微信取证之GoWxDump
2023-3-6 16:46:0 Author: www.freebuf.com(查看原文) 阅读量:129 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

声明

本文所涉及的工具、代码、技术,仅可用于合法的取证以及自身数据备份严禁用于非法用途!!!!

准备

如果你只想复现本教程的案例你只需要:

  1. 一台电脑

  2. 安装PC版微信

如果你想自行编译本教程的工具,甚至是扩展开发,你需要:

  1. 一台安装了PC版微信的电脑

  2. golang环境

  3. mingw32(可以使用MSYS2安装)

  4. 一定的go语言基础(如果需要扩展开发的话)

简单的原理介绍

关于微信的取证,大家应该都有所了解,大致分为以下几步:

  1. 查找内存偏移,找到存放信息的 基址+偏移

  2. 读取数据库解密密钥

  3. 使用密钥解密数据库

GoWxSharp工具的使用

简介

GoWxSharp是作者发布在Github上的微信取证工具,项目地址:https://github.com/SpenserCai/GoWxDump,核心功能翻译自AdminTest0的SharpWxDump,同时添加了一些特色功能,并且持续更新中。

开始使用

git clone https://github.com/SpenserCai/GoWxDump.git
cd GoWxDump\Release
GoWxDump.exe

输入help看到如下界面:

1677040447_63f59b3f7001094e5057a.png!small?1677040447232

通过show_info可以获取基本信息

1677040558_63f59baedc6be3993728e.png!small?1677040558631

通过decrypt可以自动解密微信的数据库文件解密后的文件会生成在decrypted目录下,值得注意的是如果没有自动找到微信的数据目录或者存在多个会提示用户手动输入,只需要输入冒号前的部分即可(此功能为GoWxSharp集成)

1677040779_63f59c8be130a39c441c5.png!small?1677040779742

friends_list命令可以查看最近十个聊天的好友,其中NickName为昵称、Remark为备注、Alias为微信号、UserName这个比较特殊,首次创建微信时设置的微信号就是用户名

1677040954_63f59d3a6f0496a52242e.png!small?1677040954288

最后我们使用带有访问sqlite3的功能的数据库管理软件,可以直接打开进行查看

1677041259_63f59e6b51b3c1e77dd8f.png!small?1677041259377


文章来源: https://www.freebuf.com/sectool/358345.html
如有侵权请联系:admin#unsafe.sh