IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 大数据 -> PC微信逆向--离线解密数据库 -> 正文阅读

[大数据]PC微信逆向--离线解密数据库

写在前面

前面的几篇文章,已经找到sqlite3_exec函数并调用,也实现了数据库在线备份,本篇文章,尝试定位保存数据库密码的基址,并编写一个离线解密工具。

回顾

在开始之前,要先回顾一下之前得到的结果:
数据库初始化

785BE313    8D55 CC         lea     edx, dword ptr [ebp-34]
785BE316    52              push    edx
785BE317    8B08            mov     ecx, dword ptr [eax]
785BE319    8B06            mov     eax, dword ptr [esi]
785BE31B    8948 60         mov     dword ptr [eax+60], ecx
785BE31E    8B0E            mov     ecx, dword ptr [esi]
785BE320    8B01            mov     eax, dword ptr [ecx]
785BE322    FF50 4C         call    dword ptr [eax+4C]               ; 单个数据库初始化

call dword ptr [eax+4C]这条指令会初始化数据库,数据库句柄是在其内部获取到的,里面应该有调用sqlite3_open,往里面追的话,可以找到一个更具体的位置:

7882067F    57              push    edi
78820680    8D46 78         lea     eax, dword ptr [esi+78]
78820683    B9 D8DD387A     mov     ecx, 7A38DDD8                    
78820688    50              push    eax                              ; 数据库名
78820689    E8 A2BBF9FF     call    787BC230                         ; 获取数据库句柄
7882068E    8946 64         mov     dword ptr [esi+64], eax          ; 数据库句柄存储在eax中

再看一下sqlite3_open函数:
sqlite3_open原型

/*
** Open a new database handle.
*/
SQLITE_API int sqlite3_open(
  const char *zFilename, 
  sqlite3 **ppDb 
){
  return openDatabase(zFilename, ppDb,
                      SQLITE_OPEN_READWRITE | SQLITE_OPEN_CREATE, 0);
}

sqlite3_open汇编

794DACD0    55              push    ebp
794DACD1    8BEC            mov     ebp, esp
794DACD3    8B55 0C         mov     edx, dword ptr [ebp+C]
794DACD6    8B4D 08         mov     ecx, dword ptr [ebp+8]
794DACD9    6A 00           push    0
794DACDB    6A 06           push    6
794DACDD    E8 4EF7FFFF     call    794DA430                         ; openDataBase
794DACE2    83C4 08         add     esp, 8
794DACE5    5D              pop     ebp
794DACE6    C3              retn

获取句柄的动作是在openDataBase这个函数中完成的。

定位

切入点

计划的切入点是call 787BC230这条指令和sqlite3_open函数,在微信中的基址分别为:WeChatWin.dll + 0x6D0689WeChatWin.dll + 0x138ACD0

断点调试

首先用OD启动微信,暂时不要登录,在上述两处地址下断,然后正常登录即可,会在WeChatWin.dll + 0x6D0689处断下,参数如下:

06F78920  06F359C0  UNICODE "xInfo.db"
06F78924  00000008
06F78928  00000008
06F7892C  00000000
06F78930  00000000
06F78934  06C0A6C8  UNICODE "wxid_xxxxxxInfo"
06F78938  00000017
06F7893C  00000017
06F78940  00000000
06F78944  00000000

这里引用的是句柄结构体+0x78处的地址。另外一个参数是NULL指针,不知道有什么用。

点击运行,如果提示你已退出微信,就重新来过吧,注意不要停滞太久。

按预期,点击运行以后应该会断在sqlite3_open,也就是WeChatWin.dll + 0x138ACD0处,然而并没有,而是断在了WeChatWin.dll + 0x6D0689,直接去初始化下一个库(表)了。

看来并不是调用sqlite3_open打开的数据库,那试试openDatabase,下断位置:WeChatWin.dll + 0x138A430

6308A430    55              push    ebp                              ; openDataBase
6308A431    8BEC            mov     ebp, esp
6308A433    83E4 F8         and     esp, FFFFFFF8
6308A436    83EC 1C         sub     esp, 1C
6308A439    53              push    ebx
6308A43A    33C0            xor     eax, eax
6308A43C    895424 10       mov     dword ptr [esp+10], edx
6308A440    56              push    esi
...

