WeChat-Data-Analysis

介绍

使用工具

• MacBook 10.15 Catalina (预先安装电脑版微信)
• iPhone
• Python 3.8 (下载)
• DB Browser (下载)

1. 微信聊天记录备份与导出

MAC更新Catalina后取消了iTunes, 同步iphone数据需要用数据线连接iPhone和MacBook。打开访达，选择位置/iPhone，立即备份，具体操作如下图所示。

成功完成同步后，微信数据实际被储存在了加密的*.db文件中，也就是SQLite数据库文件。打开Terminal运行以下代码可以查看这些*.db文件。

ls -alh ~/Library/Containers/com.tencent.xinWeChat/Data/Library/Application\ Support/com.tencent.xinWeChat/*/*/Message/*.db

以其中一个文件地址为例，其格式如下:

/Users/<User Name>/Library/Containers/com.tencent.xinWeChat/Data/Library/Application Support/com.tencent.xinWeChat/2.0b4.0.9/16671fd108bc2258e3dad6d83f7e75fb/Message/msg_0.db

1.1 获取微信数据库密钥

1. 打开电脑端微信（不要登陆）
2. 在Terminal输入命令lldb -p $(pgrep WeChat)
3. 输入br set -n sqlite3_key，回车
4. 输入c，回车
5. 手机扫码登陆电脑端微信
6. 这时候电脑端微信是会卡在登陆界面的，不需要担心，回到Terminal
7. 输入memory read --size 1 --format x --count 32 $rsi，回车
8. 将返回的原始key粘贴到下面的字符串中，用这段Python代码获得密钥

ori_key = """
0x60000241e920: 0xc2 0xf9 0x13 0xbe 0xda 0xe8 0x45 0x82
0x60000241e928: 0x93 0x94 0xsb 0xbf 0x61 0x86 0xd9 0xzf
0x60000241e930: 0xab 0xd3 0x0e 0xf0 0x39 0xcf 0x4c 0xba
0x60000241e938: 0x99 0x3a 0x01 0x05 0x2f 0xz5 0x2d 0xcd
"""

key = '0x' + ''.join(i.partition(':')[2].replace('0x', '').replace(' ', '') for i in ori_key.split('\n')[1:5])
print(key)

通过运行上面的程序可以得到一串微信数据库密钥如下：

0xc2f913bedae845829394sbbf6186d9zfabd30ef039cf4cba993a01052fz52dcd

这串密钥对于后续所有*.db文件是通用的。

1.2 查看数据库

打开DB Brower，按照下图所示选择raw key和加密设置，将上个部分得到的数据库密钥粘贴到密码位置。

打开数据库文件后，数据库结构如下图所示。

每一个Table代表你与一个人/群的聊天记录。

• mesLocalID：primary key，
• mesMesSvrID：服务端消息ID，
• msgCreateTime：消息创建时间（Unix time）
• msgContent：消息内容（格式为普通文本或XML）
• msgStatus：消息状态（3表示发送出去的消息，4表示收到的消息）
• msgImgStatus：图片状态
• messgaeType：消息类型（1表示普通文本，3表示图片，34表示语音，43表示视频，47表示表情包，48表示位置，49是分享消息）
• msgSource：消息来源（仅针对收到的消息）

1.3 查找与指定好友聊天数据

根据前面的分析已经知道，每一个Table Name中的ID代表的就是聊天对象（人/群/讨论组）。这个ID是通过MD5编码得到的。在聊天记录文件的上一级目录可以找到Contact文件夹，这个文件夹中存储的数据库是我们微信号中的好友信息，在我的电脑中这个文件的名字是wccontact_new2.db。

用DB Browser打开这个数据库文件，密钥和之前获得的相同。得到的数据库如下图所示（隐藏了敏感信息）：

• m_nsUsrName: MD5加密前的ID（gh表示公众号，wxid表示，qq表示）
• nickname: 好友昵称
• m_nsFullPY: 好友昵称拼音
• m_nsRemark: 好友备注
• m_nsRemarkPYFull: 好友备注拼音
• m_nsRemarkPYFullShort: 好友备注拼音缩写
• m_ui_Sex: 好友性别 (1为男，2为女)
• m_nsAliasName: 微信号

找到特定好友的MD5编码，只需要执行一个简单query:

# 根据微信号获取User Name
SELECT m_nsUsrName AS UserName
FROM WCContact       
WHERE m_nsAliasName = '<好友的微信号>'

将得到的m_nsUsrName进行M5编码，可以使用Python的hashlib库进行编码，或者直接百度M5编码找一些在线网站。

import hashlib 

str2hash = "<m_nsUsrName>"
  

result = hashlib.md5(str2hash.encode()) 
  
print("The hexadecimal equivalent of hash is : ", end ="") 
print(result.hexdigest()) 

2. 数据分析

参考资源

1. 土办法导出 Mac 版微信聊天记录
2. iOS 微信的本地存储结构简析