基於Android設備的微信數據收集
根據2019年研究機構IDC發佈的智能手機最新預測報告,運行Android操作系統的智能手機市場份額以達到87%。Android系統在物聯網設備、平板電腦、電視等智能設備上也越來越常見,可以說是人們生活中接觸最多的智能系統。
Android模擬器是能在PC平臺模擬Android手機系統的模擬器軟件。由於模擬器具有多開性和高效性,並且可以模擬地理信息和手機型號,在犯罪行爲和人們日常使用過程中也越來越常見。
這裏針對Android手機與Android模擬器,根據不同情況對其微信數據獲取技術進行研究並給出方法論。
1.1 安裝路徑與數據導出
在微信安裝時,安裝包會將安裝文件創建並置於路徑“/data/data/com.tencent.mm/”和“/sdcard/tencent/microsg”下。微信運行過程中產生的聊天記錄、配置等數據存儲在路徑“/data/data/com.tencent.mm/”的三個子目錄中,分別爲“databases”、“shared_prefs”和“MicroMsg”。databases和shared_prefs目錄緩存用戶身份驗證信息和配置文件等數據。MicroMsg目錄存儲重要用戶的活動數據。
微信爲每個用戶創建一個唯一標識的uin,使用字母“mm(微信英文名MicroMsg縮寫)”與用戶uin拼接與計算的MD5值,取前32位命名個人數據文件夾。並放置在“/data/data/com.tencent.mm/MicroMsg”路徑下。例如,文件夾名可以計算爲
以下使用<udir> 用於表示用戶的個人文件夾名稱。
路徑“/sdcard/Tencent/MicroMsg”用於存儲多媒體資源,如接收的圖像、音頻文件等。每個用戶都有一個私有文件夾,該文件夾也是通過在路徑“/sdcard/Tencent/MicroMsg”下計算
命名的。
因此,微信的數據文件採集應針對其在設備data分區創建的數據庫文件目錄“/data/com.tencent.mm/”,與在設備存儲分區創建的資源文件目錄“/sdcard/tencent/microsg”分別進行。其中針對data分區數據庫文件的取證技術根據設備root情況、Android內核版本與手機廠商情況有所不同。對微信的數據採集應根據設備情況定製合適的導出方式。