PC微信4.0版本重构后,原本微信的很多结构就更改了,此是测试微信收藏图片功能,查找存储情况---【蘇小沐】
1、实验环境
|
|
|
|
2、微信原始ID账号
其文件夹命名为wxid_的前缀+14位的编码,这就是系统给微信账号分配的默认ID。
3、PC微信(v4.0)安全性的增加【退出时保留聊天记录】
具体是所有聊天记录都不保存?还是只是删除数据库?像收发的视频图像、文本文件等是否会一起删除,以及缓存的文件是否删除等等,还没测试过,可以自行测试。
总的来说对个人隐私安全方面是个好的改进,尤其是需要临时登录到其他电脑来说(临时登录最好的删除方法还是定位到对应账号位置,直接全部删除,数据无价,请谨慎操作!!!),但对取证、数据恢复来说也是个挑战。
1
(一)
获取到的信息:已经查看的加载的图片、视频、链接等。微信收藏里的链接,如果查看了,会获取到首页图片。在电脑上查看微信收藏的图片,资源等缓存存储位置。
1.1、PC微信(v3.6)缓存路径
PC微信(v3.6)缓存路径:【……WeChat Files微信账号IDFileStorageFavTempeee3cd7bres】
1.2、PC微信(v4.0)缓存路径
PC微信(v4.0)缓存路径:【……xwechat_files微信账号IDbusinessfavoritetemp】
2
(二)
微信收藏类别
2.1、PC微信(v3.6)收藏类别
微信的收藏分类有"链接、图片与视频、笔记、文件、音乐"五大类,下面对点击不同类型的数据一一做个记录。
2.2、PC微信(v4.0)收藏类别
3
(三)
3.1、PC微信(v3.6)名称
3.2、PC微信(v4.0)名称
仅根据自身设备实验得来数据,不一定正确,仅作参考!
仅根据自身设备实验得来数据,不一定正确,仅作参考!
仅根据自身设备实验得来数据,不一定正确,仅作参考!
-
图片名称命名规则:【微信图片 _ 年月日时分秒 _ 0.jpg -> 序号增加】
(1)微信图片"年月日时分秒"的时间为当下预览照片的时间,并非图片原始生成时间!!!
(2)【微信图片 _ 年月日时分秒 _序号.jpg】的"序号"从0开始增加,但不一定连续增加,可能会有序号跳跃情况。
猜测原因:猜测和预览微信收藏夹的顺序有关,如果只预览一张图,则通常可以得到序号连续增加的情况,如下图第一排图片3就是从13到15,且会得到3张图片。
-
图片数量3张:小缩略图、原图、中缩略图
目前发现,不管同一张图片预览生成的名称是否连续,点击收藏里的图片之后最终都会得到的三张图片【小缩略图、中缩略图、原图】。
图片大小排布未发现很明显规律:
(*疑似未加载的情况下,直接点击收藏原图一般优先生成:【原图->中->小】;加载的情况下会优先生成:【小->原图->中】)
3.3、原图验证
收藏图片下载(1)/另存为(2)和Tmp中的"原图"比较哈希验证。
(收藏图片下载/另存为的照片命名时间为当下导出的时间)
哈希一致!!!
(四)
微信好友ID聊天位置
以原始微信ID值MD5加密后的哈希值,来查找定位到与该好友的聊天记录图片存储位置
路径:【…xwechat_files【个人微信原始ID】cache年-月Message【微信好友原始ID的MD5值】】
4.1、第一处:【Bubble】
【…xwechat_files【个人微信原始ID】cache年-月Message【微信好友原始ID的MD5值】Bubble】
4.2、第二处:【【个人微信原始ID】msgattach……Imag】3个文件
路径:【…xwechat_files【个人微信原始ID】msgattach【微信好友原始ID的MD5值】年-月Img】
4.3、第三处:【【个人微信原始ID】tempImageUtils】不加密
再以Dat文件名称查找,又发现有1处新的位置有疑似同名文件……!!!
路径:【D:VMxwechat_files【个人微信原始ID】tempImageUtils】
没错,第三处的Dat文件居然和3.3的原图一致!!!
没错,第三处的Dat文件居然和3.3的原图一致!!!
没错,第三处的Dat文件居然和3.3的原图一致!!!
哈希都一致了,那不就是文件只改了文件后缀而已,并没有Dat加密吗???原图是jpg格式,或者用WinHex查看文件头为FFD8符合JPG/JPEG(.jpg)。
将第三处的文件后缀改为jpg,直接可以打开!!!(经测试,此处的文件都没有加密,可以直接将文件后缀修改成常见的图片格式即可查看)
4.4、扩展:无后缀文件【head_image】不加密
路径:【……xwechat_files【个人微信原始ID】temphead_image】
此文件夹为预览/已加载过的微信好友(含企业微信好友)/群/公众号/服务号/等的"头像"缓存位置。
(经测试,此处的文件同样都没有加密,可以直接添加文件后缀成常见的图片格式即可查看!!!)
(五)解密Dat文件,整体异或(适用3.9及之前)
获取Dat文件头信息,然后和常见的图片格式异或,如果异或的值相等,则得出解密后的文件类型。
| 后缀名 | 文件头 |
|---|---|
| JPG/JPEG(.jpg) | FF D8 |
| PNG(.png) | 89 50 |
| Windows Bitmap(.bmp) | 42 4D |
| GIF(.gif) | 47 49 46 38 |
| TIFF (.tif) | 49 49 2A 00 |
| CAD (.dwg) | 41 43 31 30 |
| Adobe Photoshop (.psd) | 38 42 50 53 |
【解密目标:与常见图片文件头"异或"得到相同的两个16进制值】
知道文件类型,将Dat全部数据和得到的"异或值"进行异或,即可解码出原图片文件。使用Windows自带的计算器,切换为"程序员"模式,将WinHex获取Dat文件头的特征值分别与常见的图片格式文件头值异或,当然,也可以一个个单独异或,如果异或得到相同的两个16进制值即为解码关键的"异或值"。
5.3、第三处Dat文件解密【tempImageUtils】
再以Dat文件名称查找,又发现有1处新的位置有疑似同名文件……!!!
【D:VMxwechat_files【个人微信原始ID】tempImageUtils】
异或45后,文件另存为.bmp图片,结果打不开!!!而且原图应该是jpg格式才是!
解法不对,暂未找到正确解密方法。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【微信取证】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
|
记录 |
|
开始编辑:2025年 04月 13日 |
|
|
END
原文始发于微信公众号(网络安全与取证研究):【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论