手机端微信聊天记录数据库解密过程

前言：

最新聊天的时候谈起微信聊天解密的问题，解密方式已经公开好多年了，还没变。经多年前的记忆，手机端的微信，图片、视频信息撤回后，可以在本地找到相应的记录。由此猜测，撤回的信息可能还保存在数据库中。本篇文章就介绍如何解密获取微信聊天记录，恢复或撤回的信息咱们下个文章介绍。

** 微信解密密码正确但是解密失败的情况，最近花了很多时间研究，解决方式在文章末尾！

准备工具：

1、SQLite Database Browser（或 Navicat Premium 等等）

2、7-zip 或其他解压缩工具

过程：

1、获取EnMicroMsg.db文件；

已root过的手机直接找“/data/data/com.tencent.mm/MicroMsg/<user-md5>”路径下的“EnMicroMsg.db”数据库；没root的手机还是使用手机自带的备份功能，或手机厂商官方的备份工具最方便。

备份完成之后，会生成多个数据文件，我们可先用解压缩软件预览文件。找到带有“com.tencent.mm”（微信包名）的压缩包进行解压。

解压完成后，在文件夹内直接搜索“EnMicroMsg.db”，这一步就完成了，有多个db文件说明有分身数据。

2、微信打开“EnMicroMsg.db”数据库是需要密码的，密码的获取规则为：IMEI+UIN的值做MD5加密，取MD5值的前7位（且计算过程中，所有字母均为小写）；

UIN识别码：存储在/data/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml文件中。

我们打开“auth_info_key_prefs.xml”文件，根据下图红框所示，找到UIN码。这里需要注意的是，有的UIN识别码是带“ – ”减号的，在计算MD5值需要加上！

IMEI识别码：拨号界面输入*#06#，或者在关于手机里都可以查询的到，如果有双卡两个IMEI都要记录。我这边有两个：“861639049707055”和“861639049707048”。

那么我们就开始拼接IMEI+UIN计算MD5值取前7位字符（红色为IMEI，蓝色为UIN，粉色为前七位，注意：MD5加密的时候一定复制32位小写的）：

(1) 861639049707055445004976 = 4d09017(前七位)d90dab7a9de6533d372365f3a

(2) 861639049707048445004976 = b0c9d7c(前七位)04707f8cd3a59476ae80795c4

3、拿到密码了之后，我们就把“EnMicroMsg.db”拖进数据库输入密码，查看聊天记录。我这里有两个密码，第一个不对就试第二个。

两个密码都错误？这是为什么？原先以为备份的问题，但是备份了很多次，依旧出现这个问题。期间也换了很多SQLite的查看工具，也在多个技术论坛寻求帮助，依旧无功而返。

4、经过请教某取证公司研发大神以后，让我在某软件中先做备份，在解析完成的某个文件中记录着我的IMEI和UIN码，现在我们就要去“在线破案”。

记录的我的“IMEI”是“1234567890ABCDEF”，为了求证是不是手机的问题，我这边专门找了不同型号的手机，VIVO、OPPO、华为进行测试，最终测试加密前的IMEI确实是“1234567890ABCDEF”。

难道微信解密的方式改变了？测试结果是“1234567890ABCDEF + UIN码”。经过请教，“1234567890ABCDEF”这串是微信默认的（就是微信获取不到本机IMEI会采用默认），有时候就需要这个来计算密码。

那么最后的总结是，微信数据库解密的密码分为两种情况：

1、IMEI + UIN计算MD5值取前7位字符

2、1234567890ABCDEF + UIN计算MD5值取前7位字符