Android动态破解微信本地数据库(EnMicroMsg.db)

最近在公司接了一个任务，需要在几百台手机上安装一个app，目的是获取微信里面的通讯录，并且定时的把他发送到我们的服务器上。当时依次尝试的如下几个方案：

1.通过群控，将好友截图发送到服务端（python），利用python的图像识别库来获取好友的信息。

2.开发一个app，使用android自带AccessibilityService，模拟用户操作微信，然后获取屏幕中的内容。

3.破解微信的本地数据库。

非常尴尬的是前两个都失败了，否则也不会想到第三个方案了。第一个失败的原因是，利用图像识别，有些很相近的文字(i,1,l,h,n)识别成功率不高；第二个失败的原因是在于模拟用户操作的阶段无法达到预计的效果，也就导致了获取不到想要的屏幕内容。（前两个失败有可能是因为个人技术问题，无法实现）

但是重点来了：第三个我们成功了

我们是怎么知道微信把用户以及聊天的信息存到了本地数据库呢？

当我们打开手机的飞行模式的时候，打开微信，依旧可以看到里面的通讯录以及聊天记录。那么就说明微信肯定是将你能看到的所有信息都保存在了本地数据库里面，只是他将本地数据库加了密。既然存在了本地，我们就有办法把它取出来。

本地数据库的密码是什么呢？

请具体参考大神的文章，他通过反编译获取到微信的加密规则，特别厉害！

上述文章讲解主要是静态破解数据库，我们就基于他的静态破解方法，介绍下如何在代码中动态破解。不想看的同学们，我就直接介绍下微信本地数据库的加密规则了：

1.获取手机IMEI码

2.获取当前登录微信账号的uin(存储在sp里面)

3.拼接IMEI和uin

4.将拼接完的字符串进行md5加密

5.截取加完密的字符串的前七位（字母必须为小写）

那七位字符串就是数据库的密码了。因为微信已经有数亿的用户了，并且本地数据库又是存在用户的手机上，所以微信肯定不会轻易的对数据库进行大规模修改，所以密码的加密规则也是不可能变的，大家就放心用吧！

适用范围：已经获取root权限的手机

如果你的手机没有root，那下面的代码对你手机都是无效的哦~

下面正式进入主题

一、大致浏览下微信的目录

1.连接上你的手机，打开开发者模式

2.打开Android Device Monitor

3.进入到File Explorer子页，查看微信目录 /data/data/com.tencent.mm

如果你发现文件夹打不开，或者发现点击/data目录里面没有内容，可能是因为没有权限，请在Command中依次执行如下命令：

大概的介绍下微信的目录结构，本地数据库都在MicroMsg文件夹里面，SharedPerferences文件都在shared_prefs文件夹里面。之前说的获取数据库密码时候需要的uin就是存在微信的SharedPreferences里面，对应的是 /data/data/com.tencent.mm/shared_prefs文件夹。

微信的本地数据库存放在 /data/data/com.tencent.mm/MicroMsg里面的一长串字符串的目录里面

注意：如果你登录过多个账号就会出现多个此类的文件夹，所以我们在之后的代码中会通过循环来查找当前登录用户对应的数据库文件

二、授予当前app管理员权限以及修改微信目录的读写权限

最好在app一启动就执行下面的代码，并且在每次获取数据库内容的时候也要再次执行，避免出现无权限读取微信相关文件的异常

[java] view plain copy

public static final String WX_ROOT_PATH = "/data/data/com.tencent.mm/";

[java] view plain copy

execRootCmd("chmod 777 -R " + WX_ROOT_PATH);

[java] view plain copy

/**
* 执行linux指令
*
* @param paramString
*/
public void execRootCmd(String paramString) {
try {
Process localProcess = Runtime.getRuntime().exec("su");
Object localObject = localProcess.getOutputStream();
DataOutputStream localDataOutputStream = new DataOutputStream((OutputStream) localObject);
String str = String.valueOf(paramString);
localObject = str + "\n";
localDataOutputStream.writeBytes((String) localObject);
localDataOutputStream.flush();
localDataOutputStream.writeBytes("exit\n");
localDataOutputStream.flush();
localProcess.waitFor();
localObject = localProcess.exitValue();
} catch (Exception localException) {
localException.printStackTrace();
}
}

