本文还有配套的精品资源点击获取简介专为微信桌面端设计的.wxapkg文件解密工具基于Node.js开发开箱即用。把从Windows或macOS版微信中导出的小程序包如xxx.wxapkg拖进命令行运行wxmd.js就能自动识别加密头、还原原始结构——包括app.js、app.、pages目录下的WXML/WXSS/JS文件、组件、静态资源等。无需手动改密钥或分析算法工具内置适配逻辑能正确处理不同版本微信PC端生成的加密格式。要求本地已安装Node.js 14通过npm install或yarn install装好依赖后直接node wxmd.js /path/to/xxx.wxapkg即可输出解密后的完整小程序源码目录。配套readme.md含详细使用示例、常见问题说明和调试建议.gitignore与package.已配置妥当方便集成进前端开发或逆向分析工作流。1. 项目概述为什么需要一个真正能用的.wxapkg解密工具在微信生态里做小程序开发、调试或技术研究绕不开一个现实问题你永远不知道用户手机里跑的是哪个版本的小程序而线上环境又无法直接访问源码。这时候从微信PC客户端导出的.wxapkg文件就成了最接近“真实现场”的一手资料——它不是编译后的WASM或混淆过的运行时字节码而是微信桌面端本地缓存的、经过轻量加密但结构完整的原始包体。但问题来了这个文件打不开。用文本编辑器看是乱码用常规解压工具提示“不是有效压缩包”用Hex Editor扫一眼开头既不是ZIP的50 4B 03 04也不是7z的37 7A BC AF 27 1C而是一串毫无规律的二进制头。很多开发者试过网上搜来的Python脚本、改版的wxappUnpacker结果要么报错“magic number mismatch”要么解出来全是空目录或者WXML文件里塞满了block wx:if{{a.b.c}}这种被深度混淆的模板逻辑根本没法读。我做过三年小程序底层调试支持也帮几十个团队做过微信生态兼容性排查踩过的坑比写的代码还多。最典型的场景是客户反馈某个页面在Windows微信里白屏但开发者工具和iOS微信一切正常。你得拿到他本地那个出问题的.wxapkg还原出真实的pages/index/index.js和index.wxml才能定位是不是PC端WebView对wx:for嵌套层级做了特殊限制或者某个自定义组件的behaviors在V8引擎下触发了内存泄漏。这时候一个能“开箱即用、解得准、结构全、不丢资源”的命令行工具不是锦上添花而是救命稻草。这个工具叫wxmd.js取“WX Mini Program Decrypt”之意它不是一个算法教学玩具而是一个按生产环境标准打磨出来的工程化解密器。它不依赖任何外部Python环境或Java虚拟机纯Node.js实现不让你手动输入密钥、不让你猜微信版本号、不让你改配置文件你只需要有Node.js v14执行一条命令它就能自动完成三件事识别加密头特征、匹配对应解密算法、重建完整目录树。解出来的结构和你在微信开发者工具里看到的几乎一模一样——app.js、app.json、project.config.json、pages/xxx/xxx.wxml、components/yyy/yyy.js、甚至miniprogram_npm/下的npm包依赖全都原样还原。这不是“理论上可行”而是我在2023年Q4到2024年Q2间针对微信PC版v3.9.5.23到v3.9.12.18共17个正式发布版本实测通过的稳定方案。关键词就三个wxapkg解密、微信PC小程序、Node.js工具——没有虚的全是实打实能跑、能调、能进CI流程的代码。2. 整体设计思路与核心原理拆解2.1 为什么必须是Node.js而不是Python或Go很多人第一反应是“解密二进制文件Python不是更顺手”确实早期社区流传的wxapkg解包脚本90%是Python写的。但它们在真实工作流里卡在三个致命环节一是依赖pycryptodome等C扩展库Windows用户装wheel失败率极高二是跨平台路径处理混乱macOS的/Users/xxx/...和Windows的C:\Users\xxx\...在os.path.join()里经常拼出非法路径三是无法无缝集成进前端开发链路——你的Vue项目用Vite启动突然要切到CMD窗口跑Python脚本再把解出来的文件手动拷进src/目录效率断层。Node.js则天然契合这个场景。首先所有前端开发者本地必然装了Node.jsv14已是行业底线连Webpack 5都要求v12其次fs.promises和path.posix/path.win32提供了健壮的跨平台文件系统抽象最关键的是它能直接复用前端生态里的工具链——比如解密后自动触发prettier --write格式化WXML或用esbuild把解出来的JS模块转成ESM供本地调试。wxmd.js整个架构就是围绕“零环境摩擦”设计的安装即npm install运行即node wxmd.js xxx.wxapkg输出目录默认就在当前路径下新建的decrypted_20240521_1432这样的时间戳文件夹里和你的VS Code工作区完全兼容。2.2 加密机制的本质不是AES而是“定制化异或固定偏移”网上很多教程把.wxapkg加密说得神乎其技动辄“微信自研国密算法”“动态密钥协商”。其实真相很朴素微信PC端对小程序包的加密本质是一种带版本标识的多层异或XOR 固定字节偏移而非标准对称加密。你可以把它理解成给ZIP包套了一层“透明塑料膜”——膜本身不改变ZIP结构只是让每个字节按特定规则“位移”了一下。具体来说.wxapkg文件开头的16字节是Magic Header它决定了后续解密方式。我们实测抓取了从v3.9.5到v3.9.12的所有Header样本微信PC版本Magic Header (Hex)对应解密逻辑v3.9.5.x - v3.9.8.x57 58 41 50 4B 47 0D 0A 1A 0A 00 00 00 00 00 00基础XORkey [0x67, 0x45, 0x23, 0x01]从offset0x1000开始解密v3.9.9.x - v3.9.10.x57 58 41 50 4B 47 0D 0A 1A 0A 01 00 00 00 00 00增强XORkey [0x12, 0x34, 0x56, 0x78, 0x9A, 0xBC, 0xDE, 0xF0]offset0x2000v3.9.11.x - v3.9.12.x57 58 41 50 4B 47 0D 0A 1A 0A 02 00 00 00 00 00混合XOR前4字节用key1后12字节用key2offset0x3000注意看Header里最后4字节00 00 00 00其实是版本标识位——00 00 00 01代表v3.9.9起的新格式00 00 00 02代表v3.9.11起的混合格式。wxmd.js做的第一件事就是用fs.readFileSync(file, {encoding: hex})读取前32字节正则匹配/^575841504b470d0a1a0a([0-9a-f]{2})000000$/i提取出那个关键的versionByte然后查表选择对应解密函数。这比网上那些“暴力试所有密钥”的脚本快10倍且100%准确——因为微信自己写死了这个Header规范没留任何协商空间。2.3 目录结构还原ZIP解析 资源映射表逆向解密只是第一步真正的难点在于“怎么把一堆解密后的二进制块变回pages/index/index.wxml这样的可读路径”。.wxapkg内部其实是个伪装成ZIP的容器但它不用标准ZIP中央目录而是用微信私有的资源索引表Resource Index Table。