【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

admin 2025年4月23日00:30:03评论29 views字数 3022阅读10分4秒阅读模式

PC微信4.0版本重构后,原本微信的很多结构就更改了,此是测试微信收藏图片功能,查找存储情况---【蘇小沐】

1、实验环境

PC微信,[v4.0.3.36]
PC微信,[v3.6.0.18]

2、微信原始ID账号

其文件夹命名为wxid_的前缀+14位的编码,这就是系统给微信账号分配的默认ID。

3、PC微信(v4.0)安全性的增加【退出时保留聊天记录】

具体是所有聊天记录都不保存?还是只是删除数据库?像收发的视频图像、文本文件等是否会一起删除,以及缓存的文件是否删除等等,还没测试过,可以自行测试。

总的来说对个人隐私安全方面是个好的改进,尤其是需要临时登录到其他电脑来说(临时登录最好的删除方法还是定位到对应账号位置,直接全部删除,数据无价,请谨慎操作!!!),但对取证、数据恢复来说也是个挑战。

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

1

(一)

微信缓存位置变化

获取到的信息:已经查看的加载的图片、视频、链接等。微信收藏里的链接,如果查看了,会获取到首页图片。在电脑上查看微信收藏的图片,资源等缓存存储位置。

1.1、PC微信(v3.6)缓存路径

PC微信(v3.6)缓存路径:【……WeChat Files微信账号IDFileStorageFavTempeee3cd7bres】

1.2、PC微信(v4.0)缓存路径

PC微信(v4.0)缓存路径:【……xwechat_files微信账号IDbusinessfavoritetemp】

2

(二)

微信收藏类别

这个其实没什么变化,目前测试的时候v3.9版本就可以看到有"聊天记录"项,具体是单条的聊天记录收藏是不会显示出"聊天记录"这一项的,但同时收藏"两条及以上的聊天记录"就会出现"聊天记录"项。

2.1、PC微信(v3.6)收藏类别

微信的收藏分类有"链接、图片与视频、笔记、文件、音乐"五大类,下面对点击不同类型的数据一一做个记录。

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

2.2、PC微信(v4.0)收藏类别

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

3

(三)

微信收藏缓存文件名称的变化

3.1、PC微信(v3.6)名称

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

3.2、PC微信(v4.0)名称

仅根据自身设备实验得来数据,不一定正确,仅作参考!

仅根据自身设备实验得来数据,不一定正确,仅作参考!

仅根据自身设备实验得来数据,不一定正确,仅作参考!

  • 图片名称命名规则:【微信图片 _ 年月日时分秒 _ 0.jpg -> 序号增加】

    (1)微信图片"年月日时分秒"的时间为当下预览照片的时间,并非图片原始生成时间!!!

    (2)【微信图片 _ 年月日时分秒 _序号.jpg】的"序号"从0开始增加,但不一定连续增加,可能会有序号跳跃情况。

    猜测原因:猜测和预览微信收藏夹的顺序有关,如果只预览一张图,则通常可以得到序号连续增加的情况,如下图第一排图片3就是从13到15,且会得到3张图片。

  • 图片数量3张:小缩略图、原图、中缩略图

    目前发现,不管同一张图片预览生成的名称是否连续,点击收藏里的图片之后最终都会得到的三张图片【小缩略图、中缩略图、原图】。

    图片大小排布未发现很明显规律:

    (*疑似未加载的情况下,直接点击收藏原图一般优先生成:【原图->中->小】;加载的情况下会优先生成:【小->原图->中】)

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

3.3、原图验证

收藏图片下载(1)/另存为(2)和Tmp中的"原图"比较哈希验证。

(收藏图片下载/另存为的照片命名时间为当下导出的时间)

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

哈希一致!!!

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

(四)

微信好友ID聊天位置

前面说过,目前存储微信好友的聊天的文件夹仍然以微信原始ID(一般为wxid_)开头,然后MD5加密。
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

以原始微信ID值MD5加密后的哈希值,来查找定位到与该好友的聊天记录图片存储位置

路径:【…xwechat_files【个人微信原始ID】cache年-月Message【微信好友原始ID的MD5值】】

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

4.1、第一处:【Bubble】

【…xwechat_files【个人微信原始ID】cache年-月Message【微信好友原始ID的MD5值】Bubble】

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

4.2、第二处:【【个人微信原始ID】msgattach……Imag】3个文件

路径:【…xwechat_files【个人微信原始ID】msgattach【微信好友原始ID的MD5值】年-月Img】

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

4.3、第三处:【【个人微信原始ID】tempImageUtils】不加密

再以Dat文件名称查找,又发现有1处新的位置有疑似同名文件……!!!

路径:【D:VMxwechat_files【个人微信原始ID】tempImageUtils】

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
看这文件大小和第二处大小一致,看看两个文件是否一致。
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
哎,居然不一致!为什么不一致呢?字节有些差异,看第二个哈希值是不是很眼熟?!!!
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

没错,第三处的Dat文件居然和3.3的原图一致!!!

没错,第三处的Dat文件居然和3.3的原图一致!!!

没错,第三处的Dat文件居然和3.3的原图一致!!!

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

哈希都一致了,那不就是文件只改了文件后缀而已,并没有Dat加密吗???原图是jpg格式,或者用WinHex查看文件头为FFD8符合JPG/JPEG(.jpg)。

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

将第三处的文件后缀改为jpg,直接可以打开!!!(经测试,此处的文件都没有加密,可以直接将文件后缀修改成常见的图片格式即可查看)

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

4.4、扩展:无后缀文件【head_image】不加密

路径:【……xwechat_files【个人微信原始ID】temphead_image】

此文件夹为预览/已加载过的微信好友(含企业微信好友)/群/公众号/服务号/等的"头像"缓存位置。

(经测试,此处的文件同样都没有加密,可以直接添加文件后缀成常见的图片格式即可查看!!!)

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

(五)解密Dat文件,整体异或(适用3.9及之前)

获取Dat文件头信息,然后和常见的图片格式异或,如果异或的值相等,则得出解密后的文件类型

后缀名 文件头
JPG/JPEG(.jpg) FF D8
PNG(.png) 89 50
Windows Bitmap(.bmp) 42 4D
GIF(.gif) 47 49 46 38
TIFF (.tif) 49 49 2A 00
CAD (.dwg) 41 43 31 30
Adobe Photoshop (.psd) 38 42 50 53

【解密目标:与常见图片文件头"异或"得到相同的两个16进制值】

知道文件类型,将Dat全部数据和得到的"异或值"进行异或,即可解码出原图片文件。使用Windows自带的计算器,切换为"程序员"模式,将WinHex获取Dat文件头的特征值分别与常见的图片格式文件头值异或,当然,也可以一个个单独异或,如果异或得到相同的两个16进制值即为解码关键的"异或值"。

5.3、第三处Dat文件解密【tempImageUtils】

再以Dat文件名称查找,又发现有1处新的位置有疑似同名文件……!!!

【D:VMxwechat_files【个人微信原始ID】tempImageUtils】

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更
【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

异或45后,文件另存为.bmp图片,结果打不开!!!而且原图应该是jpg格式才是!

解法不对,暂未找到正确解密方法。

【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词微信取证自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2025年 04月 13日

最后编辑:2025年 04月 13日

END

原文始发于微信公众号(网络安全与取证研究):【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日00:30:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【微信取证篇】PC微信4.0版本图片收藏功能缓存位置的变更https://cn-sec.com/archives/3985350.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息