【从微信收藏图片看微信存储详细记录】

微信收藏图片缓存的文件目前发现有三个地方，都是在Fav下，名称都一样，有直接原始图片，也有加密的形式……，而且微信收藏的图片另存的大小和缓存的大小一致，但却和收藏中转发出去的还不一样大，从收藏中转发的图片会被再次压缩

1

实验环境

电脑版微信，[v3.9.9.43]

JPG图片

Windows 11 专业工作站版，[23H2（22631.3374）]

1

（一）

微信"收藏"图片的存储路径

微信的全部收藏分类有"最近使用、链接、图片与视频、笔记、文件、语音、位置"等几大类（注意，有些类别没有收藏可能不会显示该类图标）

2

（二）

微信收藏的三大文件夹

看着这三大文件夹陷入了沉思，先猜测一下他们代表的意思，Data应该是存放数据之意；Temp是临时文件；Thumb是缩略图。先以这个思路分析下。

经过观察Data和Thumb文件下有许多子目录文件及他们两个文件下的文件都没有文件后缀，暂时直接看不出属于什么文件。（当然，有朋友可能会说，没有后缀看文件头不就行了？！对的，这方法可行，但先不说文件种类众多，他要是随便加个密我们验证也很难，我们还是先找找有没有其他突破口，越简便越好！）

1

突破口：Temp文件夹，微信收藏图片直接存储在本地的文件路径

为什么是突破口，因为Temp文件夹的层级关系最少，并且res文件夹存储的视频图像不加密，可以直接显示！！！

不同版本的文件夹"e5f90ce8"可能名称不同，一般"FileStorageFavTemp"下只有一个文件夹，以本地记录的为准！然后进入到res文件夹即可查看到微信收藏缓存在本地的视频图像文件。

未点开收藏图片大图的情况，只会先缓存该图片的缩略图（缩略图很小，一般就几十KB）；点开大图的情况就会将收藏的图片缓存到该文件夹下面。

图片基本属性，一大一小。其中缩略图命名和大图的区别是名称多了一个"_th"尾巴。（猜测th是英文单词thumbnail：缩略图）

根据微信的尿性，你以为到这就结束了吗？NoNoNo，我们试着继续挖挖看。

2

名称索引挖掘

试下这个名称，看看有没有什么突破点，搜索"9d4a2070a50ed3df8b7dbefdaea48cb0"，一共找到四个同名文件，其中两个的路径分别在"FavData9d"、"FavThumb9d"下面。

发现大小分别对应该两个文件的大小，假设一下这两个就是文件夹的加密文件，而微信聊天图片一般是Dat加密，我们来测试下，看看是否能解密。

找到收藏中图片大图的缓存文件位置，发现无文件后缀显示。

【路径：WeChat Files【微信ID】FileStorageFavData9d】

收藏的图片另存本地和Temp下的JPG大图片对比，哈希值相同。

3

解密无后缀大文件

发现疑似没有没有后缀，搜索

发现虽然收藏存储到本地的图片并没有文件后缀，但其文件哈希和"微信电脑端接收到的原图"生成的Dat文件哈希一致！！！

结果另存为JPG图片，并和"微信电脑端接收到的原图"校验，结果一致

4

三大存储路径

同理按Dat格式解密小文件成图片，解密结果对比和缩略图的哈希相同。

【路径：WeChat Files【微信ID】FileStorageFavThumb9d】

3

（三）

微信收藏图片思维导图小结

微信收藏的图片另存的大小和缓存的图片大小一致，但和转发出去的图片又不一样。

文件大小：另存图片=大图缓存>转发图片>小图缓存。

总结

微信收藏的图片会稍微特殊一点：

预览小图会缓存两个文件在本地，第一个是可以直接查看的图片格式（小图）；第二个是无后缀的文件格式，按照Dat解密后会和第一个图片哈希值相同。

预览大图会缓存两个文件在本地，第一个是可以直接查看的图片格式（大图）；第二个是无后缀的文件格式，按照Dat解密后会和第一个图片哈希值相同。

转自：DFIR蘇小沐

原文始发于微信公众号（电子物证）：【从微信收藏图片看微信存储详细记录】