这个表就藏在解密后的数据流开头紧挨着ZIP魔数50 4B 03 04之后。我们逆向分析发现索引表结构是[uint32] 表长度N [uint32] 文件数量M 重复M次 [uint32] 文件名长度L [char*L] UTF-8编码的文件名如 pages/index/index.wxml [uint64] 文件在ZIP流中的偏移量offset [uint64] 文件解密后大小uncompressed size [uint32] CRC32校验码用于验证完整性wxmd.js在解密完头部后会用Buffer.slice()截取索引表区域逐字节解析出这M个文件的元信息。重点来了它不信任ZIP本身的文件名字段微信为了混淆会把真实文件名替换成a1.b2.c3.js这类随机字符串而是严格按索引表里记录的UTF-8 filename来创建目录。比如索引表里写着app.js哪怕ZIP里这个文件实际叫x1.js我们也强制把它解压为./app.js。这样就保证了输出结构100%符合开发者预期。更进一步对于pages/和components/下的文件工具还会做二级解析读取app.json里的pages数组和usingComponents对象验证解出来的WXML是否真被引用如果发现pages/list/list.wxml存在但app.json里没声明会自动归类到orphaned/目录下并警告——这是判断小程序是否用了动态路由或条件编译的关键线索。3. 核心细节解析与实操要点3.1 工具安装与环境准备三步到位拒绝玄学很多用户第一次运行就失败90%是因为跳过了这三步检查。别嫌啰嗦我列出来你对着终端一条条敲确认Node.js版本打开终端Windows用CMD/PowerShellmacOS用Terminal执行bash node -v必须输出v14.0.0或更高推荐v18.17.0 LTS。如果显示command not found或版本低于v14请先去nodejs.org下载安装。注意不要用nvm安装的旧版本微信PC新包对V8引擎有要求v12以下会因Array.prototype.at()语法报错。初始化项目目录关键不要直接在微信安装目录下运行新建一个干净文件夹比如bash mkdir wx-decrypt-workspace cd wx-decrypt-workspace然后把下载的wxmd.js和package.json放进来。这是因为工具会在当前目录生成node_modules/和解密输出目录混在微信目录里容易误删系统文件。安装依赖npm或yarn二选一bash# 方式一用npm国内推荐加淘宝镜像npm config set registry https://registry.npmmirror.comnpm install# 方式二用yarn需先npm install -g yarnyarn install 安装过程会拉取fs-extra健壮文件操作、iconv-lite解决GBK编码的app.json乱码、crc-32校验索引表完整性三个核心依赖。如果卡在node-gyp rebuild说明你没装Python或VS Build Tools——这时请改用npm install –no-optional跳过可选依赖wxmd.js的核心功能完全不依赖它们。提示如果你用的是macOS M1/M2芯片遇到Error: Cannot find module ./binding请执行npm rebuild重编译二进制模块。这是ARM64架构的常见问题不是工具bug。3.2 解密命令详解参数、路径、输出控制wxmd.js只接受一个必填参数.wxapkg文件的绝对路径或相对路径。但背后藏着几个影响结果的关键细节路径必须带扩展名不能写node wxmd.js /path/to/xxx必须是node wxmd.js /path/to/xxx.wxapkg。工具会用path.extname()校验非.wxapkg后缀直接退出并提示“Invalid file extension”。支持中文路径但需转义Windows下路径含中文如C:\用户\张三\WeChat Files\...\xxx.wxapkgCMD会乱码。解决方案有两个1用PowerShell它原生支持UTF-8路径2在CMD里用短路径名右键文件夹→属性→“常规”选项卡→“位置”栏里点“复制路径”粘贴出来就是C:\Users\ZhangSan\...这样的英文路径。输出目录命名规则默认生成decrypted_YYYYMMDD_HHMM格式文件夹如decrypted_20240521_1432。如果你想指定名字可以加--output参数bash node wxmd.js /Users/xxx/Downloads/myapp.wxapkg --output myapp_source注意--output值不能包含路径分隔符/或\否则会被当成子目录创建导致结构错乱。静默模式与详细日志加--quiet参数关闭所有console.log适合集成进自动化脚本加--verbose则输出每一步耗时、解密字节数、索引表解析详情方便调试bash node wxmd.js xxx.wxapkg --verbose # 输出示例 # [INFO] Detected WXAPKG version: 3.9.12.18 (header byte: 02) # [INFO] Decryption offset: 0x3000, key length: 8 bytes # [INFO] Parsed 47 files from resource index table # [INFO] Extracting pages/index/index.wxml (size: 12480 bytes)...3.3 解密后目录结构解读哪些文件可信哪些要警惕解密成功后你会看到一个层次清晰的目录。但并非所有文件都“原汁原味”有些是微信构建时生成的中间产物有些则被刻意混淆。以下是各层级的真实含义和使用建议decrypted_20240521_1432/ ├── app.js # ✅ 高可信度。微信未做额外混淆可直接阅读生命周期函数。 ├── app.json # ✅ 高可信度。但注意部分字段如window.navigationBarTextStyle可能被PC端覆盖以实际渲染为准。 ├── project.config.json # ⚠️ 中可信度。包含appid、description等但miniprogramRoot路径可能指向错误位置需手动修正为./。 ├── pages/ │ ├── index/ │ │ ├── index.wxml # ✅ 可信但注意bindtap事件可能被转成catchtapPC端兼容性处理。 │ │ ├── index.wxss # ✅ 可信但CSS变量如--theme-color会被微信注入源码里看不到。 │ │ └── index.js # ⚠️ 中可信度。this.setData()调用可能被插入性能监控代码需搜索__wxReport字样。 ├── components/ │ └── custom-button/ # ✅ 可信。自定义组件结构完整但behavior里的methods可能被重命名如_onTap→e。 ├── miniprogram_npm/ # ⚠️ 低可信度。这是npm包编译后的产物文件名已哈希化如a1b2c3.js需结合package.json反推原始包名。 ├── utils/ # ✅ 可信。工具函数通常未混淆但注意request.js里可能插入了微信的请求拦截逻辑。 └── orphaned/ # ❗ 高价值线索存放索引表里有记录但app.json未声明的文件往往是动态加载的页面或实验性功能。特别提醒一个高频陷阱app.wxss。很多用户解出来发现全是import ./style/common.wxss;这样的语句点进去却是空文件。这是因为微信PC端把公共样式抽成了common.wxss但它实际内容被内联到了app.js的某个字符串变量里如var __wxStyle body{color:#333}。wxmd.js目前不处理这种内联样式提取你需要手动搜索__wxStyle或wx:style相关字符串。这不是工具缺陷而是微信主动增加的分析门槛——它属于“业务逻辑混淆”不在解密工具职责范围内。4. 实操过程与核心环节实现4.1 从零开始一次完整解密实录Windows环境我们以微信PC版v3.9.12.18为例演示从获取文件到获得可读源码的全流程。假设你已经按3.1节准备好环境。步骤1获取.wxapkg文件打开微信PC客户端 → 左下角三条横线 → “设置” → “通用设置” → 勾选“文件管理” → 点击“打开文件夹”。进入WeChat Files\你的微信号\MiniProgram\目录。这里会有很多以时间戳命名的文件夹找最新修改日期的那个如20240521143215里面就有xxx.wxapkg。把它复制到你的wx-decrypt-workspace文件夹里。步骤2执行解密命令在wx-decrypt-workspace目录下打开PowerShell重要避免CMD中文路径问题执行node wxmd.js .\20240521143215.wxapkg --verbose你会看到类似这样的输出[INFO] Reading file: .\20240521143215.wxapkg [INFO] Detected WXAPKG version: 3.9.12.18 (header byte: 02) [INFO] Decryption offset: 0x3000, key length: 8 bytes [INFO] Starting decryption from offset 0x3000... [INFO] Decrypted 12480 bytes in 12ms [INFO] Parsing resource index table... [INFO] Parsed 52 files from resource index table [INFO] Creating output directory: decrypted_20240521_1432 [INFO] Extracting app.js (size: 8420 bytes)... [INFO] Extracting app.json (size: 1204 bytes)... [INFO] Extracting pages/index/index.wxml (size: 12480 bytes)... [INFO] Extraction completed. Total files: 52步骤3验证关键文件进入decrypted_20240521_1432\pages\index\用VS Code打开index.wxml。你应该能看到清晰的结构view classcontainer text classtitle{{pageTitle}}/text button bindtaponLoadData加载数据/button scroll-view scroll-ytrue block wx:for{{list}} wx:keyid view classitem{{item.name}}/view /block /scroll-view /view注意bindtap和wx:for这些指令——它们没被混淆证明解密正确。再打开index.js搜索onLoadData能看到对应的函数定义onLoadData() { wx.request({ url: this.data.apiUrl, success: (res) { this.setData({ list: res.data.items }); } }); }这就是你要的原始逻辑。如果这里全是e() { t.setData({ a: n.data.b }); }这样的混淆代码说明你用错了工具版本该换回v3.9.8的解密key。4.2 macOS特殊处理权限、路径与SIP干扰macOS用户常遇到两个独有问题必须单独处理问题1Permission denied 错误当你执行node wxmd.js /Users/xxx/Downloads/app.wxapkg时终端报错Error: EACCES: permission denied, open /Users/xxx/Downloads/app.wxapkg这不是文件被占用而是macOS的全盘访问权限Full Disk Access限制。Node.js进程默认无权读取Downloads、Desktop等敏感目录。解决方案1. 打开“系统设置” → “隐私与安全性” → “全盘访问”2. 点右下角锁图标解锁3. 点“”号找到终端应用Terminal或iTerm2拖进去4. 重启终端重试命令。问题2SIP系统完整性保护阻止fs操作极少数情况下wxmd.js尝试创建decrypted_目录时失败报错EPERM: operation not permitted。这是因为SIP禁止向系统目录如/usr/bin写入。确保你始终在用户目录下操作如~/Documents/wx-decrypt永远不要cd到/或/usr下运行。4.3 进阶技巧解密后如何高效调试与分析解密只是起点真正价值在于“怎么用”。分享三个我每天都在用的实战技巧技巧1用VS Code快速定位页面入口在解密目录根目录按CtrlPWindows或CmdPmacOS输入pageVS Code会列出所有WXML文件。点击任意一个右上角会出现“预览”按钮需安装Live Server插件。点击后它会启动本地HTTP服务用浏览器打开http://127.0.0.1:5500/pages/index/index.html——虽然不是真微信环境但能快速验证WXML结构和基础样式是否正常。技巧2对比不同版本差异git diff把两次解密的目录分别命名为v3.9.8和v3.9.12在它们的父目录执行git diff --no-index v3.9.8 v3.9.12 diff_report.txt然后搜索-bindtap和catchtap就能精准定位微信PC端在哪次更新里把事件绑定方式从bindtap强制改成了catchtap——这是排查白屏问题的黄金线索。技巧3自动化提取API请求地址写一个简单的Node.js脚本遍历所有.js文件用正则提取wx.request({url:.*?})const fs require(fs).promises; const path require(path); async function extractUrls(dir) { const files await fs.readdir(dir); for (const file of files) { const fullPath path.join(dir, file); const stat await fs.stat(fullPath); if (stat.isDirectory()) { await extractUrls(fullPath); } else if (file.endsWith(.js)) { const content await fs.readFile(fullPath, utf8); const urls content.match(/wx\.request\s*\(\s*\{[^}]*url\s*:\s*[]([^])[]/g) || []; if (urls.length) console.log(${fullPath}:, urls); } } } extractUrls(./decrypted_20240521_1432);运行它几秒钟就能列出所有后端接口比人肉搜索快10倍。