4 | 18504
180550
180553 | 图片信息
来源会话
图片URL
图片名称 | 50 | | 180561 | 图片本地缓存路径 | 51 | | 180610 | 文件保存位置 | 52 | 53 | 54 | 55 | ## `content_list_info_table` 56 | 57 | * 聊天记录和笔记类收藏才存在此信息 58 | 59 | | 列名 | 类型 | 含义 | 注 | 60 | | ------ | ----------------------------------------- | ----------------- | -------------------------------- | 61 | | 180700 | str | sid | 与180001对应,可用于确定收藏消息 | 62 | | 180720 | int | last updated time | 与180011对应,最后编辑时间 | 63 | | 180708 | protobuf | favorite content | protobuf,收藏实际内容 | 64 | 65 | -------------------------------------------------------------------------------- /docs/view/read_db.md: -------------------------------------------------------------------------------- 1 | --- 2 | title: NTQQ 读取数据库 3 | prev: false 4 | order: 1 5 | --- 6 | 7 | # NTQQ 读取数据库 8 | 9 | 阅读本文前,您应当已经通过其他方法,获取到了数据库的已解密文件。如果没有,请参考:[NTQQ 解密数据库](/decrypt/decode_db.md)。 10 | 11 | 以下以 `nt_msg.db` 代指已解密的数据库文件。 12 | 13 | 目前已知消息格式为`protobuf`,较为复杂,可使用 [CyberChef](https://gchq.github.io/CyberChef/#recipe=Protobuf_Decode('',false,false)Decode_text('UTF-8%20(65001)')) 工具进行自动解析,相关解析代码可以参考[提取QQ NT数据库 group_msg_table 中的纯文本](https://github.com/QQBackup/ntdb-plaintext-extracter)、[这份 Python 代码](https://github.com/QQBackup/QQ-History-Backup/issues/9#issuecomment-1929105881)与[这份 protobuf 定义](https://github.com/QQBackup/qq-win-db-key/issues/38#issuecomment-2294619828),完整实现暂无,欢迎贡献。 14 | 15 | ## db文件内容说明 16 | 17 | /data/user/0/com.tencent.mobileqq/databases/nt_db/nt_qq_{QQ_path_hash}/路径下db文件分析 18 | | 是否完成分析 | 数据库名字 | 分析 | 19 | | ------------ | ------------------------------------------------------------ | -------------------------------------------- | 20 | | 🤔 | nt_msg.db | 聊天数据文件 | 21 | | ✅ | profile_info.db | 联系人信息 | 22 | | 🤔 | rich_media.db | 群聊或私聊发送/接收的文件信息存贮路径 | 23 | | ✅ | files_in_chat.db | 媒体文件信息(包括下载的图片视频路径) | 24 | | 🤔 | recent_contact.db | (推测为黑名单,待测试) | 25 | | ❓ | gpro_v1-6_{nt_uid}.db | (由于暂未实现数据库解密无法分析) | 26 | | ✅ | group_info.db | 群聊信息 | 27 | | 🤔 | guild_msg.db | 频道聊天数据 | 28 | | ✅ | collection.db | QQ收藏数据 | 29 | | 🤔 | file_assistant.db | 已下载文件存放数据 | 30 | | 🤔 | misc.db | 见下表 | 31 | | ✅ | emoji.db | (存贮QQ表情包的数据库) | 32 | | ✅ | group_msg_fts.db | 本地搜索使用的数据库 | 33 | | ✅ | data_line_msg_fts.db| 本地搜索使用的数据库 | 34 | | ✅ | buddy_msg_fts.db | 本地搜索使用的数据库 | 35 | | ✅ | discuss_msg_fts.db | 本地搜索使用的数据库 | 36 | | ✅ | msg_fts.db | 本地搜索使用的数据库 | 37 | | ✅ | ~~rdelivery.db~~ | (文件中未发现有效信息) | 38 | | ✅ | ~~settings.db~~ | (无法理解的设置信息,有效信息很少,不再分析) | 39 | | ✅ | ~~yffm.db~~ | (文件中未发现有效信息) | 40 | 41 | 42 | # 注: 43 | ~~已被删除~~是在本人数据库中未发现有意义的数据,因此后续不再探查 44 | 蓝色字体是存在有效信息的数据库,有待继续分析 45 | ✅的是已完成对表名的分析(列名会单独重开分析) 46 | 当然如果你发现你号对应的db中含有有价值的数据也欢迎提出,再分析……( 47 | 48 | 49 | 50 | ## 社区项目 51 | 52 | 网站收集了互联网上其他有关解析 NTQQ 数据库的开源项目,具体可在[这里](/about/projects)查看 -------------------------------------------------------------------------------- /docs/public/files/android_get_backup_key.py: -------------------------------------------------------------------------------- 1 | from typing import Optional 2 | import frida 3 | import sys 4 | import platform 5 | import os 6 | import functools 7 | import subprocess 8 | 9 | # OPTIONS 10 | 11 | PACKAGE = "com.tencent.mobileqq" 12 | 13 | # OPTIONS END 14 | 15 | @functools.cache 16 | def isOnTermux() -> bool: 17 | if ( 18 | platform.system() == "Linux" 19 | and "ANDROID_ROOT" in os.environ.keys() 20 | and ( 21 | os.path.exists("/data/data/com.termux") 22 | or ("TERMUX_VERSION" in os.environ.keys()) 23 | ) 24 | ): 25 | return True 26 | return False 27 | 28 | 29 | generalident = "FF 03 02 D1 F8 5F 04 A9 F6 57 05 A9 F4 4F 06 A9 FD 7B 07 A9 FD C3 01 91 58 D0 3B D5 08 17 40 F9 F3 03 00 AA F4 03 01 AA E8 1F 00 F9 64 2A 40 B9 E4 04 00 34 68 1A 40 F9" 30 | funcident = { 31 | "8.9.76": generalident, 32 | } 33 | 34 | 35 | if __name__ == "__main__": 36 | if len(sys.argv) != 2 or sys.argv[1] not in funcident: 37 | print("usage: qq.version.number") 38 | print("supported version:", *funcident.keys()) 39 | sys.exit(1) 40 | 41 | print("仍在测试。") 42 | print("请先关闭 Magisk Hide 与 Shamiko") 43 | print("请先禁用 SELinux") 44 | print( 45 | "请先打开 QQ 并登录,进入主界面,然后运行该脚本,等待数秒后退出登录并重新登录。" 46 | ) 47 | print("若失败,可尝试彻底关闭 QQ 后直接运行") 48 | print("理论支持 Termux 与 桌面操作系统 运行") 49 | print("请勿使用 x86 或 x64 系统上的安卓模拟器。") 50 | print( 51 | """Termux 环境具体命令: 52 | sudo friendly # 重命名后的 frida-server 53 | python android_hook.py 54 | """ 55 | ) 56 | 57 | if isOnTermux(): 58 | device = frida.get_remote_device() 59 | pid_command = f"su -c 'pidof {PACKAGE}'" 60 | else: 61 | device = frida.get_usb_device() 62 | pid_command = f"adb shell su -c 'pidof {PACKAGE}'" 63 | running = True 64 | try: 65 | pid = int( 66 | subprocess.check_output(pid_command, shell=True) 67 | .decode() 68 | .strip() 69 | .split(" ")[0] 70 | ) 71 | except: 72 | running = False 73 | with open("android_get_backup_key.js", "rb") as f: 74 | jscode1 = f.read().decode() 75 | jscode1 = jscode1.replace("__single_function__parameter__", funcident[sys.argv[1]]) 76 | if running: 77 | print(PACKAGE + " is already running", pid) 78 | session = device.attach(pid) 79 | script = session.create_script(jscode1) 80 | else: 81 | pid = device.spawn([PACKAGE]) 82 | session = device.attach(pid) 83 | script = session.create_script(jscode1) 84 | device.resume(pid) 85 | print("QQ running!! pid = %d" % pid) 86 | 87 | def on_message(message, data): 88 | if message["type"] == "send": 89 | toprint = message["payload"] 90 | else: 91 | toprint = message 92 | toprint = str(toprint) 93 | # toprint=str(list(toprint)) 94 | print(toprint) 95 | 96 | script.on("message", on_message) 97 | script.load() 98 | print("Frida script injected.") 99 | sys.stdin.read() 100 | -------------------------------------------------------------------------------- /docs/public/files/ios_get_key.js: -------------------------------------------------------------------------------- 1 | // frida [-U/-R/-H/-D] QQ -l ios_get_key.js 2 | 3 | const ModuleName = "QQ"; 4 | 5 | // QQ(iOS) v9.0.1.620 6 | // SQLCipher v4.5.1 7 | const SQLLiteKeyV2Offset = 0xDA1BFB4; 8 | 9 | const sqlLiteKeyV2Addr = Module.findBaseAddress(ModuleName).add(SQLLiteKeyV2Offset); 10 | 11 | /** 12 | * @param {Array
22 |
23 | ①类图片会先将压缩过的图片存放至`chatimg`文件夹,在用户**手动点击下载原图**后将原图保存至`chatraw`文件夹中
24 |
25 | ②③类会将图片放至`charaw`文件夹
26 |
27 | ④类会将GIF本体保存在`chatraw`文件夹,静态预览图放在`chatimg`文件夹
28 |
29 | 所有类型都将缩略图存放在`chattumb`文件夹
30 |
31 |
32 | | | chatraw | chaimg | chattumb |
33 | | ---- | ------- | ------ | -------- |
34 | | ① | ⬜ | ✔ | ✔ |
35 | | ② | ✔ | ❌ | ✔ |
36 | | ③ | ✔ | ❌ | ✔ |
37 | | ④ | ✔ | ✔ | ✔ |
38 |
39 | ⬜需手动触发下载 ✔存在 ❌不存在
40 |
41 | :::
42 |
43 | ::: details 发送表情的分类
44 |
45 | QQ中的表情元素可分为四类
46 |
47 | | 类型 | 所属ElementType | 说明 |
48 | | ----------- | ----------------- | ---------------------- |
49 | | ①QQ系统表情 | FaceElement | 超级表情与小黄脸表情 |
50 | | ②emoji表情 | TextElement | 包括手机系统的原生表情 |
51 | | ③收藏表情 | PicElement | 用户自主收藏的表情 |
52 | | ④原创表情 | marketFaceElement | 表情商城中的表情 |
53 |
54 | ①类表情属于特殊Element,其公共表情可通过`faceid`在[QQBOT文档](https://bot.q.qq.com/wiki/develop/api-v2/openapi/emoji/model.html)中查询,在一些活动中QQ官方会增加**隐藏表情**,其`faceid`未被公开,但可通过已发送消息推断
55 |
56 | ②类表情将以文本形式发送(所以有时出现显示异常)
57 |
58 | ③类表情以图片形式发送
59 |
60 | ④类表情属于特殊Element,文件缓存在`.emotionsm`文件夹中
61 |
62 | :::
63 |
64 | >[!TIP]说明
65 | >关于发送是否为原图,可通过查询`original`(对应40080的Field Number=45418)判断
66 | >
67 | >0为非原图,1为原图
68 |
69 | ### 路径生成规律
70 |
71 | 在图片消息的40080 值中,Field Number`45406`称作 `md5HexStr` 值(32位小写),以下称为 ``{MD5}``,**所需格式为32位大写**
72 |
73 | 将目标文件夹名与 `{MD5}` 拼接,格式:
74 | ```
