[原创]微信 PC端数据库自动解密-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]微信 PC端数据库自动解密

发表于: 2021-7-22 15:43 31155

[原创]微信 PC端数据库自动解密

wx_御史神风

2021-7-22 15:43

31155

环境:

win10家庭中文版 10.0.19043 x64（本机）

微信 3.3.0.115

openssl-1.0.2r

PC密码为32字节。

手动流程参考看雪另一位dalao整理的文章，链接见最后的参考处。我主要是把整个过程实现了自动化，顺便复习了一下api hook。

打开微信（不点登录）。

打开Odb附加WeChat.exe。

查找->可执行模块->WeChatWin。

用插件找ASCII字符串（我打了中文搜索补丁，直接用中文搜索的搜索ASCII字符串）。

然后搜索字符串DBFactory::encryptDB，跳转到第一次出现该字符串的位置。这里旧版本可能是第二个字符串的位置。3.3版本我找到了两个，都跳转过去看看，其中一个push语句下面有一个TEST，另一个只有一个call就return了。要找的是有TEST那个。

该TEST语句就是比较密码的地方，双击设置断点。然后运行并登录。

停在断点时，选择edx在数据窗口中跟随。

然后把从edx开始的32字节的数据dump出来，该32字节的数据就是密码。

需要用到openssl，据说sqlcipher用的是最低版本的openssl。这里使用1.0.2u。

首先安装perl。（http://www.activestate.com/activeperl/downloads/）

然后运行 x86 Native Tools Command Prompt for VS 2019 这个shell。

激活perl环境

编译

检查

安装

奇怪的是最后还是安装到了E:\usr\local\ssl\这个目录下

这里分享vs2019解密的过程。

在项目的属性页 -> C/C++ -> 常规 -> 附加包含目录中添加openssl的include目录。

在项目的属性页 -> 链接器 -> 常规 -> 附加库目录中添加openssl的include目录。

在项目的属性页 -> 链接器 -> 输入 -> 附加依赖项中添加libeay32.lib和ssleay32.lib。

然后编译运行看雪文章中的代码。（链接见参考）

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-7-23 15:27 被wx_御史神风编辑，原因：修改错误，更新附件

#HOOK/注入 #工具脚本

上传的附件：

wxdb.zip （755.49kb，318次下载）

收藏・36

免费・8

支持

最新回复 (14)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼 nice 2021-7-26 10:31 0
grayxh 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	grayxh 3 楼 2021-7-28 07:56 0
wx_御史神风雪币： 5593 活跃值： (5023) 能力值： ( LV9，RANK：143 ) 在线值：发帖 16 回帖 28 粉丝 61 关注私信	wx_御史神风 1 4 楼 grayxh 这个问题似乎是由缺少pw.bin文件引起的，这个文件是注入的dll在微信根目录下创建的，然后二进制模式写入的32字节数据库密钥。你可以打开微信根目录看看是否有这个文件，如果有就是微信根目录路径填写错误，如果没有可能是注入的dll有问题。 2021-7-31 22:37 0
grayxh 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	grayxh 5 楼 wx_御史神风这个问题似乎是由缺少pw.bin文件引起的，这个文件是注入的dll在微信根目录下创建的，然后二进制模式写入的32字节数据库密钥。你可以打开微信根目录看看是否有这个文件，如果有就是微信根目录路径填写错误 ... 是的微信根目录没有pw.bin这个文件 2021-8-4 09:05 0
wx_御史神风雪币： 5593 活跃值： (5023) 能力值： ( LV9，RANK：143 ) 在线值：发帖 16 回帖 28 粉丝 61 关注私信	wx_御史神风 1 6 楼 grayxh 是的微信根目录没有pw.bin这个文件有可能是dll没注入到，另外微信更新了wechatwin.dll，这种方法已经不行了 2021-8-4 15:57 0
大有可为雪币： 2433 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	大有可为 7 楼微信3.3.5.54 已经搜不到DBFactory::encryptDB了 2021-8-10 16:47 0
mb_arvtfhrt 雪币： 21 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_arvtfhrt 8 楼现在还有其它办法可以查吗？ 2021-8-21 20:39 0
mb_arvtfhrt 雪币： 21 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_arvtfhrt 9 楼 wx_御史神风有可能是dll没注入到，另外微信更新了wechatwin.dll，这种方法已经不行了楼主，现在还有其他办法可以查吗？ 2021-8-21 20:40 0
lovehuai 雪币： 19 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	lovehuai 10 楼其实吧根本不用Hook，也不用注入。我最早时用的DLL劫持+Hook，后面被数字拦了之后就换了新的方法根本不需要dll 2021-8-30 11:01 0
恒河沙数雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	恒河沙数 11 楼大神，额，也不讲方法，就只说不需要hook，倒是给个好的方案出来呗 2021-12-22 18:17 0
jfztaq 雪币： 202 活跃值： (1250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 12 楼不错不错，在其他地方也看到过 2022-1-4 19:51 0
mb_dttyhgbp 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_dttyhgbp 13 楼大神，现在还能用不 2022-2-22 15:09 0
xiaoye2018 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	xiaoye2018 14 楼过期了吧 2023-12-2 16:55 0
mb_hmprxwqr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_hmprxwqr 15 楼大佬们好本人微信被骗，有没有大佬能帮助找回 1小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_御史神风

