Windows和MacOS下如何進行微信取證

今天就跟大家聊聊有關Windows和MacOS下如何進行微信取證，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

創新互聯是一家專業提供七星企業網站建設,專注與成都網站制作、成都網站設計、H5頁面制作、小程序制作等業務。10年已為七星眾多企業、政府機構等服務。創新互聯專業網站設計公司優惠進行中。

即將對Windows 和MacOS 下微信取證進行演示。    

準備工作    

微信版本：2.6.x

工具：吾愛破解專版OD

Windows下微信取證

1.獲取微信聊天記錄數據庫文件

我的路徑在：

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

2.從內存中讀取密鑰

 a、打開OD然后打開微信，使用OD附加微信登陸進程

 b、點擊文件菜單，選擇“附加”，彈出的對話框找到名稱為Wechat的進程，窗口名稱為“登陸”，然后點擊附加

c、選擇查看-可執行模塊

d、找到名稱為Wechatwin.dll,雙擊選中

 e、在插件中選擇中文搜索引擎-搜索ASCII

f、窗口右鍵 選擇 Find，在搜索框中輸入“DBFactory::encryptDB”

g、雙擊

 h、到test edx edx 設置斷點

i、切換到微信登錄頁面，點擊登錄，然后到手機端確認登錄。

這是OllyDbg界面中的數據不斷滾動，直到EDX不再為全0并且各個窗口內容停止滾動為止。

j、在EDX的值上面點擊鼠標右鍵，在彈出的菜單里面選擇“數據窗口中跟隨”，則數據窗口中顯示的就是EDX的內容。

其中xxxx位置為需要解密的微信id，目錄內容如下

k、如果要解密ChatMsg.db，則在命令行窗口輸入指令

dewechat        ChatMsg.db

回車即可

解密成功后，會在目錄中生成de_ChatMsg.db，用sqlite數據庫管理軟件打開即可。

除了Windows，MacOS下也可以操作。

MacOS下微信取證                        

1、找到微信數據庫文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message 

2.從內存中讀取密鑰

a、打開Mac版微信

b、打開終端數據：lldb -p $(pgrep WeChat)

進入lldb的子shell界面

c、輸入br set -n sqlite_key和c

d、登陸微信，會卡在正在登陸的界面

e、然后在終端輸入：memory read --size 1 --format x --count 32 $rsi

這個就是64位的字符串的密鑰

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.讀取數據

使用DB Browser for SQLite MAC版進行讀取即可。

看完上述內容，你們對Windows和MacOS下如何進行微信取證有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注創新互聯行業資訊頻道，感謝大家的支持。

網頁名稱：Windows和MacOS下如何進行微信取證
網站鏈接：http://m.kartarina.com/article24/gecgje.html

成都網站建設公司_創新互聯，為您提供云服務器、品牌網站制作、網站設計、網站導航、建站公司、ChatGPT

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