每次准备读取数据库之前都需要执行一次该命令。Process localProcess = Runtime.getRuntime().exec("su")先通过这个命令，使得当前app获取到root权限，然后再通过chmod命令来修改微信的data目录的读写权限，因为我们需要操作读取微信的数据库文件以及sp文件，所以必须要有微信文件的操作权限。

三、获取手机IMEI

IMEI的获取方法就很简单了

[java] view plain copy

/**
* 获取手机的imei码
*
* @return
*/
private void initPhoneIMEI() {
TelephonyManager tm = (TelephonyManager) MyApplication.getContextObject().getSystemService(TELEPHONY_SERVICE);
mPhoneIMEI = tm.getDeviceId();
}

记得添加权限

[html] view plain copy

<uses-permission android:name="android.permission.READ_PHONE_STATE"/>

四、获取微信的uin

微信的uin是存储在SharedPerferences里面，所以我们要在微信目录的shared_prefs文件夹里面查找其存放的xml文件，然后去解析它。

[java] view plain copy

private static final String WX_SP_UIN_PATH = WX_ROOT_PATH + "shared_prefs/auth_info_key_prefs.xml";

[java] view plain copy

/**
* 获取微信的uid
* 微信的uid存储在SharedPreferences里面
* 存储位置\data\data\com.tencent.mm\shared_prefs\auth_info_key_prefs.xml
*/
private void initCurrWxUin() {
mCurrWxUin = null;
File file = new File(WX_SP_UIN_PATH);
try {
FileInputStream in = new FileInputStream(file);
SAXReader saxReader = new SAXReader();
Document document = saxReader.read(in);
Element root = document.getRootElement();
List<Element> elements = root.elements();
for (Element element : elements) {
if ("_auth_uin".equals(element.attributeValue("name"))) {
mCurrWxUin = element.attributeValue("value");
}
}
} catch (Exception e) {
e.printStackTrace();
LogUtil.log("获取微信uid失败，请检查auth_info_key_prefs文件权限");
}
}

微信的uin是存放在sharedPerferences文件夹里面的，具体路径为\data\data\com.tencent.mm\shared_prefs\auth_info_key_prefs.xml。让我们来打开这个xml文件看看里面到底是什么样子的，还有我们需要的uin到底是存放在什么地方：

我们解析xml用的dom4j这个库里面的SAXReader，如果没有这个库的同学可以去这里下载

五、生成数据库密码

[java] view plain copy

/**
* 根据imei和uin生成的md5码，获取数据库的密码（去前七位的小写字母）
*
* @param imei
* @param uin
* @return
*/
private void initDbPassword(String imei, String uin) {
if (TextUtils.isEmpty(imei) || TextUtils.isEmpty(uin)) {
LogUtil.log("初始化数据库密码失败：imei或uid为空");
return;
}
String md5 = md5(imei + uin);
String password = md5.substring(0, 7).toLowerCase();
mDbPassword = password;
}

[java] view plain copy

/**
* md5加密
*
* @param content
* @return
*/
private String md5(String content) {
MessageDigest md5 = null;
try {
md5 = MessageDigest.getInstance("MD5");
md5.update(content.getBytes("UTF-8"));
byte[] encryption = md5.digest();//加密
StringBuffer sb = new StringBuffer();
for (int i = 0; i < encryption.length; i++) {
if (Integer.toHexString(0xff & encryption[i]).length() == 1) {
sb.append("0").append(Integer.toHexString(0xff & encryption[i]));
} else {
sb.append(Integer.toHexString(0xff & encryption[i]));
}
}
return sb.toString();
} catch (Exception e) {
e.printStackTrace();
return null;
}
}

这一步比较容易，通过拼接字符串以及md5加密后就可以获取到数据库的密码

六、查找微信目录下的数据库文件

因为我们需要通过密码来连接微信的EnMicroMsg.db文件，所以我们需要先通过匹配算法把我们需要的db文件给查找出来。如果该手机的用户切换过登录账号，那么每个账号都会生成一个EnMicroMsg.db，所以我们要把所有的db文件都给匹配出来。

