在数字取证,溯源调查过程中 苹果的MAC系统一直是个烫手山芋,一方面原因是相关的安全工具非常少而且相关的技术文章也寥寥无几,另一方面苹果系统的底层架构和取证调查方法和windows,linux也有很大的区别。下面就分享一种MAC OS下的微信取证调查解决方案,供大家参考:
•1 首先我们需要找到微信数据库文件
• 2,然后我们要尝试从内存中找到并读取密钥
打开Mac版微信,这一步很关键,
在终端下我们输入以下命令
lldb -p $(pgrep WeChat)
进入 lldb 的子shell界面(LLDB是mac下的调试工具)
紧接着,再输入br set -n sqlite3_key和c
此时登录微信,可能会卡死,但是不影响操作
然后在终端输入memory read --size 1 --format x --count 32 $rsi 获取密钥
处理多余文本
f0d402d2800e40e1
b43bb6a0853ed86c
e6351ce21a0447ce
a2f2e81cad1dc3c3
这个64位的字符串就是密钥
• 3,读取数据
因为微信使用的是sqlite数据库,这里我们使用 DB Browser for SQLite MAC版进行读取
选择SQLCipher 3 defaults 密码类型选择为raw key 在密码框输入0x后再输入之前的密钥共64位进行解密
到这里我们就已经可以成功获取到聊天记录了。
