wx-cli

微信 4.x (macOS/Linux/Windows) 本地数据 CLI 工具。从运行中的微信进程内存提取加密密钥，后台常驻 daemon 持久缓存解密数据库，CLI 毫秒级响应。

单一 Rust 二进制，无运行时依赖。

架构

wx (CLI) ──Unix socket──▶ wx-daemon (后台进程)
                              │
                    ┌─────────┼─────────┐
               DBCache     联系人缓存   WAL 监听
            (mtime 感知)              (500ms polling)

• wx-daemon：后台常驻，持有解密后的 DB 热缓存，mtime 不变则跨重启复用，无需重解密
• wx (CLI)：发 JSON 请求到 Unix socket，格式化输出；首次调用自动启动 daemon

快速开始

环境要求

• macOS（Apple Silicon / Intel）或 Linux
• WeChat 4.x（macOS 版）
• 首次使用需 sudo（内存扫描）

安装

方式一：cargo install（推荐）

cargo install wx-cli

方式二：下载预编译二进制

从 Releases 下载对应平台的文件：

# macOS arm64 示例
curl -L https://github.com/jackwener/wx-cli/releases/latest/download/wx-macos-arm64 -o wx
chmod +x wx
sudo mv wx /usr/local/bin/

方式三：从源码构建

git clone git@github.com:jackwener/wx-cli.git
cd wx-cli
cargo build --release
# 二进制位于 target/release/wx

初始化（首次使用）

macOS 上微信需要 ad-hoc 签名才能被扫描内存：

sudo codesign --force --deep --sign - /Applications/WeChat.app

打开微信并登录，然后运行初始化：

sudo wx init

wx init 自动完成：

1. 检测微信数据目录（~/Library/Containers/.../xwechat_files/<wxid>/db_storage）
2. 扫描微信进程内存，提取所有数据库密钥 → ~/.wx-cli/all_keys.json
3. 写入 ~/.wx-cli/config.json

使用

# 最近会话
wx sessions

# 聊天记录
wx history "张三"
wx history "AI群" --since 2026-04-01 --until 2026-04-15

# 搜索消息
wx search "Claude"
wx search "会议" --in "工作群" --since 2026-01-01

# 联系人
wx contacts
wx contacts -q "李"

# 导出聊天记录
wx export "张三" --format markdown -o chat.md
wx export "AI群" --since 2026-01-01 --format json -o chat.json

# 实时监听新消息（Ctrl+C 退出）
wx watch
wx watch --chat "AI交流群"
wx watch --json | jq .content

# daemon 管理
wx daemon status
wx daemon stop
wx daemon logs
wx daemon logs --follow

daemon 在首次 CLI 调用时自动启动，无需手动运行。

命令参考

wx init [--force]

首次初始化：检测数据目录、扫描内存、提取密钥、写入配置。--force 强制重新扫描（微信更新后使用）。

wx sessions [-n N] [--json]

列出最近 N 个会话（默认 20），显示未读数、最后消息摘要。

wx history CHAT [-n N] [--offset N] [--since DATE] [--until DATE] [--json]

查看指定聊天的消息记录。DATE 格式：YYYY-MM-DD 或 YYYY-MM-DD HH:MM。

wx search KEYWORD [--in CHAT]... [-n N] [--since DATE] [--until DATE] [--json]

全库搜索消息，--in 可指定多个聊天范围。

wx contacts [-q QUERY] [-n N] [--json]

列出或搜索联系人。

wx export CHAT [-f FORMAT] [-o FILE] [-n N] [--since DATE] [--until DATE]

导出聊天记录。-f 支持 markdown（默认）、txt、json。-o 指定输出文件，不指定则输出到 stdout。

wx watch [--chat CHAT] [--json]

实时监听新消息（WAL 变化推送，约 500ms 延迟）。--json 输出 JSON lines，方便 jq 处理。

wx daemon status / stop / logs [-f] [-n N]

管理后台 daemon。logs --follow 持续追踪新日志。

原理

密钥提取

微信 4.x 使用 SQLCipher 4 加密本地数据库：

• 加密：AES-256-CBC + HMAC-SHA512
• KDF：PBKDF2-HMAC-SHA512，256,000 次迭代
• 页结构：4096 bytes/page，reserve = 80（IV 16 + HMAC 64）

WCDB 在进程内存中缓存派生后的 raw key，格式为 x'<64hex_enc_key><32hex_salt>'。Rust 扫描器通过 macOS Mach VM API（mach_vm_region + mach_vm_read）或 Linux /proc/<pid>/mem 扫描微信进程内存，匹配此模式后输出到 ~/.wx-cli/all_keys.json。

DBCache（mtime 感知缓存）

daemon 首次解密后将结果（及 DB/WAL 的 mtime，精度纳秒）持久化到 ~/.wx-cli/cache/_mtimes.json。重启时若 mtime 未变，直接复用已解密文件。

WAL 监听

daemon 每 500ms 检测 session.db-wal 的 mtime，有变化时重新解密并通过 Unix socket 广播新消息给所有 watch 客户端。

数据文件路径

~/.wx-cli/
├── config.json       # 配置（DB 目录、密钥文件路径）
├── all_keys.json     # 数据库密钥
├── daemon.sock       # Unix socket
├── daemon.pid        # PID 文件
├── daemon.log        # daemon 日志
└── cache/
    ├── _mtimes.json  # mtime 持久化索引
    └── *.db          # 解密后的数据库缓存

数据库结构

解密后约 26 个数据库：

免责声明

本工具仅用于学习和研究目的，用于解密自己的微信数据。请遵守相关法律法规，不要用于未经授权的数据访问。