【美亚技术分享】第十五期:智能手机中微信及QQ应用程序数据存储剖析
手机取证工作中,我们提取最多的应用程序莫过于QQ和微信,QQ和微信所发送的语音、图片和视频可能隐藏着许多重要线索。这期我们主要和大家一起探讨下手机QQ和微信接收的语音、图片和视频的存储路径,希望对大家的日常工作有所帮助,特别是在没有手机取证软件的情况下。
安卓手机
安卓手机QQ默认情况下都会在外部存储卡上生成一个Tencent文件夹,打开这个文件夹下面的MobileQQ文件夹后,可以看到很多以QQ号命名的文件夹,如下图:
这些以QQ号码命名的文件夹里就保存着这个QQ号所发送和接收的语音文件,如下图所示:
Diskcache文件夹保存着缓存图片,缓存图片直接双击无法打开,需要以图片的方式打开方可查看。打开后如下图所示:
photo文件夹保存的是完整图片,双击直接打开即可。
Tencent文件夹下的QQfile_recev保存着接收到的文件。
如果您手上有手机取证软件,只需要对手机进行取证后就可以直接在软件中或者案例目录下查看,如下图所示:
生成报告后,手机取证软件会把手机的语音、图片和视频统一复制至Report\报告名称\DATA文件夹下。
接下来我们看下微信的数据, 微信默认情况下都会在外部存储卡上生成一个Tencent文件夹,打开这个文件夹下面的Micromsg文件夹后,可以看到一串32位字母加数字组成的文件夹,如下图:
这些文件夹里就保存着微信发送和接收的语音文件、视频和图片,如下图所示
其中favorite文件夹是微信收藏的数据,如下图所示:
如果您手上有手机取证软件,只需要对手机进行取证后就可以直接在软件中或者案例目录下查看,如下图所示:
生成报告后,手机取证软件会把微信的语音、图片和视频统一复制至Report\报告名称\DATA文件夹下。
苹果手机
苹果手机iOS 8.3以下系统版本可以使用手机取证软件DC-4500或DC-4501工具箱中的“iPhone文件浏览”工具,或下载第三方工具iTools直接导出QQ文件夹,iOS 8.3以上版本需要越狱才可以使用工具查看。导出后如下图所示:
语音、图片和视频分别保存在文件夹Documents/QQ号命名文件夹下的Audio、Image、Video三个文件夹中,如下图所示:
Audio语音文件夹图示
Image图片文件夹图示
Video视频文件夹图示
使用手机取证软件,只需要对手机进行取证后就可以直接在软件中或者案例目录下查看,如下图所示:
生成报告后,会把手机的语音、视频和图片统一复制至Reports\报告名称\DATA\qq文件夹下。
下面我们再来看看iOS系统下的微信, iOS 8.3以下系统版本可以使用手机取证软件工具箱中的“iPhone文件浏览”工具,或下载第三方工具iTools直接导出微信文件夹,iOS 8.3以上版本需要越狱才可以使用工具查看或是使用iTunes备份。导出后如下图所示:
语音、图片和视频分别保存在文件夹Documents/一串32位字母加数字组成的文件夹下的Audio、Image、Video三个文件夹中,如下图所示:
Audio语音文件夹图示
iPhone的微信语音双击是无法播放的,需要通过转换后才能播放的!
Image图片文件夹图示
默认的pic_thum要以图片方式打开即可
Video视频文件夹图示
使用手机取证软件,只需要对手机进行取证后就可以直接在软件中或者案例目录下查看,语音可以直接双击打开,无需再次转换。如下图所示:
生成报告后,会把手机的语音、视频和图片统一复制至Reports\报告名称\DATA\weixin文件夹下。
总结
知道了QQ和微信的信息存储路径,要做进一步的对应关系匹配,如果仅靠人工进行匹配那么将是一项巨大的工程,使用美亚柏科DC-4501、FS-7000等手机取证产品,能够快速、便捷的对数据进行挖掘、解析并匹配对应关系,清晰明了的展现报告,提高工作效率。
更多相关技术可以关注美亚柏科服务之星微信公众平台与美亚柏科技术同事交流
拉近你我
迅速响应
【美亚技术分享】推荐列表
1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)
2、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选二)
3、不变与改变——CEIC2015(计算机和企业调查大会)随记
13、第十一期:浅谈Android手机取证中获取物理镜像的重要性