首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

手工解密微信聊天数据库的四个大坑

编者按

电子取证的伙伴们,估计多数都可以循着操作步骤和流程,完成手机中微信聊天记录的提取。其实,针对微信的取证,更刺激的并不是使用专用工具,而是直捣微信数据库,在那里,你能体会的更深刻。毕竟俗话说的好,有些事情,搞得越深才越爽。

著名的EnMicroMsg.db

前面的几篇文章曾经提到,EnMicroMsg.db是个加密的SQLite数据库,网上也介绍了很多打开浏览的方法,大致是说使用MD5(IMEI+uin),取前7位作为密码,使用sqlcipher就可以打开了。

其实,上面的过程说的轻松,真正做起来却到处是坑。相信网络的话,害死人不偿命的。下面,小编就谈谈这里面的几处大坑(以安卓为例)。

1、*#06#就能准确获得解密所需的IMEI吗?

答案是不一定。这个短指令能够获取手机的IMEI、MEID等多个设备ID。但是系统会随机选择一个作为加密算法所需的IMEI,并将其记录在DENGTA_META.XML里(不仅一处)。从小编的测试手机来看,微信不仅没有选择IMEI1,也没选择IMEI2,反而选了CDMA的MEID,我也是醉了。

DENGTA_META.XML文件内容

2、uin的获取相对简单,不算坑,此篇不再赘述。

2、MD5(IMEI+uin)的输入字符串有大小写要求吗?

答案是肯定的。如果IMEI中有字符的话,需要将其转变为大写,否则计算的MD5值不同。

3、MD5(IMEI+uin)的输出字符串作为密码有大小写要求吗?

答案是肯定的,取前7位,小写

4、对SQLite browser浏览器版本有要求吗?

答案是肯定的。EnMicroMsg是加密SQLite db,普通的SQLite浏览器无法打开(SQLiteviewer、SQLitebrowser等)。这里推荐一款软件: SQLCipher,这是一个在SQLite基础之上进行扩展的开源数据库,它主要是在SQLite的基础之上增加了数据加密功能。即便如此,针对EnMicroMsg,也只有个别版本的 SQLCipher能够奏效,笔者亲测V2.1可用,高于此版本的V3.15.2、V3.7.0等均无法使用。

请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180823B07DJQ00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券