微信會在每個賬戶初次登錄時同步該用戶和該手機的通訊錄,可以在“通訊錄”模塊直接查看。對通訊錄的取證可以列出沒有聊天記錄或清除了聊天記錄的聯繫人,可以輔助進行取證和多手機多賬號情況下的關聯分析。
除了直接登錄微信並截圖記錄外,可以從rcontact表中提取公衆號與聯繫人列表,如圖4.10。根據username列的微信號,微信自帶的如騰訊新聞、微信支付等服務置頂,以“gh_”開頭的爲公衆號,“wxid_”開頭或由自定義微信號的爲聯繫人。
圖4.10 rcontact表中存有微信號與暱稱對應關係
建議使用SQL語句:
select username as 微信id,alias as 微信號,conRemark as 備註,nickname as 暱稱 from rcontact
用戶關注的公衆號與服務號列表對用戶畫像有一定的輔助作用。如2019年某案件中嫌疑人的微信關注了大量網絡安全技術類公衆號和法律相關公衆號,同時與多個黑產相關公衆號有互動記錄,給下一步瀏覽器歷史記錄取證和個人電腦取證提供了大方向。
除了直接登錄微信並截圖記錄外,可以從EnMicroMsg.db的bizinfo表中username列提取所有關注公衆號的“gh_”編碼,如圖4.11。“updateTime”列存取最近更新時間, 結合rcontact表的nickname列提取公衆號名稱。
圖4.11 bizinfo表中存有公衆號列表
建議使用SQL語句:
select nickname from bizinfo a,rcontact b where a.username = b.username