Windows和MacOS下如何进行微信取证

今天就跟大家聊聊有关Windows和MacOS下如何进行微信取证，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

即将对Windows 和MacOS 下微信取证进行演示。

准备工作

微信版本：2.6.x

工具：吾爱破解专版OD

Windows下微信取证

1.获取微信聊天记录数据库文件

我的路径在：

C:\Users\free04k\Documents\WeChat Files\XXXX\Msg

2.从内存中读取密钥

a、打开OD然后打开微信，使用OD附加微信登陆进程

b、点击文件菜单，选择"附加"，弹出的对话框找到名称为Wechat的进程，窗口名称为"登陆"，然后点击附加

c、选择查看-可执行模块

d、找到名称为Wechatwin.dll,双击选中

e、在插件中选择中文搜索引擎-搜索ASCII

f、窗口右键 选择 Find，在搜索框中输入"DBFactory::encryptDB"

g、双击

h、到test edx edx 设置断点

i、切换到微信登录页面，点击登录，然后到手机端确认登录。

这是OllyDbg界面中的数据不断滚动，直到EDX不再为全0并且各个窗口内容停止滚动为止。

j、在EDX的值上面点击鼠标右键，在弹出的菜单里面选择"数据窗口中跟随"，则数据窗口中显示的就是EDX的内容。

其中xxxx位置为需要解密的微信id，目录内容如下

k、如果要解密ChatMsg.db，则在命令行窗口输入指令

dewechat ChatMsg.db

回车即可

解密成功后，会在目录中生成de_ChatMsg.db，用sqlite数据库管理软件打开即可。

除了Windows，MacOS下也可以操作。

MacOS下微信取证

1、找到微信数据库文件

~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/XXX/XXX/Message

2.从内存中读取密钥

a、打开Mac版微信

b、打开终端数据：lldb -p $(pgrep WeChat)

进入lldb的子shell界面

c、输入br set -n sqlite_key和c

d、登陆微信，会卡在正在登陆的界面

e、然后在终端输入：memory read --size 1 --format x --count 32 $rsi

这个就是64位的字符串的密钥

0x600001c2dfa0 0x600001c2dfa8 0x600001c2dfb0 0x600001c2dfb8

3.读取数据

使用DB Browser for SQLite MAC版进行读取即可。

看完上述内容，你们对Windows和MacOS下如何进行微信取证有进一步的了解吗？如果还想了解更多知识或者相关内容，请关注行业资讯频道，感谢大家的支持。