<rp id="wtisb"></rp>
    <output id="wtisb"></output>
  1. <rt id="wtisb"></rt>

    1. <acronym id="wtisb"></acronym>
      咨詢熱線:4006-759388  
      分部: 杭州 | 上海 | 武漢 | 深圳 | 北京 | 沈陽
      華軍科技數據恢復
      數據恢復
      成功案例
       
       當前位置: 首頁 > 數據恢復 > 正文

       聯系我們

       4006-759388

      安卓手機微信數據恢復取證研究

       瀏覽量:次  來源:華軍科技數據恢復  發布日期:2019-10-22 14:04:34

      一、記錄級恢復

              對于安卓手機微信數據恢復取證,大部分用戶刪除微信數據時,只對部分消息進行針對性的刪除,實際上僅僅刪除了EnMicroMsg.db文件message數據表中的局部內容,由于沒有覆蓋新數據,在安卓微信5.2版本前可以通過SQLite恢復工具直接恢復;5.2版本后因騰訊對安卓版本實行了刪后寫0覆蓋的機制,至此對數據庫文件無法直接恢復,數據庫無法直接恢復就無法安卓手機微信數據恢復取證。
              空間清理時,一般會將聊天產生的多媒體文件和傳輸的其他文件直接刪除,文字記錄仍然保留,如需恢復上述文件的需要進入文件級恢復(詳見下文);如果選擇清空微信數據時,將會連同文字記錄一并全部刪除。

      \


              為了盡可能尋找被刪除的重要數據,經過研究發現在以下兩處仍有可能存在歷史已刪除數據:


      1、索引文件
              安卓微信在建立EnMicroMsg.db文件的同時會生成一個索引文件,目的在于方便數據檢索,相當于對產生過的數據會有一個類似緩存的備份。早期版本的索引文件為IndexMicroMsg.db,該文件結構如圖所示:


              其中數據表包括了群組及成員、游戲、收藏、通訊錄、好友標簽、消息內容等。依次對重要數據進行分析,發現群組及成員對應ChatRoomMembers表內容為明文,如下圖所示:


              收藏內容(FtsIndexFavorite_content)、通訊錄內容(FtsIndexContent_content)、消息的容(FtsIndexMessage_content)等表項中內容字段均為密文,如下圖所示(亂碼的即為密文):


              圖中加密字段的解密秘鑰為IMEI與uin組合后的MD5值,因此很容易解析出明文內容。
              目前6.6以后版本的微信索引文件已更新為FTS5IndexMicroMsg.db,所有表名稱變更為FTS5開頭,內容字段均為明文,如下圖所示為某微信索引的消息內容。


              上圖中并沒有詳細的消息發送/接收主體、也沒有時間等必要字段,此時只需與下圖所示的FTS5MetaMessage表進行對應匹配即可。


              當EnMicroMsg.db文件內數據刪除時,對應的IndexMicroMsg.db或FTS5IndexMicroMsg.db文件中的相應內容同步刪除,但不受寫0覆蓋的影響,因此可以從該索引文件中基于數據庫恢復原理獲得大量已被刪除的數據記錄。這也是目前部分國產取證軟件所恢復出的微信數據的來源。


      2、備份文件
              當微信使用中有過版本升級時,默認會生成EnMicroMsg.db.bak文件,該文件用于備份之前版本產生的聊天數據,及微信版本升級前的EnMicroMsg.db數據。當EnMicroMsg.db內舊數據刪除時,對應的bak文件中的相應內容并沒有刪除且不受影響,因此可以從該備份文件中獲得大量已被刪除的數據記錄。這部分數據很容易被忽略,但也可以作為恢復已刪除微信數據的來源。
              該bak文件經過壓縮加密,加密方式未公開。我們通過研究獲得了解密密鑰(密鑰組成暫不公布),并通過騰訊的開源工具成功解壓,從而能夠打開該bak文件,內部結構與EnMicroMsg完全相同。
              綜合上述兩種方式,我們可以更好地找回被刪除的微信歷史數據,使安卓微信取證能夠獲得更多的線索和證據。
       

      二、 文件級恢復

              微信消息中的音視頻圖片及傳輸的其他文件均以附屬文件形式存儲在獨立目錄中,刪除這些消息時對應會刪除相應原文件。如果要恢復這些文件,首選當然是尋找是否有下載或備份到其他路徑的可能,其次考慮對手機存儲區域進行全盤鏡像,再對未加密的鏡像進行目錄恢復或文件挖掘(類似于硬盤或U盤的操作)。由于安卓系統的升級和文件系統的變化,目前針對安卓鏡像的文件恢復效果并不理想。
              APP卸載時,一般不會保留數據(刻意保留的除外),所有相關文件均會刪除,除非能夠恢復出微信原始文件,否則無法恢復出相關數據。因此,同樣需要借助鏡像,在未加密的鏡像中針對性的恢復安卓微信目錄中的幾個核心數據庫文件及其他聊天附屬文件。
              恢復出廠時,相當于系統還原,所有數據文件全部清除并被新系統重新覆蓋,微信數據幾乎蕩然無存,安卓手機微信數據恢復取證就無法實現。



      相關推薦:
      免费国产呦精品系列,未发育偷拍小缝缝视频,日日摸夜夜添夜夜添无码超碰
      <rp id="wtisb"></rp>
        <output id="wtisb"></output>
      1. <rt id="wtisb"></rt>

        1. <acronym id="wtisb"></acronym>