[java] view plain copy

public static final String WX_ROOT_PATH = "/data/data/com.tencent.mm/";
public static final String WX_ROOT_PATH = "/data/data/com.tencent.mm/";
private static final String WX_DB_DIR_PATH = WX_ROOT_PATH + "MicroMsg";
private List<File> mWxDbPathList = new ArrayList<>();
private static final String WX_DB_FILE_NAME = "EnMicroMsg.db";

[java] view plain copy

File wxDataDir = new File(WX_DB_DIR_PATH);
mWxDbPathList.clear();
searchFile(wxDataDir, WX_DB_FILE_NAME);

[java] view plain copy

/**
* 递归查询微信本地数据库文件
*
* @param file 目录
* @param fileName 需要查找的文件名称
*/
private void searchFile(File file, String fileName) {
if (file.isDirectory()) {
File[] files = file.listFiles();
if (files != null) {
for (File childFile : files) {
searchFile(childFile, fileName);
}
}
} else {
if (fileName.equals(file.getName())) {
mWxDbPathList.add(file);
}
}
}

通过searchFile我们会对MicroMsg这个文件夹进行遍历查询，将所有的EnMicroMsg.db文件路劲存储在mWxDbPathList中，以便于我们后期连接的时候使用

七、连接数据库

终于到了最关键的一步了。这时候需要注意两点：

1.我们千万不可以直接通过net.sqlcipher.database.SQLiteDatabase这个类来连接我们上一步里面查找到的微信目录下的EnMicroMsg.db文件，可能是因为一个数据库文件不能被多次连接的情况，只要我们一成功连接上那个db文件，微信的客户端就会自动退出登录，并且会出现异常。所有我现在的做法是把这个db文件拷贝到我们自己的app目录下，再进行连接。

2.当我们有多账号登录过，就会存在多个EnMicroMsg.db文件，但是我们的数据库密码只有一个，也就是说通过这个密码能连接成功的数据库就表明是当前微信登录用户的数据库。因为sqlcipher这个库中没有提供校验密码的方法，所以我们只能每次通过强行连接来判断密码是否正确，如果正确的话代码就会正常执行，错误的话就会抛出异常，因此我们要在这个方法外面加上try-catch来处理密码错误的异常。（如果有更好的方法，请留言，谢谢！）

2017-09-08更新：感谢暖气片儿L在评论中提供的方法。之前如果用户登陆过多个微信账号，那么每一个微信账号都会在各自的文件夹下生成一个EnMicroMsg.db文件，用于存储当前账号的联系人和聊天记录等信息。但是我们解析出来的密码只有一个（最后登陆的微信账号的密码），之前是通过撞库（所有db文件都尝试连接一次，直到成功为止），现在通过一个方法可以准确的定位到uin对应的EnMicroMsg.db文件，MD5("mm"+auth_info_key_prefs.xml中解析出微信的uin码) 生成的md5就是EnMicroMsg.db所处的父级文件夹的名称。

[java] view plain copy

private String mCurrApkPath = "/data/data/" + MyApplication.getContextObject().getPackageName() + "/";
private static final String COPY_WX_DATA_DB = "wx_data.db";

[java] view plain copy

//处理多账号登陆情况
for (int i = 0; i < mWxDbPathList.size(); i++) {
File file = mWxDbPathList.get(i);
String copyFilePath = mCurrApkPath + COPY_WX_DATA_DB;
//将微信数据库拷贝出来，因为直接连接微信的db，会导致微信崩溃
copyFile(file.getAbsolutePath(), copyFilePath);
File copyWxDataDb = new File(copyFilePath);
openWxDb(copyWxDataDb);
}