下断后重启微信,点击登录,断下后点击运行,成功断在openDataBase

堆栈窗口里有0和6两个参数,还有两个参数在寄存器中,ecx是数据库绝对路径,edx是保存数据库句柄的指针,目前还是0:

保留数据窗口,按Ctrl + F9执行到返回,发现获取到了数据库句柄:

按照正常的思路,就可以对该地址下一个内存写入断点,分析下句柄怎么来的,以及哪里引用了数据库密码,可是不得不告诉大家,这项工作可能费时且得不到结果。
前面吟唱那么久,只是给想继续深入研究的读者提供点思路。接下来提供本文的结论,定位过程取了巧,一段时间后位置就不再适用了。

结论

一开始找到的资料里,有一个比较重要的结论,PC端数据库密码长度是32个字节,换算到16进制是0x20,openDataBase这个位置,数据库密码已经生成了,就在堆栈里,当然,是作为指针保存的,没有那么明显。更为明显的地方在WeChatWin.dll + 0x6D0689处:

ebx这个寄存器,查看一下数据:

单独看没什么特别的,但是可以再看看0x053E9440处的数据:

这里的数据就很有说法了,053F6818处是数据库密码,下面的0x20是长度,02D6DFB0保存着0x5B(十进制91)大小的信息,作用是校验MD5(可以看看xinfo.db这个数据库,这个数据库没有加密,但是俺也不清楚怎么解析这91个字节信息),打码的地方是自己的wxid。
看看数据库密码:

选中的32个字节就是,为了找到一个基址,在CE中搜索字节数组:

053F6818这个地址就不要了,以4字节搜索另外一个地址:

6488EFE4 == WeChatWin.dll + 0x222EFE4,OD中看一下:

另外,如果你研究过登录标志位,会发现上图中选中的那个地址是多么的熟悉!
数据库密码定位到这里就结束了,思路可以作为参考,拿来当教程实在不合适,如果哪天那个地方没有数据库密码了,也是很正常的事情。

离线解密工具

仍然是那份拷来拷去的代码,但是看着网上的那些教程还是很头疼啊,只贴代码不讲如何配置环境,本文就把这个坑填上。

配置环境

第一篇文章中,预先让大家下载了别人编译好的OpenSSL安装版,安装后,在你的安装路径下,就有include和lib两个文件夹:

新建一个VS空项目,添加附加包含目录:

添加附加库目录:

添加附加依赖项:

项目配置完毕。

代码

代码如下,注意将数据库密码修改成你自己的,或者从微信内存中读取,这块逻辑我就不写了。

using namespace std;
#include <Windows.h>
#include <iostream>
#include <openssl/rand.h>
#include <openssl/evp.h>
#include <openssl/aes.h>
#include <openssl/hmac.h>
#pragma warning(disable:6385)

#undef _UNICODE
#define SQLITE_FILE_HEADER "SQLite format 3" 
#define IV_SIZE 16   //16或者改成 0x30
#define HMAC_SHA1_SIZE 20
#define KEY_SIZE 32

#define SL3SIGNLEN 20

#ifndef ANDROID_WECHAT
#define DEFAULT_PAGESIZE 4096       //4048数据 + 16IV + 20 HMAC + 12
#define DEFAULT_ITER 64000
#else
#define NO_USE_HMAC_SHA1
#define DEFAULT_PAGESIZE 1024
#define DEFAULT_ITER 4000
#endif
// 数据库密码,替换成你自己的,一共32位,我省略了一些
unsigned char pass[] = { 173,240,179,128,199 };
char dbfilename[50];
int Decryptdb();

int main(int argc, char* argv[])
{
    if (argc >= 2)    //第二个参数argv[1]是文件名
        strcpy_s(dbfilename, argv[1]);  //复制    
           //没有提供文件名,则提示用户输入
    else {
        cout << "请输入文件名:" << endl;
        cin >> dbfilename;
    }
    Decryptdb();
    return 0;
}

int Decryptdb()
{
    FILE* fpdb;
    fopen_s(&fpdb, dbfilename, "rb+");
    if (!fpdb)
    {
        printf("打开文件出错!程序已退出!");
        return 0;
    }
    fseek(fpdb, 0, SEEK_END);
    long nFileSize = ftell(fpdb);
    fseek(fpdb, 0, SEEK_SET);
    unsigned char* pDbBuffer = new unsigned char[nFileSize];
    cout << nFileSize << endl;
    fread(pDbBuffer, 1, nFileSize, fpdb);
    fclose(fpdb);

    unsigned char salt[16] = { 0 };
    memcpy(salt, pDbBuffer, 16);

#ifndef NO_USE_HMAC_SHA1
    unsigned char mac_salt[16] = { 0 };
    memcpy(mac_salt, salt, 16);
    for (int i = 0; i < sizeof(salt); i++)
    {
        mac_salt[i] ^= 0x3a;
    }
#endif

    int reserve = IV_SIZE;      //校验码长度,PC端每4096字节有48字节
#ifndef NO_USE_HMAC_SHA1
    reserve += HMAC_SHA1_SIZE;
#endif
    reserve = ((reserve % AES_BLOCK_SIZE) == 0) ? reserve : ((reserve / AES_BLOCK_SIZE) + 1) * AES_BLOCK_SIZE;

    unsigned char key[KEY_SIZE] = { 0 };
    unsigned char mac_key[KEY_SIZE] = { 0 };

