wechat decipher macos

Proyek ini dikelompokkan menjadi tiga direktori

• Direktori macos/ menyimpan skrip DTrace untuk mengotak-atik WeChat.app di macOS.
  • eavesdropper.d mencetak percakapan secara real-time. Ini secara efektif menunjukkan transaksi database dengan cepat.
  • dbcracker.d mengungkapkan lokasi database SQLite3 terenkripsi dan kredensialnya. Karena ia hanya dapat menangkap rahasia ketika WeChat.app membuka file-file ini, Anda perlu melakukan login saat skrip sedang berjalan. Cukup salin & tempel keluaran skrip untuk memanggil SQLCipher dan berikan PRAGMA masing-masing.
• Di pcbakchat/ Anda dapat menemukan skrip untuk mengurai file cadangan WeChat.
  • gather.d mengumpulkan beberapa informasi yang diperlukan untuk mendekripsi cadangan.
• Dalam devel/ berada utilitas untuk rekayasa balik lebih lanjut. Mereka ditujukan hanya untuk peretas, dan pengguna akhir proyek ini tidak diharapkan untuk menggunakannya.
  • xlogger.d mencetak pesan log yang masuk ke /Users/$USER/Library/Containers/com.tencent.xinWeChat/Data/Library/Caches/com.tencent.xinWeChat/2.0b4.0.9/log/*.xlog . Saya membuat skrip ini destruktif untuk menimpa variabel global gs_level .
  • protobuf_config.py menjelaskan format protobuf yang digunakan oleh file cadangan untuk protobuf-inspector.
  • __handlers__/ berisi beberapa penangan untuk digunakan dengan frida-trace .
  • init.js berisi fungsi pembantu untuk frida-trace .

Karena dtrace(1) sudah diinstal sebelumnya di macOS, tidak diperlukan dependensi untuk menjalankan skrip. Namun, Anda mungkin perlu menonaktifkan SIP jika Anda belum melakukannya. Selain itu, Anda memerlukan SQLCipher untuk memeriksa database yang ditemukan oleh dbcracker.d .

Untuk beberapa skrip di devel , Anda juga memerlukan Frida dan perangkat iOS (sebaiknya yang sudah di-jailbreak).

Untuk skrip DTrace, luncurkan WeChat dan jalankan

sudo $DECIPHER_SCRIPT -p $( pgrep -f ' ^/Applications/WeChat.app/Contents/MacOS/WeChat ' )

ganti $DECIPHER_SCRIPT dengan macos/dbcracker.d , macos/eavesdropper.d , pcbakchat/gather.d , atau devel/xlogger.d .

Hal-hal di pcbakchat/ sedikit terlibat. Lihat usage.md untuk lebih jelasnya.

Semoga tidak. Sebagian besar pemrosesan dilakukan secara offline di klien macOS, dan overhead DTrace seharusnya dapat diabaikan, sehingga kecil kemungkinannya mereka akan menangkap Anda.

Produksi skrip ini melibatkan terlalu banyak dugaan dan angan-angan, tapi setidaknya ini berhasil di mesin saya :)

 Device Type: MacBookPro14,1
System Version: Version 10.14.6 (Build 18G8022)
System Language: en
WeChat Version: [2021-04-02 17:49:14] v3.0.1.16 (17837) #36bbf5f7d2
WeChat Language: en
Historic Version: [2021-03-29 20:23:50] v3.0.0.16 (17816) #2a4801bee9
Network Status: Reachable via WiFi or Ethernet
Display: *(1440x900)/Retina