75 | chatimg:{MD5}
76 | ```
77 | 对拼接好的字符串执行 CRC64 哈希,使用固定多项式:
78 | ```
79 | 0x9A6C9329AC4BC9B5
80 | ```
81 | 得到一个 64 位整数。
82 |
83 | 将该整数转 16 进制,去掉 `0x` 前缀,并在前面加上 `Cache_`,得到文件名,并将文件名最后三位作为子文件夹名称
84 |
85 | 例如:Cache_d20372e27ef63b0 普通图片位于./chatimg/3b0/Cache_d20372e27ef63b0
86 |
87 | 若需原图路径,只需将代码中的 `chatimg` 替换为 `chatraw`,再进行CRC64运算即可,`chatthumb`同理
88 |
89 | 示例脚本代码
90 |
91 | ::: code-group
92 |
93 | ````python [Python]
94 | import os
95 |
96 | def crc64(s):
97 | _crc64_table = [0] * 256
98 | for i in range(256):
99 | bf = i
100 | for _ in range(8):
101 | bf = bf >> 1 ^ -7661587058870466123 if bf & 1 else bf >> 1
102 | _crc64_table[i] = bf
103 | v = -1
104 | for c in s:
105 | v = _crc64_table[(ord(c) ^ v) & 255] ^ v >> 8
106 | return v
107 |
108 | def get_img_path(md5, folder):
109 | url = f"{folder}:{md5}"
110 | filename = 'Cache_' + hex(crc64(url)).replace('0x', '')
111 | return os.path.join(f"./{folder}/", filename[-3:], filename).replace("\\", "/")
112 | :::
113 |
114 | ## 已挖到的api
115 | - 群头像
116 |
117 | api地址
118 | ```
119 | https://p.qlogo.cn/gh/{random}/{groupid}/{s}
120 | ```
121 | 其中`groupid`为群号,`{random}`可为任意值不影响最终查询,在`groupid`后加_blank{order},可以获取历史头像
122 |
123 |
124 | `s`为头像大小,目前发现tx提供有40、100、140、640几种,当值为`0`时为原始图片大小,也可不附加此参数,默认返回等同参数`0`
125 |
126 | 例子
127 | ```
128 | https://p.qlogo.cn/gh/0/9********1_1/140
129 | ```
130 | 获取群号为`9********1`大小为140x140的群头像
131 | - ⬜ 群名称api
132 | - 用户头像
133 |
134 | api地址
135 | ```
136 | https://q1.qlogo.cn/g?b=qq&nk={uin}&s={s}
137 | ```
138 | 其中`{uin}`为QQ号,`{s}`值用法同上,**必须携带有效s值才可查询**
139 | - ⬜ 用户名称api
140 |
141 |
142 | 以上信息或许会从本地进行获取
143 |
--------------------------------------------------------------------------------
/docs/decrypt/decode_db.md:
--------------------------------------------------------------------------------
1 | ---
2 | title: NTQQ 解密数据库
3 | next: false
4 | order: 11
5 | ---
6 |
7 | # NTQQ 解密数据库
8 | 阅读本文前,您应当已经通过其他方法,获取到了数据库的密钥。如果没有,请先阅读对应平台的教程。
9 |
10 | (目前)数据库密钥在代码中表示为`pKey`,其值为32位可见字符,例如`abcd1234.,.,ABCD1234567812345678`,以下以`pass`替代。密码在每次打开数据库时都可能改变,您应当在获取密码前、获取密码后均备份一份数据库,并对两份数据库均尝试使用获得的密码解密。
11 |
12 | (目前)加密使用SQLCipher,并更改了一些参数。
13 |
14 | 本教程适用于`nt_msg.db`或`group_msg_fts.db`,也可能可以用于其它部分数据库,以下统一以`nt_msg.db`代替。
15 |
16 | ## 环境
17 |
18 | 建议使用 非 Windows 环境。
19 |
20 | 以下标有`仅 Linux`字样的即代表不可直接使用 Windows 系统的`CMD`或`Powershell`等执行。
21 |
22 | 若为 Windows,可使用 WSL / Git Bash 等模拟 Linux 环境;若为 Android,可使用 Termux 模拟 Linux 环境。
23 |
24 | ## 移除无关文件头
25 |
26 | 由于`nt_msg.db`文件前面有 1024 字节的文件头,导致通常的 SQLite 无法识别。为了使 SQLite 支持读写此类数据库,需要使用以下两种方案中任意一种。
27 |
28 | `复制至新文件`方法:优点为可以直接得到一个正常的 SQLite 3 数据库,缺点为需要完整读写整个数据库,导致存储空间占用、存储设备损耗,并且不能直接读写QQ数据目录下的数据库文件。
29 |
30 | `使用VFS扩展`方法:解决了`复制至新文件`方法的缺点,但是需要在打开数据库时进行额外操作。
31 |
32 | ### 复制至新文件
33 |
34 | 首先,将`nt_msg.db`文件删除前1024字节,这可以通过以下方式完成:
35 |
36 | 使用二进制编辑器:Android 下的 [MT 管理器](https://d.binmt.cc/)(需要付费)、Windows 下的 [HxD](https://mh-nexus.de/en/hxd/) 等软件均可使用,细节从略。
37 |
38 | 使用`tail`命令(仅 Linux):`tail -c +1025 nt_msg.db > nt_msg.clean.db`
39 |
40 | 使用 Python:`python -c "open('nt_msg.clean.db','wb').write(open('nt_msg.db','rb').read()[1024:])"`
41 |
42 | 完成后,得到`nt_msg.clean.db`文件。
43 |
44 | ### 使用VFS扩展
45 |
46 | 对于详细教程,请参考[此文档](https://github.com/artiga033/ntdb_unwrap/tree/main/sqlite_extension#%E7%94%A8%E6%B3%95),以下只介绍大概流程。
47 |
48 | 首先,下载对应平台的动态链接库文件,以下假设文件名为`libsqlite_ext_ntqq_db.so`。不同平台下的文件名可能不同,请在以下流程中使用对应文件名。请勿重命名该文件。
49 |
50 | 若使用`sqlcipher`命令行,在读取数据库阶段,在运行`.open nt_msg.db`之前,运行`.load libsqlite_ext_ntqq_db.so`。
51 |
52 | 若使用`DB Browser for SQLite`等图形化界面,首先执行`新建内存数据库`,再执行`工具->加载扩展`,选择`libsqlite_ext_ntqq_db.so`。成功加载后,再打开`nt_msg.db`即可。
53 |
54 | 与上述扩展原理相似的还有[此扩展](https://github.com/zqhong/sqlite_header_vfs),基于 C 语言(而非上述扩展使用的 Rust)。二者效果相同,使用方式略有差别,可自行阅读对应文档并尝试使用。
55 |
56 |
57 | ## 打开数据库
58 |
59 | 打开数据库可以通过 [SQLiteStudio](https://sqlitestudio.pl/)、[DB Browser for SQLite](https://sqlitebrowser.org/) 或`sqlcipher`命令行 等工具完成。
60 |
61 | ::: tip 如打开就报错file is not a database
62 | 请注意DB Browser应使用DB Browser (SQLCipher)而非DB Browser (SQLite)
63 | :::
64 | ## 通用配置选项
65 |
66 | 见下。注意`cipher_hmac_algorithm`在一些版本中可能为`HMAC_SHA256`,以下部分截图也使用了此值,请自行尝试更改。
67 |
68 | ```shell
69 | PRAGMA key = 'pass'; -- pass 替换为之前得到的密码(32字节字符串)
70 | PRAGMA cipher_page_size = 4096;
71 | PRAGMA kdf_iter = 4000; -- 非默认值 256000
72 | PRAGMA cipher_hmac_algorithm = HMAC_SHA1; -- 非默认值(见上文)
73 | PRAGMA cipher_default_kdf_algorithm = PBKDF2_HMAC_SHA512;
74 | PRAGMA cipher = 'aes-256-cbc';
75 | ```
76 |
77 | ### DB Browser for SQLite
78 |
79 | 选择 `nt_msg.clean.db`,按需修改`KDF iterations`与`HMAC algorithm`(见上文[通用配置选项](#通用配置选项)修改):
80 |
81 | “SQLCipher 加密”窗口中的具体配置选项(英文,macOS 视图)" width="70%" />
82 |
83 | 
84 |
85 | DB Browser for SQLite 中,正常打开数据库后可看到 buddy_list 等表" width="70%" />
86 |
87 | ### SQLiteStudio
88 |
89 | 数据库类型选 SQLCipher,密码(密钥)为空,加密算法配置(可选)输入上文[通用配置选项](#通用配置选项)中内容。
90 |
91 | ### sqlcipher CLI
92 |
93 | > 参考资料:[找到了Linux QQ NT聊天记录数据库密钥](https://gist.github.com/bczhc/c0f29920d4e9d0cc6d2c49f7f2fb3a78)
94 |
95 | 对于Linux,从包管理器安装`sqlcipher`包;对于Windows,从[QQBackup/sqlcipher-github-actions](https://github.com/QQBackup/sqlcipher-github-actions/releases/tag/latest)下载SQLCipher可执行文件。
96 |
97 | 以下命令适用于Linux环境下的Bash等shell,Windows下可使用Git Bash等代替。
98 |
99 | `sqlcipher nt_msg.clean.db "pragma key = 'pass'; pragma kdf_iter = 4000; pragma cipher_hmac_algorithm = HMAC_SHA1;" .d | tail +2 | sqlite3 nt_msg.decrypt.db`
100 |
101 | ## 读取数据库内容
102 |
103 | 请参考 [NTQQ 读取数据库](/view/read_db)。
104 |
--------------------------------------------------------------------------------
/docs/public/files/QQ_Offset.json:
--------------------------------------------------------------------------------
1 | {
2 | "9.9.7.21804": {
3 | "offsets": ["0x326E950", "0x4a27df8"],
4 | "contributor": "r4inb00w",
5 | "timestamp": "2025/08/11"
6 | },
7 | "9.9.10.23873": {
8 | "offsets": ["0x359CB10", "0x4E82ED8"],
9 | "contributor": "r4inb00w",
10 | "timestamp": "2025/08/11"
11 | },
12 | "9.9.12.25493": {
13 | "offsets": ["0x26A3880", "0x52E8091"],
14 | "contributor": "r4inb00w",
15 | "timestamp": "2025/08/11"
16 | },
17 | "9.9.12.26466": {
18 | "offsets": ["0x26A7950", "0x52EDA61"],
19 | "contributor": "r4inb00w",
20 | "timestamp": "2025/08/11"
21 | },
22 | "9.9.15.26909": {
23 | "offsets": ["0x2AA6BB0", "0x5A90A31"],
24 | "contributor": "r4inb00w",
25 | "timestamp": "2025/08/11"
26 | },
27 | "9.9.15.27391": {
28 | "offsets": ["0x263F7E0", "0x54A0C11"],
29 | "contributor": "r4inb00w",
30 | "timestamp": "2025/08/11"
31 | },
32 | "9.9.15.27597": {
33 | "offsets": ["0x25AE940", "0x5462331"],
34 | "contributor": "r4inb00w",
35 | "timestamp": "2025/08/11"
36 | },
37 | "9.9.15.28131": {
38 | "offsets": ["0x25d0630", "0x548E971"],
39 | "contributor": "r4inb00w",
40 | "timestamp": "2025/08/11"
41 | },
42 | "9.9.16.29271": {
43 | "offsets": ["0x261DF90", "0x55032A1"],
44 | "contributor": "r4inb00w",
45 | "timestamp": "2025/08/11"
46 | },
47 | "9.9.17.30594": {
48 | "offsets": ["0x2703A10", "0x5748321"],
49 | "contributor": "r4inb00w",
50 | "timestamp": "2025/08/11"
51 | },
52 | "9.9.17.30899": {
53 | "offsets": ["0x270AB90", "0x5781FA1"],
54 | "contributor": "r4inb00w",
55 | "timestamp": "2025/08/11"
56 | },
57 | "9.9.17.31363": {
58 | "offsets": ["0x2745C70", "0x57DAC41"],
59 | "contributor": "r4inb00w",
60 | "timestamp": "2025/08/11"
61 | },
62 | "9.9.18.32690": {
63 | "offsets": ["0x2762620", "0x58245D1"],
64 | "contributor": "r4inb00w",
65 | "timestamp": "2025/08/11"
66 | },
67 | "9.9.18.32869": {
68 | "offsets": ["0x27637E0", "0x58175D1"],
