(编辑:jimmy 日期: 2025/1/4 浏览:2)
今天想查看某个微信聊天记录的图片内容,查看文件记录全部是dat文件,因此,开始了一顿百度+操作!
先贴代码:
import os def imageDecode(dat_dir,dat_file_name): dat_read = open(dat_dir, "rb") if not os.path.exists(target_path): os.makedirs(target_path) out=target_path+"\\"+dat_file_name+".png" png_write = open(out, "wb") for now in dat_read: for nowByte in now: newByte = nowByte ^ xor_value png_write.write(bytes([newByte])) dat_read.close() png_write.close() def findFile(dat_path): fsinfo = os.listdir(dat_path) for dat_file_name in fsinfo: temp_path = os.path.join(dat_path, dat_file_name) if not os.path.isdir(temp_path): print('文件路径: {}' .format(temp_path)) imageDecode(temp_path,dat_file_name) else: pass if __name__=='__main__': # 修改dat文件的存放路径 dat_path = r'C:\Users\zhang\Desktop\dat_dir' # 修改转换成png图片后的存放路径 target_path = r'C:\Users\zhang\Desktop\dat_dir\image' # 修改加密的异或值 xor_value = 0x5f findFile(dat_path)
接下来代码在本地运行时,有注释的地方需要自行进行修改。
这里的对 xor_value
的具体修改值说明:
——————————————————————————
据说微信图片是用异或值加密?(or转码?)
——————————————————————————
紧跟步骤
首先,我知道在 ~\WeChat Files 下的文件夹里面 ~\Image 文件夹下dat文件一定是图片,常用的图片格式为 PNG 和 JPG!我分别用十六进制方式打开了一张PNG和JPG的图片
图1 PNG16进制
图2 JPG的16进制jpg
强迫症请忽略图片不完全一致
发现 PNG 和 JPG图片格式的文件分别是 “89 50” **“FF D8”**来开头的。
随意打开一个dat文件,同样是16进制格式打开
文件开头为 “a0 87”,于是电脑计算器程序员专用走一波~
PNG XOR
JPG XOR
这个图片是针对于JPG来进行的一个XOR加密,并且加密用的16进制 5F。因此 xor_value
*值填写0x5f。