2019新年已经在向我们招手,马上就是春节啦!小编提前在这里给大家拜个早年!今天给大家带来年底最后一篇技术文章,祝大家新的一年在电子数据取证工作上势如破“猪”!
在日常办案过程中,技术人员常会处理有关微信聊天数据的恢复工作。其中有一类消息比较特殊,那就是撤回消息,它不属于删除消息,但是形式却与删除消息类似,亦即被撤回之后的消息也是不可见的,并且很难被提取。
在这篇文章中,我们就对Android撤回消息的恢复进行简单的探讨。
关于微信撤回消息
从微信6.6版本到如今微信7.0版本,都有一个功能:撤回消息可以重新编辑。即在发送消息被撤回之后的2分钟内点击重新编辑,可以对撤回的消息进行再编辑,2分钟以后如果没有编辑操作就会自动消失。
从该功能不难发现,撤回消息其实是存放在某文件中,而不是撤回之后就立即删除。
微信撤回消息恢复难点
那撤回消息究竟存放在哪里呢?通过研究发现,撤回消息被存放于微信用户账号文件夹下的FTS5IndexMicroMsg.db-journal文件中。
而在实际的办案过程中,可能会因为一些误操作(比如设备关机、重启、退出微信等)而使得存放撤回消息的缓存文件被清除,从而不能正常恢复出撤回消息,这就给办案工作人员带来不少困扰。
下面就将具体的Android撤回消息恢复步骤和大家分享,仅供参考!
具体操作步骤
1、事前准备
1)操作手机
一个能够获取数据的Android设备:以OPPO R11 plus(Android版本7.1.1,具有root权限)为例进行讲解;
确保Android设备中的微信存在过撤回消息;
2)数据查找工具
winhex:用于查看缓存文件的二进制值
2、模拟创造需恢复的数据
△模拟操作数据
3、查找微信撤回数据缓存文件
1)通过adb指令获取输入模拟数据之后的FTS5IndexMicroMsg.db-journal文件;
2)使用winhex打开获得的缓存文件,搜索模拟录入的数据,发现未找到。
4、重启手机设备(在重启前不退出微信)
1)重启手机设备之后,打开微信,输入一条测试数据,如“dianzishujuquzheng”,并将其撤回。
△测试数据
2)再次输入adb命令得到FTS5IndexMicroMsg.db-journal文件,然后通过分析,找出开始所录入的模拟数据,如下图所示。
注意事项
1、因为数据是存放在缓存中的,所以变化的频率过高,使得恢复的效果需根据实际情况而定。
2、通过对比测试之后,发现以下两种情况可以通过上述方式恢复被撤回消息:
退出应用被清除缓存文件;
重启手机被清除缓存文件;
3、对中英文不同数据对比后发现,英文的效果比中文好,因中文一般为utf-8编码,一个中文通常占多个字节,所以容易被打散,很难获得较为完整的消息。
4、对于不同型号设备,不同系统版本,恢复效果也有较大差异,本文仅提供参考思路,具体恢复操作需结合实际情况实际分析。
“
本文,我们介绍了一种恢复微信撤回消息缓存文件的方法,主要目的是和大家分享一种在恢复不出撤回消息时(注:因关机、重启或退出应用而使得缓存文件被清除或修改)的分析思路和操作方法。
但在实际场景中需慎用,因为需要连接网络,可能被人通过远程清除所有数据等,请联系专业人员进行操作。