69 | "contributor": "r4inb00w",
70 | "timestamp": "2025/08/11"
71 | },
72 | "9.9.18.33139": {
73 | "offsets": ["0x26A7370", "0x5791AA1"],
74 | "contributor": "r4inb00w",
75 | "timestamp": "2025/08/11"
76 | },
77 | "9.9.19-34362": {
78 | "offsets": ["0x27AAD90", ""],
79 | "contributor": "YisRime",
80 | "timestamp": "2025/08/17"
81 | },
82 | "9.9.19.34740": {
83 | "offsets": ["0x27AD3F0", "0x5B52891"],
84 | "contributor": "r4inb00w",
85 | "timestamp": "2025/08/11"
86 | },
87 | "9.9.19.35469": {
88 | "offsets": ["0x27BBBE0", "0x5B6FB51"],
89 | "contributor": "r4inb00w",
90 | "timestamp": "2025/08/11"
91 | },
92 | "9.9.20.36330": {
93 | "offsets": ["0x2057640", ""],
94 | "contributor": "r4inb00w",
95 | "timestamp": "2025/08/11"
96 | },
97 | "9.9.20.36580": {
98 | "offsets": ["0x2070A20", ""],
99 | "contributor": "r4inb00w",
100 | "timestamp": "2025/08/11"
101 | },
102 | "9.9.20.37051": {
103 | "offsets": ["0x20A34E0", ""],
104 | "contributor": "r4inb00w",
105 | "timestamp": "2025/08/11"
106 | },
107 | "9.9.20.37625": {
108 | "offsets": ["0x20A6E10", ""],
109 | "contributor": "shenapex",
110 | "timestamp": "2025/08/11"
111 | },
112 | "9.9.21.38503": {
113 | "offsets": ["0x20C5BF0", ""],
114 | "contributor": "shenapex",
115 | "timestamp": "2025/08/17"
116 | }
117 | }
--------------------------------------------------------------------------------
/docs/view/db_file_analysis/emoji.db.md:
--------------------------------------------------------------------------------
1 | ---
2 | title: emoji.db
3 | order: 4
4 | ---
5 |
6 | # emoji.db
7 | ## `base_sys_emoji_table`
8 | QQ默认表情数据
9 | | 列名 | 类型 | 含义 | 说明 |
10 | | ----- | ----------------------------------------- | -------------------- | -------------------------------------------------------- |
11 | | 81211 | str | 表情ID | |
12 | | 81212 | str | 表情描述(外显文字) | |
13 | | 81218 | protobuf | protobuf格式 | 为81229与81230的下载链接内容 |
14 | | 81221 | int | 特殊类表情标识 | 0为正常,1为特殊 |
15 | | 81224 | int | 特殊限定类表情标识 | |
16 | | 81225 | int | 特殊限定类表情标识 | |
17 | | 81226 | int | EmojiType | 系统表情为1,emoji表情为2,动态可变表情为3(比如掷骰子) |
18 | | 81266 | int | 表情类型说明 | |
19 | | 81229 | str | 静态图片下载地址 | |
20 | | 81230 | str | APNG图片下载地址 | emoji 表情没有此链接 |
21 |
22 | `bottom_emoji_table`:protobuf格式,包含该账号下已收藏的原创表情数据
23 |
24 | `emoji_config_storage_table`:QQ系统表情数据
25 |
26 | `emoji_group_table`:包含表情ID说明(如 超级表情0-16)
27 |
28 | `emoji_misc_data_table`:QQ默认表情下载地址
29 |
30 | ## `fav_emoji_info_storage_table`
31 | QQ收藏表情数据
32 |
33 | | 列名 | 类型 | 含义 | 说明 |
34 | | ----- | ---- | -------------- | ------------------------------------------------------- |
35 | | 80002 | str | 文件名 | 格式为`{uin}_0_0_0_{MD5}_0_0` |
36 | | 80001 | int | 表情排序 | 倒序,即最新的收藏表情序号为0 |
37 | | 1002 | str | 收藏用户uin | |
38 | | 80012 | str | 本地存贮路径 | |
39 | | 80010 | str | 下载地址 | 格式为`hxxps://p.qpic.cn/qq_expression/{1002}/{8002}/0` |
40 | | 80011 | str | 表情MD5 | 32位大写 |
41 | | 80213 | int | 是否为原创表情 | 0为否,1为是 |
42 | | 80201 | str | 原创表情标识符 | 当80213为1时,显示为对应原创表情的标识符 |
43 | | 80202 | int | 原创表情包ID | 当80213为1时,显示对应原创表情包ID |
44 | | 80223 | str | 表情备注 | |
45 | | 80225 | str | 表情备注 | |
46 |
47 | ## `market_emoticon_package_table`
48 | 原创表情市场
49 | | 列名 | 含义 | 说明 |
50 | | ------ | -------- | ----------------------------------------------------------------------------------- |
51 | | 80943 | 原创表情 ID | 知道 ID 可在 ../{uin}/nt_qq/nt_data/Emoji/marketface/{ID} 找到已缓存的原创表情包 |
52 | | 80947 | 原创表情包名字 | |
53 | | 80948 | 表情包说明 | |
54 |
55 | ## `market_emoticon_table`
56 | 已下载的原创表情信息
57 | | 列名 | 含义 | 说明 |
58 | | ------ | ---------- | ---------------------------------------------- |
59 | | 80920 | 表情标识符 | |
60 | | 80943 | 原创表情包 ID | |
61 | | 80921 | 表情描述 | 外显文字 |
62 |
63 |
--------------------------------------------------------------------------------
/docs/public/files/pcqq_get_key.py:
--------------------------------------------------------------------------------
1 | import frida
2 | import sys
3 | import psutil
4 |
5 | QQ_PID = None
6 | # GUI -> ['C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe']
7 | # 要hook的 -> ['C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe', '/hosthwnd=2164594', '/hostname=QQ_IPC_{12345678-ABCD-12EF-9976-18373DEAB821}', '/memoryid=0', 'C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe']
8 | for pid in psutil.pids():
9 | p = psutil.Process(pid)
10 | if p.name() == "QQ.exe" and len(p.cmdline()) > 1:
11 | QQ_PID = pid
12 | del p
13 | break
14 |
15 | if QQ_PID is None:
16 | print("QQ not launched. exit.")
17 | sys.exit(1)
18 | print("QQ pid is:", QQ_PID)
19 | demo_script = """
20 | var pMessageBoxW = Module.findExportByName("user32.dll", 'MessageBoxA')
21 | var lpText = Memory.allocAnsiString("I'm New MessageBox");
22 | var funMsgBox = new NativeFunction(pMessageBoxW, 'uint32',['uint32','pointer','pointer','uint32']);
23 |
24 | funMsgBox(0, ptr(lpText), ptr(lpText), 0);
25 | """
26 | hook_script = """
27 | function buf2hex(buffer) {
28 | const byteArray = new Uint8Array(buffer);
29 | const hexParts = [];
30 | for(let i = 0; i < byteArray.length; i++) {
31 | const hex = byteArray[i].toString(16);
32 | const paddedHex = ('00' + hex).slice(-2);
33 | hexParts.push(paddedHex);
34 | }
35 | return '0x' + hexParts.join(', 0x');
36 | }
37 |
38 | const kernel_util = Module.load('KernelUtil.dll');
39 | function single_function(pattern) {
40 | pattern = pattern.replaceAll("##", "").replaceAll(" ", "").toLowerCase().replace(/\\s/g,'').replace(/(.{2})/g,"$1 ");
41 | var akey_function_list = Memory.scanSync(kernel_util.base, kernel_util.size, pattern);
42 | if (akey_function_list.length > 1) {
43 | send("pattern FOUND MULTI!!")
44 | send(pattern)
45 | send(akey_function_list)
46 | send("!!exit")
47 | }
48 | if (akey_function_list.length == 0) {
49 | send("pattern NOT FOUND!!")
50 | send("!!exit")
51 | }
52 | return akey_function_list[0]['address'];
53 | }
54 |
55 | // const key_function = Module.findExportByName("KernelUtil.dll", 'sqlite3_key')
56 | const key_function = single_function("55 8b ec 56 6b 75 10 11 83 7d 10 10 74 0d 68 17 02 00 00 e8")
57 | const name_function = single_function("55 8B EC FF 75 0C FF 75 08 E8 B8 D1 02 00 59 59 85")
58 | // send(key_function)
59 | var funcName = new NativeFunction(name_function, 'pointer', ['pointer', 'pointer']);
60 |
61 |
62 | Interceptor.attach(key_function, {
63 | onEnter: function (args, state) {
64 |
65 | console.log("[+] key found:");
66 | var dbName = funcName(args[0], NULL).readUtf8String();
67 | if (dbName.replaceAll('/', '\\\\').split('\\\\').pop().toLowerCase() == 'Msg3.0.db'.toLowerCase() || false) {
68 | //console.log("¦- db: " + args[0]);
69 | console.log("¦- nKey: " + args[2].toInt32());
70 | //console.log("¦- pkey: " + args[1]);
71 | console.log("¦- *pkey: " + buf2hex(args[1].readByteArray(args[2].toInt32())));
72 | console.log("¦- dbName: " + funcName(args[0], NULL).readUtf8String());
73 | //console.log("¦- *pkey: " + buf2hex(Memory.readByteArray(new UInt64(args[1]), args[2])));
74 | }
75 | },
76 |
77 | onLeave: function (retval, state) {
78 | }
79 |
80 | });
81 | """
82 |
83 | session = frida.get_local_device().attach(QQ_PID)
84 | script = session.create_script(hook_script)
85 |
86 |
87 | def on_message(message, data):
88 | if message["type"] == "send":
89 | if message["payload"] == "!!exit":
90 | exit(3)
91 | print(message["payload"])
92 | elif message["type"] == "error":
93 | print(message["stack"])
94 |
95 |
96 | def on_destroyed():
97 | print("process exited.")
