WeChat 4.0 Database Decryptor

微信 4.0 (Windows) 本地数据库解密工具。从运行中的微信进程内存提取加密密钥，解密所有 SQLCipher 4 加密数据库，并提供实时消息监听。

原理

微信 4.0 使用 SQLCipher 4 加密本地数据库：

• 加密算法: AES-256-CBC + HMAC-SHA512
• KDF: PBKDF2-HMAC-SHA512, 256,000 iterations
• 页面大小: 4096 bytes, reserve = 80 (IV 16 + HMAC 64)
• 每个数据库有独立的 salt 和 enc_key

WCDB (微信的 SQLCipher 封装) 会在进程内存中缓存派生后的 raw key，格式为 x'<64hex_enc_key><32hex_salt>'。本工具通过扫描进程内存中的这种模式，匹配数据库文件的 salt，并通过 HMAC 验证来提取正确的密钥。

使用方法

环境要求

• Windows 10/11
• Python 3.10+
• 微信 4.0 (正在运行)
• 需要管理员权限 (读取进程内存)

安装依赖

pip install pycryptodome

1. 配置

复制配置模板并修改：

copy config.example.json config.json

编辑 config.json：

{
    "db_dir": "D:\\xwechat_files\\你的微信ID\\db_storage",
    "keys_file": "all_keys.json",
    "decrypted_dir": "decrypted",
    "wechat_process": "Weixin.exe"
}

db_dir 路径可以在 微信设置 → 文件管理 中找到。

2. 提取密钥

确保微信正在运行，以管理员权限运行：

python find_all_keys.py

密钥将保存到 all_keys.json。

3. 解密数据库

python decrypt_db.py

解密后的数据库保存在 decrypted/ 目录，可以直接用 SQLite 工具打开。

4. 实时消息监听

Web UI (推荐)

python monitor_web.py

打开 http://localhost:5678 查看实时消息流。

• 30ms 轮询 WAL 文件变化 (mtime)
• 检测到变化后全量解密 + WAL patch (~70ms)
• SSE 实时推送到浏览器
• 总延迟约 100ms

命令行

python monitor.py

每 3 秒轮询一次，在终端显示新消息。

5. MCP Server (Claude AI 集成)

将微信数据查询能力接入 Claude Code，让 AI 直接读取你的微信消息。

pip install mcp

注册到 Claude Code：

claude mcp add wechat -- python C:\Users\你的用户名\wechat-decrypt\mcp_server.py

或手动编辑 ~/.claude.json：

{
  "mcpServers": {
    "wechat": {
      "type": "stdio",
      "command": "python",
      "args": ["C:\\Users\\你的用户名\\wechat-decrypt\\mcp_server.py"]
    }
  }
}

注册后在 Claude Code 中即可使用以下工具：

前置条件：需要先完成步骤 1-2（配置 + 提取密钥）。

查看使用案例 →

文件说明

技术细节

WAL 处理

微信使用 SQLite WAL 模式，WAL 文件是预分配固定大小 (4MB)。检测变化时：

• 不能用文件大小 (永远不变)
• 使用 mtime 检测写入
• 解密 WAL frame 时需校验 salt 值，跳过旧周期遗留的 frame

数据库结构

解密后包含约 26 个数据库：

• session/session.db - 会话列表 (最新消息摘要)
• message/message_*.db - 聊天记录
• contact/contact.db - 联系人
• media_*/media_*.db - 媒体文件索引
• 其他: head_image, favorite, sns, emoticon 等

免责声明

本工具仅用于学习和研究目的，用于解密自己的微信数据。请遵守相关法律法规，不要用于未经授权的数据访问。