发帖

回帖

143

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼 nice 2021-7-26 10:31 0
grayxh 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	grayxh 3 楼 2021-7-28 07:56 0
wx_御史神风雪币： 5593 活跃值： (5023) 能力值： ( LV9，RANK：143 ) 在线值：发帖 16 回帖 28 粉丝 61 关注私信	wx_御史神风 1 4 楼 grayxh 这个问题似乎是由缺少pw.bin文件引起的，这个文件是注入的dll在微信根目录下创建的，然后二进制模式写入的32字节数据库密钥。你可以打开微信根目录看看是否有这个文件，如果有就是微信根目录路径填写错误，如果没有可能是注入的dll有问题。 2021-7-31 22:37 0
grayxh 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	grayxh 5 楼 wx_御史神风这个问题似乎是由缺少pw.bin文件引起的，这个文件是注入的dll在微信根目录下创建的，然后二进制模式写入的32字节数据库密钥。你可以打开微信根目录看看是否有这个文件，如果有就是微信根目录路径填写错误 ... 是的微信根目录没有pw.bin这个文件 2021-8-4 09:05 0
wx_御史神风雪币： 5593 活跃值： (5023) 能力值： ( LV9，RANK：143 ) 在线值：发帖 16 回帖 28 粉丝 61 关注私信	wx_御史神风 1 6 楼 grayxh 是的微信根目录没有pw.bin这个文件有可能是dll没注入到，另外微信更新了wechatwin.dll，这种方法已经不行了 2021-8-4 15:57 0
大有可为雪币： 2433 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	大有可为 7 楼微信3.3.5.54 已经搜不到DBFactory::encryptDB了 2021-8-10 16:47 0
mb_arvtfhrt 雪币： 21 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_arvtfhrt 8 楼现在还有其它办法可以查吗？ 2021-8-21 20:39 0
mb_arvtfhrt 雪币： 21 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_arvtfhrt 9 楼 wx_御史神风有可能是dll没注入到，另外微信更新了wechatwin.dll，这种方法已经不行了楼主，现在还有其他办法可以查吗？ 2021-8-21 20:40 0
lovehuai 雪币： 19 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	lovehuai 10 楼其实吧根本不用Hook，也不用注入。我最早时用的DLL劫持+Hook，后面被数字拦了之后就换了新的方法根本不需要dll 2021-8-30 11:01 0
恒河沙数雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	恒河沙数 11 楼大神，额，也不讲方法，就只说不需要hook，倒是给个好的方案出来呗 2021-12-22 18:17 0
jfztaq 雪币： 202 活跃值： (1250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 12 楼不错不错，在其他地方也看到过 2022-1-4 19:51 0
mb_dttyhgbp 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_dttyhgbp 13 楼大神，现在还能用不 2022-2-22 15:09 0
xiaoye2018 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	xiaoye2018 14 楼过期了吧 2023-12-2 16:55 0
mb_hmprxwqr 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_hmprxwqr 15 楼大佬们好本人微信被骗，有没有大佬能帮助找回 1小时前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]微信 PC端 数据库 自动解密

[原创]微信 PC端数据库自动解密