98 | sys.exit(0)
99 |
100 |
101 | script.on("message", on_message)
102 | script.on("destroyed", on_destroyed)
103 | script.load()
104 | print("hooked.")
105 | sys.stdin.read()
106 |
--------------------------------------------------------------------------------
/docs/public/files/android_hook_md5.py:
--------------------------------------------------------------------------------
1 | from typing import Optional
2 | import frida
3 | import sys
4 | import platform
5 | import os
6 | import functools
7 | import subprocess
8 |
9 | # OPTIONS
10 |
11 | PACKAGE = "com.tencent.mobileqq"
12 |
13 | # OPTIONS END
14 |
15 | @functools.cache
16 | def isOnTermux() -> bool:
17 | if (
18 | platform.system() == "Linux"
19 | and "ANDROID_ROOT" in os.environ.keys()
20 | and (
21 | os.path.exists("/data/data/com.termux")
22 | or ("TERMUX_VERSION" in os.environ.keys())
23 | )
24 | ):
25 | return True
26 | return False
27 |
28 |
29 | general_script = """
30 | const module_name = "libbasic_share.so"
31 |
32 | function hook(){
33 | /*
34 | * https://codeshare.frida.re/@oleavr/read-std-string/
35 | * Note: Only compatible with libc++, though libstdc++'s std::string is a lot simpler.
36 | */
37 |
38 | function readStdString (str) {
39 | const isTiny = (str.readU8() & 1) === 0;
40 | if (isTiny) {
41 | return str.add(1).readUtf8String();
42 | }
43 | return str.add(2 * Process.pointerSize).readPointer().readUtf8String();
44 | }
45 |
46 | var result_addr;
47 |
48 | const upd = {
49 | onEnter: function(args) {
50 | // console.log('Backtrace 1:\\n' + Thread.backtrace(this.context).map(DebugSymbol.fromAddress).join('\\n') + '\\n');
51 | console.log('update param ->', args[1].readCString(args[2].toInt32()));
52 | // result_addr = args[1]
53 | // console.log("¦- *zDb: " + args[0].readCString());
54 | }
55 | }
56 | const ggg = {
57 | onLeave: function(ret) {console.log('MD5:', readStdString(ret))}
58 | }
59 | // Interceptor.attach(Module.findBaseAddress('libkernel.so').add(0x1b394e0), ggg);
60 |
61 | //Interceptor.attach(Module.findExportByName(module_name, '_ZN4xpng8SHA1HashEPKhm'), ggg);
62 | //Interceptor.attach(Module.findExportByName(module_name, 'SHA256_Update'), ggg);
63 | Interceptor.attach(Module.findExportByName(module_name, '_ZN4xpng9MD5UpdateEPA88_cPKhm'), upd);
64 | ///////// Interceptor.attach(Module.findExportByName(module_name, '_ZN4xpng8MD5FinalEPNS_9MD5DigestEPA88_c'), ggg);
65 | Interceptor.attach(Module.findExportByName(module_name, '_ZN4xpng17MD5DigestToBase16ERKNS_9MD5DigestE'), ggg);
66 | //Interceptor.attach(Module.findExportByName('libxplatform.so', '_ZN2xp3md55CRC32EjPKhi'), ggg);
67 | }
68 |
69 |
70 | var hasHooked = false;
71 | console.log("Script loaded. Waiting for " + module_name + " to load...");
72 | const dlopen_process = {
73 | onEnter: function (args) {
74 | this.path = Memory.readUtf8String(args[0]);
75 | if (0) console.log("Loading " + this.path);
76 | },
77 | onLeave: function (retval) {
78 | if (this.path.indexOf(module_name) !== -1 && !hasHooked) {
79 | hasHooked = true;
80 | if (1) console.log("Hooked!!");
81 | hook();
82 | }
83 | },
84 | };
85 |
86 | try {
87 | Interceptor.attach(Module.findExportByName(null, "dlopen"), dlopen_process);
88 | } catch (err) {}
89 | try {
90 | Interceptor.attach(
91 | Module.findExportByName(null, "android_dlopen_ext"),
92 | dlopen_process
93 | );
94 | } catch (err) {}
95 |
96 | """
97 |
98 | if __name__ == "__main__":
99 | jscode = general_script
100 |
101 | if isOnTermux():
102 | device = frida.get_remote_device()
103 | pid_command = f"su -c 'pidof {PACKAGE}'"
104 | else:
105 | device = frida.get_usb_device()
106 | pid_command = f"adb shell su -c 'pidof {PACKAGE}'"
107 | pid = device.spawn([PACKAGE])
108 | session = device.attach(pid)
109 | script = session.create_script(jscode)
110 | device.resume(pid)
111 | print("QQ running!! pid = %d" % pid)
112 |
113 | def on_message(message, data):
114 | print(message)
115 |
116 | script.on("message", on_message)
117 | script.load()
118 | print("Frida script injected.")
119 | sys.stdin.read()
120 |
--------------------------------------------------------------------------------
/docs/about/碎碎念.md:
--------------------------------------------------------------------------------
1 | ---
2 | title: 碎碎念
3 | description: 我的想法
4 | sidebar: false
5 | next: false
6 | prev: false
7 | editLink: false
8 | hidesidebar: true
9 | ---
10 |
11 | # TODO
12 |
13 | - 完成对教程的动图或完整视频制作
14 | - 美化主题
15 | - 尽可能将教程小白化
16 |
17 | # 碎碎念……
18 |
19 | 可以说算是网站的更新日志?另外再夹杂着本人的胡言乱语(bushi
20 |
21 | ## 2025-11-21
22 | - 勉强更新一下下~
23 |
24 | ## 2025-10-01
25 | - 国庆快乐~
26 | - 项目又处于半荒废状态了……
27 |
28 | ## 2025-08-14
29 | - 诺瓦生日快乐~
30 | - 100star庆祝!
31 |
32 | ## 2025-08-02
33 | - 鸽了好久/_ \但是好累,啥也不想干……
34 | - 想不到还会犯一些低级错误
35 |
36 | ## 2025-06-28
37 | - 想不到真的有人投稿欸ww
38 |
39 | ## 2025-06-07
40 | - 等有时间会去分析频道数据库滴
41 |
42 | ## 2025-06-06
43 | - 要高考了啊……祝25届考生顺利~
44 |
45 | ## 2025-06-01
46 | - 儿童节快乐~
47 | - 从现在开始探查element的字段含义啦,祝顺利( •̀ ω •́ )✧
48 | - 看起来好多定义还是有一些问题,需要重新探查……
49 | - 我宣布Gemini 2.5 Pro 比 ChatGPT4o 好用(*  ̄︿ ̄)GPT生成的代码算出来完全是错的……怎么改都纠正不了,Gemini一次就给出了可以运行正确的代码
50 |
51 | ## 2025-05-31
52 | - 端午节快乐~
53 | - WW终于摸清本地图片缓存路径了,我真是个笨蛋,多项式早就确定没有变化了,结果败在了用小写MD5去计算,实际用的是的大写MD5
54 | - 将文件路径去中文化了^_~同时我也发现也不是大写字母就一定会好看hha
55 |
56 | ## 2025-05-18
57 | - 标记了所有发现数据的类型,并…对protobuf类型进行高亮
58 | - 在整理过程中我发现了一个~~绝望的事实~~,安卓端与win端上的数据部分表名不一致,即你有我没有,我甚至发现部分表名已经消失了?(。_。)
59 | - TODO一个也没完成(但是我确实也该考虑下学业了……~~那就把项目丢给Young-Lord当甩手掌柜吧~~
60 | - 小小庆祝下 50 star ?^_^以及,这是第90次commit
61 | ## 2025-05-04
62 | - 发现手机上多了两个db文件`filebridge_download.db`和`filebridge_pc.db`,但是暂时没有发现用处是啥……
63 | - 增加了`files_in_chat.db`与`rich_media.db`文件内容的解析
64 |
65 | ## 2025-05-01
66 | - 劳动节快乐~
67 | - 完成了对收藏信息的解析……其实早就知道他是存贮收藏信息的数据库了,但是当时忙着头大不想分析……
68 |
69 | ## 2025-04-25
70 | - 将近半个月没有更新的原因是……~~当然不是因为懒啦~~
71 | - 拖了大半年的 nt_msg.db 文件解析终于算是搞定了
72 | - ~~200多kb的logo文件严重拖慢网站速度~~
73 |
74 | ## 2025-04-04
75 | - `wrapper.node`文件的路径都变动好久了都没被发现……还是测试时发现路径对不上才知道的
76 |
77 | - 之前的图片缩放插件还是不太好用,换了一个……这个感觉不错
78 |
79 | - 虽然一直在尝试遵循[Conventional Commits](https://www.conventionalcommits.org/)规范,但是我发现对于一个纯文档站性质的项目想要遵循这类规范是很难的,主要是如何界定属于哪类修改……脑子比较乱,后续会尝试改改
80 |
81 | - 在逆向QQ安装包后发现其图片路径CRC64规律并没有改变……多项式与旧版QQ一致,不过我一直没法算出正确的图片路径……怀疑是`chatimg`在加载原图后被删除,只存原图在`chatraw`,具体的有待测试
82 |
83 | - 一转眼 QQDecrypt 项目也半年了……
84 |
85 | ## 2025-03-29
86 | 超级重大更新-O-
87 | 1. 网站的主页图标之前是随手拼接的,~~难看死了~~,现在找AI重新生成了一张,猫猫可爱捏\( ̄︶ ̄*\)))就是整体的色调看起来好奇怪
88 |
89 | 1. 404界面怎么能突兀的显示英文呢,~~全部给我变成猫猫~~
90 |
91 | 1. 终于把之前nt_msg.db的分析内容合并了,顺便增加了一些官方 `MsgRecord` 定义,说起来最近对于数据库的分析都开始懈怠了,以后会开始更专注于内容而不是网站本身
92 |
93 | 1. 社区项目我一直在想要不要引入一些卡片丰富一下内容,不过最后也没想好……
94 |
95 | 1. 把表名都写进了三级目录里,话说后面得考虑要不要加个搜索啥的(+_+)?
