【NB】微信本地数据库解密与聊天记录恢复教程
本文仅用于技术讨论,切勿用于违法途径,后果自负!
原文地址:http://33h.co/wm28ehttp://cdn.u1.huluxia.com/g4/M01/33/E2/rBAAdmEEqgWADOSGAAGHcWSt2X4814.jpg
http://cdn.u1.huluxia.com/g4/M02/33/F3/rBAAdmEEtQKADyFOAABITOq35E8817.jpg
# 前言
在电子数据取证过程中,对微信本地数据库的解密、提取与恢复是非常重要的工作内容。
本文以华为mate系列手机和最新版的微信(7.0.3)为例,通过总结互联网上已经发表的文章经验
主要针对**华为手机备份软件升级、微信7.0以后索引库加密以及通过索引库恢复被删除聊天记录**等内容予以补充。
# 正文
## 经验回顾
网上有很多关于安卓微信本地数据库(7.0版本以前主要是EnMicroMsg.db)的解密教程,以及恢复已删除聊天记录的原理教程,由于微信的不断升级,很多教程的内容已经不符合实际需要了,通过验证,发现以下经验仍然可用:
1. **EnMicroMsg.db密码算法**没有变化 ,这个密码算法仍然是IMEI与uin拼接后计算32位MD5值,然后取前7位(如果uin是负值也不需要变化);
2. **IMEI和最后一次登录的uin提取方法**没有变化,IMEI在CompatibleInfo.cfg文件中,最后一次登录的uin在system_conf_prefs.xml文件中;
3.微信用户数据存储目录名仍然是“mm+uin”顺序拼接的MD5值;
## 新的问题
随着安卓操作系统的不断升级,安全性越来越高,想通过root等方式获取手机存储镜像然后再进行数据恢复的方式越来越难了
因此大多数电子数据取证的厂家是通过手机厂商官方备份文件对手机数据在本机存储中备份后,通过导出的备份文件来进行数据提取和恢复。
问题一:华为手机的官方备份软件在8.0版本以后**不再支持**本机存储备份,需要通过OTG转接头在外部存储中备份。
很多厂家采取的方法是对备份软件降级,然后仍然在本机存储备份后导出。
另外8.0以前的备份是以sqlite数据库(.db)的形式存储的,而8.0以后的备份是以压缩文件(.tar)的形式存储的。
对于手工分析来讲,新的备份机制更容易操作。但是如果是旧的备份方式,需要把存在数据库里的文件导出才能进行下一步工作。
问题二:微信7.0以后,对几个以前没有加密的数据库文件(尤其是对恢复数据最重要的索引库)进行了加密,而且经测试,所使用的密码**不是**EnMicroMsg.db加密所使用的密码。
问题三:网上很多文章对于通过索引库恢复被删除的聊天记录说明不够详细。 支持,赞一个 支持村长 大人,此事必有蹊跷! 回个帖子,下班咯~ 广告位,,坐下看看 学习下 LZ是天才,坚定完毕
页:
[1]