技术分享 | PC版微信取证进入新时代

微信(WeChat)是一款跨通信运营商、跨操作系统平台的即时通讯工具,支持通过网络快速发送免费语音短信、视频、图片、文字、动态、表情、同时,也可以使用通过共享流媒体内容的资料。随着,手机版微信的普及,PC微信使用也越来越广泛,因为利用电脑键盘和鼠标回复信息更快,传输文件更方便,使用微信的时候不用电脑手机来回切换,在此场景中体验更好。

 

PC版微信默认是不保留聊天记录,在软件关闭之后所有聊天记录都将消失,此情况无法获取退出之前的聊天信息。为了方便掌握交流的上下文,很多用户都会修改默认配置,保留聊天记录。修改默认配置方法如下图所示:

 

保留聊天记录的PC微信聊天记录信息文件默认保存路径“C:\Users\用户名\Documents\WeChat Files”下。这个目录保存电脑所有登录过的微信账号,每个账号都有各自保留聊天记录的文件夹。其中账号文件夹下的MSG文件夹中保存账号的通讯录和聊天记录,config目录保存账号的用户信息。通过分析这些文件夹下的数据库文件,可以对PC微信通讯录、聊天记录等信息取证。

 

使用SafeAnalyzer对PC微信取证的步骤如下:

1、运行SafeAnalyzer软件,添加证据。添加带有PC微信聊天记录数据的证据。

 

2、做即时通讯分析,选择“微信”,分析完可以得到证据中所有登录过的微信账号,并且把分析出的账号挂载到即时通讯tab页的目录中。如下图所示:



3、对分析出的微信账号做再次分析,选中需要分析的微信号右键【分析当前微信】(此步骤开始,需要连接到互联网)。如下图所示:

4、提示需要分析的账号对应的手机上进行登录授权。如下图所示:

5、在手机上点击【登录】,对本次PC微信分析进行授权。如下图所示:

6、通过手机上微信的【登录】授权后,SafeAnalyzer开始自动对PC微信的通讯录、好友聊天记录、群聊天记录进行解析,解析完成后,结果如下图所示:



盘石SafeAnalyzer V4.7版本于8月28日发布,隆重推出PC微信的取证功能,欢迎各位用户升级体验。

 

Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部