如何快速定位Windows微信客户端数据库加密秘钥偏移地址
手工获取
网上涉及如何调试微信客户端获取数据库加密key的教程很多,但是每次微信版本更新后都要调试肯定会比较麻烦,但是有一个问题是这个key其实不是经常变更的,具体如何变更我也不清楚,可能是改密码?
因此我们可以直接使用Cheat Engine等内存搜索工具直接搜索之前获取的key,这样就能很快的获取到新版本上key的偏移地址。
见上图,附加微信进程,然后Value Type选择字节数组,选择十六进制,填写之前获取的key,不要空格,扫描。
搜索出来后,点击左侧搜索结果,出现在下方,继续搜索下方出现结果占用的Address,Value Type选择All, Scan Type选择Exact Value,如果第一步中出现多个结果,则每个都试一下,直到出现一个绿色的结果,显示类似于上图的地址,加号后面的地址就是偏移地址,然后用获取工具即可获取。
自动化获取
通过ChetEngine其实就是搜索内存,那肯定是有办法自动化实现的,于是我从github上找到了一个库
https://github.com/fenix01/cheatengine-library
用这玩意就能够不需要提前分析偏移地址硬编码,动态获取了,目前还有很多不完善的地方,因此自动获取的代码就不公开了,思路就是这样。