如何快速定位Windows微信客户端数据库加密秘钥偏移地址

 

手工获取

网上涉及如何调试微信客户端获取数据库加密key的教程很多，但是每次微信版本更新后都要调试肯定会比较麻烦，但是有一个问题是这个key其实不是经常变更的，具体如何变更我也不清楚，可能是改密码？
因此我们可以直接使用Cheat Engine等内存搜索工具直接搜索之前获取的key，这样就能很快的获取到新版本上key的偏移地址。

见上图，附加微信进程，然后Value Type选择字节数组，选择十六进制，填写之前获取的key，不要空格，扫描。

搜索出来后，点击左侧搜索结果，出现在下方，继续搜索下方出现结果占用的Address,Value Type选择All, Scan Type选择Exact Value，如果第一步中出现多个结果，则每个都试一下，直到出现一个绿色的结果，显示类似于上图的地址，加号后面的地址就是偏移地址，然后用获取工具即可获取。

自动化获取

通过ChetEngine其实就是搜索内存，那肯定是有办法自动化实现的，于是我从github上找到了一个库
https://github.com/fenix01/cheatengine-library
用这玩意就能够不需要提前分析偏移地址硬编码，动态获取了，目前还有很多不完善的地方，因此自动获取的代码就不公开了，思路就是这样。