微信聊天记录分析

解密聊天记录数据库

2017年2月12日更新：微信6.5.*可能已经更改读取方式，具体还没了解。

微信6.2.5使用sqlcipher进行AES加密，因此我们要得到密钥，根据编译的信息，可以得知微信使用 key=md5(IMEI+uin) | cut -c -7 , 即取md5的前7位做为密钥。解密微信聊天数据库就是简单的一行代码，（注意sqlcipher新版本（3.x）默认不向下兼容，需要使用，cipher_use_hmac 是兼容1.1.x，kdf_iter 是兼容2.1.x的）。

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_use_hmac = off; PRAGMA kdf_iter = 4000; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

或者

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_migrate; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_use_hmac = off; PRAGMA kdf_iter = 4000; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

或者

sqlcipher EnMicroMsg.db 'PRAGMA key = "key"; PRAGMA cipher_migrate; ATTACH DATABASE "decrypted_database.db" AS decrypted_database KEY "";SELECT sqlcipher_export("decrypted_database");DETACH DATABASE decrypted_database;'

IMEI很容易获取，uin在shared_prefs/多个文件中存在，如com.tencent.mm_preferences.xml，auth_info_key_prefs.xml， system_config_prefs.xml。理论上是在system_config_prefs.xml文件中的default_uin，注意有可能是负的，之前我没有意识到这个问题，导致一直解码不成功，直到看了这个博客。ps. 负数是因为溢出 int32(2639833126) = -1655134170 。

解密曾经登录过的帐号（多个用户的微信）

网上的解密聊天记录都是以登录帐号为基础的，直到我阴差阳错发现这个牛逼的微信聊天记录导出应用。重点不是在他能导出，而是他能导出之前登录过的帐号的聊天记录。仔细的思考一下，一旦有过登录，微信就会生成一个32位长的用户文件目录如 da60995c77c8cd8b47f69cc38e7a52cc ，一看就知道是个md5的hash。根据测试，在不同的机子上这个文件夹名是不变的，也就是说只跟微信ID（wx_user_name, uin…）有关，所以是跟微信哪个id是一一映射的？感觉还是跟uin有关。

分析那个应用的包网络通信，发现他跟服务器通信只用了文件目录名如 da60995c77c8cd8b47f69cc38e7a52cc ，所以可以肯定能够通过目录名逆推uin。我尝试了不同的组合 wx_uin,wechat_uin... ，都不对。看来只能反编译。

反编译

直觉上来说，反编译微信的难度太大。还是反编译那个聊天记录导出应用好了。写应用的那哥们还是比较专业的，都做了加密和混淆，而且貌似是手动的，导致里面的字符串都难以识别。经过努力，还是破解了那哥们的加密方式，看得懂应用源码中的字符串就事半功倍，不到1小时就发现原来

da60995c77c8cd8b47f69cc38e7a52cc = md5(mm + uin) = md5(mm-1655134170)

1	da60995c77c8cd8b47f69cc38e7a52cc = md5(mm + uin) = md5(mm-1655134170)

TM就是前面加了”mm”。注意 uin=-1655134170 是负的。。至此，就能够逆推uin，也就是说你手机丢了，别人还是能够破解你的微信聊天记录，因为uin是int啊，找md5不要太快！所以多用户的微信当某一用户退出后能通过这种方法破解得到uin，然后破解聊天记录文件。爽歪歪。。

聊天记录整理

这方面已经很人做了，比如github上的wechat-dump，效果还是可以的，稍微有点问题，~~日后再改~~。

日后改了一些东西，最重要的是微信的头像文件不再单一保存，而是用 avatar.index 来索引，保存在一个大文件中avatar.block.0000x。经测试，可以得知用户头像以avatar.index中的数值为起始位置，找到avatar.block.0000x相应连续的96×96×3×4个连续字节就算用户头像的bitmap（png.bm）。具体见代码：

    def read_bm_block(self, pos):
        hex_pos = hex(pos)
        fname = os.path.join(self.avt_dir, 
                'avatar.block.0000' + hex_pos[2])
        f = open(fname, 'rb')
        start_pos = pos - 2 ** 34
        f.seek(start_pos+30)
        while f.read(1) != b"\x00":
            continue

        size = (96, 96, 3)
        img = np.zeros(size, dtype='uint8')
        for i in range(96):
            for j in range(96):
                r, g, b, a = map(ord, f.read(4))
                img[i,j] = (r, g, b)
        return img

def read_bm_block(self, pos):

hex_pos = hex(pos)

fname = os.path.join(self.avt_dir,

'avatar.block.0000' + hex_pos[2])

f = open(fname, 'rb')

start_pos = pos - 2 ** 34

f.seek(start_pos+30)

while f.read(1) != b"\x00":

continue

size = (96, 96, 3)

img = np.zeros(size, dtype='uint8')

for i in range(96):

for j in range(96):

r, g, b, a = map(ord, f.read(4))

img[i,j] = (r, g, b)

return img

国庆期间，别人在玩，我在写代码。这波不亏

微信聊天记录分析

解密聊天记录数据库

解密曾经登录过的帐号（多个用户的微信）

反编译

聊天记录整理

参考

近期文章

近期评论

分类目录