成都创新互联网站制作重庆分公司

Windows和MacOS下如何进行微信取证

今天就跟大家聊聊有关Windows和MacOS下如何进行微信取证,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。

创新互联是一家专业提供七星企业网站建设,专注与成都网站制作、成都网站设计、H5页面制作、小程序制作等业务。10年已为七星众多企业、政府机构等服务。创新互联专业网站设计公司优惠进行中。

即将对Windows 和MacOS 下微信取证进行演示。    

准备工作    

微信版本:2.6.x

工具:吾爱破解专版OD

Windows下微信取证

1.获取微信聊天记录数据库文件

我的路径在:

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

Windows和MacOS下如何进行微信取证

2.从内存中读取密钥

 a、打开OD然后打开微信,使用OD附加微信登陆进程

 b、点击文件菜单,选择“附加”,弹出的对话框找到名称为Wechat的进程,窗口名称为“登陆”,然后点击附加

Windows和MacOS下如何进行微信取证

c、选择查看-可执行模块

Windows和MacOS下如何进行微信取证

d、找到名称为Wechatwin.dll,双击选中

Windows和MacOS下如何进行微信取证

 e、在插件中选择中文搜索引擎-搜索ASCII

Windows和MacOS下如何进行微信取证

f、窗口右键 选择 Find,在搜索框中输入“DBFactory::encryptDB”

Windows和MacOS下如何进行微信取证

g、双击

Windows和MacOS下如何进行微信取证

 h、到test edx edx 设置断点

Windows和MacOS下如何进行微信取证

i、切换到微信登录页面,点击登录,然后到手机端确认登录。

这是OllyDbg界面中的数据不断滚动,直到EDX不再为全0并且各个窗口内容停止滚动为止。

Windows和MacOS下如何进行微信取证

j、在EDX的值上面点击鼠标右键,在弹出的菜单里面选择“数据窗口中跟随”,则数据窗口中显示的就是EDX的内容。

Windows和MacOS下如何进行微信取证

其中xxxx位置为需要解密的微信id,目录内容如下

Windows和MacOS下如何进行微信取证

k、如果要解密ChatMsg.db,则在命令行窗口输入指令

dewechat        ChatMsg.db

回车即可

Windows和MacOS下如何进行微信取证

解密成功后,会在目录中生成de_ChatMsg.db,用sqlite数据库管理软件打开即可。

除了Windows,MacOS下也可以操作。

MacOS下微信取证                        

1、找到微信数据库文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

Windows和MacOS下如何进行微信取证

2.从内存中读取密钥

a、打开Mac版微信

b、打开终端数据:lldb -p $(pgrep WeChat)

进入lldb的子shell界面

Windows和MacOS下如何进行微信取证

c、输入br set -n sqlite_key和c

Windows和MacOS下如何进行微信取证

d、登陆微信,会卡在正在登陆的界面

Windows和MacOS下如何进行微信取证

e、然后在终端输入:memory read --size 1 --format x --count 32 $rsi

Windows和MacOS下如何进行微信取证

这个就是64位的字符串的密钥

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.读取数据

使用DB Browser for SQLite MAC版进行读取即可。

看完上述内容,你们对Windows和MacOS下如何进行微信取证有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注创新互联行业资讯频道,感谢大家的支持。


新闻标题:Windows和MacOS下如何进行微信取证
文章起源:http://cxhlcq.com/article/gecgje.html

其他资讯

在线咨询

微信咨询

电话咨询

028-86922220(工作日)

18980820575(7×24)

提交需求

返回顶部