PC版微信取证之账号信息

congtou 2017-6-26 信息安全 0 1

微信在即时通讯工具中所占的份额越来越大,取证实践中已经逐渐取代QQ成为最重要的取证项。对于手机端,目前国内外手机取证工具都能很好地解析,但对于PC端的微信,则只有取证大师等少量的产品支持。

Windows PC安装后,默认会在“我的文档”目录下创建“WeChat Files”文件夹,后续每登陆一个微信账号,便在该文件夹下创建一个以微信号命名的子文件夹,放置配置信息、聊天记录及附件数据。

取证大师解析Windows PC端微信数据需要同账号的微信在手机上进行授权操作,流程比手机微信取证要麻烦得多。知道登陆过的微信号后,如何通过相关信息找到对应的手机呢?其实我们可以通过人工分析上述微信号文件夹中的数据得到。

下面我以自己的微信进行说明。我在我的一台WIndows10系统中安装了最新版的微信,扫描二维码登陆了我的微信号“cnhbhz”。之后通过FTK Imager加载本地磁盘查看,“C:\Users \cnhbhz \Documents \WeChat Files \cnhbhz \config \aconfig.dat”文件即保存了我的微信账号信息。该文件主要内容明文可见,如图1所示。

1

图 1 微信号信息

接下来可以看到我的区域信息,本例中“Hubei Xiaogan”即“湖北省孝感市”。如图2所示。

1

图 2 地区信息

接下来是签名信息,本例中是“Less is more!”。如图3所示。

1

图 3 签名信息

接下来是头像信息,本例中有两个,前一个是大图,后一个是小图。如图4、图5所示。复制URL到浏览器中打开即可查看头像信息。

1

图 4 头像(大图)

1

图 5 头像(小图)

接下来是邮箱信息,本例是“cnhbhz@xxxxxxx.com”。如图6所示。

1

图 6 邮箱信息

接下来是绑定的手机号信息,本例中是“1592xxxxxxx”。如图7所示。

1

以上我使用自己的账号登陆Windows微信后查看的aconfig.dat文件情况,实际上并非每个微信账号都有这些数据,要看该账号具体绑定了哪些信息。另一方便,我并未解析该文件的详细结构,这些事情留给取证公司吧,相信PC微信实际上远不止保存了这些信息。

文章出处:胡壮 取证杂谈

转载请注明来自华盟网,本文标题:《PC版微信取证之账号信息》

喜欢 (1) 发布评论