第07期 - 微信聊天记录提取

在数字时代,个人的聊天记录成为了隐私和数据安全的重要组成部分

不定时分享生活趣事及技术,关注让你更潮流~

  当谈到微信时,大家都知道它在个人社交和日常办公中扮演着重要的角色。本篇文章向大家介绍可以在不登录微信的情况下查看聊天记录:

渗透思路:

(1) 通过植入木马方式远程获取,入侵方式多种多样,例如钓鱼网站、软件、apk、邮件,甚至是常见的文档格式如Word或MD。一旦木马成功入侵,攻击者可以使用相关工具来获取聊天记录等信息。

(2) 近源渗透也是一种攻击方式,通过制作一个类似U盘的设备,称为badusb。当该设备插入电脑时,它可以模拟键盘操作,例如打开命令提示符(cmd),然后远程下载木马或微信聊天记录获取工具,并将其上传至攻击者的服务器。

(3) 直接近源操作,这种方法不需要过多的技术知识。攻击者可以使用U盘将工具拷贝到目标电脑上,然后利用这些工具直接获取所需信息,这个过程通常只需要几分钟时间。

(4) 还有一种不正当的方式是将恶意工具捆绑到其他软件中,并诱使对方关闭杀软等安全软件。

本次演示模拟攻击场景

这里我已经提前植入木马,并且上线控制

然后上传WxDump.exe(微信密钥获取工具),并通过命令行执行后,取得微信手机号和微信密钥

接下来远程拷贝对方的微信聊天记录目录,聊天记录文件一般在电脑的文档目录下,eg:C:\Users\用户名\Documents\WeChat Files\wxid_********\Msg 文件夹下的MSGx.db系列都是聊天记录,这个根据自己的位置去找。文件名解析如下:

  • wxid_xxxxxxxx\Msg\Multi\MSG0.db > 聊天记录
  • wxid_xxxxxxxx\Msg\Multi\MSG1.db > 聊天记录
  • wxid_xxxxxxxx\Msg\Multi\MSG2.db > 聊天记录
  • wxid_xxxxxxxx\Msg\MicroMsg.db > Contact字段 > 好友列表
  • wxid_xxxxxxxx\Msg\MediaMsg.db > 语音 > 格式为silk

然后通过解密脚本将拷贝下来的文件一一解密,解密命令为:

python3 .\jiemi.py -k 密钥 -d 文件

最后将已解密的文件直接拖入navicat数据库管理软件,然后就可以在数据库表中愉快的读取聊天记录信息了。

查找敏感信息 将解密后的MSG0.db拖入数据库工具,查询语句查找关键字(比如查找密码):

SELECT * FROM "MSG" WHERE StrContent  like'%密码%'

获取微信密钥(仅支持微信版本为3.9.2.26以内)及解密脚本点击此处即可下载