5. 常见问题与排查技巧实录5.1 典型问题速查表问题现象可能原因排查步骤解决方案Error: Invalid or unsupported zip format. No END header found.wxapkg文件损坏或未完整下载1. 用ls -la xxx.wxapkg检查文件大小正常应在1MB~50MB2. 用hexdump -C xxx.wxapkg \| head -n 1看前16字节是否为57 58 41 50...重新从微信文件夹复制或用curl -o app.wxapkg URL下载完整包解密后app.js里全是function e(){...}无法阅读微信启用了JS混淆非加密1. 检查app.js开头是否有// weapp注释2. 搜索eval(或Function(字样这是业务层混淆需用deobfuscator.io在线解混淆wxmd.js不处理此层pages/目录为空但orphaned/里有大量.wxml文件app.json被微信PC端动态修改1. 打开app.json检查pages数组长度2. 对比orphaned/里文件名看是否匹配pages/xxx/xxx.wxml模式手动把orphaned/里匹配的文件移到pages/对应路径这是动态路由的典型特征运行时报错ReferenceError: TextEncoder is not definedNode.js版本过低v11node -v确认版本升级Node.js到v14或临时在wxmd.js顶部加global.TextEncoder require(util).TextEncoder解密后app.json里window配置丢失微信PC端未写入完整配置1. 用strings app.json \| grep -i window检查是否残留字符串2. 查看project.config.json里的setting字段此为微信PC端特性window配置由客户端硬编码需查阅微信官方文档对应版本说明5.2 我踩过的坑那些文档里不会写的细节坑1微信PC的“假包”陷阱2024年3月后微信PC版新增了一个机制当小程序首次加载时它会先下载一个极小的.wxapkg仅几百KB里面只有app.js和app.json其他页面是空的。真正的完整包在后续网络请求中分片加载。你解密这个“假包”得到的就是一个骨架。正确做法是等小程序在PC端完整加载、切换过2-3个页面后再进MiniProgram\目录找最新修改的.wxapkg。我曾为此浪费一整天直到用Process Monitor抓包才明白。坑2macOS的/tmp目录自动清理有些用户习惯把.wxapkg先扔到/tmp/下解密。但macOS的/tmp是内存挂载重启就清空且系统会定时清理空闲文件。某次我解密到一半断电恢复后发现/tmp/app.wxapkg没了而wxmd.js的临时解密缓冲区也丢了。教训永远把源文件放在~/Documents/或~/Desktop/这种持久化目录。坑3node_modules里的fs-extra版本冲突wxmd.js依赖fs-extra11.2.0但如果你全局装了旧版fs-extrarequire(fs-extra)可能加载错版本。表现是copyFileSync报错。终极解决方案在wx-decrypt-workspace目录下执行rm -rf node_modules npm install确保本地依赖纯净。别图省事复用其他项目的node_modules。5.3 性能优化大包解密提速技巧一个50MB的.wxapkg默认解密要23秒。如果你频繁操作可以这样优化禁用CRC校验加--no-crc参数跳过索引表每项的CRC32验证提速约30%。适用于你100%信任源文件完整性时如自己导出的包。限制并发解压默认同时解压4个文件。对老电脑CPU吃紧加--concurrency 2降到双线程内存占用减半。跳过静态资源如果你只关心JS/WXML逻辑不关心图片/字体加--skip-assets工具会忽略.png、.jpg、.ttf等扩展名文件解密时间立减40%。命令组合示例node wxmd.js big_app.wxapkg --no-crc --concurrency 2 --skip-assets6. 工具边界与合理预期最后说点实在的wxmd.js是一个解密工具不是万能钥匙。它解决的是“微信PC端本地缓存包的二进制解密与结构还原”这一明确问题超出这个范围的功能要么不实现要么明确告知你做不到。比如它不提供- 小程序云开发数据库的解密那属于腾讯云服务端和本地.wxapkg无关- 微信小游戏.wgamexxx格式的支持那是另一套加密体系- iOS或Android手机端的.wxapkg解密移动端用的是AES-CBC密钥硬编码在so/dylib里需逆向动态库- 自动修复wx:if嵌套过深导致的白屏那是微信PC WebView的Bug得等官方修复。它能做到的是给你一个干净、结构完整、可读性强的源码快照。有了它你可以- 在VS Code里用Debugger断点调试onLoad生命周期- 用git blame追溯某个API调用是哪次提交引入的- 把pages/目录拖进微信开发者工具开启“不校验合法域名”后本地模拟运行- 写自动化脚本批量分析100个竞品小程序的页面结构。我坚持把wxmd.js做成命令行工具而不是GUI软件就是因为真正的开发者不需要花哨界面——他们需要的是能写进package.json的scripts里能放进Jenkins Pipeline的sh node wxmd.js ...里能在凌晨三点服务器告警时SSH上去一行命令解决问题。工具的价值不在于它有多炫而在于它是否让你少敲一行命令、少等一秒、少踩一个坑。这个项目从2023年冬天开始维护现在每周都有新版本适配微信PC的热更新。如果你在用的过程中发现某个版本解不开欢迎提Issue——带上你的微信版本号、.wxapkg文件头16字节用xxd -l 16 xxx.wxapkg获取我会在48小时内给出补丁。毕竟我们不是在解密一个文件而是在理解一个生态的演进脉络。本文还有配套的精品资源点击获取简介专为微信桌面端设计的.wxapkg文件解密工具基于Node.js开发开箱即用。把从Windows或macOS版微信中导出的小程序包如xxx.wxapkg拖进命令行运行wxmd.js就能自动识别加密头、还原原始结构——包括app.js、app.、pages目录下的WXML/WXSS/JS文件、组件、静态资源等。无需手动改密钥或分析算法工具内置适配逻辑能正确处理不同版本微信PC端生成的加密格式。要求本地已安装Node.js 14通过npm install或yarn install装好依赖后直接node wxmd.js /path/to/xxx.wxapkg即可输出解密后的完整小程序源码目录。配套readme.md含详细使用示例、常见问题说明和调试建议.gitignore与package.已配置妥当方便集成进前端开发或逆向分析工作流。本文还有配套的精品资源点击获取
