wechat-dump-rs 简介
wechat-dump-rs 是一款专门针对微信 4.0 版本的聊天记录数据库解密工具。它能够从当前运行的微信进程中提取密钥(Key),并支持对数据库文件进行实时自动解密或离线解密。
技术原理与实现
通常情况下,解密所需的 Key 存储在运行中的微信进程内存里。由于不同版本的内存偏移量存在差异,传统的工具需要为每个版本维护一套偏移表,这导致工具在面对新版本更新时缺乏灵活性。
为了提高通用性,wechat-dump-rs 采用了 内存暴力搜索 方案。为了在保证效率的同时快速定位密钥,该工具通过以下逻辑缩小扫描范围:
- 锚点定位:由于微信登录设备类型(如 iphone、android)在内存中具有可预测性,工具先搜索设备类型字符串。
- 定向回溯:Key 通常位于设备类型标识的前方。
- 对齐扫描:基于 Key 与设备类型地址 16 字节对齐的特性,工具每次向前跳跃 16 字节进行检索,大幅提升了扫描速度。
注意事项
微信 4.0 重构后采用了 HMAC_SHA512 算法,其 Key 的检索方式与 v3 版本完全不同。在使用本工具解密时,请留意以下两点:
- 资源占用:工具在解密过程中使用了多线程加速,CPU 使用率可能会瞬间飙升至 100%(具体取决于 Key 距离起始查找点的远近)。
- 安全风险:此类内存操作行为具有一定风险,可能导致账号被封禁,请用户谨慎操作并自行承担后果。
资源下载与参考
下载渠道:
技术分析参考:
[原创] 微信 4.0 聊天记录数据库文件解密分析:看雪论坛
正文完
