一种基于内存搜索的电脑版微信数据库密钥的获取方法技术

本发明专利技术公开了一种基于内存搜索的电脑版微信数据库密钥的获取方法，通过解析各种版本的电脑版微信及其SQLite数据库，找出基于电脑版微信储存解密密钥的内存区域的固定的数据特征；打开WeChat.exe进程并获取WeChat.exe进程句柄，获取微信进程所加载的全部动态链接库dll的信息；获取WeChatWin.dll的内存起始地址及字节长度，构建正则表达式，并在内存中搜索该数据特征；计算密钥在内存中的地址，寻址所述密钥在内存中的地址并读取连续32字节的内容，作为电脑版微信数据库密钥。本发明专利技术所提供的技术方案简单、高效且可靠，实现起来无成本且适用于各种不同版本的电脑版微信。且适用于各种不同版本的电脑版微信。且适用于各种不同版本的电脑版微信。

【技术实现步骤摘要】
一种基于内存搜索的电脑版微信数据库密钥的获取方法


[0001]本专利技术属于电子取证及数据恢复领域，涉及一种电脑版微信数据库密钥的获取方法，尤其涉及一种基于内存搜索的电脑版微信数据库密钥的获取方法。

技术介绍

[0002]电脑版微信是用于电脑端的即时通信软件，电脑版微信会将用户的聊天数据缓存在电脑端SQLite数据库中。电脑版微信的SQLite数据库文件采用了AES加密算法对数据进行加密，用以保护缓存中的用户聊天数据不被泄漏。但这也给计算机取证人员及数据恢复领域带来了严峻的挑战，即，如何对加密的微信SQLite数据库文件进行解密并对原始数据进行取证。
[0003]现有技术中对电脑版微信SQLite数据库的解密技术分为两种，但各自都存在局限性：
[0004]1.暴力枚举的方式：由于SQLite数据库解密密钥存在于电脑版微信的内存数据中，即，因此，需要获取电脑版微信的全部内存数据，然后从内存起始地址截取字节长度与解密密钥字节长度等长的内存数据，并采用所截取的内存数据来尝试解密SQLite数据库，如果不能解密SQLite数据库，则从当本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于内存搜索的电脑版微信数据库密钥的获取方法，其特征在于，包括以下步骤：S100：查询Windows操作系统中进程名为WeChat.exe的进程及其进程号，打开WeChat.exe进程并获取WeChat.exe进程句柄；S200：根据所述WeChat.exe进程句柄，获取微信进程所加载的全部动态链接库dll的信息，包括起始地址、字节长度及名称；S300：根据所述信息，查找名称为WeChatWin.dll的动态链接库dll，获取WeChatWin.dll的内存起始地址及字节长度；S400：构建下述正则表达式，以WeChatWin.dll的内存起始地址为首地址，以字节长度作为查找范围，在内存中搜索数据特征，[\x00
‑
\xff]{4}\x20\x00\x00\x00[\x00
‑
\xff]{4}\\x5B\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00其中，所述数据特征为：0x20000000+任意4字节的内容+0x5B000000+0x00000000+0x01000000；S5...

【专利技术属性】
技术研发人员：梁效宁，韩勇，杨先珉，许超明，
申请(专利权)人：四川效率源信息安全技术股份有限公司，
类型：发明
国别省市：