悟夜叉个人博客 技术专题 手机端微信聊天记录数据库解密过程

手机端微信聊天记录数据库解密过程

前言:

最新聊天的时候谈起微信聊天解密的问题,解密方式已经公开好多年了,还没变。经多年前的记忆,手机端的微信,图片、视频信息撤回后,可以在本地找到相应的记录。由此猜测,撤回的信息可能还保存在数据库中。本篇文章就介绍如何解密获取微信聊天记录,恢复或撤回的信息咱们下个文章介绍。

** 微信解密密码正确但是解密失败的情况,最近花了很多时间研究,解决方式在文章末尾!

准备工具:

1、SQLite Database Browser(或 Navicat Premium 等等)

2、7-zip 或其他解压缩工具

过程:

1、获取EnMicroMsg.db文件;

已root过的手机直接找“/data/data/com.tencent.mm/MicroMsg/<user-md5>”路径下的“EnMicroMsg.db”数据库;没root的手机还是使用手机自带的备份功能,或手机厂商官方的备份工具最方便。

备份完成之后,会生成多个数据文件,我们可先用解压缩软件预览文件。找到带有“com.tencent.mm”(微信包名)的压缩包进行解压。

解压完成后,在文件夹内直接搜索“EnMicroMsg.db”,这一步就完成了,有多个db文件说明有分身数据。

2、微信打开“EnMicroMsg.db”数据库是需要密码的,密码的获取规则为:IMEI+UIN的值做MD5加密,取MD5值的前7位(且计算过程中,所有字母均为小写)

UIN识别码:存储在/data/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml文件中。

我们打开“auth_info_key_prefs.xml”文件,根据下图红框所示,找到UIN码。这里需要注意的是,有的UIN识别码是带“ – ”减号的,在计算MD5值需要加上!

IMEI识别码:拨号界面输入*#06#,或者在关于手机里都可以查询的到,如果有双卡两个IMEI都要记录。我这边有两个:“861639049707055”和“861639049707048”。

那么我们就开始拼接IMEI+UIN计算MD5值取前7位字符(红色为IMEI,蓝色为UIN,粉色为前七位,注意:MD5加密的时候一定复制32位小写的):

(1) 861639049707055445004976 = 4d09017(前七位)d90dab7a9de6533d372365f3a

(2) 861639049707048445004976 = b0c9d7c(前七位)04707f8cd3a59476ae80795c4

3、拿到密码了之后,我们就把“EnMicroMsg.db”拖进数据库输入密码,查看聊天记录。我这里有两个密码,第一个不对就试第二个。

两个密码都错误?这是为什么?原先以为备份的问题,但是备份了很多次,依旧出现这个问题。期间也换了很多SQLite的查看工具,也在多个技术论坛寻求帮助,依旧无功而返。

4、经过请教某取证公司研发大神以后,让我在某软件中先做备份,在解析完成的某个文件中记录着我的IMEI和UIN码,现在我们就要去“在线破案”。

记录的我的“IMEI”是“1234567890ABCDEF”,为了求证是不是手机的问题,我这边专门找了不同型号的手机,VIVO、OPPO、华为进行测试,最终测试加密前的IMEI确实是“1234567890ABCDEF”。

难道微信解密的方式改变了?测试结果是“1234567890ABCDEF + UIN码”。经过请教,“1234567890ABCDEF”这串是微信默认的(就是微信获取不到本机IMEI会采用默认),有时候就需要这个来计算密码。


那么最后的总结是,微信数据库解密的密码分为两种情况:

1、IMEI + UIN计算MD5值取前7位字符

2、1234567890ABCDEF + UIN计算MD5值取前7位字符

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

评论列表(53)

  1. 为什么我把EnMicroMsg.db复制出来,再直接粘贴回去打开微信就提示聊天记录损坏要修复了
    明明是同一个文件啊,权限也是一样的

  2. 新版微信数据库解密规则是否改边了,我用md5(imei+uid)取前7的方式打不开数据库了,我的微信版本是8.0.6,手机系统是miui12

  3. 之前在聊天列表关闭了的,能看到么?有没有人已经测试过了的。能不能出个苹果版的?

    1. 模拟器不是默认root吗?直接可以获取/data目录的,直接拷贝EnMicroMsg.db,和那个XML文件解密

  4. 以前好像就有人说过是imei + uin然后做MD5,没想到微信到现在一直是这个,哈哈,有意思。

  5. SnsMicroMsg.db 这个库里面content 字段存储的朋友圈的图片信息,但是加密的,博主有办法解密访问吗

联系我们

联系我们

站长QQ/VX:82794

在线咨询: QQ交谈

邮箱: 82794@qq.com

任何技术问题请联系QQ,非特殊行业请勿加微信!龙信小伙伴请联系微信群找我。
关注微信
非商务合作请勿添加

非商务合作请勿添加微信

返回顶部