-
-
[原创]在微信4.10如何配合claude 4.8找出微信sqlite key
-
-
[原创]在微信4.10如何配合claude 4.8找出微信sqlite key
完整的 frida-trace 命令写在 https://github.com/yincongcyincong/wechat_chatter 这里了,需要的可以去翻。
先说背景。我一直在用一些开源库获取微信的 SQLCipher 的密钥。这东西从微信 4.1.10 开始就变了,以前那套在内存里扫 x'...' 十六进制字面量的老办法彻底失效——我自己写脚本扫过,五百多万个候选 key 全军覆没,一个都对不上。所以只能上逆向。
这个是我成功的截图哈:

第一步是用 IDA Pro 加载微信的二进制。这里有个大坑一定要提醒你:微信 app 包里有两个同名的 wechat.dylib,一个在 /Applications/WeChat.app/Contents/Resources/wechat.dylib,另一个在 /Applications/WeChat.app/Contents/Frameworks/wechat.dylib。千万别搞错,要加载的是 Resources 那个。这俩文件的 sha 完全不一样,Frameworks 里那个只有 16KB,是个空壳,真正带 SQLCipher 代码的是 Resources 里那个,一百多兆,里面能搜到三十来处 SQLite 的特征字符串。当时我就是靠 strings 扫了一遍,发现只有 Resources 版有 SQLite 相关的东西,才确认对象没找错。
加载完之后我挂上了 IDA Pro 的 MCP,这样就能让 Claude 直接读反编译、查交叉引用、跟调用链,不用我一个函数一个函数手点。
然后我就让 Claude 帮我找加密相关的东西。这一步花了非常久。Claude 顺着 cipher、pragma、AES 那些线索,定位了好几个函数,什么 pragma 分发器、key handler、hexkey handler、还有 OpenSSL 的 hexstr2buf 和 AES setkey 之类的。看着都挺像那么回事。
[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!
最后于 2天前
被yin0822编辑
,原因: