该工具用于导出正在运行中的微信进程的 key 并自动解密所有微信数据库文件以及导出 key 后数据库文件离线解密。

可能存在封号风险，后果自负！！！

使用需知： 微信4.0 重构后改用 HMAC_SHA512 算法，寻找 key 的方式和 v3 不同，工具内仍然采用内存暴力搜索的方式，对于 v4 解密时将使用多线程加速，可能会导致 cpu 飙到 100%，取决于 key 离起始查找点的距离。

当然了不止 v4.0 微信能用，之前的v3.x版本也能用

使用环境

• 微信版本：v4.0.0.32
• 微信绑定手机号：+86（如果非要使用+86国内大陆手机号可能需要自己编译一下详情，如果使用的是+852手机号可以使用我编译好的）
• Wechat dump rsv版本：v1.0.16
• ≥ Windows10 系统

使用教程

详细参数

 复制代码 隐藏代码
wechat-dump-rs (1.0.16) - REinject
A wechat db dump tool
Options:
  -p, --pid <PID>        pid of wechat
  -k, --key <KEY>        key for offline decryption of db file
  -f, --file <PATH>      special a db file path
  -d, --data-dir <PATH>  special wechat data dir path (pid is required)
  -o, --output <PATH>    decrypted database output path
  -a, --all              dump key and decrypt db files
      --vv <VERSION>     wechat db file version [default: 4] [possible values: 3, 4]
  -r, --rawkey           convert db key to sqlcipher raw key (file is required)
  -h, --help             Print help

如果不带任何参数，程序只输出所有微信进程的 key、微信号、手机号、数据目录、版本等信息：

使用参数 -a 可以直接导出所有数据库文件。(推荐)

• 使用 -a 参数可以直接使用软件进行预览数据库文件了

解密过程

十分的简单，先登录 v4.0版本微信，把软件到文件夹里面，然后在文件夹顶部地址栏输入 cmd 然后再输入 wechat-dump-rs.exe -a 就行

等执行好了之后会告诉你

• output to C:UsersxxxxAppDataLocalTempwechat_dumpwechat_xxxx

这个里面是存放了解密好的文件

 复制代码 隐藏代码
PS C:Users安稳Desktopwechat-dump-rs> .wechat-dump-rs.exe -a
[+] wechat version is 4.0.0.32
[+] found pre address count: 453
[+] searching key in pre addresses...
[v] found key at 0x151d23cd960
[v] found key at 0x151d912c1d0
[v] found key at 0x151d2034bd0
[v] found key at 0x151d94897e0
[v] found key at 0x151d91bfe60
[v] found key at 0x151d22bb0c0
[v] found key at 0x151d2272150
=======================================
ProcessId: 32520
WechatVersion: 4.0.0.32
AccountName: xtxxxx10
NickName: Coxxxx北
Phone: 176xxxxx262
DataDir: C:Users安稳Documentsxwechat_fileswxid_7xxxxxxx22_e9ad
key: 98fxxxxxxxxxx99f8472682xxxxxxxxxxbe4a04ae8664392xxxxxxxxxxaf27da
=======================================

scanned 19 files in C:Users安稳Documentsxwechat_fileswxid_7xxxxxxx22_e9addb_storage
decryption in progress, please wait...
decryption complete!!
output to C:Users安稳AppDataLocalTempwechat_dumpwechat_32520

工具目前对稍微大点的库文件解密后可能存在畸形问题，建议使用 DB Browser for SQLCipher 进行浏览。

• 阿里云盘：https://www.alipan.com/s/f5T1ezC6awp
• 百度云盘：https://pan.baidu.com/s/1eQLy73-M3n9H3I1h5lLNRA?pwd=anwn

打开 sqlcipher 数据库时，选择 “原始密钥”，微信 V3 选择 sqlcipher3，V4 选择 sqlcipher4，每个数据库文件对应的原始密钥都是不一样的，获取方式如下：

微信 V3 数据库文件 rawkey：

 复制代码 隐藏代码
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c:usersxxxxxxxxcontact.db -r -vv 3

微信 V4 数据库文件 rawkey：

 复制代码 隐藏代码
wechat-dump-rs.exe -k xxxxxxxxxxxxxxxxx -f c:usersxxxxxxxxcontact.db -r -vv 4

（说实话我没明白如何使用命令行查看 哈哈…）

Wechat dump rsv 软件下载

使用x86_64

解密预览

小号来测试的..以下是部分截图

如何打开数据库

• output to C:UsersxxxxAppDataLocalTempwechat_dumpwechat_xxxx

打开 DB Browser for SQLCipher 软件后，选择顶部第二个打开数据库，然后选择上面给你已经解密出来的数据库地址里面去挑选，

至于哪个文件夹里面的哪个数据库是什么作用，参考 v4.0.0.26 库表结构

选择数据库后，顶部有个浏览数据，然后自己选择不同表自己查看

聊天记录

联系人、公众号

文件校验、杀毒

文件: wechat-dump-rs-i686-pc-windows-msvc.zip
大小: 866616 字节
MD5: 01C4F8E4942AEABF2ED8BC28DD8EFE54
SHA1: 7595A7D4DC2FF563368D7E47B040461E87890EC9
CRC32: 54B4A5EB

文件: Dwechat-dump-rs-x86_64-pc-windows-msvc.zip
大小: 935353 字节
MD5: 54872AF0EE64061B48F54E2F63578B71
SHA1: 367821DCF3E3B3C8C9826779ADF19701C9DE5799
CRC32: 96199710

解压后软件杀毒报告：

• wechat-dump-rs-x86_64-pc-windows-msvc.exe：
  • https://www.virustotal.com/gui/file/fcead9b9523e2ad914ac90dc91133f9d2d9afc0cf60234df76bd648f2beef9ed
• wechat-dump-rs-i686-pc-windows-msvc.exe：
  • https://www.virustotal.com/gui/file/3af27094b46c614c7f7a175a8e742689602976c7ca4bb01c206f7f747930b6ac