:2.6.x工具:吾爱破解专版OD1.获取聊天记录数据库文件​ 我的路径在:C:\Users\free04k\Documents\WeChat Files\XXXX\Msg 2.从内存中读取
2020-04-09 Free04kSec
  TOC