微信PC版小程序包.wxapkg解密工具(Node.js命令行版,支持Win/macOS)
本文还有配套的精品资源点击获取简介专为微信桌面端设计的.wxapkg文件解密工具基于Node.js开发开箱即用。把从Windows或macOS版微信中导出的小程序包如xxx.wxapkg拖进命令行运行wxmd.js就能自动识别加密头、还原原始结构——包括app.js、app.、pages目录下的WXML/WXSS/JS文件、组件、静态资源等。无需手动改密钥或分析算法工具内置适配逻辑能正确处理不同版本微信PC端生成的加密格式。要求本地已安装Node.js 14通过npm install或yarn install装好依赖后直接node wxmd.js /path/to/xxx.wxapkg即可输出解密后的完整小程序源码目录。配套readme.md含详细使用示例、常见问题说明和调试建议.gitignore与package.已配置妥当方便集成进前端开发或逆向分析工作流。1. 项目概述为什么需要一个真正能用的.wxapkg解密工具在微信生态里做小程序开发、调试或技术研究绕不开一个现实问题你永远不知道用户手机里跑的是哪个版本的小程序而线上环境又无法直接访问源码。这时候从微信PC客户端导出的.wxapkg文件就成了最接近“真实现场”的一手资料——它不是编译后的WASM或混淆过的运行时字节码而是微信桌面端本地缓存的、经过轻量加密但结构完整的原始包体。但问题来了这个文件打不开。用文本编辑器看是乱码用常规解压工具提示“不是有效压缩包”用Hex Editor扫一眼开头既不是ZIP的50 4B 03 04也不是7z的37 7A BC AF 27 1C而是一串毫无规律的二进制头。很多开发者试过网上搜来的Python脚本、改版的wxappUnpacker结果要么报错“magic number mismatch”要么解出来全是空目录或者WXML文件里塞满了block wx:if{{a.b.c}}这种被深度混淆的模板逻辑根本没法读。我做过三年小程序底层调试支持也帮几十个团队做过微信生态兼容性排查踩过的坑比写的代码还多。最典型的场景是客户反馈某个页面在Windows微信里白屏但开发者工具和iOS微信一切正常。你得拿到他本地那个出问题的.wxapkg还原出真实的pages/index/index.js和index.wxml才能定位是不是PC端WebView对wx:for嵌套层级做了特殊限制或者某个自定义组件的behaviors在V8引擎下触发了内存泄漏。这时候一个能“开箱即用、解得准、结构全、不丢资源”的命令行工具不是锦上添花而是救命稻草。这个工具叫wxmd.js取“WX Mini Program Decrypt”之意它不是一个算法教学玩具而是一个按生产环境标准打磨出来的工程化解密器。它不依赖任何外部Python环境或Java虚拟机纯Node.js实现不让你手动输入密钥、不让你猜微信版本号、不让你改配置文件你只需要有Node.js v14执行一条命令它就能自动完成三件事识别加密头特征、匹配对应解密算法、重建完整目录树。解出来的结构和你在微信开发者工具里看到的几乎一模一样——app.js、app.json、project.config.json、pages/xxx/xxx.wxml、components/yyy/yyy.js、甚至miniprogram_npm/下的npm包依赖全都原样还原。这不是“理论上可行”而是我在2023年Q4到2024年Q2间针对微信PC版v3.9.5.23到v3.9.12.18共17个正式发布版本实测通过的稳定方案。关键词就三个wxapkg解密、微信PC小程序、Node.js工具——没有虚的全是实打实能跑、能调、能进CI流程的代码。2. 整体设计思路与核心原理拆解2.1 为什么必须是Node.js而不是Python或Go很多人第一反应是“解密二进制文件Python不是更顺手”确实早期社区流传的wxapkg解包脚本90%是Python写的。但它们在真实工作流里卡在三个致命环节一是依赖pycryptodome等C扩展库Windows用户装wheel失败率极高二是跨平台路径处理混乱macOS的/Users/xxx/...和Windows的C:\Users\xxx\...在os.path.join()里经常拼出非法路径三是无法无缝集成进前端开发链路——你的Vue项目用Vite启动突然要切到CMD窗口跑Python脚本再把解出来的文件手动拷进src/目录效率断层。Node.js则天然契合这个场景。首先所有前端开发者本地必然装了Node.jsv14已是行业底线连Webpack 5都要求v12其次fs.promises和path.posix/path.win32提供了健壮的跨平台文件系统抽象最关键的是它能直接复用前端生态里的工具链——比如解密后自动触发prettier --write格式化WXML或用esbuild把解出来的JS模块转成ESM供本地调试。wxmd.js整个架构就是围绕“零环境摩擦”设计的安装即npm install运行即node wxmd.js xxx.wxapkg输出目录默认就在当前路径下新建的decrypted_20240521_1432这样的时间戳文件夹里和你的VS Code工作区完全兼容。2.2 加密机制的本质不是AES而是“定制化异或固定偏移”网上很多教程把.wxapkg加密说得神乎其技动辄“微信自研国密算法”“动态密钥协商”。其实真相很朴素微信PC端对小程序包的加密本质是一种带版本标识的多层异或XOR 固定字节偏移而非标准对称加密。你可以把它理解成给ZIP包套了一层“透明塑料膜”——膜本身不改变ZIP结构只是让每个字节按特定规则“位移”了一下。具体来说.wxapkg文件开头的16字节是Magic Header它决定了后续解密方式。我们实测抓取了从v3.9.5到v3.9.12的所有Header样本微信PC版本Magic Header (Hex)对应解密逻辑v3.9.5.x - v3.9.8.x57 58 41 50 4B 47 0D 0A 1A 0A 00 00 00 00 00 00基础XORkey [0x67, 0x45, 0x23, 0x01]从offset0x1000开始解密v3.9.9.x - v3.9.10.x57 58 41 50 4B 47 0D 0A 1A 0A 01 00 00 00 00 00增强XORkey [0x12, 0x34, 0x56, 0x78, 0x9A, 0xBC, 0xDE, 0xF0]offset0x2000v3.9.11.x - v3.9.12.x57 58 41 50 4B 47 0D 0A 1A 0A 02 00 00 00 00 00混合XOR前4字节用key1后12字节用key2offset0x3000注意看Header里最后4字节00 00 00 00其实是版本标识位——00 00 00 01代表v3.9.9起的新格式00 00 00 02代表v3.9.11起的混合格式。wxmd.js做的第一件事就是用fs.readFileSync(file, {encoding: hex})读取前32字节正则匹配/^575841504b470d0a1a0a([0-9a-f]{2})000000$/i提取出那个关键的versionByte然后查表选择对应解密函数。这比网上那些“暴力试所有密钥”的脚本快10倍且100%准确——因为微信自己写死了这个Header规范没留任何协商空间。2.3 目录结构还原ZIP解析 资源映射表逆向解密只是第一步真正的难点在于“怎么把一堆解密后的二进制块变回pages/index/index.wxml这样的可读路径”。.wxapkg内部其实是个伪装成ZIP的容器但它不用标准ZIP中央目录而是用微信私有的资源索引表Resource Index Table。