工具介绍

代码仓库：271K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1j5H3P5r3I4S2L8X3g2Q4x3V1k6%4k6h3y4Z5j5i4c8Q4x3X3c8V1N6h3#2H3i4K6u0V1M7Y4x3`.

微信4.0的数据库解密已在工具中实现，寻找方式依然是暴力搜索。

工具支持：

• 导出已登录微信进程的 db key
• 通过指定 key 离线解密微信数据库文件
• 将 db key 转为 sqlcipher 原始密钥

具体使用方式参考 README.md。

库表结构

4.0.0.26

微信4.0分析记录

要定位 key 的位置之前肯定先要找到真实的 key ，下面简单记录一下寻找过程。使用微信版本 4.0.0.26 进行分析。

数据文档存储位置发生变化：C:\Users\xxx\Documents\xwechat_files\wxid_xxxxx\db_storage，且不可修改。

进程名从 Wechat.exe 变化为 Weixin.exe，关键 DLL 从 WeChatWin.dll 变化为 Weixin.dll，微信将很多库静态编译成这1个文件所以很大，IDA打开都要解析很久才行。

先说一下取巧的简单办法，根据之前版本微信找 key 经验，可以使用 CE 在内存中搜索 SetDBKey 就可以定位到一个日志打印的位置，这个位置所在的函数就是 SetDBKey 函数，第二个参数就是 key 指针。（ps：可以观察一下指针周围有什么可以用于定位的特征）

下面说复杂方法，因为微信使用的是 WCDB，WCDB 算是 sqlcipher 和 sqlite 定制，所以根据 c7fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6f1k6h3&6U0k6h3&6@1i4K6u0r3N6$3y4V1j5W2)9J5c8Y4N6A6K9$3W2Q4x3V1k6o6i4K6u0n7i4K6u0n7i4K6u0V1i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1#2i4@1q4r3i4K6R3$3i4@1f1@1i4@1t1^5i4K6S2q4i4@1f1&6i4K6R3#2i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4 可知微信内部应该需要调用 setCipherKey 进行加密配置，所以如果能定位到这个函数就可以找到 key。

直接定位这个函数尝试了下并不好找，另外Weixin.dll里的一些代码还是混淆的，但还是要往简单了想，继续找特征字符串定位一些关键函数，通过看源码找 setCipherKey 调用的函数，一层层向下找一直找到一个能定位的位置然后倒推回来。如果实在没办法定位它，就尝试定位它附近的函数，一般编译后也都在一起。

大致思路是这样。实际过程中，我先去找 sqlite3_exec 去了，想看一下微信执行的 sql 语句，

按上面思路对 sqlite3_exec 定位，内部没有明显字符串，比较幸运的是函数开头调用的 sqlite3SafetyCheckOk 里面有个字符串 "unopened" 在内存中直接定位到了有且仅有一个的位置 Weixin.dll+410BDCB，该位置必然是 sqlite3SafetyCheckOk：

转到 IDA 中找所有交叉引用，只有 52 个，可以挨个看过去：

在里面找到最像 sqlite3_exec 的：

然后对照源码将 sqlite3_exec 调用的函数一一定位，还可以找到几个比较关键的函数：

• sqlite3_prepare_v2
• sqlite3_column_count
• sqlite3_column_name
• sqlite3_column_text

然后找到这几个又能找出一片，不一一列举了。

现在在 windbg 里对 sqlite3_exec 下断点，监控后发现和想象中的不一样，只有一两个固定的语句经过 sqlite3_exec 执行：

所以微信并不直接通过 sqlite3_exec 执行 sql，此时对 sqlite3_prepare_v2 下断比较有用，基本执行的所有语句都会经过这个函数：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课