首页
社区
课程
招聘
[原创]PCXX逆向:两种姿势教你解密数据库文件
发表于: 2019-7-20 17:04 14544

[原创]PCXX逆向:两种姿势教你解密数据库文件

2019-7-20 17:04
14544

微信的数据库使用的是sqlite3,数据库文件在C:\Users\XXX\Documents\WeChat Files\微信账号\Msg这个路径下,

所有的数据库文件都是经过AES加密的,AES的密钥是32位,而且所有数据库文件共用一个密钥,我们需要找到那个AES密钥才能进行解密,然后才能对数据库文件进行操作。

微信在登录时肯定要从数据库文件中获取历史聊天记录加载到程序中,然后我们才能看到之前的聊天记录。那么在微信读取数据库文件之前肯定要先打开数据库文件,所以CreateFile这个API就是我们的切入点。

在API断下之后怎么去找数据库的密码呢?可以根据AES的密钥长度为32位这个线索,32也就是十六进制的20,时刻注意20这个数字!

另外,在解密数据库的call中至少需要两个参数,一个是AES的密钥,另外一个是需要解密的数据库文件的路径。

还有一种方法是在内存中搜索数据库文件的名字,然后下访问断点。这种方案也是可行的。

打开微信,手机不要点击登录,用OD附加微信,在CreateFileW函数下断点,下好断点之后在手机上确认登录

在CreateFileW的参数中找一个FileName为xxx.db的,我们要在微信访问这个数据库文件的时候断下,然后从这里开始往下跟。一直跟到有数据库的密码的地方

如果出现了这个错误,需要修改一下设置

将StrongOD和OD本身取消忽略所有异常,这个错误是因为多线程访问冲突引起的。

在CreateFileW的返回地址下断,直接F9运行,CreateFileW这个API我们是不需要看的

CreateFileW断点断下来,那么现在应该怎么跟呢?肯定不能一直往下单步,虽然单步也能达到目标。

分析一下现在的状况,这个时候微信的数据库处于一个还未初始化,但是即将初始化的状态,我们可以在堆栈或者堆栈附近的地址找到关于数据库初始化相关的函数。然后在微信初始化完数据库之后单步往下跟。这样能省去很多麻烦

直接找到第四个返回地址

这个函数传入了三个参数,虽然三个参数都没有什么价值。但是这个call稍微往下拉,你会发现一个字符串

这个函数的作用应该就是用来提示错误的,一般比较大的工程都会将错误提示信息写成一个函数,报错的时候会提示哪一个模块的哪一个cpp的哪一行出错了,以便最快定位到错误点。

再往上看会发现一个je,用来跳过这个错误

根据这个错误提示的内容,我们现在可以百分百的确定打开数据库的操作已经完成!

因为微信的数据库文件不止一个,所以我们不需要重启微信。直接在这个函数下断点,然后取消剩下的所有断点,按F9运行,程序断下。然后F8单步,

这里是我们遇见的第一个函数,看参数就知道不是我们想要的了,跳过 继续往下

第二个函数将数据库名和一个保存零的指针入栈,也跳过

第三个函数就很可疑了,这个call将三个参数压入堆栈,其中eax是一个结构体,里面保存一个地址和0x20这个数字,AES的密钥正好是32位的,也就是十六进制的0x20。

数据窗口跟随,前两行0x20个字节就是数据库的密钥了

各个参数含义如下:

工程需要包含OpenSSL的相关文件

这份代码原作者是谁我已经不记得了 反正被拷来拷去拷了很多次了

运行程序

最后生成的dec_ChatMsg.db就是解密出来的文件,对比一下解密前后的文件

解密前

解密后 看到这个MAGIC头,不用验证我就知道已经解密成功了。接下来还是验证一下结果

用Navicat新建一个SQLite连接,

选择解密后的数据库

可以看到所有的表数据已经出现了。解密完成

找到了密钥之后就结束了吗?这个密钥目前是写死的,如果变化的话,我们又要重新找,然后再次输入。所以我们需要动态获取到数据库密钥。想要动态获取数据库密钥,就必须定位到数据库密钥的基址。步骤如下:

直接在CE中搜索之前找到的密钥

接着依次搜索这两个地址,找到了一个绿色的基址

这个基址以指针的形式保存了微信数据库的密钥,这个地址就是我们要的微信密钥的基址了。

动态获取数据库密钥的代码如下:

在拿到数据库密码之后,我们还需要对数据库文件进行解密,解密完成之后才能查询数据库。那么有没有更好的方法可以不需要获取密码也不需要解密数据库文件就能直接进行数据库的查询操作呢?当然是有的,就是通过微信的数据库句柄!

