今天就跟大家聊聊有關(guān)Windows和MacOS下如何進(jìn)行微信取證，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供七星企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、H5頁(yè)面制作、小程序制作等業(yè)務(wù)。10年已為七星眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。

即將對(duì)Windows 和MacOS 下微信取證進(jìn)行演示。    

準(zhǔn)備工作    

微信版本：2.6.x

工具：吾愛(ài)破解專(zhuān)版OD

Windows下微信取證

1.獲取微信聊天記錄數(shù)據(jù)庫(kù)文件

我的路徑在：

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

2.從內(nèi)存中讀取密鑰

 a、打開(kāi)OD然后打開(kāi)微信，使用OD附加微信登陸進(jìn)程

 b、點(diǎn)擊文件菜單，選擇“附加”，彈出的對(duì)話框找到名稱(chēng)為Wechat的進(jìn)程，窗口名稱(chēng)為“登陸”，然后點(diǎn)擊附加

c、選擇查看-可執(zhí)行模塊

d、找到名稱(chēng)為Wechatwin.dll,雙擊選中

 e、在插件中選擇中文搜索引擎-搜索ASCII

f、窗口右鍵 選擇 Find，在搜索框中輸入“DBFactory::encryptDB”

g、雙擊

 h、到test edx edx 設(shè)置斷點(diǎn)

i、切換到微信登錄頁(yè)面，點(diǎn)擊登錄，然后到手機(jī)端確認(rèn)登錄。

這是OllyDbg界面中的數(shù)據(jù)不斷滾動(dòng)，直到EDX不再為全0并且各個(gè)窗口內(nèi)容停止?jié)L動(dòng)為止。

j、在EDX的值上面點(diǎn)擊鼠標(biāo)右鍵，在彈出的菜單里面選擇“數(shù)據(jù)窗口中跟隨”，則數(shù)據(jù)窗口中顯示的就是EDX的內(nèi)容。

其中xxxx位置為需要解密的微信id，目錄內(nèi)容如下

k、如果要解密ChatMsg.db，則在命令行窗口輸入指令

dewechat        ChatMsg.db

回車(chē)即可

解密成功后，會(huì)在目錄中生成de_ChatMsg.db，用sqlite數(shù)據(jù)庫(kù)管理軟件打開(kāi)即可。

除了Windows，MacOS下也可以操作。

MacOS下微信取證                        

1、找到微信數(shù)據(jù)庫(kù)文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

2.從內(nèi)存中讀取密鑰

a、打開(kāi)Mac版微信

b、打開(kāi)終端數(shù)據(jù)：lldb -p $(pgrep WeChat)

進(jìn)入lldb的子shell界面

c、輸入br set -n sqlite_key和c

d、登陸微信，會(huì)卡在正在登陸的界面

e、然后在終端輸入：memory read --size 1 --format x --count 32 $rsi

這個(gè)就是64位的字符串的密鑰

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.讀取數(shù)據(jù)

使用DB Browser for SQLite MAC版進(jìn)行讀取即可。

看完上述內(nèi)容，你們對(duì)Windows和MacOS下如何進(jìn)行微信取證有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

網(wǎng)頁(yè)名稱(chēng)：Windows和MacOS下如何進(jìn)行微信取證
網(wǎng)站鏈接：http://www.chinadenli.net/article24/gecgje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、品牌網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航、建站公司、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)