wechat decipher macos

此項目分為三個目錄

• 目錄macos/包含 DTrace 腳本，用於在 macOS 上乾擾WeChat.app。
  • eavesdropper.d即時列印對話。它有效地動態顯示資料庫事務。
  • dbcracker.d顯示加密的 SQLite3 資料庫及其憑證的位置。由於它只能在微信打開這些文件時捕獲機密，因此您需要在腳本運行時執行登入。只需複製並貼上腳本輸出即可呼叫 SQLCipher 並提供對應的PRAGMA 。
• 在pcbakchat/中你可以找到解析微信備份檔的腳本。
  • gather.d收集解密備份所需的幾個資訊。
• 在devel/中駐留用於進一步逆向工程的實用程式。它們僅供駭客使用，預計該專案的最終用戶不會使用它們。
  • xlogger.d列印日誌訊息到/Users/$USER/Library/Containers/com.tencent.xinWeChat/Data/Library/Caches/com.tencent.xinWeChat/2.0b4.0.9/log/*.xlog 。我使這個腳本具有破壞性，以覆蓋全域變數gs_level 。
  • protobuf_config.py描述了 protobuf-inspector 的備份檔案所使用的 protobuf 格式。
  • __handlers__/包含一些與frida-trace一起使用的處理程序。
  • init.js包含frida-trace的輔助函數。

由於dtrace(1)已預先安裝在 macOS 上，因此執行腳本不需要任何依賴項。但是，如果您還沒有這樣做，您可能需要停用 SIP。此外，您還需要 SQLCipher 來檢查dbcracker.d發現的資料庫。

對於devel中的某些腳本，您還需要 Frida 和（最好是越獄的）iOS 設備。

對於 DTrace 腳本，啟動微信並執行

sudo $DECIPHER_SCRIPT -p $( pgrep -f ' ^/Applications/WeChat.app/Contents/MacOS/WeChat ' )

將$DECIPHER_SCRIPT替換為macos/dbcracker.d 、 macos/eavesdropper.d 、 pcbakchat/gather.d或devel/xlogger.d 。

pcbakchat/裡面的東西有點複雜。有關更多詳細信息，請參閱usage.md

但願不會。大多數處理都是在 macOS 用戶端上離線完成的，DTrace 的開銷應該可以忽略不計，因此他們抓住你的機會很小。

這些腳本的製作涉及過多的猜測和一廂情願的想法，但至少它可以在我的機器上運行:)

 Device Type: MacBookPro14,1
System Version: Version 10.14.6 (Build 18G8022)
System Language: en
WeChat Version: [2021-04-02 17:49:14] v3.0.1.16 (17837) #36bbf5f7d2
WeChat Language: en
Historic Version: [2021-03-29 20:23:50] v3.0.0.16 (17816) #2a4801bee9
Network Status: Reachable via WiFi or Ethernet
Display: *(1440x900)/Retina