admintest0 / sharpwxdump Goto Github PK

python 脚本能不能提供C#版本的

怎么打开呀 点哪个打开

微信版本：3.9.5.73
程序获取到的WeChatWinBaseAddress = 0x00007ff8a1c80000，直接报错退出了

[+] WeChatProcessPID: 600
[+] WeChatVersion: 3.9.5.73
[-] WeChat Current Version Is: 3.9.5.73 Not Support
[+] Done

匹配3.9.6.8版本的偏移为：
{3.9.6.8,{61960264,61960040,61960072,38986104,61961536}}

匹配3.9.6.13版本的偏移为：
{3.9.6.13,{61964312,61964088,61964120,38986104,61965584}}

你好，希望能支持微信3.9.5.81版本，目前程序报错闪退

大佬可以帮忙适配下 新版微信吗 微信版本会自动升级最新的 。这个偏移地址自己怎么设置，能出个教程吗

最新版不能用了，请问下偏移量能跟新下不

微信版本：3.7.6.29
运行报错：
7221248
Password Error

提一个issue 我本地测本地cs上线是可以的 但是在实战的过程中对方上线了并且截图发现打开wx了
却还是获取不到key。无论是system还是admin用户。问一下大佬还有什么限制存在吗

系统： window 10
微信版本：3.8.1.26

发现Any CPU编译无法获取x86的模块，可以用下面这几个API进行替换，函数原型如下：

        [StructLayout(LayoutKind.Sequential)]
        public struct MODULEINFO
        {
            public IntPtr lpBaseOfDll;
            public uint SizeOfImage;
            public IntPtr EntryPoint;
        }

        [DllImport("psapi.dll", SetLastError = true)]
        public static extern bool EnumProcessModules(
             IntPtr hProcess,
             [Out] IntPtr lphModule,
             UInt32 cb,
             [MarshalAs(UnmanagedType.U4)] out UInt32 lpcbNeeded);

        [DllImport("psapi.dll")]
        static extern uint GetModuleFileNameEx(
            IntPtr hProcess,
            IntPtr hModule,
            [Out] StringBuilder lpBaseName,
            [In][MarshalAs(UnmanagedType.U4)] int nSize);


        [DllImport("psapi.dll", SetLastError = true)]
        public static extern bool GetModuleInformation(
            IntPtr hProcess,
            IntPtr hModule,
            out MODULEINFO lpmodinfo,
            uint cb);

希望能够实时获取微信接收消息的内存地址，这个功能比较实用，可以扩展很多有用的功能，本人自己也找了下，发现地址每次微信启动都会变化，没有找到相对的偏移地址，可能我方法不对，希望大佬指导下或者下一次版本发布新增下这个地址，感谢。

微信昵称、微信账号、微信手机号、微信邮箱（高版本失效，这个随便填）、微信KEY
这里的微信账号指的是一年只能更改1次的的那个微信号么
还是 wxid_2twfxxxxxxxz622 这种

为什么我登陆了微信还是显示WeChat Base Address Get Faild呢

直接拖拽MSG0.db到native
这样操作有问题吗

方便更新下最新版本不

微信聊天记录没有放在默认地址，程序无法获取数据库

PS E:\浏览器下载\SharpWxDump-master\SharpWxDump-master> .\Program.exe
[+] WeChatProcessPID: 32228
[-] WeChat Base Address Get Faild
[+] Done

微信版本：3.9.2.26
代码版本：最新版编译

不能支持wechatstore(Win10商店版微信)的版本,这个版本进程名叫wechatstore,不是wechat，所以获取不到微信登录情况，可以增加一种情况

匹配3.9.6.17版本的偏移为：
{3.9.6.17,{61972568,61972344,61972376,38986104,61973840}}

WeChatVersion: 3.7.5.23

有没有大神共享一下一键获取的代码或应用，每次改这个太痛苦了。

现在这个操作起来还是比较麻烦（甚至自己为此安装了vs），能否在release中提供打包好的程序？

此处提供一个23.4.2打包好的程序，供同道中人使用

Program.zip

匹配3.9.6.29版本的偏移为：
{3.9.6.29,{62030536,62030312,62030344,38986104,62031808}}

最后一次更新，以后有版本更新 需要偏移的请留言

在本地解密自己聊天记录显示成功 也能在Navicat 打开

今天，2022年11月20日调试了一下程序SharpWxDump.exe，提示“WeChat Current Version Is: 3.8.0.25 Not Support”。
这时候我执行：wx-dump-key-v0.1.1.exe ，也提示未支持，但微信WeChat Key还是获取到了。
我把微信升级到了版本3.8.0.41，倒是完美支持了。希望可以互相借鉴一下，wx-dump-key-v0.1.1.exe获取key似乎不受版本影响：

关于wx-dump-key-v0.1.1.exe 的项目地址是：
https://github.com/sn00pyd0g3/wechat-export
关于wx-dump-key-v0.1.1.exe 的文章地址是：
https://www.t00ls.com/thread-66924-1-1.html
他文章里提到的关键代码：
`// 内存搜索
func patternScan(proc win32.HANDLE, pat []byte) ([]win32.PVOID, error) {
var next_region uintptr
next_region = 0
allowed_protections := []int{
PAGE_EXECUTE_READ,
PAGE_EXECUTE_READWRITE,
PAGE_READWRITE,
PAGE_READONLY,
}
var foundAddrs []win32.PVOID

for {
   mi, err := win32.QueryMemoryInfo(proc, win32.LPCVOID(next_region))
   if err != nil {
     break
   }
   next_region = uintptr(mi.BaseAddress) + uintptr(mi.RegionSize)
   if mi.NoAccess || !lo.Contains(allowed_protections, int(mi.Protect)) || mi.State != MEM_COMMIT {
     continue
   }

   memBuf, err := win32.NtReadVirtualMemory(proc, win32.PVOID(mi.BaseAddress), int64(mi.RegionSize))
   if err != nil {
     continue
   }

   // indexAll
   baseOffset := 0
   for {
     offset := bytes.Index(memBuf, pat)
     if offset > -1 {
      addr := mi.BaseAddress + win32.PVOID(baseOffset) + win32.PVOID(offset)
      foundAddrs = append(foundAddrs, addr)
      memBuf = memBuf[offset+len(pat):] // offset+len(pat) or offset ?
      baseOffset += offset + len(pat)
     } else {
      break
     }
   }
}
return foundAddrs, nil

}`

3.9.0.28版本 邮箱地址乱码：

匹配3.9.6.19版本的偏移为：
{3.9.6.19,{61997688,61997464,61997496,38986104,61998960}}

版本：3.9.6.33
成功获取数据库密钥，但是解密数据库提示密码错误

授人以鱼不如授人以渔，建议作者可以详细讲讲如何获取版本对应list里的内存基址（最好是cheat engine的教程）

版本：3.9.6.43

怎么解决一下