328336690/wechat-decrypt

# WeChat 4.0 Database Decryptor [](https://opensource.org/licenses/MIT) [](https://www.python.org/) [](#) [](CONTRIBUTING.md) [](https://github.com/328336690/wechat-decrypt/actions/workflows/ci.yml) 微信 4.0 (Windows) 本地数据库解密工具。从运行中的微信进程内存提取加密密钥，解密所有 SQLCipher 4 加密数据库，并提供实时消息监听。 ## 原理 微信 4.0 使用 SQLCipher 4 加密本地数据库： - **加密算法**: AES-256-CBC + HMAC-SHA512 - **KDF**: PBKDF2-HMAC-SHA512, 256,000 iterations - **页面大小**: 4096 bytes, reserve = 80 (IV 16 + HMAC 64) - **每个数据库有独立的 salt 和 enc_key** WCDB (微信的 SQLCipher 封装) 会在进程内存中缓存派生后的 raw key，格式为 `x'<64hex_enc_key><32hex_salt>'`。本工具通过扫描进程内存中的这种模式，匹配数据库文件的 salt，并通过 HMAC 验证来提取正确的密钥。 ## 使用方法 ### 环境要求 - Windows 10/11 - Python 3.10+ - 微信 4.0 (正在运行) - 需要管理员权限 (读取进程内存) ### 安装依赖 pip install pycryptodome ### 1. 配置 复制配置模板并修改： copy config.example.json config.json 编辑 `config.json`： { "db_dir": "D:\\xwechat_files\\你的微信ID\\db_storage", "keys_file": "all_keys.json", "decrypted_dir": "decrypted", "wechat_process": "Weixin.exe" } `db_dir` 路径可以在 微信设置 → 文件管理 中找到。 ### 2. 提取密钥 确保微信正在运行，以**管理员权限**运行： python find_all_keys.py 密钥将保存到 `all_keys.json`。 ### 3. 解密数据库 python decrypt_db.py 解密后的数据库保存在 `decrypted/` 目录，可以直接用 SQLite 工具打开。 ### 4. 实时消息监听 #### Web UI (推荐) python monitor_web.py 打开 http://localhost:5678 查看实时消息流。 - 30ms 轮询 WAL 文件变化 (mtime) - 检测到变化后全量解密 + WAL patch (~70ms) - SSE 实时推送到浏览器 - 总延迟约 100ms - **图片消息内联预览**（支持旧 XOR / V1 / V2 三种 .dat 加密格式） #### 命令行 python monitor.py 每 3 秒轮询一次，在终端显示新消息。 ### 5. MCP Server (Claude AI 集成) 将微信数据查询能力接入 [Claude Code](https://claude.ai/claude-code)，让 AI 直接读取你的微信消息。 pip install mcp 注册到 Claude Code： claude mcp add wechat -- python C:\Users\你的用户名\wechat-decrypt\mcp_server.py 或手动编辑 `~/.claude.json`： { "mcpServers": { "wechat": { "type": "stdio", "command": "python", "args": ["C:\\Users\\你的用户名\\wechat-decrypt\\mcp_server.py"] } } } 注册后在 Claude Code 中即可使用以下工具： | Tool | 功能 | |------|------| | `get_recent_sessions(limit)` | 最近会话列表（含消息摘要、未读数） | | `get_chat_history(chat_name, limit)` | 指定聊天的消息记录（支持模糊匹配名字） | | `search_messages(keyword, limit)` | 全库搜索消息内容 | | `get_contacts(query, limit)` | 搜索/列出联系人 | | `get_new_messages()` | 获取自上次调用以来的新消息 | 前置条件：需要先完成步骤 1-2（配置 + 提取密钥）。 **[查看使用案例 →](USAGE.md)** ### 6. 图片解密 (V2 格式) 微信 4.0 (2025-08+) 的 .dat 图片文件使用 AES-128-ECB + XOR 混合加密 (V2 格式)。AES 密钥需要从运行中的微信进程内存中提取： # 1. 在微信中打开查看 2-3 张图片（点击看大图） # 2. 立即运行密钥提取（持续监控版）： python find_image_key_monitor.py # 或单次扫描版： python find_image_key.py 密钥会自动保存到 `config.json` 的 `image_aes_key` 字段。之后 `monitor_web.py` 启动时会自动加载密钥，图片消息将显示内联预览。 ## 文件说明 | 文件 | 说明 | |------|------| | `config.py` | 配置加载器 | | `find_all_keys.py` | 从微信进程内存提取所有数据库密钥 | | `decrypt_db.py` | 全量解密所有数据库 | | `mcp_server.py` | MCP Server，让 Claude AI 查询微信数据 | | `monitor_web.py` | 实时消息监听 (Web UI + SSE + 图片预览) | | `monitor.py` | 实时消息监听 (命令行) | | `decode_image.py` | 图片 .dat 文件解密模块 (XOR / V1 / V2) | | `find_image_key.py` | 从微信进程内存提取图片 AES 密钥 | | `find_image_key_monitor.py` | 持续监控版密钥提取（推荐） | | `latency_test.py` | 延迟测量诊断工具 | ## 技术细节 ### WAL 处理 微信使用 SQLite WAL 模式，WAL 文件是**预分配固定大小** (4MB)。检测变化时： - 不能用文件大小 (永远不变) - 使用 mtime 检测写入 - 解密 WAL frame 时需校验 salt 值，跳过旧周期遗留的 frame ### 图片 .dat 加密格式 微信本地图片 (.dat) 有三种加密格式： | 格式 | 时期 | Magic | 加密方式 | 密钥来源 | |------|------|-------|---------|---------| | 旧 XOR | ~2025-07 | 无 | 单字节 XOR | 自动检测 (对比 magic bytes) | | V1 | 过渡期 | `07 08 V1 08 07` | AES-ECB + XOR | 固定 key: `cfcd208495d565ef` | | V2 | 2025-08+ | `07 08 V2 08 07` | AES-128-ECB + XOR | 从进程内存提取 | V2 文件结构: `[6B signature] [4B aes_size LE] [4B xor_size LE] [1B padding]` + `[AES-ECB encrypted] [raw unencrypted] [XOR encrypted]` ### 数据库结构 解密后包含约 26 个数据库： - `session/session.db` - 会话列表 (最新消息摘要) - `message/message_*.db` - 聊天记录 - `contact/contact.db` - 联系人 - `media_*/media_*.db` - 媒体文件索引 - 其他: head_image, favorite, sns, emoticon 等 ## 免责声明 本工具仅用于学习和研究目的，用于解密**自己的**微信数据。请遵守相关法律法规，不要用于未经授权的数据访问。

标签：HTTP工具, MCP, Python, SQLCipher, 内存读取, 微信, 数据库解密, 无后门, 逆向工具