【微信取证篇】取证遇到微信昵称、微信号、微信账号、微信ID一次性区分清楚（更新）

个人见解，他们的主要区别于"看得见、看不见"之间---【蘇小沐】

0

目录

1.实验环境

（一）微信账号(ID)"永久唯一性"

（二）微信号"短期唯一性"

1、微信号设置规则

2、微信名可改版本

3、修改微信号条件

4、新旧微信号账号文件夹

5、微信号修改时间判断？

（三）微信昵称"不唯一"

总结

（一）微信账号(ID)"永久唯一性"

（二）微信号"短期唯一性"

1、微信号设置规则

2、微信名可改版本

3、修改微信号条件

4、新旧微信号账号文件夹

5、微信号修改时间判断？

（三）微信昵称"不唯一"

总结

（一）微信账号(ID)"永久唯一性"

（二）微信号"短期唯一性"

1、微信号设置规则

2、微信名可改版本

3、修改微信号条件

4、新旧微信号账号文件夹

5、微信号修改时间判断？

（三）微信昵称"不唯一"

总结

1

实验环境

Windows11专业版，[v21H2（22000.708）]

微信电脑版，[v3.6.0.18]

微信电脑版，[v3.7.0.29]‍

Android版微信，[v7.0.15]

1

（一）微信账号（ID）-"永久唯一性"

微信账号是系统自动生成的原始微信账号ID，以"wxid_"开头，初始默认的微信账号=微信号。

每个微信第一次成功注册并登录后，系统会自动分配一个默认的微信ID号（以"wxid_"开头），有一次修改机会，但无论微信号怎么修改，微信系统文件夹下的微信ID号"永远"是这个原始微信账号（ID），不会随着"微信号"的改变而改变。

2

（二）微信号-"短期唯一性"

微信号，是区别各个微信之间的编号，不能和他人微信号重复，目前一年可修改一次，在微信号使用时间内是区别不同微信的唯一凭证，具有特殊的"有效期内的唯一性"，多用于"搜索"微信号使用。

1

微信号设置规则

微信号必须以字母或者下划线开头，可以使用6-20位数字、字母、下划线、减号或它们的组合。

2

微信号可改版本

安卓微信版本（v7.0.15）及之后，推出了可以修改微信号的新功能。

3

修改微信号条件

修改需要满足两个条件：最近一年没有修改过微信号以及当前账号无安全风险；修改成功后别人只能通过新的微信号搜索到你，无法再通过旧的微信号搜索到你。

【修改微信号路径：点击微信->我->设置->账户与安全->微信号->修改微信号；或者：我->个人信息->微信号->修改微信号】

Android版本微信号路径

电脑版本微信号路径

4

新旧微信号账号文件夹

更改了微信号之后，新的微信号和旧的微信号文件夹仍然会存在电脑对应的文件夹，旧的微信号名称的文件夹并不会被删除。

5

微信号修改时间判断？

新的微信号文件夹时间和旧的文件夹之间的时间可以作为最近一次微信号更改的参考时间！

为什么只是作为参考时间？

1）微信号非在当前主机修改

微信号可能是在手机等客户端更改，只有在当前电脑登录后才会形成新的文件夹，这中间可能存在时间间隔，也就是在其他端修改的微信号，如没有马上就在这台电脑登录，那么期间可能隔了几分钟？几小时？几天？几周？几月？等也都有可能。

2）微信版本更新

微信版本更新也可能导致微信号文件夹属性被修改。

3）删除/伪造

由于是空的文件夹，在进行垃圾清理的时候可能会被清理掉，不管是有意还是无意都有可能。也不排除有人手动修改伪造，从而造成干扰等等。修改很简单，但要证明它的真实性则很难，电子取证中数据的提取大部分只能证明其存在性，从而才有各种数据细化。

3

（三）

1

微信昵称"不唯一"

微信号可以修改，但是微信账号不可修改。

微信账号（原始微信ID）：用户在使用手机号码注册微信账号时，系统自动匹配生成的"原始账号ID"（以"wxid_"开头，具有永久唯一性），也是初始的微信号；只不过"微信账号不可更改，而微信号满足条件后可再次更改"。

微信号：登录微信时使用的账号，是系统中的"唯一识别号"。微信号在满足相应的条件下，一年可修改一次。

很多取证厂商常常把微信账号、微信号、微信ID都混为一起，看着极为混乱（或者说把改过的"微信号=微信原始账号（ID）"，以至于在取证保留取舍、展示方面就容易出现问题）。

总结

书写片面，只是从自身角度写的一些理解，有错漏之处欢迎指正。

公众号回复关键词【微信取证】自动获取资源合集，如链接失效请留言，便于及时更新。

【声明：欢迎转发收藏，喜欢记得点点赞！转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】

END

原文始发于微信公众号（DFIR）：【微信取证篇】取证遇到微信昵称、微信号、微信账号、微信ID一次性区分清楚（更新）