问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
【零基础也能用】WX PC版聊天记录取证工具
安全工具
# 0x01 前言 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平...
0x01 前言 ======= 微信平台是目前公众使用频率极高的一款即时通信软件,为公众带来极大的便利,但同时也给不法分子带来新的机会,许多违法犯罪行为在微信平台上发生。由于微信本身是一个信息传递平台,并且拥有数量庞大的非实名制用户群体, 在鱼龙混杂的用户环境下,利用微信进行的犯罪活动 日益猖獗,而许多微信犯罪案件的侦破工作都需要相应的取证分析技术,所以对微信信息的分析技术的研究就有了重大意义。且微信在即时通讯工具中所占的份额越来越大,取证实践中已经逐渐取代QQ成为最重要的取证项,目前主流的取证方法有内存镜像和数据库解密等 WeChat PC在安装后,默认会在“我的文档”目录下创建“WeChat Files”文件夹,后续每登陆一个微信账号,便在该文件夹下创建一个以微信号命名的子文件夹,用来放置配置信息、聊天记录以及附件数据 文中我以一台 Windows10系统搭配最新版微信为例,登陆了我的微信“JaneXXX ”,我们先跳到微信文件的主路径 ```php C:\Users\username\Documents\WeChat Files\ ``` 以下的所有操作都是围绕这个主路径进行的 0x02 信息解密 ========= ### 账户信息 一般Windows下,微信默认的使用数据放在以下路径 ```php C:\Users\%UserName%\Documents\WeChat Files\ ``` 在下述文件夹查找文件可以发现 ```php C:\Users\%UserName%\Documents\WeChatFiles\All Users\config\config.data ``` 中指向了含有微信账户相关数据的data文件(这里的路径也暴露了wxid)我这里是指向 ```php C:\Users\Administrator\Documents\WeChat Files\wxid_xxx\config ``` [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-0cd07a87bfae7bb44a330fae70f9a3d4e5b450ea.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-0cd07a87bfae7bb44a330fae70f9a3d4e5b450ea.png) 我们跟着文件指向跳到AccInfo.dat文件打开发现含有(用户原始ID+昵称+头像Logo+区域信息+手机号+邮箱) [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-0225927df637c873be34da6025d6ab754e3f7a3e.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-0225927df637c873be34da6025d6ab754e3f7a3e.png) 以上文件路径中的用户名是变量获取 在特殊情况下可以尝试去C:\\Windows\\PFRO.log中读取,大概率可以发现报错日志输出的用户名。 ### 聊天图片 通过上面的我们知道了数据存放的主路径,PC版的微信会加密用户接收到的所有图片信息。默认图片类的存储路径为: ```php C:\Users\%UserName%\Documents\WeChat Files\wxid_xxx\FileStorage\Image\year-month ``` 存储的图片文件均为dat格式加密。无法直接打开,用户删除聊天记录后,如果能找到其加密方式就能对这类文件解密还原成jpg/png/gif等常见的文件格式 一般来说这种对文件加密的方式大多是“异或法加密”,即每个文件逐个字节与加密码进行"异或计算"得出加密文件。我们可参考以下加密码算出源文件 ```php # JPG 16进制 FF D8 FF # PNG 16进制 89 50 4e # weixin.bat 16进制 e1 c6 e1 # key 值 1e1e 0x1e weixin.bat-jpg ``` 我们使用Notepad的插件来浏览文件的十六进制,由于我们知道了bat的开头值为:7d a4 png的开头值为:89 50 。此时可以通过程序员计算器,计算异或值计算公式:7D Xor 89 = F4;A4 Xor 50 = F4 由此可知16进制异或值为:0xF4 [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-b83b28d4359359b54debe83408f2e9c8628c741f.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-b83b28d4359359b54debe83408f2e9c8628c741f.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-d9cdc0af5b95fab3da7759b85a330d2527036c10.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-d9cdc0af5b95fab3da7759b85a330d2527036c10.png) 我在这里用python写了一个自动化脚本可以批量解密源文件 **获取工具公众号回复:JaneNB** ### 实际运行图 [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-38fb1310f5b80affa2347b15d93c367026ffce4c.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-38fb1310f5b80affa2347b15d93c367026ffce4c.png) [![](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-bce8fe205695b58121297a92f4cdcc5ae3ee9d1c.png)](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-bce8fe205695b58121297a92f4cdcc5ae3ee9d1c.png) 0x03结语 ====== 这期就到这里了,回来我们再讲一下PC端通讯工具的多种电子证据提取以及解密方式
发表于 2021-08-25 16:31:07
阅读 ( 6695 )
分类:
安全工具
1 推荐
收藏
1 条评论
cooler
2022-08-11 13:45
强啊 大佬
请先
登录
后评论
请先
登录
后评论
天禧信安
5 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!