wechat decipher macos
1.0.0
이 프로젝트는 세 개의 디렉토리로 그룹화됩니다.
macos/ 디렉터리에는 macOS에서 WeChat.app을 조작하기 위한 DTrace 스크립트가 들어 있습니다.eavesdropper.d 대화 내용을 실시간으로 인쇄합니다. 실시간으로 데이터베이스 트랜잭션을 효과적으로 보여줍니다.dbcracker.d 암호화된 SQLite3 데이터베이스의 위치와 해당 자격 증명을 보여줍니다. WeChat.app이 이러한 파일을 열 때만 비밀을 캡처할 수 있으므로 스크립트가 실행되는 동안 로그인을 수행해야 합니다. 스크립트 출력을 복사하여 붙여넣기만 하면 SQLCipher를 호출하고 해당 PRAGMA 를 제공할 수 있습니다.pcbakchat/ 에서 WeChat의 백업 파일을 구문 분석하는 스크립트를 찾을 수 있습니다.gather.d 백업의 암호를 해독하는 데 필요한 여러 정보를 수집합니다.devel/ 상주합니다. 이는 해커만을 위한 것이며 이 프로젝트의 최종 사용자는 이를 사용할 것으로 예상되지 않습니다.xlogger.d /Users/$USER/Library/Containers/com.tencent.xinWeChat/Data/Library/Caches/com.tencent.xinWeChat/2.0b4.0.9/log/*.xlog 로 이동하는 로그 메시지를 인쇄합니다. 전역 변수 gs_level 덮어쓰도록 이 스크립트를 파괴적으로 만들었습니다.protobuf_config.py protobuf-inspector의 백업 파일에서 사용되는 protobuf 형식을 설명합니다.__handlers__/ 에는 frida-trace 와 함께 사용할 일부 핸들러가 포함되어 있습니다.init.js frida-trace 에 대한 도우미 함수가 포함되어 있습니다. dtrace(1) macOS에 사전 설치되어 있으므로 스크립트를 실행하는 데 종속성이 필요하지 않습니다. 그러나 아직 SIP를 비활성화하지 않은 경우 SIP를 비활성화해야 할 수도 있습니다. 또한 dbcracker.d 에서 발견한 데이터베이스를 검사하려면 SQLCipher가 필요합니다.
devel 의 일부 스크립트의 경우 Frida와 (가급적으로 탈옥된) iOS 장치도 필요합니다.
DTrace 스크립트의 경우 WeChat을 시작하고 실행하세요.
sudo $DECIPHER_SCRIPT -p $( pgrep -f ' ^/Applications/WeChat.app/Contents/MacOS/WeChat ' ) $DECIPHER_SCRIPT macos/dbcracker.d , macos/eavesdropper.d , pcbakchat/gather.d 또는 devel/xlogger.d 로 바꾸세요.
pcbakchat/ 에 있는 내용은 약간 복잡합니다. 자세한 내용은 usage.md 참조하세요.
바라건대 그렇지 않습니다. 대부분의 처리는 macOS 클라이언트에서 오프라인으로 수행되며 DTrace의 오버헤드는 무시할 수 있으므로 사용자를 잡을 가능성은 거의 없습니다.
이 스크립트의 제작에는 과도한 추측과 희망적인 생각이 포함되었지만 적어도 내 컴퓨터에서는 작동합니다 :)
Device Type: MacBookPro14,1
System Version: Version 10.14.6 (Build 18G8022)
System Language: en
WeChat Version: [2021-04-02 17:49:14] v3.0.1.16 (17837) #36bbf5f7d2
WeChat Language: en
Historic Version: [2021-03-29 20:23:50] v3.0.0.16 (17816) #2a4801bee9
Network Status: Reachable via WiFi or Ethernet
Display: *(1440x900)/Retina
