版本

WIN_NQ_9.9.7_21453

步骤

1. 编写脚本，拿到了数据
   
   
2. 没有关闭QQ，直接复制数据库 nt_msg.db 到 tmp 文件夹（修改时间是同一分钟）
3. 处理得到 nt_msg.clean.db
   
4. 复制得到的长度为16的字符串
5. 打开DB Browser for SQLite，粘贴字符串，修改KDF为4000
   
6. 点击OK

第6步后又出现密码输入框。。。

不知道哪个步骤出现问题？

根据 repo 提供的脚本略加修改，很容易得到我们需要的 pKey 和 nKey

请务必写详细一点

我尝试改了，但并不 work

hook_script = """
function buf2hex(buffer) {
  const byteArray = new Uint8Array(buffer);
  const hexParts = [];
  for(let i = 0; i < byteArray.length; i++) {
    const hex = byteArray[i].toString(16);
    const paddedHex = ('00' + hex).slice(-2);
    hexParts.push(paddedHex);
  }
  return '0x' + hexParts.join(', 0x');
}

const wrapper_node = Module.load('wrapper.node');
function single_function(pattern) {
    pattern = pattern.replaceAll("##", "").replaceAll(" ", "").toLowerCase().replace(/\\s/g,'').replace(/(.{2})/g,"$1 ");
    var akey_function_list = Memory.scanSync(wrapper_node.base, wrapper_node.size, pattern);
    if (akey_function_list.length > 1) {
        send("pattern FOUND MULTI!!")
        send(pattern)
        send(akey_function_list)
        send("!!exit")
    }
    if (akey_function_list.length == 0) {
        send("pattern NOT FOUND!!")
        send("!!exit")
    }
    return akey_function_list[0]['address'];
}

const key_function = single_function("48 89 5C 24 08")

Interceptor.attach(key_function, {
    onEnter: function (args, state) {
        console.log("¦- nKey: " + args[2].toInt32());
        console.log("¦- *pkey: " + buf2hex(args[1].readByteArray(args[2].toInt32())));
    },
    
    onLeave: function (retval, state) {
    }

});
"""

把 NTQQ (Android) 中描述的算法具体的调用过程分析一下，最好写进文档里，方便以后更新算法时的分析

Android QQ版本v9.0.65.17370
使用方法二，成功得到一串32位的pKey

并且将nt_msg.db提取到电脑上，用下图命令去除纯文本头

从纯文本头中看出，使用的HMAC加密是SHA1

填入密钥对nt_msg.clean.db数据库文件解密，失败。

使用方法三，执行后自动跳转qq，几秒后跳转回终端页面，但/sdcard/0/Downloads文件夹中没有看见生成的数据库文件

求各位大佬支招！！（滑跪

我使用了msojocs/nt-hook这里的脚本进行hook，在QQ启动但还未登录时开始hook，得到的信息有一万多行，并且QQ登录后hook这边就报错退出了

Fatal Python error: none_dealloc: deallocating None: bug likely caused by a refcount error in a C extension
Python runtime state: initialized

Current thread 0x00001d6c (most recent call first):
  <no Python frame>

Thread 0x0000aae4 (most recent call first):
  File "C:\Users\BrianLeng\Desktop\nt-hook-main\nt.py", line 88 in <module>

Extension modules: psutil._psutil_windows (total: 1)

在已经得到的信息里面过滤出a3 str为16位的字符串，里面没有看起来像key的:

a3 str: NTWrapperSession
...
a3 str: NTWrapperSession
a3 str: qqplay_open_auth
a3 str: NTWrapperSession
...
a3 str: NTWrapperSession
a3 str: RMFile-Down-File
a3 str: RMFile-Down-File

