MacOS下微信取证


MacOS下微信取证

1. 找到微信数据库文件

​ ~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

image-20200413143943005

2.从内存中读取密钥

1.打开Mac版微信

2.打开终端数据:lldb -p $(pgrep WeChat)进入lldb的子shell界面

image-20    200413144314193

在输入 z 和c

image-20200413144442160

登陆微信,会卡在正在登陆的界面

image-20200413144921822

然后在终端输入:memory read –size 1 –format x –count 32 $rsi

image-20200413145010088

这个就是64位的字符串的密钥

0x600001c2dfa0
0x600001c2dfa8
0x600001c2dfb0
0x600001c2dfb8

3.读取数据

使用:DB Browser for SQLite MAC版进行读取即可


Author: Free04kSec
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint polocy. If reproduced, please indicate source Free04kSec !
 Previous
IOS端微信取证 IOS端微信取证
IOS端微信取证 1.通过备份获取数据库文件 2.在文件夹中找到备份文件 ​ 文件路径隐藏文件下,所以先显示隐藏文件Command+Shift+. ​ /Users/username/资源库/Application S
2020-05-17 Free04kSec
Next 
Windows下微信取证 Windows下微信取证
Windows下微信取证微信版本:2.6.x工具:吾爱破解专版OD1.获取聊天记录数据库文件​ 我的路径在:C:\Users\free04k\Documents\WeChat Files\XXXX\Msg 2.从内存中读取
2020-04-09 Free04kSec
  TOC