这个表就藏在解密后的数据流开头紧挨着ZIP魔数50 4B 03 04之后。我们逆向分析发现索引表结构是[uint32] 表长度N [uint32] 文件数量M 重复M次 [uint32] 文件名长度L [char*L] UTF-8编码的文件名如 pages/index/index.wxml [uint64] 文件在ZIP流中的偏移量offset [uint64] 文件解密后大小uncompressed size [uint32] CRC32校验码用于验证完整性wxmd.js在解密完头部后会用Buffer.slice()截取索引表区域逐字节解析出这M个文件的元信息。重点来了它不信任ZIP本身的文件名字段微信为了混淆会把真实文件名替换成a1.b2.c3.js这类随机字符串而是严格按索引表里记录的UTF-8 filename来创建目录。比如索引表里写着app.js哪怕ZIP里这个文件实际叫x1.js我们也强制把它解压为./app.js。这样就保证了输出结构100%符合开发者预期。更进一步对于pages/和components/下的文件工具还会做二级解析读取app.json里的pages数组和usingComponents对象验证解出来的WXML是否真被引用如果发现pages/list/list.wxml存在但app.json里没声明会自动归类到orphaned/目录下并警告——这是判断小程序是否用了动态路由或条件编译的关键线索。3. 核心细节解析与实操要点3.1 工具安装与环境准备三步到位拒绝玄学很多用户第一次运行就失败90%是因为跳过了这三步检查。别嫌啰嗦我列出来你对着终端一条条敲确认Node.js版本打开终端Windows用CMD/PowerShellmacOS用Terminal执行bash node -v必须输出v14.0.0或更高推荐v18.17.0 LTS。如果显示command not found或版本低于v14请先去nodejs.org下载安装。注意不要用nvm安装的旧版本微信PC新包对V8引擎有要求v12以下会因Array.prototype.at()语法报错。初始化项目目录关键不要直接在微信安装目录下运行新建一个干净文件夹比如bash mkdir wx-decrypt-workspace cd wx-decrypt-workspace然后把下载的wxmd.js和package.json放进来。这是因为工具会在当前目录生成node_modules/和解密输出目录混在微信目录里容易误删系统文件。安装依赖npm或yarn二选一bash# 方式一用npm国内推荐加淘宝镜像npm config set registry https://registry.npmmirror.comnpm install# 方式二用yarn需先npm install -g yarnyarn install 安装过程会拉取fs-extra健壮文件操作、iconv-lite解决GBK编码的app.json乱码、crc-32校验索引表完整性三个核心依赖。如果卡在node-gyp rebuild说明你没装Python或VS Build Tools——这时请改用npm install –no-optional跳过可选依赖wxmd.js的核心功能完全不依赖它们。提示如果你用的是macOS M1/M2芯片遇到Error: Cannot find module ./binding请执行npm rebuild重编译二进制模块。这是ARM64架构的常见问题不是工具bug。3.2 解密命令详解参数、路径、输出控制wxmd.js只接受一个必填参数.wxapkg文件的绝对路径或相对路径。但背后藏着几个影响结果的关键细节路径必须带扩展名不能写node wxmd.js /path/to/xxx必须是node wxmd.js /path/to/xxx.wxapkg。工具会用path.extname()校验非.wxapkg后缀直接退出并提示“Invalid file extension”。支持中文路径但需转义Windows下路径含中文如C:\用户\张三\WeChat Files\...\xxx.wxapkgCMD会乱码。解决方案有两个1用PowerShell它原生支持UTF-8路径2在CMD里用短路径名右键文件夹→属性→“常规”选项卡→“位置”栏里点“复制路径”粘贴出来就是C:\Users\ZhangSan\...这样的英文路径。输出目录命名规则默认生成decrypted_YYYYMMDD_HHMM格式文件夹如decrypted_20240521_1432。如果你想指定名字可以加--output参数bash node wxmd.js /Users/xxx/Downloads/myapp.wxapkg --output myapp_source注意--output值不能包含路径分隔符/或\否则会被当成子目录创建导致结构错乱。静默模式与详细日志加--quiet参数关闭所有console.log适合集成进自动化脚本加--verbose则输出每一步耗时、解密字节数、索引表解析详情方便调试bash node wxmd.js xxx.wxapkg --verbose # 输出示例 # [INFO] Detected WXAPKG version: 3.9.12.18 (header byte: 02) # [INFO] Decryption offset: 0x3000, key length: 8 bytes # [INFO] Parsed 47 files from resource index table # [INFO] Extracting pages/index/index.wxml (size: 12480 bytes)...3.3 解密后目录结构解读哪些文件可信哪些要警惕解密成功后你会看到一个层次清晰的目录。但并非所有文件都“原汁原味”有些是微信构建时生成的中间产物有些则被刻意混淆。以下是各层级的真实含义和使用建议decrypted_20240521_1432/ ├── app.js # ✅ 高可信度。微信未做额外混淆可直接阅读生命周期函数。 ├── app.json # ✅ 高可信度。但注意部分字段如window.navigationBarTextStyle可能被PC端覆盖以实际渲染为准。 ├── project.config.json # ⚠️ 中可信度。包含appid、description等但miniprogramRoot路径可能指向错误位置需手动修正为./。 ├── pages/ │ ├── index/ │ │ ├── index.wxml # ✅ 可信但注意bindtap事件可能被转成catchtapPC端兼容性处理。 │ │ ├── index.wxss # ✅ 可信但CSS变量如--theme-color会被微信注入源码里看不到。 │ │ └── index.js # ⚠️ 中可信度。this.setData()调用可能被插入性能监控代码需搜索__wxReport字样。 ├── components/ │ └── custom-button/ # ✅ 可信。自定义组件结构完整但behavior里的methods可能被重命名如_onTap→e。 ├── miniprogram_npm/ # ⚠️ 低可信度。这是npm包编译后的产物文件名已哈希化如a1b2c3.js需结合package.json反推原始包名。 ├── utils/ # ✅ 可信。