96 |
97 | 1. 之前虽然虽然更换了sidebar插件,不过一直没解决关于文件夹在sidebar中显示为英文的现象,也是我笨,搞了半天都要准备手写侧边栏了,结果发现插件配置里支持……不过为了隐藏空白的`index.md`倒是烦了我好一会儿,最后选择直接跳转到对应板块的说明文件去
98 |
99 | 1. 对上下页链接的中文描述因为我配置写错位置导致一直显示的是英文……笨(ノへ ̄、)至此,完成了主题描述的所有汉化,什么,为什么只有中文?现在的QQ基本没有海外用户了吧😆
100 |
101 | 1. 对社区项目进行分类,希望大家能更快速地寻找到自己想要的项目把
102 |
103 | ## 2025-03-21
104 | 超级重大更新(づ ̄ 3 ̄)づ
105 |
106 | - 这周在学校突然就想到了好多好多想改的( ´・・)ノ(._.`)
107 |
108 | 1. 那个已经两年没更新的 `vite-plugin-vitepress-auto-sideba` 插件……虽然现在还能用,但更新vitepress1.6.2后就警告我不兼容了……现在换成 `vitepress-sidebar` 真的舒服多了,更精细化的控制侧边栏显示(。・∀・)ノ゙
109 |
110 | 1. 之前我就觉得把解密和查看完全分开总感觉怪怪的,不过一直没时间来改,现在终于算是翻新了
111 |
112 | 1. GitHub的issues上有好多佬分享自己的项目,不过我除了能点个赞也做不了什么(太菜了),现在把他们全部聚合在一起方便大家寻找||ヽ(* ̄▽ ̄*)ノミ|Ю
113 |
114 | 1. 导航栏和button按钮一直不知道放啥,现在终于让她发挥出了该有的用处:)
115 |
116 | 1. 创建了TG频道`@QQBackup`, 不管用不用,先占个位吧……
117 |
118 | - 大家少熬夜呀⊙﹏⊙∥
119 |
120 |
121 |
122 | ## 2025-03-15
123 | - 可是一个人分析真的有用吗……如果没有其他人来核对最后发现大错特错还要重头来
124 |
125 | ## 2025-02-15
126 | - 要开学了啊,只能止步于此了
127 | - 把网站从泉州放出来了,公众号申诉真的有用欸
128 |
129 |
130 | ## 2025-02-10
131 | - 这几天累死我力(数据库好杂
132 | - 不过确实有收获的……只是一个人真的好累啊
133 | - 感觉对其他都提不起兴趣了……
134 |
135 |
136 | ## 2025-02-05
137 | - 迟到的新年快乐捏~
138 | - 对IDA教程再次进行了补充……希望小白也能看懂啊吧
139 |
140 |
141 | ## 2025-01-15
142 | - 移除了复选框,感觉没必要……
143 | - 改了下介绍,之前的看起来其奇怪怪怪
144 | - 怎么改也回不到默认深色了(⊙ˍ⊙)?)
145 |
146 |
147 | ## 2025-01-10
148 | 才发现链接文字的css被覆盖了导致都是黑色,根本看不出来是超链接……
149 |
150 | 最近虽然提交了很多更改,但都是有关美化和优化SEO的……还是太菜了>︿<
151 |
152 | ## 2025-01-04
153 | 其实我觉得默认暗色还挺好看的……但是突然不知道怎么改了(
154 |
155 | 重构了一下结构,避免徒增只有一个文件的文件夹(
156 |
157 |
158 | ## 2025-01-01
159 | 别人的跨年 vs QQ被限制的我跨年😅
160 |
161 | 趁着有时间多改改吧……我的时间不多了😣
162 |
163 |
164 | ## 2024-12-31
165 | 好久没更新……咕咕
166 |
167 | 赶在新年要到来的前一天做了许多修改,元旦快乐❤
168 |
169 | 今年又是啥也没做好的一年(
170 |
171 |
172 | ## 2024-10-13
173 | 分析/data/user/0/com.tencent.mobileqq/databases/nt_db/nt_qq_{QQ_path_hash}/路径中的一堆db文件都是干嘛的
174 |
175 | 是应该采取做成数据库再写一个程序去读取展示出来(就像原版QQ那样的展示数据?),然而工作量还是很大,或者是导出为HTML之类的更为方便?
176 |
177 | 尝试导出了c2c_msg_table表中的发送QQ号、时间、40800(目前只有文字正常解析了),并将它们分类显示出来
178 |
179 |
180 |
181 |
182 |
183 |
--------------------------------------------------------------------------------
/docs/about/projects.md:
--------------------------------------------------------------------------------
1 | ---
2 | layout: doc
3 | title: 社区项目
4 | next: false
5 | prev: false
6 | ---
7 |
8 | ## 投稿说明
9 |
10 | 此页用于展示互联网上有关 `NTQQ` 数据库解析、导出的开源仓库
11 |
12 | 欢迎各位投稿自己的项目,可在仓库发起[issues](https://github.com/QQBackup/QQDecrypt/issues/new/choose)申请收录,但是在提交前请注意:
13 |
14 | - 只收录有关解析 `NTQQ` **数据库**的项目,请不要投稿仅支持旧版QQ的项目
15 |
16 | - 若提交的项目非**GitHub仓库**,请尽量用以下示例格式提交申请,以方便后续整理
17 | ```plaintext
18 | 项目名称:QQDecrypt
19 | 项目描述:QQ 聊天数据库解密
20 | License: CC BY-NC-SA 4.0 (开源协议)
21 | 项目链接:https://github.com/QQBackup/QQDecrypt
22 | ```
23 |
24 | - 申请一般会在周末处理
25 |
26 | ## 用于解密数据库的项目
27 |
28 | ### qq-win-db-key
29 |
30 | 项目地址:[https://github.com/QQBackup/qq-win-db-key](https://github.com/QQBackup/qq-win-db-key)
31 |
32 | 项目描述:全平台 QQ 聊天数据库解密教程
33 |
34 | License: CC BY-NC-SA 4.0
35 |
36 | 收录时间: 2025-03-22
37 |
38 | 
39 |
40 | ### qq-nt-db
41 |
42 | 项目地址:[https://github.com/Mythologyli/qq-nt-db](https://github.com/Mythologyli/qq-nt-db)
43 |
44 | 项目描述:QQ NT Windows 数据库解密+图片/文件清理
45 |
46 | License: CC BY-NC-SA 4.0
47 |
48 | 收录时间: 2025-03-22
49 |
50 | 
51 |
52 | ### qqnt_backup
53 |
54 | 项目地址:[https://github.com/xCipHanD/qqnt_backup](https://github.com/xCipHanD/qqnt_backup)
55 |
56 | 项目描述:适用于Android_NT_QQ数据库解密
57 |
58 | License: unknown
59 |
60 | 收录时间: 2025-03-22
61 |
62 | 
63 |
64 | ### ntdb_unwrap
65 |
66 | 项目地址:[https://github.com/artiga033/ntdb_unwrap](https://github.com/artiga033/ntdb_unwrap)
67 |
68 | 项目描述:一键解密/解析 NTQQ 数据库!不用删除文件头,直接读取数据库的SQLite VFS扩展
69 |
70 | License: MIT
71 |
72 | 收录时间: 2025-03-22
73 |
74 | 
75 |
76 | ## 有关解析数据库的项目
77 |
78 | ### GroupChatAnnualReport
79 |
80 | 项目地址:[https://github.com/mobyw/GroupChatAnnualReport](https://github.com/mobyw/GroupChatAnnualReport)
81 |
82 | 项目描述:使用 Windows QQNT 聊天记录制作群聊年度报告!
83 |
84 | License: MIT
85 |
86 | 收录时间: 2025-03-22
87 |
88 | 
89 |
90 | ### QQNT_Export
91 |
92 | 项目地址:[https://github.com/Tealina28/QQNT_Export](https://github.com/Tealina28/QQNT_Export)
93 |
94 | 项目描述:读取并导出解密后的QQNT数据库中的聊天记录
95 |
96 | License: GPL-3.0
97 |
98 | 收录时间: 2025-03-22
99 |
100 | 
101 |
102 | ### ntdb-plaintext-extracter
103 |
104 | 项目地址:[https://github.com/QQBackup/ntdb-plaintext-extracter](https://github.com/QQBackup/ntdb-plaintext-extracter)
105 |
106 | 项目描述:提取QQ NT数据库 group_msg_table 中的纯文本
107 |
108 | License: AGPL-3.0
109 |
110 | 收录时间: 2025-03-22
111 |
112 | 
113 |
114 | ### nt_msg.py
115 |
116 | 项目地址:[https://github.com/BrokenC1oud/nt_msg.py](https://github.com/BrokenC1oud/nt_msg.py)
117 |
118 | 项目描述:A python repo to parse nt_msg.db
119 |
120 | License: unknown
121 |
122 | 收录时间: 2025-03-22
123 |
124 | 
125 |
126 | ### QQ-Chat-Intimacy-Analyzer
127 |
128 | 项目地址:[https://github.com/EndsOculus/QQ-Chat-Intimacy-Analyzer](https://github.com/EndsOculus/QQ-Chat-Intimacy-Analyzer)
129 |
130 | 项目描述:QQ 群聊互动亲密度分析工具
131 |
132 | License: unknown
133 |
134 | 收录时间: 2025-03-22
135 |
136 | 
137 |
138 | ### QQRootFastDecrypt(停止更新)
139 |
140 | 项目地址: [https://github.com/miniyu157/QQRootFastDecrypt](https://github.com/miniyu157/QQRootFastDecrypt)
141 |
142 | 项目描述:针对于已 root 安卓设备的快捷导出 QQ 聊天记录的脚本
143 |
144 | License: MIT License
145 |
146 | 收录时间:2025-06-28
147 |
148 | 
149 |
150 | ### QQNT-Database-Export-Tool
151 |
152 | 项目地址:[https://github.com/star-picker/QQNT-Database-Export-Tool](https://github.com/star-picker/QQNT-Database-Export-Tool)
153 |
154 | 项目描述:一个基于 Python 的工具,用于将已解密的 QQNT 数据库中的聊天记录导出
155 |
156 | License: AGPL-3.0 License
157 |
158 | 收录时间:2025-08-10
159 |
160 | 
161 |
162 | ### QQ-DUMP
163 |
164 | 项目地址: https://github.com/miniyu157/qq-dump
165 |
166 | 项目描述: 极速的 Android 端 NTQQ 数据库密钥提取、解密及聊天记录导出工具。遵循 KISS 原则与 Unix 哲学, 针对移动端闪存优化 I/O 策略, 最小化读写磨损。支持后台自动更新以保证代码为最新。
167 |
168 | License: GPL-3.0
169 |
170 | 收录时间:2025-12-13
171 |
172 | 
--------------------------------------------------------------------------------
/docs/about/thanks.md:
--------------------------------------------------------------------------------
1 | ---
2 | title: 致谢
3 | sidebar: false
4 | next: false
5 | prev: false
6 | hidesidebar: true
7 | ---
8 |
9 | **网站的编写离不开以下网站或应用的支持,在此表达最诚挚的谢意(排名不分先后):**
10 | - 在原 qq-win-db-key 项目中引用的相关资料,此处不再全部列出
11 | - 若有希望补充/想从致谢名单中移除的,可在 GitHub 开 issues 联系我修改
12 |
13 |
14 |
15 |
85 |
86 |
183 |
184 |
--------------------------------------------------------------------------------
/docs/decrypt/NTQQ (Windows).md:
--------------------------------------------------------------------------------
1 | ---
2 | title: NTQQ (Windows)
3 | order: 3
4 | ---
5 |
6 | # NTQQ (Windows)
7 |
8 | ## IDA分析
9 |
10 | [QQ NT Windows 数据库解密+图片/文件清理](https://github.com/Mythologyli/qq-nt-db):本仓库使用 IDA debugger 完成了逆向分析到解密的全过程,并实现了图片与文件清理。
11 |
12 | [IDA](https://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v8.3_Portable.zip)下载(吾爱破解提供)
13 |
14 | > [!TIP] 转载说明
15 | 原文发表于[Myth's Blog](https://myth.cx/p/qq-nt-db),作者为Myth,根据 CC BY-SA 4.0 授权协议发布,内容经[issues #50](https://github.com/QQBackup/qq-win-db-key/issues/50)补充
16 | >
17 | >部分图片来自[GroupChatAnnualReport](https://github.com/mobyw/GroupChatAnnualReport)
18 | >
19 |
20 | QQ NT Windows 数据库解密+图片/文件清理
21 |
22 | 笔者测试时使用的 QQ 版本:9.9.3-17412
23 |
24 | 经验证的 QQ 版本:9.9.3-17749 9.9.12-26339
25 |
26 | ### 找到数据库 `passphrase`
27 |
28 | 1. 解压IDA压缩包,双击打开 `ida64.exe` ,选择 `new` , 在弹出的资源管理器界面中定位到 QQNT 安装目录下的 `./versions/{version}/resources/app`文件夹,其中 `{version}` 为 QQNT 的版本号。在右下角过滤器中选择全部文件,单击 `wrapper.node`文件,并点击右下角的 "Open" 按钮。
29 | 
30 | >[!note] wrapper.node文件路径说明
31 | 早期 Windows QQ_NT 版本 `wrapper.node` 文件位于 `./resources/app/versions/{version}` 文件夹中
32 |
33 | 保持默认导入选项,点击 "OK" 按钮。如果有弹出让选择PDB文件相关提示框点击 "No"。等待文件加载完成。
34 |
35 | **分析时间较长,请耐心等待**
36 |
