【技巧】取证大师如何获取微信账号信息?
微信在即时通讯工具中所占的份额越来越大,取证实践中已经逐渐取代QQ成为最重要的取证项。对于手机端,目前国内外手机取证工具都能很好地解析,但对于PC端的微信,则只有取证大师等少量的产品支持。
Windows PC安装后,默认会在“我的文档”目录下创建“WeChat Files”文件夹,后续每登陆一个微信账号,便在该文件夹下创建一个以微信号命名的子文件夹,放置配置信息、聊天记录及附件数据。
取证大师解析Windows PC端微信数据需要同账号的微信在手机上进行授权操作,流程比手机微信取证要麻烦得多。知道登陆过的微信号后,如何通过相关信息找到对应的手机呢?其实我们可以通过人工分析上述微信号文件夹中的数据得到。
下面我以自己的微信进行说明。我在我的一台WIndows10系统中安装了最新版的微信,扫描二维码登陆了我的微信号“cnhbhz”。之后通过FTK Imager加载本地磁盘查看,“C:\Users \cnhbhz \Documents \WeChat Files \cnhbhz \config \aconfig.dat”文件即保存了我的微信账号信息。该文件主要内容明文可见,如图1所示。
图 1 微信号信息
接下来可以看到我的区域信息,本例中“Hubei Xiaogan”即“湖北省孝感市”。如图2所示。
图 2 地区信息
接下来是签名信息,本例中是“Less is more!”。如图3所示。
图 3 签名信息
接下来是头像信息,本例中有两个,前一个是大图,后一个是小图。如图4、图5所示。复制URL到浏览器中打开即可查看头像信息。
图 4 头像(大图)
图 5 头像(小图)
接下来是邮箱信息,本例是“cnhbhz@xxxxxxx.com”。如图6所示。
图 6 邮箱信息
接下来是绑定的手机号信息,本例中是“1592xxxxxxx”。如图7所示。
图 7 绑定的手机号
以上我使用自己的账号登陆Windows微信后查看的aconfig.dat文件情况,实际上并非每个微信账号都有这些数据,要看该账号具体绑定了哪些信息。另一方便,我并未解析该文件的详细结构,这些事情留给取证公司吧,相信PC微信实际上远不止保存了这些信息。
如果对PC版微信取证有疑问或自己的见解,欢迎留言讨论。
本文欢迎转发,也可以在保留出处和署名的基础上非商业用途地转载。长按下图识别二维码即可关注取证杂谈公众号。