微信在即时通讯工具中所占的份额越来越大,取证实践中已经逐渐取代QQ成为最重要的取证项。对于手机端,目前国内外手机取证工具都能很好地解析,但对于PC端的微信,则只有取证大师等少量的产品支持。

Windows PC安装后,默认会在“我的文档”目录下创建“WeChat Files”文件夹,后续每登陆一个微信账号,便在该文件夹下创建一个以微信号命名的子文件夹,放置配置信息、聊天记录及附件数据。

取证大师解析Windows PC端微信数据需要同账号的微信在手机上进行授权操作,流程比手机微信取证要麻烦得多。知道登陆过的微信号后,如何通过相关信息找到对应的手机呢?其实我们可以通过人工分析上述微信号文件夹中的数据得到。

下面我以自己的微信进行说明。我在我的一台WIndows10系统中安装了最新版的微信,扫描二维码登陆了我的微信号“cnhbhz”。之后通过FTK Imager加载本地磁盘查看,“C:Users cnhbhz Documents WeChat Files cnhbhz config accinfo.dat”文件即保存了我的微信账号信息。该文件主要内容明文可见,如图1所示。

微信号信息
图 1 微信号信息

接下来可以看到我的区域信息,本例中“Hubei Xiaogan”即“湖北省孝感市”。如图2所示。

地区信息
图 2 地区信息

接下来是签名信息,本例中是“Less is more!”。如图3所示。

签名信息
图 3 签名信息

接下来是头像信息,本例中有两个,前一个是大图,后一个是小图。如图4、图5所示。复制URL到浏览器中打开即可查看头像信息。

头像(大图)
图 4 头像(大图)
头像(小图)
图 5 头像(小图)

接下来是邮箱信息,本例是“cnhbhz@xxxxxxx.com”。如图6所示。

邮箱信息
图 6 邮箱信息

接下来是绑定的手机号信息,本例中是“1592xxxxxxx”。如图7所示。

帮定的手机号
图 7 绑定的手机号

以上我使用自己的账号登陆Windows微信后查看的accinfo.dat文件情况,实际上并非每个微信账号都有这些数据,要看该账号具体绑定了哪些信息。另一方便,我并未解析该文件的详细结构,这些事情留给取证公司吧,相信PC微信实际上远不止保存了这些信息。

本文最早发布于本人微信公众号“取证杂谈”,发布日期为2017年6月26日,微信公众号“电子物证”2017年7月21日授权转载。

标签: 微信

添加新评论