37 | 分析完成后打开 Strings 视图(如果没有同时按 shift + F12 或按图片示例打开),CTRL+F搜索 `nt_sqlite3_key_v2: db=%p zDb=%s` 字符串, 双击 `nt_sqlite3_key_v2: db=%p zDb=%s` 一行,跳转到 IDA View-A 标签的对应行。
38 |
39 |
40 | 
41 | 
42 |
43 |
44 | 2. 在 IDA View-A 标签中,单击 `nt_sqlite3_key_v2` 的名称 `aNtSqlite3KeyV2`,按快捷键 X 打开交叉引用窗口。双击第一条结果,转到引用位置。
45 | 
46 | 或者右键此处点击`Jump to xref to operand..`
47 | 
48 | JumpOpXref 后发现在
49 | 
50 |
51 | 3. 按下 F5 反编译此函数, 如果有弹出窗口点击 "Yes"。等待反编译完成。单击引用语句的左侧蓝色圆点添加断点。
52 | 
53 |
54 | 4. 退出 QQ 并重新打开,但不要登录。在上端工具栏右侧选择**Local Windows debugger**
55 | 
56 | 在 IDA 中点击顶部导航栏 "Debugger" 中的 "Attach to process..." 菜单项, 从列表最后开始找到第一个 `QQ.exe` 进程,双击打开。
57 | 
58 | >如果等待附加进程时QQ已经无响应了(卡在登录界面无法点击),等待加载完成后按快捷键 F9 继续运行。
59 |
60 | 点击登录 QQ,此时成功在断点处停下,打开一个 Locals 视图(Debugger->Debugger windows->Locals)查看参数的值
61 | 
62 |
63 | 5. 在 a3 对应的位置右键jump to,直到看到如下图所示的 16 位字符串。`#8xxxxxxxxxxx@uJ` 即为我们需要的 `passphrase` (不一定是这个格式,但总字符数是一样的)
64 | 
65 | 
66 |
67 | ### 打开数据库
68 |
69 | 请参考 [NTQQ 解密数据库](decode_db.md)。
70 |
71 | ## 使用 frida hook
72 | ### 1. 定位 `nt_sqlite3_key_v2:`
73 |
74 | 此处采用 [IDA](https://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v8.3_Portable.zip) 演示,您可以替换成您喜欢的任何反编译器
75 |
76 | 
77 |
78 | 定位到字符串 `nt_sqlite3_key_v2: db=%p zDb=%s`
79 |
80 | 
81 |
82 | 在此字符串上按`x`,或右键选此字符串并选择`Jump to xref`查看引用,进入引用的函数
83 |
84 | 
85 |
86 | 记录函数地址,切换到 Hex View,复制从函数地址开始的一段字节序列,作为特征 Hex
87 |
88 | QQ 9.9.1.15043 为
89 |
90 | ```plain
91 | 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57
92 | 48 83 EC 20 41 8B F9 49 8B F0 4C 8B CA 4C 8B C1
93 | 48 8B EA 48 8B D9 48 8D 15 33 05 A0 00 B9 08 00
94 | ```
95 |
96 | ### 2. Hook 并找到 Key
97 |
98 | 根据
16 | 
17 |
18 |
17 |
19 |
22 |
23 |
24 |
25 | qq-win-db-key
20 |文档大部分参考教程皆来源于此。
基于CC BY-NC-SA 4.0协议转载
26 | 
27 |
28 |
27 |
29 |
32 |
33 |
34 |
35 | 失迹の博客
30 |为 nt_msg 表中列名信息提供了参考
基于CC BY-NC-SA 4.0协议转载
36 | 
37 |
38 |
37 |
39 |
42 |
43 |
44 |
45 | GroupChatAnnualReport
40 |为 nt_msg 表中列名信息提供了参考,为IDA教程提供补充,
基于MIT协议转载
46 | 
47 |
48 |
47 |
49 |
52 |
53 |
54 |
55 | GitHub
50 |为仓库源代码提供托管服务
51 |
56 | 
57 |
58 |
57 |
59 |
62 |
63 |
64 |
65 | VitePress
60 |网站使用的静态生成框架
61 |
66 | 
67 |
68 |
67 |
69 |
72 |
73 |
74 |
75 | vercel
70 |网站使用的静态网站自动化部署平台
71 |
76 |
77 |
78 |
77 |
79 |
82 |
83 |
84 | yiov的vitepress教程
80 |为网站美化提供了参考
81 |
12 |
13 |
14 |
102 |
103 |
173 |
--------------------------------------------------------------------------------
/docs/.vitepress/theme/components/HashCalculator.vue:
--------------------------------------------------------------------------------
1 |
2 |
15 | 
16 |
17 |
16 | android_dump.js
18 | 2024/08/18 12:40
19 |
20 |
21 |
22 |
23 |
24 |
25 |
24 | android_get_backup_key.js
26 | 2024/08/18 12:40
27 |
28 |
29 |
30 |
31 | 
32 |
33 |
32 | android_get_backup_key.py
34 | 2024/08/18 12:40
35 |
36 |
37 |
38 |
39 |
40 |
41 |
40 | android_get_key.py
42 | 2024/08/18 12:40
43 |
44 |
45 |
46 |
47 |
48 |
49 |
48 | android_hook_md5.py
50 | 2024/08/18 12:40
51 |
52 |
53 |
54 |
55 |
56 |
57 |
56 | ios_get_key.js
58 | 2024/08/18 12:40
59 |
60 |
61 |
62 |
63 |
64 |
65 |
64 | pcqq_DANGER_rekey.py
66 | 2024/08/18 12:40
67 |
68 |
69 |
70 |
71 |
72 |
73 |
72 | pcqq_dump.py
74 | 2024/08/18 12:40
75 |
76 |
77 |
78 |
79 |
80 |
81 |
80 | pcqq_get_key.py
82 | 2024/08/18 12:40
83 |
84 |
85 |
86 |
87 | 
88 |
89 |
88 | pcqq_rekey_to_none.cpp
90 | 2025/04/05 1:01
91 |
92 |
93 |
94 |
95 |
96 |
97 |
96 | linux_qq_get_key.py
98 | 2024/11/9 19:48
99 |
100 |
101 |
3 |
38 |
39 |
40 |
106 |
107 |
--------------------------------------------------------------------------------
/docs/public/files/android_dump.js:
--------------------------------------------------------------------------------
1 | // frida -U -f com.tencent.mobileqq -l final.js
2 | // https://blog.yllhwa.com/2023/09/29/Android%20QQ%20NT%E7%89%88%E6%95%B0%E6%8D%AE%E5%BA%93%E8%A7%A3%E5%AF%86/
3 | const DATABASE = "nt_msg.db";
4 | const module_name = "libkernel.so";
5 |
6 | // FOR LOG
7 | let SQLITE3_EXEC_CALLBACK_LOG = true;
8 | let index1 = 0;
9 | let xCallback = new NativeCallback(
10 | (para, nColumn, colValue, colName) => {
11 | if (!SQLITE3_EXEC_CALLBACK_LOG) {
12 | return 0;
13 | }
14 | console.log();
15 | console.log(
16 | "------------------------" + index1++ + "------------------------"
17 | );
18 | for (let index = 0; index < nColumn; index++) {
19 | let c_name = colName
20 | .add(index * 8)
21 | .readPointer()
22 | .readUtf8String();
23 | let c_value = "";
24 | try {
25 | c_value =
26 | colValue
27 | .add(index * 8)
28 | .readPointer()
29 | .readUtf8String() ?? "";
30 | } catch {}
31 | console.log(c_name, "\t", c_value);
32 | }
33 | return 0;
34 | },
35 | "int",
36 | ["pointer", "int", "pointer", "pointer"]
37 | );
38 |
39 | // CODE BELOW
40 | var kernel_so = null;
41 | function single_function(pattern) {
42 | pattern = pattern
43 | .replaceAll("##", "")
44 | .replaceAll(" ", "")
45 | .toLowerCase()
46 | .replace(/\\s/g, "")
47 | .replace(/(.{2})/g, "$1 ");
48 | var akey_function_list = Memory.scanSync(
49 | kernel_so.base,
50 | kernel_so.size,
51 | pattern
52 | );
53 | if (akey_function_list.length > 1) {
54 | console.log("pattern FOUND MULTI!!");
55 | console.log(pattern);
56 | console.log(akey_function_list);
57 | throw Error("pattern FOUND MULTI!!");
58 | }
59 | if (akey_function_list.length == 0) {
60 | console.log("pattern NOT FOUND!!");
61 | console.log(pattern);
62 | throw Error("pattern NOT FOUND!!");
63 | }
64 | return akey_function_list[0]["address"];
65 | }
66 |
67 | let get_filename_from_sqlite3_handle = function (sqlite3_db) {
68 | // full of magic number
69 | let zFilename = "";
70 | try {
71 | let db_pointer = sqlite3_db.add(0x8 * 5).readPointer();
72 | let pBt = db_pointer.add(0x8).readPointer();
73 | let pBt2 = pBt.add(0x8).readPointer();
74 | let pPager = pBt2.add(0x0).readPointer();
75 | zFilename = pPager.add(208).readPointer().readCString();
76 | } catch (e) {}
77 | return zFilename;
78 | };
79 |
80 | let hook = function () {
81 | var process_Obj_Module_Arr = Process.enumerateModules();
82 | for (var i = 0; i < process_Obj_Module_Arr.length; i++) {
83 | if (process_Obj_Module_Arr[i].path.indexOf(module_name) !== -1) {
84 | kernel_so = process_Obj_Module_Arr[i];
85 | }
86 | }
87 | if (kernel_so === null) {
88 | console.log(module_name + " not loaded. exit.");
89 | throw Error(".so not loaded");
90 | }
91 |
92 | // sqlite3_exec -> sub_1CFB9C0
93 | // let sqlite3_exec_addr = base_addr.add(0x1cfb9c0);
94 | let sqlite3_exec_addr = single_function(
95 | "FF 43 02 D1 FD 7B 03 A9 FC 6F 04 A9 FA 67 05 A9 F8 5F 06 A9 F6 57 07 A9 F4 4F 08 A9 FD C3 00 91 54 D0 3B D5 88 16 40 F9 F8 03 04 AA F5 03 03 AA F6 03 02 AA"
96 | ); // 貌似是稳定的,先这样写
97 | console.log("sqlite3_exec_addr: " + sqlite3_exec_addr);
98 |
99 | let sqlite3_exec = new NativeFunction(sqlite3_exec_addr, "int", [
100 | "pointer",
101 | "pointer",
102 | "pointer",
103 | "int",
104 | "int",
105 | ]);
106 |
107 | let target_db_handle = null;
108 | let js_sqlite3_exec = function (sql) {
109 | if (target_db_handle === null) {
110 | return -1;
111 | }
112 | let sql_pointer = Memory.allocUtf8String(sql);
113 | return sqlite3_exec(target_db_handle, sql_pointer, xCallback, 0, 0);
114 | };
115 |
116 | // ATTACH BELOW
117 | Interceptor.attach(sqlite3_exec_addr, {
118 | onEnter: function (args) {
119 | // sqlite3*,const char*,sqlite3_callback,void*,char**
120 | let sqlite3_db = ptr(args[0]);
121 | let sql = Memory.readCString(args[1]);
122 | let callback_addr = ptr(args[2]);
123 | let callback_arg = ptr(args[3]);
124 | let errmsg = ptr(args[4]);
125 | let database_name = get_filename_from_sqlite3_handle(sqlite3_db);
126 | if (
127 | database_name.slice(database_name.lastIndexOf("/") + 1) === DATABASE
128 | ) {
129 | console.log("sqlite3_db: " + sqlite3_db);
130 | console.log("sql: " + sql);
131 | target_db_handle = sqlite3_db;
