官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
声明
本文所涉及的工具、代码、技术,仅可用于合法的取证以及自身数据备份严禁用于非法用途!!!!
准备
如果你只想复现本教程的案例你只需要:
一台电脑
安装PC版微信
如果你想自行编译本教程的工具,甚至是扩展开发,你需要:
一台安装了PC版微信的电脑
golang环境
mingw32(可以使用MSYS2安装)
一定的go语言基础(如果需要扩展开发的话)
简单的原理介绍
关于微信的取证,大家应该都有所了解,大致分为以下几步:
查找内存偏移,找到存放信息的 基址+偏移
读取数据库解密密钥
使用密钥解密数据库
GoWxSharp工具的使用
简介
GoWxSharp是作者发布在Github上的微信取证工具,项目地址:https://github.com/SpenserCai/GoWxDump,核心功能翻译自AdminTest0的SharpWxDump,同时添加了一些特色功能,并且持续更新中。
开始使用
git clone https://github.com/SpenserCai/GoWxDump.git
cd GoWxDump\Release
GoWxDump.exe
输入help看到如下界面:
通过show_info可以获取基本信息
通过decrypt可以自动解密微信的数据库文件解密后的文件会生成在decrypted目录下,值得注意的是如果没有自动找到微信的数据目录或者存在多个会提示用户手动输入,只需要输入冒号前的部分即可(此功能为GoWxSharp集成)
friends_list命令可以查看最近十个聊天的好友,其中NickName为昵称、Remark为备注、Alias为微信号、UserName这个比较特殊,首次创建微信时设置的微信号就是用户名
最后我们使用带有访问sqlite3的功能的数据库管理软件,可以直接打开进行查看