[java] view plain copy

/**
* 复制单个文件
*
* @param oldPath String 原文件路径如：c:/fqf.txt
* @param newPath String 复制后路径如：f:/fqf.txt
* @return boolean
*/
public void copyFile(String oldPath, String newPath) {
try {
int byteRead = 0;
File oldFile = new File(oldPath);
if (oldFile.exists()) { //文件存在时
InputStream inStream = new FileInputStream(oldPath); //读入原文件
FileOutputStream fs = new FileOutputStream(newPath);
byte[] buffer = new byte[1444];
while ((byteRead = inStream.read(buffer)) != -1) {
fs.write(buffer, 0, byteRead);
}
inStream.close();
}
} catch (Exception e) {
System.out.println("复制单个文件操作出错");
e.printStackTrace();
}
}

[java] view plain copy

/**
* 连接数据库
*
* @param dbFile
*/
private void openWxDb(File dbFile) {
Context context = MyApplication.getContextObject();
SQLiteDatabase.loadLibs(context);
SQLiteDatabaseHook hook = new SQLiteDatabaseHook() {
public void preKey(SQLiteDatabase database) {
}
public void postKey(SQLiteDatabase database) {
database.rawExecSQL("PRAGMA cipher_migrate;"); //兼容2.0的数据库
}
};
try {
//打开数据库连接
SQLiteDatabase db = SQLiteDatabase.openOrCreateDatabase(dbFile, mDbPassword, null, hook);
//查询所有联系人（verifyFlag!=0:公众号等类型，群里面非好友的类型为4，未知类型2）
Cursor c1 = db.rawQuery("select * from rcontact where verifyFlag = 0 and type != 4 and type != 2 and nickname != '' limit 20, 9999", null);
while (c1.moveToNext()) {
String userName = c1.getString(c1.getColumnIndex("username"));
String alias = c1.getString(c1.getColumnIndex("alias"));
String nickName = c1.getString(c1.getColumnIndex("nickname"));
}
c1.close();
db.close();
} catch (Exception e) {
LogUtil.log("读取数据库信息失败" + e.toString());
// e.printStackTrace();
}
}

通过上述的代码，先进行db文件的拷贝，然后再通过SQLCipher这个库来连接加密的数据库，之后我们就可以进行我们需要的sql查询了。上述代码中的sql查询加了一些条件，是因为做了一些业务逻辑的判断，去除了公众号、微信群这些联系人，正常测试可以直接使用“select * from rcontact”就可以了。

记得在gradle中引用库:

[java] view plain copy

compile 'net.zetetic:android-database-sqlcipher:3.5.4@aar'

关于SQLCipher的详细使用方法可以参考其官网https://www.zetetic.net/sqlcipher/sqlcipher-for-android/

八、sqlcipher图形工具的使用

通过这个工具，我们可以快速的查看微信的db文件里面有哪些表，每个表里面有哪些字段，然后我们就可以在代码中写出相应的sql语句来查询我们需要的数据了

sqlcipher的下载传送门来咯~http://download.csdn.net/detail/njweiyukun/9729084
使用方法也很简单

1.首先我们要通过Android Device Monitor里面的File Explorer将微信EnMicroMsg.db文件拷贝出来

2.将拷贝出来的db文件用sqlcipher.exe打开并输入密码

Database Structure里面都是表结构，Browser Data里面则是表里面的数据了。

常用库介绍：【rcontact】联系人表，【message】聊天消息表

九、总结

总结一下步骤：

1.让当前app获取su权限，以及修改微信目录的读写权限。

2.获取手机的IMEI码。

3.从\data\data\com.tencent.mm\shared_prefs\auth_info_key_prefs.xml中解析出微信的uin码。

4.获取数据库密码：拼接IMEI和uin，通过md5加密后，取前7位小写的字符串。

5.从/data/data/com.tencent.mm/MicroMsg中遍历查找所有的微信数据文件EnMicroMsg.db。

6.将EmMicroMsg.db文件拷贝到当前app目录，然后通过SQLCipher连接数据库。

通过上述的常规代码我们已经可以在代码里面获取微信数据库的所有内容了。我们从微信的sp和db文件中也可以获取到微信当前登录的用户信息，并且我们可以启一个service，利用一些保活措施，让我们的程序不被轻易杀死，这样可以保证不停的将联系人数据库发送到服务器。也可以做一个开机启动等等等，这些代码有需要的可以自行添加，留言也可以。

如果有哪里写错和疏忽的地方，请及时提出