【零基础也能用】WX PC版聊天记录取证工具

  • A+
所属分类:安全工具


0x01 前言

微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给 不法分子 带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平台,并且拥有数量庞大的非实名制用户群体, 在鱼龙混杂的用户环境下,利用微信进行的犯罪活动 日益猖獗,而许多微信犯罪案件的侦破工作都需要相应的取证分析技术,所以对微信信息的分析技术的研究就有了重大意义。且微信在即时通讯工具中所占的份额越来越大,取证实践中已经逐渐取代QQ成为最重要的取证项,目前主流的取证方法有内存镜像和数据库解密等


WeChat PC在安装后,默认会在“我的文档”目录下创建“WeChat Files”文件夹,后续每登陆一个 微信账号,便在该文件夹下创建一个以微信号命名的子文件夹,用来放置配置信息、聊天记录以及附件数据


文中我以一台 Windows10系统搭配最新版微信为例,登陆了我的微信“JaneXXX ”,我们先跳到微 信文件的主路径

C:UsersusernameDocumentsWeChat Files

以下的所有操作都是围绕这个主路径进行的


0x02 信息解密

账户信息

一般Windows下,微信默认的使用数据放在以下路径

C:Users%UserName%DocumentsWeChat Files

在下述文件夹查找文件可以发现

C:Users%UserName%DocumentsWeChatFilesAll Usersconfigconfig.data

中指向了含有微信账户相关数据的data文件(这里的路径也暴露了wxid)我这里是指向

C:UsersAdministratorDocumentsWeChat Fileswxid_xxxconfig

【零基础也能用】WX PC版聊天记录取证工具我们跟着文件指向跳到AccInfo.dat文件打开发现含有(用户原始ID+昵称+头像Logo+区域信息+手机号+邮箱)

【零基础也能用】WX PC版聊天记录取证工具

以上文件路径中的用户名是变量获取  在特殊情况下可以尝试去C:WindowsPFRO.log中读取,大概率可以发现报错日志输出的用户名。

 

聊天图片

通过上面的我们知道了数据存放的主路径,PC版的微信会加密用户接收到的所有图片信息。默认图片类的存储路径为:

C:Users%UserName%DocumentsWeChat Fileswxid_xxxFileStorageImageyear-month 

存储的图片文件均为dat格式加密。无法直接打开,用户删除聊天记录后,如果能找到其加密方式就能对这类文件解密还原成jpg/png/gif等常见的文件格式


一般来说这种对文件加密的方式大多是“异或法加密”,即每个文件逐个字节与加密码进行"异或计算"得出加密文件。我们可参考以下加密码算出源文件

# JPG 16进制 FF D8 FF# PNG 16进制 89 50 4e# weixin.bat 16进制 e1 c6 e1# key 值 1e1e 0x1e  weixin.bat-jpg

我们使用Notepad的插件来浏览文件的十六进制,由于我们知道了bat的开头值为:7d a4    png的开头值为:89 50 。此时可以通过程序员计算器,计算异或值计算公式:7D Xor 89 = F4;A4 Xor 50 = F4     由此可知16进制异或值为:0xF4

 

【零基础也能用】WX PC版聊天记录取证工具【零基础也能用】WX PC版聊天记录取证工具

我在这里用python写了一个自动化脚本可以批量解密源文件

获取工具公众号回复:JaneNB


实际运行图

【零基础也能用】WX PC版聊天记录取证工具【零基础也能用】WX PC版聊天记录取证工具


0x03

这期就到这里了,回来我们再讲一下PC端通讯工具的多种电子证据提取以及解密方式

本文始发于微信公众号(天禧信安):【零基础也能用】WX PC版聊天记录取证工具

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: