当前位置: 主页 > 关于效率源 > 新闻和事件 > 官方动态

【技术视界】Android微信撤回消息如何恢复?

2019-02-02 10:16

2019新年已经在向我们招手,马上就是春节啦!小编提前在这里给大家拜个早年!今天给大家带来年底最后一篇技术文章,祝大家新的一年在电子数据取证工作上势如破“猪”!

在日常办案过程中,技术人员常会处理有关微信聊天数据的恢复工作。其中有一类消息比较特殊,那就是撤回消息,它不属于删除消息,但是形式却与删除消息类似,亦即被撤回之后的消息也是不可见的,并且很难被提取。
在这篇文章中,我们就对Android撤回消息的恢复进行简单的探讨。

关于微信撤回消息

从微信6.6版本到如今微信7.0版本,都有一个功能:撤回消息可以重新编辑。即在发送消息被撤回之后的2分钟内点击重新编辑,可以对撤回的消息进行再编辑,2分钟以后如果没有编辑操作就会自动消失。

A1.jpg

从该功能不难发现,撤回消息其实是存放在某文件中,而不是撤回之后就立即删除。

微信撤回消息恢复难点

那撤回消息究竟存放在哪里呢?通过研究发现,撤回消息被存放于微信用户账号文件夹下的FTS5IndexMicroMsg.db-journal文件中。

1549073009296022766.jpg

而在实际的办案过程中,可能会因为一些误操作(比如设备关机、重启、退出微信等)而使得存放撤回消息的缓存文件被清除,从而不能正常恢复出撤回消息,这就给办案工作人员带来不少困扰。
下面就将具体的Android撤回消息恢复步骤和大家分享,仅供参考!

具体操作步骤

1、事前准备
1)操作手机
一个能够获取数据的Android设备:以OPPO R11 plus(Android版本7.1.1,具有root权限)为例进行讲解;
确保Android设备中的微信存在过撤回消息;

2)数据查找工具
winhex:用于查看缓存文件的二进制值

2、模拟创造需恢复的数据

1549073102922024275.jpg

△模拟操作数据

3、查找微信撤回数据缓存文件
1)通过adb指令获取输入模拟数据之后的FTS5IndexMicroMsg.db-journal文件;
2)使用winhex打开获得的缓存文件,搜索模拟录入的数据,发现未找到。

1549073140578073584.jpg

4、重启手机设备(在重启前不退出微信)
1)重启手机设备之后,打开微信,输入一条测试数据,如“dianzishujuquzheng”,并将其撤回。

1549073181063052431.jpg

△测试数据

2)再次输入adb命令得到FTS5IndexMicroMsg.db-journal文件,然后通过分析,找出开始所录入的模拟数据,如下图所示。

1549073217438039782.jpg

注意事项

1、因为数据是存放在缓存中的,所以变化的频率过高,使得恢复的效果需根据实际情况而定。
2、通过对比测试之后,发现以下两种情况可以通过上述方式恢复被撤回消息:
退出应用被清除缓存文件;
重启手机被清除缓存文件;
3、对中英文不同数据对比后发现,英文的效果比中文好,因中文一般为utf-8编码,一个中文通常占多个字节,所以容易被打散,很难获得较为完整的消息。
4、对于不同型号设备,不同系统版本,恢复效果也有较大差异,本文仅提供参考思路,具体恢复操作需结合实际情况实际分析。


本文,我们介绍了一种恢复微信撤回消息缓存文件的方法,主要目的是和大家分享一种在恢复不出撤回消息时(注:因关机、重启或退出应用而使得缓存文件被清除或修改)的分析思路和操作方法。

但在实际场景中需慎用,因为需要连接网络,可能被人通过远程清除所有数据等,请联系专业人员进行操作。

如对文中的操作、描述有任何疑问,或者有相关数据恢复案件协助支持也可以直接在微信公众号后台给我们留言。

【扩展阅读】

【技术视界】华为手机bootloader锁解锁操作小技巧

【技术视界】受损固态硬盘(SSD)数据恢复方法(文内有福利)

【技术视界】YUNOS操作系统手机微信数据提取方法

【技术视界】虚拟机文件取证技术研究