132 | }
133 | },
134 | });
135 | setTimeout(function () {
136 | let EXPORT_FILE_PATH = "/storage/emulated/0/Download/plaintext.db";
137 | // 不建议更改导出路径
138 | console.log("Start exporting database to " + EXPORT_FILE_PATH);
139 | let ret = js_sqlite3_exec(
140 | `ATTACH DATABASE '` +
141 | EXPORT_FILE_PATH +
142 | `' AS plaintext KEY '';SELECT sqlcipher_export('plaintext');DETACH DATABASE plaintext;`
143 | );
144 | console.log("Export end.");
145 | console.log("js_sqlite3_exec ret: " + ret);
146 | }, 4000); // hook 后 导出前 等待4秒
147 | };
148 |
149 | var hasHooked = false;
150 | console.log("Script loaded. Waiting for " + module_name + " to load...");
151 | const dlopen_process = {
152 | onEnter: function (args) {
153 | this.path = Memory.readUtf8String(args[0]);
154 | if (0) send("Loading " + this.path);
155 | },
156 | onLeave: function (retval) {
157 | if (this.path.indexOf(module_name) !== -1 && !hasHooked) {
158 | hasHooked = true;
159 | if (1) send("Hooked!!");
160 | hook();
161 | }
162 | },
163 | };
164 |
165 | try {
166 | Interceptor.attach(Module.findExportByName(null, "dlopen"), dlopen_process);
167 | } catch (err) {}
168 | try {
169 | Interceptor.attach(
170 | Module.findExportByName(null, "android_dlopen_ext"),
171 | dlopen_process
172 | );
173 | } catch (err) {}
174 |
--------------------------------------------------------------------------------
/docs/public/files/linux_qq_get_key.py:
--------------------------------------------------------------------------------
1 | #!/usr/bin/env python3
2 |
3 | import subprocess
4 | import re
5 | import hashlib
6 | from pathlib import Path
7 |
8 | QQ_CONFIG = Path.home() / '.config' / 'QQ'
9 | WRAPPER_NODE_PATH = '/opt/QQ/resources/app/wrapper.node'
10 |
11 | def error(msg):
12 | print(f"\033[1;31m Error: {msg}\033[0m")
13 | exit(1)
14 |
15 | def Assert(condition, msg):
16 | if not condition:
17 | error(msg)
18 |
19 | # get Program Header and Section Mapping
20 | result = subprocess.run(["readelf", "-lW" , WRAPPER_NODE_PATH], stdout = subprocess.PIPE, text= True)
21 | output = result.stdout
22 | program_header = []
23 | rodata_info = None
24 | read_program_header = False
25 | read_section_mapping = False
26 | re_ph = re.compile(r"\s*(\w+)\s+0x(\d+)\s+0x(\d+).*")
27 | re_mp = re.compile(r"\s*(\d+)\s+(.*)")
28 | for line in output.splitlines():
29 | line = line.strip()
30 | if "Program Headers:" in line:
31 | read_program_header = True
32 | continue
33 | if "Section to Segment mapping:" in line:
34 | read_program_header = False
35 | read_section_mapping = True
36 | continue
37 | if read_program_header:
38 | m = re_ph.match(line)
39 | if m:
40 | program_header.append({
41 | "type": m.group(1),
42 | "section_offset": int(m.group(2), 16),
43 | "virt_addr": int(m.group(3), 16)
44 | })
45 | if read_section_mapping:
46 | m = re_mp.match(line)
47 | if m:
48 | (idx , sections) = m.groups()
49 | if ".rodata" in sections:
50 | rodata_info = program_header[int(idx)]
51 | break
52 |
53 | Assert(rodata_info is not None, "rodata section not found")
54 | print(f"rodata_info: {rodata_info}")
55 |
56 | # get string offset
57 | result = subprocess.Popen(["strings", "-t" , "d" , WRAPPER_NODE_PATH], stdout = subprocess.PIPE, text= True)
58 | pattern = re.compile('nt_sqlite3_key_v2: db=%p zDb=%s$')
59 | for line in result.stdout:
60 | line = line.strip()
61 | if(pattern.search(line)):
62 | offset = line.split(" ")[0]
63 | Assert(offset.isdecimal(), "offset should be decimal")
64 | result.terminate()
65 | break
66 | str_off = int(offset)
67 | print(f"str_off offset: {hex(str_off)}")
68 |
69 | # get reference offset
70 |
71 | def get_file_hash(file_path):
72 | hasher = hashlib.sha256()
73 | with open(file_path, 'rb') as file:
74 | while chunk := file.read(8192):
75 | hasher.update(chunk)
76 | return hasher.hexdigest()
77 |
78 | ref_off_cache_file = Path.cwd() / 'ref_off_cache'
79 | shoud_recalculate = True
80 | if(Path.exists(ref_off_cache_file)):
81 | with open(ref_off_cache_file, 'r') as f:
82 | try:
83 | file_hash = f.readline().strip()
84 | ref_off = list(map(str, f.readline().strip().split()))
85 | shoud_recalculate = file_hash != get_file_hash(WRAPPER_NODE_PATH) or len(ref_off) == 0
86 | except Exception as e:
87 | print(f"Error: {e}\n recalculate ref_off")
88 |
89 |
90 | if(shoud_recalculate):
91 | result = subprocess.Popen(["objdump", "-D" , "-j" , ".text" , WRAPPER_NODE_PATH], stdout = subprocess.PIPE, text= True)
92 | str_addr = rodata_info["virt_addr"] + str_off - rodata_info["section_offset"]
93 | pattern = re.compile(f".*# {str_addr:x}")
94 | ref_off = []
95 | for line in result.stdout:
96 | line = line.strip()
97 | if(pattern.search(line)):
98 | offset = line.split(":")[0]
99 | Assert(re.match(r'[0-9a-f]+', offset), "offset should be hex")
100 | ref_off.append(offset)
101 | result.terminate()
102 | with open(ref_off_cache_file, 'w') as f:
103 | f.write(f"{get_file_hash(WRAPPER_NODE_PATH)}\n")
104 | f.write(" ".join(map(str, ref_off)) + "\n")
105 |
106 | print(f"ref_off offset: {ref_off}")
107 |
108 | import gdb
109 |
110 | def exit_gdb():
111 | gdb.execute("set confirm off")
112 | gdb.execute("quit")
113 |
114 | hook_stop_script = """
115 | define hook-stop
116 | x /10i $pc
117 | p (char[16])*(char *)$rsi
118 | p $rdx
119 | end
120 | """
121 | gdb.execute(hook_stop_script, to_string=True)
122 | gdb.execute("set pagination off")
123 |
124 | # load wrapper.node
125 | gdb.execute("break dlopen")
126 | gdb.execute("run")
127 | finish = False
128 | i = 20
129 | while not finish:
130 | output = gdb.execute("x /s file", to_string=True)
131 | if i == 0:
132 | finish = True
133 | if "wrapper.node" in output:
134 | break
135 | gdb.execute("continue")
136 | gdb.execute("finish")
137 |
138 | output = gdb.execute("info proc mappings", to_string=True)
139 | base_addr = None
140 | for line in output.splitlines():
141 | if "wrapper" in line:
142 | base_addr= int(line.split()[0],16)
143 | break
144 | print(f"Base address found: {base_addr}")
145 |
146 | # find function address
147 | breakpoints = []
148 | gdb.execute("delete breakpoints")
149 | for ref in ref_off:
150 | breakpoint_addr = base_addr + int(ref, 16)
151 | gdb.execute(f"break *{breakpoint_addr}")
152 | gdb.execute(f"x /10i {breakpoint_addr}")
153 |
154 |
155 | gdb.execute("continue")
156 | gdb.execute("finish")
157 |
158 | func_addr = None
159 | for i in range(16):
160 | inst = gdb.execute(f"x /i $pc - {i}", to_string=True)
161 | if "call" in inst:
162 | func_addr = int(inst.split(" ")[-1], 16)
163 | break
164 |
165 | if func_addr is None:
166 | print("Function address not found.")
167 | exit_gdb()
168 |
169 | print(f"func_addr: {hex(func_addr)}")
170 | #get zDb
171 | gdb.execute("delete breakpoints")
172 | gdb.execute(f"break *{func_addr}")
173 | gdb.execute(f"continue")
174 | while(gdb.parse_and_eval("$rdx") != 16):
175 | gdb.execute("continue")
176 | zDb = gdb.parse_and_eval("(char[16])*(char *)$rsi")
177 | print(f"zDb: {zDb}")
178 |
179 | exit_gdb()
--------------------------------------------------------------------------------
/docs/about/contributors.md:
--------------------------------------------------------------------------------
1 | ---
2 | layout: page
3 | title: 贡献者
4 | sidebar: false
5 | hidesidebar: true
6 | ---
7 |
8 |
9 |
184 |
185 | 计算 QQ_path_hash 和数据库密钥
4 | 5 |
6 |
7 |
14 | {{ nt_uidError }}
15 |
16 |
17 |
18 |
19 |
26 | {{ randError }}
27 |
28 |
29 |
30 |
37 |
31 |
33 | QQ_path_hash: {{ qqPathHash }}
32 |
34 |
36 | Key: {{ key }}
35 |
3 |
33 |
34 |
35 |
145 |
146 |
--------------------------------------------------------------------------------
/docs/public/files/pcqq_DANGER_rekey.py:
--------------------------------------------------------------------------------
1 | print("别用!!!!!!!")