微信的数据库句柄在一些地方会经常用到,比如查询好友的详细信息的时候,需要传入一个数据库的句柄。然后通过句柄去查询信息,最后返回好友详细信息。

如果我们直接拿到密码,然后对数据库进行解密,再查询好友信息,这种方法当然也是可以的。但是拿到的数据并不是实时的。

如果我们拿到这个数据库的句柄,就能实时的去查询好友的详细信息了,而且也不需要进行解密和获取数据库密码的操作了。

找微信数据库句柄的思路和找数据库密码的思路是一样的,微信在点击登录的时候,肯定是要打开本地的数据库,然后获得一个句柄,所以我们可以通过在CreateFileW下断点,接着单步跟踪,就能找到数据库的句柄

在CreateFileW下断,当微信读取数据库文件时让程序断下。

接着来到CreateFileW的返回地址处,点击K查看调用堆栈

经过排查,这个地址的call最像我们需要的找的call,在这个call的地址下断,点击F9运行

程序断下,此时ecx指向数据库文件的路径

edx指向一个空的缓冲区,那么这个就非常像我们要找的call

单步步过这个call,发现缓冲区里写入了一个地址,那么就可以确定这个就是我们要找的call,只要我们HOOK这个地址,那么就能拿到所有的数据库文件的句柄了。而数据库的名称就在堆栈里,可以自己去找到偏移然后获取数据。

至于代码,等我研究下怎么调用SQlite再告诉你们,最后附上用代码解密数据库的工程。

目前微信机器人的成品已经发布,需要代码请移步Github。还请亲们帮忙点个star
https://github.com/TonyChen56/WeChatRobot

 

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-7-27 10:30 被鬼手56编辑 ,原因:
收藏
免费 8
支持
分享
打赏 + 10.00雪花
打赏次数 1 雪花 + 10.00
 
赞赏  mb_ovrzbwwl   +10.00 2019/08/03 需要有事跟你谈谈,有时间加下Q7620971!!!
最新回复 (20)
雪    币: 240
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
PCwx可以加陌生人好友么
怎么联系你
2019-7-20 18:37
0
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
@腾讯安全中心 周末加班
2019-7-20 18:39
0
雪    币: 9698
活跃值: (2506)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
从入门到学会,不学都不行。
2019-7-20 21:58
0
雪    币: 3623
活跃值: (656)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
5

最后于 2019-9-13 17:19 被mb_ldtiaylu编辑 ,原因:
2019-7-20 23:58
0
雪    币: 3623
活跃值: (656)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
6
 
最后于 2019-9-13 17:19 被mb_ldtiaylu编辑 ,原因:
2019-7-21 00:01
0
雪    币: 21580
活跃值: (5619)
能力值: ( LV12,RANK:460 )
在线值:
发帖
回帖
粉丝
7
mb_ldtiaylu sprintf_s(decFile, "dec_%s", dbfilename); 这个地方就没人能写对吗?这样丢一个全路径进去打开不出错?
对不起 我太垃圾 要没Bug的 自己写 
2019-7-21 10:44
0
雪    币: 357
活跃值: (3448)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
8
我是来问墙纸的
2019-7-21 13:46
0
雪    币: 3623
活跃值: (656)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
9
 
最后于 2019-9-13 17:20 被mb_ldtiaylu编辑 ,原因:
2019-7-21 21:05
0
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
有偿学习,怎么联系你?我Q745151000
2019-10-2 13:47
0
雪    币: 9639
活跃值: (4733)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
学习学习
最后于 2019-10-2 13:54 被zwjiang编辑 ,原因: 发错位置了
2019-10-2 13:53
0
雪    币: 2359
活跃值: (288)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
xuexi xuexi
2019-10-3 08:16
0
雪    币: 497
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
学习,厉害了我大佬
2019-10-3 10:43
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
15
你怎么知道这个数据库是aes加密的
2019-10-4 15:58
0
雪    币: 3
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
hook key->decrypt(key) 没什么技术含量的东西
2019-10-5 08:04
0
雪    币: 328
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
为什么可以确定是那个call,根据什么特点来的,可以指导下吗,大佬
2019-11-2 17:13
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
19
请问,Android手机企业微信的数据库秘钥怎么去获取?
2020-9-22 10:21
0
雪    币: 98
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
有谁研究过bak_0_text文件数据的加密密码?据称,也是AES加密方式
2021-8-6 10:24
0
雪    币: 98
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
看来没什么人关心WX在PC上的备份文件,经指点,bak_0_text确实是aes加密
2021-9-3 15:34
0
游客
登录 | 注册 方可回帖
返回
//