电子数据采集产品系列

消防勘查取证产品系列

电子刊物概览——第四期

安卓微信取证冷知识(微信数据分布)


众所周知,安卓微信默认安装目录为:data/data/com.tencent.mm,这里的com.tencent.mm即为我们常说的包名,第三方分身APP的包名一般不同,比如“双开助手”的包名是com.excelliance.dualaid。该目录中通常存储用户使用微信产生的主要数据,其中以MicroMsg和shared_prefs目录最为重要,下图展现的是com.tencent.mm/MicroMsg目录下的数据分布。


微信取证冷知识(加密数据解析)


EnMicroMsg.db是一个加密的SQLite文件,加密方式已经公开,解密密钥为手机IMEI与微信uin组合后计算其MD5值取前7位,因此只要得到手机的IMEI和微信的uin即可解密。


安卓微信取证冷知识(微信数据恢复)


大部分用户删除微信数据时,只对部分消息进行针对性的删除,实际上仅仅删除了EnMicroMsg.db文件message数据表中的局部内容,由于没有覆盖新数据,在安卓微信5.2版本前可以通过SQLite恢复工具直接恢复;5.2版本后因腾讯对安卓版本实行了删后写0覆盖的机制,至此对数据库文件无法直接恢复。


基于Charles的实体安卓机APP抓包


上一期我们介绍到了对青花瓷(Charles)的介绍和基本常识,这一期我们就是对青花瓷的配置以及在实体安卓手机中怎么进行抓包前的配置。


隐藏软件的取证方法


在日常使用手机时候,我们也会发现一个功能叫做隐私空间,很多人会把重要的信息隐藏在这个空间中防止他人轻易读取里面的信息,PC端也不例外,今天我们就来探讨一下电脑端如何查看一些被隐藏起来的文件应用。


Linux日志分析与存储


Linux日志分析与存储是在数字取证过程中的关键步骤,它涉及到收集、存储、分析和报告操作系统及其应用程序生成的日志数据。在计算机取证、网络安全和系统监控领域,Linux日志文件的合理管理和有效利用具有重要意义。