每一个聊天工具账号登入后会在“ \Document\Tencent Files\账号” 的目录下Msg3.0.db 文件里写入加密后的聊天记录信息。

查看该工具的Bin目录下的Dll文件可以知道它用的是sqlite的数据库，sqlite默认是没有实现加密的函数只是提供了接口，网络上有一些开源的加密库比如wxsqlite3，sqlcipher等。

先再IDA中分析sqlite.dll，查找含有version字符串的函数然后交叉引用，找到上一个函数就可以发现当前程序使用的sqlite的版本号,可以从网上Down下来源码方便进一步分析，下载链接在文末。

sqlite的加解密简易流程

在sqlite.dll里对这些函数下断点动态调试发现没有断下来，结合网络上前辈的分析，IDA中打开KernelUtil.Dll函数名字都很类似，猜测这个Dll就是tx自己对sqlite的具体实现。

我们可以先在CMultiSQLite3DB::innerOpen等open函数下断点，并打开火绒剑对文件操作进行监控。具体下断点的方法就是附加进程然后在模块里找到KernelUtil.Dll，在IDA找到要下断点的函数的偏移，[KernelUtil.Dll + 偏移]就是要下断点的位置。

然后观察堆栈传递的参数结合火绒剑和x96dbg单步步过，就可以找到是哪个函数真正打开db文件。

结合sqlite源码和IDA分析可以还原参数和函数名。

在innerOpen这个函数中我们可以看到CppSQLite3DB::execDML这个函数，我们可以大胆猜测它是封装了sqlite3_exec，结合源码进行重命名。sqlite3_exec的第三参数和第四个参数是回调函数，主要的作用是接收sql语句执行的结果，这个在后续编写Demo有用到，具体用法在文末的链接可以参考。

sqlite3_key的具体实现函数我们可以在IDA中观察CppSQLite3DB::key这个函数并结合sqlite3的源码可以推测真实设置key的函数，不妨在此处下断点，后续抓取Key时有大作用。

至此我们获得了后续抓取解密Key所需要的几个函数地址，在x96dbg的对应偏移位置下上断点。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课