2 | print("必定损坏原始数据库!")
3 | print("rekey 之后是不能用原先的 key 解锁的!")
4 | # print("理论上可能会损坏原数据库,慎用!如果要用请自行去除下一行的 exit()")
5 | exit()
6 |
7 | import frida
8 | import sys
9 | import psutil
10 | import shutil
11 | import time
12 | import os
13 |
14 | QQ_PID = None
15 | # GUI -> ['C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe']
16 | # 要hook的 -> ['C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe', '/hosthwnd=2164594', '/hostname=QQ_IPC_{12345678-ABCD-12EF-9976-18373DEAB821}', '/memoryid=0', 'C:\\Program Files (x86)\\Tencent\\QQ\\Bin\\QQ.exe']
17 | exit()
18 | for pid in psutil.pids():
19 | p = psutil.Process(pid)
20 | if p.name() == "QQ.exe" and len(p.cmdline()) > 1:
21 | QQ_PID = pid
22 | del p
23 | break
24 |
25 | if QQ_PID is None:
26 | print("QQ not launched. exit.")
27 | sys.exit(1)
28 | print("QQ pid is:", QQ_PID)
29 | exit()
30 | demo_script = """
31 | var pMessageBoxW = Module.findExportByName("user32.dll", 'MessageBoxA')
32 | var lpText = Memory.allocAnsiString("I'm New MessageBox");
33 | var funMsgBox = new NativeFunction(pMessageBoxW, 'uint32',['uint32','pointer','pointer','uint32']);
34 |
35 | funMsgBox(0, ptr(lpText), ptr(lpText), 0);
36 | """
37 | hook_script = """
38 | function buf2hex(buffer) {
39 | const byteArray = new Uint8Array(buffer);
40 | const hexParts = [];
41 | for(let i = 0; i < byteArray.length; i++) {
42 | const hex = byteArray[i].toString(16);
43 | const paddedHex = ('00' + hex).slice(-2);
44 | hexParts.push(paddedHex);
45 | }
46 | return '0x' + hexParts.join(', 0x');
47 | }
48 |
49 | const kernel_util = Module.load('KernelUtil.dll');
50 | function single_function(pattern) {
51 | pattern = pattern.replaceAll("##", "").replaceAll(" ", "").toLowerCase().replace(/\\s/g,'').replace(/(.{2})/g,"$1 ");
52 | var akey_function_list = Memory.scanSync(kernel_util.base, kernel_util.size, pattern);
53 | if (akey_function_list.length > 1) {
54 | send("pattern FOUND MULTI!!")
55 | send(pattern)
56 | send(akey_function_list)
57 | send("!!exit")
58 | }
59 | if (akey_function_list.length == 0) {
60 | send("pattern NOT FOUND!!")
61 | send("!!exit")
62 | }
63 | return akey_function_list[0]['address'];
64 | }
65 |
66 | // const key_function = Module.findExportByName("KernelUtil.dll", 'sqlite3_key')
67 | const key_function = single_function("55 8b ec 56 6b 75 10 11 83 7d 10 10 74 0d 68 17 02 00 00 e8")
68 | const name_function = single_function("55 8B EC FF 75 0C FF 75 08 E8 B8 D1 02 00 59 59 85")
69 | const rekey_function = single_function("##558BEC837D1010740D682F020000E8")
70 | const close_function = single_function("##55 8B EC 56 8B 75 08 85 F6 74 6D 56 E87C 3E 01 00")
71 | const exec_function = single_function("##558BEC8B45088B40505DC3")
72 | // send(key_function)
73 | var name_function_caller = new NativeFunction(name_function, 'pointer', ['pointer', 'pointer']);
74 | var rekey_function_caller = new NativeFunction(rekey_function, 'int', ['pointer', 'pointer', 'int']);
75 | var key_function_caller = new NativeFunction(key_function, 'int', ['pointer', 'pointer', 'int']);
76 | var close_function_caller = new NativeFunction(close_function, 'int', ['pointer', 'int']);
77 | var exec_function_caller = new NativeFunction(exec_function, 'int', ['pointer', 'pointer', 'pointer', 'pointer', 'pointer']);
78 | var TARGET_KEY_LENGTH = 16;
79 | var key_length = 0;
80 | var dbName;
81 | var empty_password = Memory.alloc(TARGET_KEY_LENGTH)
82 | var original_password = Memory.alloc(TARGET_KEY_LENGTH)
83 | empty_password.writeByteArray(Array(TARGET_KEY_LENGTH).fill(0))
84 | const no_sync = "PRAGMA synchronous=ON"
85 | const no_sync_address = Memory.allocUtf8String(no_sync)
86 | const TEST_PWD_SQL = Memory.allocUtf8String("SELECT count(*) FROM sqlite_master;")
87 |
88 | var store_args_1, store_args_2, target_db;
89 | var should_copy = false;
90 | var calling_key = false;
91 | var should_show = false;
92 |
93 | function is_db_ok(){
94 | return !exec_function_caller(target_db, TEST_PWD_SQL, NULL, NULL, NULL);
95 | }
96 |
97 | Interceptor.attach(key_function, {
98 | onEnter: function (args, state) {
99 | if(calling_key){ return; }
100 | should_copy = false;
101 | should_show = false;
102 | console.log("[+] key found:");
103 | dbName = name_function_caller(args[0], NULL).readUtf8String();
104 | if (dbName.replaceAll('/', '\\\\').split('\\\\').pop().toLowerCase() == 'Msg3.0.db'.toLowerCase() || false) {
105 | should_show = true;
106 | target_db = args[0];
107 | // disable memory cache
108 | //console.log("¦- db: " + args[0]);
109 | key_length = args[2].toInt32()
110 | console.log("¦- nKey: " + key_length);
111 | //console.log("¦- pkey: " + args[1]);
112 | console.log("¦- *pkey: " + buf2hex(args[1].readByteArray(key_length)));
113 | console.log("¦- dbName: " + name_function_caller(args[0], NULL).readUtf8String());
114 | //console.log("¦- *pkey: " + buf2hex(Memory.readByteArray(new UInt64(args[1]), key_length)));
115 | if(key_length == TARGET_KEY_LENGTH){
116 | Memory.copy(original_password, args[1], key_length)
117 | should_copy = true;
118 | }
119 | }
120 | },
121 |
122 | onLeave: function (retval, state) {
123 | if(calling_key){ return; }
124 | if(!should_show){ return; }
125 | console.log("¦- sqlite3_key return: " + retval);
126 | console.log("¦- is_db_ok: " + is_db_ok());
127 | if (should_copy) {
128 | // exec_function_caller(target_db, no_sync_address, NULL, NULL, NULL);
129 | console.log("rekey to NULL: " + rekey_function_caller(target_db, empty_password, key_length))
130 | console.log("¦- is_db_ok: " + is_db_ok());
131 | // console.log(close_function_caller(target_db, 0))
132 | send("!!MSG3.0: " + dbName)
133 | recv(function(){}).wait();
134 | console.log("rekey to orig: " + rekey_function_caller(target_db, original_password, key_length))
135 | console.log("¦- is_db_ok: " + is_db_ok());
136 | calling_key = true;
137 | // console.log(key_function_caller(target_db, original_password, key_length))
138 | calling_key = false;
139 | }
140 | }
141 |
142 | });
143 |
144 | var rekey_show_result = false;
145 | Interceptor.attach(rekey_function, {
146 | onEnter: function (args, state) {
147 | console.log("[*] rekey:");
148 | dbName = name_function_caller(args[0], NULL).readUtf8String();
149 | rekey_show_result = false
150 | if (dbName.replaceAll('/', '\\\\').split('\\\\').pop().toLowerCase() == 'Msg3.0.db'.toLowerCase() || false) {
151 | rekey_show_result = true;
152 | //console.log("¦- db: " + args[0]);
153 | key_length = args[2].toInt32()
154 | console.log("¦- nKey: " + key_length);
155 | //console.log("¦- pkey: " + args[1]);
156 | console.log("¦- *pkey: " + buf2hex(args[1].readByteArray(key_length)));
157 | console.log("¦- dbName: " + name_function_caller(args[0], NULL).readUtf8String());
158 | //console.log("¦- *pkey: " + buf2hex(Memory.readByteArray(new UInt64(args[1]), key_length)));
159 | }
160 | },
161 |
162 | onLeave: function (retval, state) {
163 | if(!rekey_show_result){ return; }
164 | console.log("¦- sqlite3_rekey return: " + retval);
165 | }
166 |
167 | });
168 | """
169 |
170 | session = frida.get_local_device().attach(QQ_PID)
171 | script = session.create_script(hook_script)
172 | message_seq = 0
173 |
174 |
175 | def on_message(message, data):
176 | global message_seq
177 | if message["type"] == "send":
178 | if message["payload"] == "!!exit":
179 | exit(3)
180 | if message["payload"].startswith("!!MSG3.0: "):
181 | filename = message["payload"][10:]
182 | script.post({})
183 | new_filename = (
184 | filename.split("\\")[-1]
185 | + "_"
186 | + str(message_seq)
187 | + "_"
188 | + str(time.time()).split(".")[0]
189 | + ".db"
190 | )
191 | message_seq += 1
192 | print("Copying decrypted file:", filename, "to", new_filename)
193 | shutil.copyfile(filename, new_filename)
194 | file1 = open(new_filename, "rb")
195 | extra_flag = False
196 | # detect extra sqlite header "SQLite header 3"
197 | if file1.read(15) == b"SQLite header 3":
198 | file1.seek(1024)
199 | if file1.read(15) == b"SQLite format 3":
200 | file1.seek(1024)
201 | extra_flag = True
202 | print("NEW PLAIN TEXT DB detected!")
203 | if not extra_flag:
204 | file1.seek(0)
205 | print("hmm db seems still encrypted... anything wrong?")
206 | file1.close()
207 | # remove extra 1024 bytes header of a huge file
208 | if extra_flag:
209 | file1 = open(new_filename, "rb")
210 | file2 = open(new_filename + ".tmp", "wb")
211 | file1.seek(1024)
212 | shutil.copyfileobj(file1, file2)
213 | file1.close()
214 | file2.close()
215 | os.remove(new_filename)
216 | os.rename(new_filename + ".tmp", new_filename)
217 | print("Done. File Path:")
218 | print(os.path.abspath(new_filename))
219 | else:
220 | print(message["payload"])
221 | elif message["type"] == "error":
222 | print(message["stack"])
223 |
224 |
225 | def on_destroyed():
226 | print("process exited.")
227 | os._exit(0)
228 |
229 |
230 | script.on("message", on_message)
231 | script.on("destroyed", on_destroyed)
232 | script.load()
233 | print("hooked.")
234 | sys.stdin.read()
235 |
--------------------------------------------------------------------------------
本地缓存图片路径计算
4 |5 | 预测 安卓QQ 本地缓存图片路径 6 |
7 |
8 |
18 |
21 |
22 |
23 |
24 |
32 | 预测路径:
25 |-
26 |
- 27 | {{ pathItem.folder }}: 28 | {{ pathItem.path }} 29 | 30 |