MAC OS下的微信取證調查的方法

在數字取證，溯源調查過程中 蘋果的MAC系統一直是個燙手山芋，一方面原因是相關的安全工具非常少而且相關的技術文章也寥寥無幾，另一方面蘋果系統的底層架構和取證調查方法和windows,linux也有很大的區別。下面就分享一種MAC OS下的微信取證調查解決方案，供大家參考：

•1 首先我們需要找到微信資料庫檔案
   ~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application/
   Support/com.tencent.xinWeChat/*/*/Message/*.db

• 2，然後我們要嘗試從記憶體中找到並讀取金鑰

開啟Mac版微信，這一步很關鍵，

在終端下我們輸入以下命令

lldb -p $(pgrep WeChat)

進入 lldb 的子shell介面(LLDB是mac下的除錯工具)

緊接著，再輸入br set -n sqlite3_key和c

此時登入微信，可能會卡死，但是不影響操作

然後在終端輸入memory read --size 1 --format x --count 32 $rsi 獲取金鑰

處理多餘文字

f0d402d2800e40e1

b43bb6a0853ed86c

e6351ce21a0447ce

a2f2e81cad1dc3c3

這個64位的字串就是金鑰

• 3，讀取資料

因為微信使用的是sqlite資料庫，這裡我們使用 DB Browser for SQLite MAC版進行讀取

選擇SQLCipher 3 defaults 密碼型別選擇為raw key 在密碼框輸入0x後再輸入之前的金鑰共64位進行解密

到這裡我們就已經可以成功獲取到聊天記錄了。