（省略号表示与前后字符串相同）

另外，我的QQNT使用了LiteLoaderQQNT插件，不知道是不是这个有影响。

请问有什么办法能解决吗

Msg3.0.db 我已经按照 qq-win-db-key 给的方法解密了。可以用任何sqlite客户端打开。但是 group_123123 这种表里的 MsgContent ，Info 字段里存的都是类似 0x4D53470000000000... 这种经过混淆后的十六进制数据。请教下，这类数据如何解

参考 Blog。
md文件可在此找到。
考虑到已经有一个教程，还得麻烦整理下。

这个程序除了msg3.0.db以外还能解密其他数据库吗？我想从本地数据库中获取所有好友和群列表（包括昵称、备注、账号id等），但msg.3.0中似乎没有。

我懒得发PR了（
麻烦更新一下可用列表吧

9.7.23(29368) 测试可用

• 版本较高（9.0.75 一类的）
• 路径中的hash与key中的hash生成算法不同（分别写清楚）
• md5结果均为小写，32位
• 可以根据文件头初步判断cipher_hmac_algorithm，有的话按照文件头内容写，没有的话可以试试HMAC_SHA512（默认值）或HMAC_SHA256
• 说明文件头是个Protobuf
• 方法2、3的结构可能有点乱？

#29 (comment)
#29 (comment)
#29 (comment)

感谢各位作者！

参考仓库教程，现在已经成功解密了 nt_msg.db。但是聊天记录是用二进制储存的，我只发现里面的文本应该是 UTF-8。试了一下之前的项目，好像不能正常工作，也许腾讯改格式了。各位大佬有什么想法吗？

• win10
• qq版本：9.7.3.28.946
  提示一直没找到key：
  

新版QQ备份到电脑上的聊天记录似乎可以直接打开查看：...\Tencent Files\<qq>\nt_qq\nt_data\msgbackup\temp\qq.db，但是关于消息内容的加密方式未知。

流程见博客: https://lengyue.me/2023/09/19/ntqq-db/

现在腾讯在推NT架构的QQ，要搞全平台统一，然后手机版的NT架构的QQ也开始内测了。
最新的手机版内测QQNT上的数据库架构已经大改了，变得和Windows/Mac/Linux版QQNT一样了。
版本：8.9.58.11050
如图 老版本的数据库仍然存在，但是很明显聊天记录已经不存放在老库里面了

现在新QQNT聊天记录数据库的位置是/databases/nt_db

从文件名来看这个数据库架构和电脑版QQNT是一样的

（Windows版QQNT数据库）
目前还没研究出新数据库密钥存放的位置以及新数据库的格式

（从文件头来看是SQLite3？）

不知道有没有希望搞定新版的数据库解密

另：手机版QQNT内测包下载链接：https://downv6.qq.com/qqweb/QQ_1/android_apk/qq_8.9.58.11050_64.apk
（就算没有内测资格也能用，在弹出内测活动已结束的窗口的时候按两下返回就可以把那个窗口关掉）
（不建议用大号测试，这个内测QQNT一旦登录之后就会把所有的老库里的聊天记录全都迁移进新库，无法撤销）

另2：MacQQNT的数据库位置：/Users/{用户名}/Library/Containers/com.tencent.qq/Data/Library/Application Support/QQ/nt_qq_{一串ID}/nt_db
目测数据库格式和其他平台是一样的

想要解密一个几年前备份留下的Msg3.0.db，按照教程手动得到了该消息记录的账号的key替换了pcqq_rekey_to_none.cpp的313行，把Msg3.0.db和编译的a.exe丢到Bin下后运行a.exe，Msg3.0.db除了修改时间元数据变化没有任何改变（md5相同），输出如下：
open iRet=0
key iRet=0
====EXEC=========
exec iRet=0
rekey iRet=26
====END=========
我看到返回值26似乎是说被打开的文件不是一个数据库文件，这是数据库损坏了吗？为什么open，key和exec的返回值是正常的？

