微信收藏图片缓存的文件目前发现有三个地方,都是在Fav下,名称都一样,有直接原始图片,也有加密的形式……,而且微信收藏的图片另存的大小和缓存的大小一致,但却和收藏中转发出去的还不一样大,从收藏中转发的图片会被再次压缩
1
实验环境
| 电脑版微信,[v3.9.9.43] |
| JPG图片 |
| Windows 11 专业工作站版,[23H2(22631.3374)] |
1
(一)
微信"收藏"图片的存储路径
微信的全部收藏分类有"最近使用、链接、图片与视频、笔记、文件、语音、位置"等几大类(注意,有些类别没有收藏可能不会显示该类图标)
2
(二)
微信收藏的三大文件夹
看着这三大文件夹陷入了沉思,先猜测一下他们代表的意思,Data应该是存放数据之意;Temp是临时文件;Thumb是缩略图。先以这个思路分析下。
经过观察Data和Thumb文件下有许多子目录文件及他们两个文件下的文件都没有文件后缀,暂时直接看不出属于什么文件。(当然,有朋友可能会说,没有后缀看文件头不就行了?!对的,这方法可行,但先不说文件种类众多,他要是随便加个密我们验证也很难,我们还是先找找有没有其他突破口,越简便越好!)
1
突破口:Temp文件夹,微信收藏图片直接存储在本地的文件路径
2
名称索引挖掘
找到收藏中图片大图的缓存文件位置,发现无文件后缀显示。
【路径:WeChat Files【微信ID】FileStorageFavData9d】
3
解密无后缀大文件
4
三大存储路径
3
(三)
微信收藏图片思维导图小结
转自:DFIR蘇小沐
原文始发于微信公众号(电子物证):【从微信收藏图片看微信存储详细记录】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论