聯(lián)系我們
TEL:4008-522-366
E-Mail:lxzx@longxintec.com
安卓微信取證冷知識(微信數(shù)據(jù)分布)
眾所周知,安卓微信默認安裝目錄為:data/data/com.tencent.mm,這里的com.tencent.mm即為我們常說的包名,第三方分身APP的包名一般不同,比如“雙開助手”的包名是com.excelliance.dualaid。該目錄中通常存儲用戶使用微信產(chǎn)生的主要數(shù)據(jù),其中以MicroMsg和shared_prefs目錄最為重要,下圖展現(xiàn)的是com.tencent.mm/MicroMsg目錄下的數(shù)據(jù)分布。
微信取證冷知識(加密數(shù)據(jù)解析)
EnMicroMsg.db是一個加密的SQLite文件,加密方式已經(jīng)公開,解密密鑰為手機IMEI與微信uin組合后計算其MD5值取前7位,因此只要得到手機的IMEI和微信的uin即可解密。
安卓微信取證冷知識(微信數(shù)據(jù)恢復)
大部分用戶刪除微信數(shù)據(jù)時,只對部分消息進行針對性的刪除,實際上僅僅刪除了EnMicroMsg.db文件message數(shù)據(jù)表中的局部內(nèi)容,由于沒有覆蓋新數(shù)據(jù),在安卓微信5.2版本前可以通過SQLite恢復工具直接恢復;5.2版本后因騰訊對安卓版本實行了刪后寫0覆蓋的機制,至此對數(shù)據(jù)庫文件無法直接恢復。
基于Charles的實體安卓機APP抓包
上一期我們介紹到了對青花瓷(Charles)的介紹和基本常識,這一期我們就是對青花瓷的配置以及在實體安卓手機中怎么進行抓包前的配置。
隱藏軟件的取證方法
在日常使用手機時候,我們也會發(fā)現(xiàn)一個功能叫做隱私空間,很多人會把重要的信息隱藏在這個空間中防止他人輕易讀取里面的信息,PC端也不例外,今天我們就來探討一下電腦端如何查看一些被隱藏起來的文件應用。
Linux日志分析與存儲
Linux日志分析與存儲是在數(shù)字取證過程中的關(guān)鍵步驟,它涉及到收集、存儲、分析和報告操作系統(tǒng)及其應用程序生成的日志數(shù)據(jù)。在計算機取證、網(wǎng)絡安全和系統(tǒng)監(jiān)控領(lǐng)域,Linux日志文件的合理管理和有效利用具有重要意義。