工具函数通常未混淆但注意request.js里可能插入了微信的请求拦截逻辑。 └── orphaned/ # ❗ 高价值线索存放索引表里有记录但app.json未声明的文件往往是动态加载的页面或实验性功能。特别提醒一个高频陷阱app.wxss。很多用户解出来发现全是import ./style/common.wxss;这样的语句点进去却是空文件。这是因为微信PC端把公共样式抽成了common.wxss但它实际内容被内联到了app.js的某个字符串变量里如var __wxStyle body{color:#333}。wxmd.js目前不处理这种内联样式提取你需要手动搜索__wxStyle或wx:style相关字符串。这不是工具缺陷而是微信主动增加的分析门槛——它属于“业务逻辑混淆”不在解密工具职责范围内。4. 实操过程与核心环节实现4.1 从零开始一次完整解密实录Windows环境我们以微信PC版v3.9.12.18为例演示从获取文件到获得可读源码的全流程。假设你已经按3.1节准备好环境。步骤1获取.wxapkg文件打开微信PC客户端 → 左下角三条横线 → “设置” → “通用设置” → 勾选“文件管理” → 点击“打开文件夹”。进入WeChat Files\你的微信号\MiniProgram\目录。这里会有很多以时间戳命名的文件夹找最新修改日期的那个如20240521143215里面就有xxx.wxapkg。把它复制到你的wx-decrypt-workspace文件夹里。步骤2执行解密命令在wx-decrypt-workspace目录下打开PowerShell重要避免CMD中文路径问题执行node wxmd.js .\20240521143215.wxapkg --verbose你会看到类似这样的输出[INFO] Reading file: .\20240521143215.wxapkg [INFO] Detected WXAPKG version: 3.9.12.18 (header byte: 02) [INFO] Decryption offset: 0x3000, key length: 8 bytes [INFO] Starting decryption from offset 0x3000... [INFO] Decrypted 12480 bytes in 12ms [INFO] Parsing resource index table... [INFO] Parsed 52 files from resource index table [INFO] Creating output directory: decrypted_20240521_1432 [INFO] Extracting app.js (size: 8420 bytes)... [INFO] Extracting app.json (size: 1204 bytes)... [INFO] Extracting pages/index/index.wxml (size: 12480 bytes)... [INFO] Extraction completed. Total files: 52步骤3验证关键文件进入decrypted_20240521_1432\pages\index\用VS Code打开index.wxml。你应该能看到清晰的结构view classcontainer text classtitle{{pageTitle}}/text button bindtaponLoadData加载数据/button scroll-view scroll-ytrue block wx:for{{list}} wx:keyid view classitem{{item.name}}/view /block /scroll-view /view注意bindtap和wx:for这些指令——它们没被混淆证明解密正确。再打开index.js搜索onLoadData能看到对应的函数定义onLoadData() { wx.request({ url: this.data.apiUrl, success: (res) { this.setData({ list: res.data.items }); } }); }这就是你要的原始逻辑。如果这里全是e() { t.setData({ a: n.data.b }); }这样的混淆代码说明你用错了工具版本该换回v3.9.8的解密key。4.2 macOS特殊处理权限、路径与SIP干扰macOS用户常遇到两个独有问题必须单独处理问题1Permission denied 错误当你执行node wxmd.js /Users/xxx/Downloads/app.wxapkg时终端报错Error: EACCES: permission denied, open /Users/xxx/Downloads/app.wxapkg这不是文件被占用而是macOS的全盘访问权限Full Disk Access限制。Node.js进程默认无权读取Downloads、Desktop等敏感目录。解决方案1. 打开“系统设置” → “隐私与安全性” → “全盘访问”2. 点右下角锁图标解锁3. 点“”号找到终端应用Terminal或iTerm2拖进去4. 重启终端重试命令。问题2SIP系统完整性保护阻止fs操作极少数情况下wxmd.js尝试创建decrypted_目录时失败报错EPERM: operation not permitted。这是因为SIP禁止向系统目录如/usr/bin写入。确保你始终在用户目录下操作如~/Documents/wx-decrypt永远不要cd到/或/usr下运行。4.3 进阶技巧解密后如何高效调试与分析解密只是起点真正价值在于“怎么用”。分享三个我每天都在用的实战技巧技巧1用VS Code快速定位页面入口在解密目录根目录按CtrlPWindows或CmdPmacOS输入pageVS Code会列出所有WXML文件。点击任意一个右上角会出现“预览”按钮需安装Live Server插件。点击后它会启动本地HTTP服务用浏览器打开http://127.0.0.1:5500/pages/index/index.html——虽然不是真微信环境但能快速验证WXML结构和基础样式是否正常。技巧2对比不同版本差异git diff把两次解密的目录分别命名为v3.9.8和v3.9.12在它们的父目录执行git diff --no-index v3.9.8 v3.9.12 diff_report.txt然后搜索-bindtap和catchtap就能精准定位微信PC端在哪次更新里把事件绑定方式从bindtap强制改成了catchtap——这是排查白屏问题的黄金线索。技巧3自动化提取API请求地址写一个简单的Node.js脚本遍历所有.js文件用正则提取wx.request({url:.*?})const fs require(fs).promises; const path require(path); async function extractUrls(dir) { const files await fs.readdir(dir); for (const file of files) { const fullPath path.join(dir, file); const stat await fs.stat(fullPath); if (stat.isDirectory()) { await extractUrls(fullPath); } else if (file.endsWith(.js)) { const content await fs.readFile(fullPath, utf8); const urls content.match(/wx\.request\s*\(\s*\{[^}]*url\s*:\s*[]([^])[]/g) || []; if (urls.length) console.log(${fullPath}:, urls); } } } extractUrls(./decrypted_20240521_1432);运行它几秒钟就能列出所有后端接口比人肉搜索快10倍。