    OpenSSL_add_all_algorithms();
    PKCS5_PBKDF2_HMAC_SHA1((const char*)pass, sizeof(pass), salt, sizeof(salt), DEFAULT_ITER, sizeof(key), key);
#ifndef NO_USE_HMAC_SHA1
    PKCS5_PBKDF2_HMAC_SHA1((const char*)key, sizeof(key), mac_salt, sizeof(mac_salt), 2, sizeof(mac_key), mac_key);
#endif

    unsigned char* pTemp = pDbBuffer;
    unsigned char pDecryptPerPageBuffer[DEFAULT_PAGESIZE];
    int nPage = 1;
    int offset = 16;
    while (pTemp < pDbBuffer + nFileSize)
    {
        printf("解密数据页:%d/%d \n", nPage, nFileSize / DEFAULT_PAGESIZE);

#ifndef NO_USE_HMAC_SHA1
        unsigned char hash_mac[HMAC_SHA1_SIZE] = { 0 };
        unsigned int hash_len = 0;
        HMAC_CTX* hctx = HMAC_CTX_new();
        HMAC_CTX_reset(hctx);
        HMAC_Init_ex(hctx, mac_key, sizeof(mac_key), EVP_sha1(), NULL);
        HMAC_Update(hctx, pTemp + offset, DEFAULT_PAGESIZE - (size_t)reserve - (size_t)offset + IV_SIZE);
        HMAC_Update(hctx, (const unsigned char*)&nPage, sizeof(nPage));
        HMAC_Final(hctx, hash_mac, &hash_len);
        HMAC_CTX_free(hctx);
        if (0 != memcmp(hash_mac, pTemp + DEFAULT_PAGESIZE - reserve + IV_SIZE, sizeof(hash_mac)))
        {
            printf("\n 哈希值错误! 程序已退出!\n");
            return 0;
        }
#endif
        //
        if (nPage == 1)
        {
            memcpy(pDecryptPerPageBuffer, SQLITE_FILE_HEADER, offset);
        }

        EVP_CIPHER_CTX* ectx = EVP_CIPHER_CTX_new();
        EVP_CipherInit_ex(ectx, EVP_get_cipherbyname("aes-256-cbc"), NULL, NULL, NULL, 0);
        EVP_CIPHER_CTX_set_padding(ectx, 0);
        EVP_CipherInit_ex(ectx, NULL, NULL, key, pTemp + DEFAULT_PAGESIZE - reserve, 0);

        int nDecryptLen = 0;
        int nTotal = 0;
        EVP_CipherUpdate(ectx, pDecryptPerPageBuffer + offset, &nDecryptLen, pTemp + offset, DEFAULT_PAGESIZE - reserve - offset);
        nTotal = nDecryptLen;
        EVP_CipherFinal_ex(ectx, pDecryptPerPageBuffer + offset + nDecryptLen, &nDecryptLen);
        nTotal += nDecryptLen;
        EVP_CIPHER_CTX_free(ectx);

        memcpy(pDecryptPerPageBuffer + DEFAULT_PAGESIZE - reserve, pTemp + DEFAULT_PAGESIZE - reserve, reserve);
        char decFile[1024] = { 0 };
        sprintf_s(decFile, "dec_%s", dbfilename);
        FILE* fp;
        fopen_s(&fp, decFile, "ab+");
        {
            if (fp) {
                fwrite(pDecryptPerPageBuffer, 1, DEFAULT_PAGESIZE, fp);
                fclose(fp);
            }
        }
        nPage++;
        offset = 0;
        pTemp += DEFAULT_PAGESIZE;
    }
    printf("\n 解密成功! \n");
    return 0;
}

然后编译即可。

运行

运行时如果报错DLL不存在,请将OpenSSL的bin目录下两个dll文件拷贝到exe同级目录。当然,也可以使用静态库进行编译。

写在后面

数据库系列的文章总算是写完了,希望对大家有所帮助。如有错误欢迎指正。
最后附一下github地址:ComWeChatRobot
有用的话麻烦给个star,感谢感谢~

  大数据 最新文章
实现Kafka至少消费一次
亚马逊云科技:还在苦于ETL?Zero ETL的时代
初探MapReduce
【SpringBoot框架篇】32.基于注解+redis实现
Elasticsearch:如何减少 Elasticsearch 集
Go redis操作
Redis面试题
专题五 Redis高并发场景
基于GBase8s和Calcite的多数据源查询
Redis——底层数据结构原理
上一篇文章      下一篇文章      查看所有文章
加:2022-05-12 16:31:26  更:2022-05-12 16:31:43 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/24 9:49:38-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码