大佬能否教一下如何获取PCNTQQ的Sessionkey

因为在/data/user/0/com.tencent.mobileqq/databases/beacon_db_com.tencent.mobileqq中未找到uid，所以尝试了另一种方法

要求: QQpatch了QAuxiliary模块

步骤

0. 依次找到侧边栏-设置-QAuxiliary-[辅助功能]聊天和消息-[消息]转发消息点头像查看详细信息，开启该功能
1. 向任意联系人发送任意消息(也可以是之前发送的消息，只要是自己发的消息就行)
2. 长按该消息-多选-合并转发
3. 转发给任意联系人或群组(建议发给我的电脑)
4. 打开该转发消息，点自己的的头像
5. 点击详情
6. 你会看到如下内容(已格式化)

MsgRecord{
  msgId=739329401601xxxx,
  msgRandom=49205xxxx,
  msgSeq=19xx,
  cntSeq=0,
  chatType=1,
  msgType=11,
  subMsgType=7,
  sendType=2,
  senderUid=u_xxxx,
  peerUid=xxxx,
  channelId=,
  guildId=,
  guildCode=0,
  fromUid=0,
  fromAppid=0,
  msgTime=1721206556,
  msgMeta=[
  B@a00ceba,
  sendStatus=2,
  ...(省略)
  "prompt":"[聊天记录]",
  "ver":"0.0.0.5",
  "view":"contact"
}

7. 其中senderUid即为你的uid

SHA512没成功，换SHA1好了

• #23

丢进libbasic_share里了，同时把函数的符号加了回来
需要适配一下（具体来说要在libkernel中找不到函数时尝试在libbasic_share中找，并且优先使用findExportByName来利用符号信息）

AndroidNT 教程中:

pkg in frida frida-python

无法安装：

~ $ pkg up
Checking availability of current mirror:
[*] https://mirrors.tuna.tsinghua.edu.cn/termux/apt/termux-main: ok
Hit:1 https://mirrors.tuna.tsinghua.edu.cn/termux/apt/termux-main stable InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
All packages are up to date.
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
~ $ termux-setup-storage

It appears that directory '~/storage' already exists.
This script is going to rebuild its structure from
scratch, wiping all dangling files. The actual storage
content IS NOT going to be deleted.

Do you want to continue? (y/n) y
~ $ pkg in frida frida-python
Checking availability of current mirror:
[*] https://mirrors.tuna.tsinghua.edu.cn/termux/apt/termux-main: ok
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
E: Unable to locate package frida
E: Unable to locate package frida-python
~ $ 

pkg已经换清华源.已经执行pkg up、termux-setup-storage

目前拆包完成之后
我用
https://github.com/saucer-man/qq_msg_decode
这玩意 decode了
但是没有那个 id 项

类似 icalingua 数据库里的 _id 项

测试了QQ9.7.3.28946和QQ9.7.6.28997都不行，运行main.py或hook.py后都会弹出错误报告并退出qq进程。

采用光速虚拟机提供手机上的安卓7模拟器，内核可能是anbox。（x86的模拟器不支持这个项目）

selinux已经调整为宽松模式
在su环境下运行了frida-server
根本没有安装magisk，不存在magisk hide干扰问题。

始终报这个错。

zygote进程存在，但还有一个zygote64？
是不是要访问另一个？

正如图片正如图片那样我所得到的key
Pattern: fd 7b bd a9 f6 57 01 a9 f4 4f 02 a9 fd 03 00 91 f6 03 01 aa f5 03 00 aa ?? ?? ?? ?? f3 03 03 2a f4 03 02 aa
Attach key_v2_function addr: 0x78b8f6fb4c
Frida script injected.
带有问号，请问他是正常的吗。

我在安卓上hook nt_sqlite3_key_v2拿到了一个32位的key，参考这位的方法打开数据库但是并没有成功😥
https://github.com/Young-Lord/QQ-History-Backup/issues/9#issuecomment-1636725067
请问作者有试过打开安卓的数据库吗