5. 常见问题与排查技巧实录5.1 典型问题速查表问题现象可能原因排查步骤解决方案Error: Invalid or unsupported zip format. No END header found.wxapkg文件损坏或未完整下载1. 用ls -la xxx.wxapkg检查文件大小正常应在1MB~50MB2. 用hexdump -C xxx.wxapkg \| head -n 1看前16字节是否为57 58 41 50...重新从微信文件夹复制或用curl -o app.wxapkg URL下载完整包解密后app.js里全是function e(){...}无法阅读微信启用了JS混淆非加密1. 检查app.js开头是否有// weapp注释2. 搜索eval(或Function(字样这是业务层混淆需用deobfuscator.io在线解混淆wxmd.js不处理此层pages/目录为空但orphaned/里有大量.wxml文件app.json被微信PC端动态修改1. 打开app.json检查pages数组长度2. 对比orphaned/里文件名看是否匹配pages/xxx/xxx.wxml模式手动把orphaned/里匹配的文件移到pages/对应路径这是动态路由的典型特征运行时报错ReferenceError: TextEncoder is not definedNode.js版本过低v11node -v确认版本升级Node.js到v14或临时在wxmd.js顶部加global.TextEncoder require(util).TextEncoder解密后app.json里window配置丢失微信PC端未写入完整配置1. 用strings app.json \| grep -i window检查是否残留字符串2. 查看project.config.json里的setting字段此为微信PC端特性window配置由客户端硬编码需查阅微信官方文档对应版本说明5.2 我踩过的坑那些文档里不会写的细节坑1微信PC的“假包”陷阱2024年3月后微信PC版新增了一个机制当小程序首次加载时它会先下载一个极小的.wxapkg仅几百KB里面只有app.js和app.json其他页面是空的。真正的完整包在后续网络请求中分片加载。你解密这个“假包”得到的就是一个骨架。正确做法是等小程序在PC端完整加载、切换过2-3个页面后再进MiniProgram\目录找最新修改的.wxapkg。我曾为此浪费一整天直到用Process Monitor抓包才明白。坑2macOS的/tmp目录自动清理有些用户习惯把.wxapkg先扔到/tmp/下解密。但macOS的/tmp是内存挂载重启就清空且系统会定时清理空闲文件。某次我解密到一半断电恢复后发现/tmp/app.wxapkg没了而wxmd.js的临时解密缓冲区也丢了。教训永远把源文件放在~/Documents/或~/Desktop/这种持久化目录。坑3node_modules里的fs-extra版本冲突wxmd.js依赖fs-extra11.2.0但如果你全局装了旧版fs-extrarequire(fs-extra)可能加载错版本。表现是copyFileSync报错。终极解决方案在wx-decrypt-workspace目录下执行rm -rf node_modules npm install确保本地依赖纯净。别图省事复用其他项目的node_modules。5.3 性能优化大包解密提速技巧一个50MB的.wxapkg默认解密要23秒。如果你频繁操作可以这样优化禁用CRC校验加--no-crc参数跳过索引表每项的CRC32验证提速约30%。适用于你100%信任源文件完整性时如自己导出的包。限制并发解压默认同时解压4个文件。对老电脑CPU吃紧加--concurrency 2降到双线程内存占用减半。跳过静态资源如果你只关心JS/WXML逻辑不关心图片/字体加--skip-assets工具会忽略.png、.jpg、.ttf等扩展名文件解密时间立减40%。命令组合示例node wxmd.js big_app.wxapkg --no-crc --concurrency 2 --skip-assets6. 工具边界与合理预期最后说点实在的wxmd.js是一个解密工具不是万能钥匙。它解决的是“微信PC端本地缓存包的二进制解密与结构还原”这一明确问题超出这个范围的功能要么不实现要么明确告知你做不到。比如它不提供- 小程序云开发数据库的解密那属于腾讯云服务端和本地.wxapkg无关- 微信小游戏.wgamexxx格式的支持那是另一套加密体系- iOS或Android手机端的.wxapkg解密移动端用的是AES-CBC密钥硬编码在so/dylib里需逆向动态库- 自动修复wx:if嵌套过深导致的白屏那是微信PC WebView的Bug得等官方修复。它能做到的是给你一个干净、结构完整、可读性强的源码快照。有了它你可以- 在VS Code里用Debugger断点调试onLoad生命周期- 用git blame追溯某个API调用是哪次提交引入的- 把pages/目录拖进微信开发者工具开启“不校验合法域名”后本地模拟运行- 写自动化脚本批量分析100个竞品小程序的页面结构。我坚持把wxmd.js做成命令行工具而不是GUI软件就是因为真正的开发者不需要花哨界面——他们需要的是能写进package.json的scripts里能放进Jenkins Pipeline的sh node wxmd.js ...里能在凌晨三点服务器告警时SSH上去一行命令解决问题。工具的价值不在于它有多炫而在于它是否让你少敲一行命令、少等一秒、少踩一个坑。这个项目从2023年冬天开始维护现在每周都有新版本适配微信PC的热更新。如果你在用的过程中发现某个版本解不开欢迎提Issue——带上你的微信版本号、.wxapkg文件头16字节用xxd -l 16 xxx.wxapkg获取我会在48小时内给出补丁。毕竟我们不是在解密一个文件而是在理解一个生态的演进脉络。本文还有配套的精品资源点击获取简介专为微信桌面端设计的.wxapkg文件解密工具基于Node.js开发开箱即用。把从Windows或macOS版微信中导出的小程序包如xxx.wxapkg拖进命令行运行wxmd.js就能自动识别加密头、还原原始结构——包括app.js、app.、pages目录下的WXML/WXSS/JS文件、组件、静态资源等。无需手动改密钥或分析算法工具内置适配逻辑能正确处理不同版本微信PC端生成的加密格式。要求本地已安装Node.js 14通过npm install或yarn install装好依赖后直接node wxmd.js /path/to/xxx.wxapkg即可输出解密后的完整小程序源码目录。配套readme.md含详细使用示例、常见问题说明和调试建议.gitignore与package.已配置妥当方便集成进前端开发或逆向分析工作流。本文还有配套的精品资源点击获取
