查看原文
其他

【技术视界】第33期:操作系统中的操作系统——微信小程序数据提取研究

效率源 2017-01-30
编者按

       在手机电子数据取证领域,微信数据提取一直都是行业关注的焦点。自微信正式小程序发布以来,在行业内外引发了高度关注。目前,针对微信小程序数据提取与解析还处于空白阶段,市面上还未出现任何可以提取微信小程序数据的软件或工具,这也给手机取证带来难题。为此,数据恢复四川省重点实验室科研人员将以手机中的一些高频程序为例,讲解微信小程序的存储结构及如何提取。

背景介绍

        2017年1月9日,万众瞩目的微信小程序正式发布。微信小程序是一种不需要下载安装即可使用的应用,用户只需扫一扫或搜一下即可打开应用。这不仅解决了手机安装多个应用APP的内存问题,同时也为急需使用某应用的用户解决了燃眉之急,不用在软件商店下载安装,也体现了“用完即走”的理念,用户不用关心是否安装太多应用的问题。


【图1】


微信小程序数据提取意义

       微信小程序具有无处不在,随时可用,但又无需安装卸载等优点,极具普及性及广泛性。目前,美团外卖、滴滴公交查询、车来了、大众点评、京东购物、摩拜单车、滴滴出行、携程网等高频使用软件都已开始进入微信小程序,未来将会有更多的应用软件进入,甚至完全替代现有网络应用模式。

        微信小程序会记录当前小程序产生的用户数据,包括地理位置、聊天记录、行踪轨迹等,这些数据在案件侦破中往往可以起到关键作用,使案件线索更加明朗,可以提升办案人员工作效率。目前,市面上的取证工具和软件,针对的都是对手机应用软件数据进行直接提取,未发现任何可以支持提取微信小程序数据的软件或工具,一旦取证过程中需要提取微信小程序里的数据,办案人员便会束手无策。因此,研究微信小程序的数据分析与提取,对整个电子数据取证行业都有重要指导意义。


如何激活微信小程序

1、升级微信到最新版本6.5.3;

2、在微信的第一个页面的顶端,有一个搜索按钮,在搜索条里输入:小程序示例(必须输入完整,暂不支持模糊搜索),然后搜索; 

3、选择第一个结果,图标是黑色斜写的英文字母“S”,点开它,进入后无需任何操作;

4、在微信第一个页面的末端,就会发现小程序的入口,激活成功;

在“发现”里点开小程序,在里面搜索不同的小程序。

      备注:具体操作过程,可参考微信小程序大全:http://mp.weixin.qq.com/s/8AjrZdCePhJi5YgiH-fJ0Q

微信小程序使用前后的数据变化

       微信6.5.3版本(目前最新版本)已携带小程序所需环境,appbrand%文件为小程序相关文件,存储在账号id下,如图2。

 
【图2】


       经数据恢复四川省重点实验室科研人员分析,AppBrandComm.db为非常规数据库,通过对其进行解密操作,发现如果未使用小程序的,数据库内多项表值为空;而使用过小程序的,则会在表中存储数据。


微信小程序数据解析
1、获取小程序的“安装”包

     首批接受邀请的企业小程序已经上线,由于微信内部对于小程序的大小进行设定(目前大小为一兆),企业只能实现一些简单功能。在AppBrandComm.db中,某表则存储了小程序与包名的关联,如图3。


【图3】


2、获取使用的微信小程序本地存储数据

       微信小程序以key-data的键值方式存储数据。其中,key值指明“程序名——操作”,data值为具体数据,表中标明数据存储类型。

       每项表中每个小程序都有一个wxXXXXXXXXXX++@@@TOTAL@DATA@SIZE@@@值,表明总共数据大小,统计该程序所有key-data的数据大小总和,如图4。


【图4】


案例实操
1、从AppBrandComm.db中的AppBrandWxaAppInfo表获取appId、appName,如图5。


【图5】


2、从AppBrandComm.db中的AppBrandKVData表获取key、data、dataType。

       KEY值:appId_关键词[如history];

       Data:对应的键值数据;

       如:“大众点评”的key为“wx734c1ad7b3562129__keyword_history”,对应data为Object类型的关键词搜索历史,如图6。


【图6】


结语:微信小程序试图创造操作系统中的微型操作系统,颠覆现有的网络应用模式。无论是网站,还是APP,都将变成微信里的一个小程序。对于手机电子数据取证而言,微信小程序数据提取必将是未来研究的一个重点。本期,数据恢复四川省重点实验室科研人员讲解了如何对微信小程序数据结构进行解析,填补了国内相关领域的空白。目前,此方法已经开始在效率源SPF9139智能手机数据恢复取证系统中进行应用测试,将有助于进一步提升工作效率。


【技术视界】系列推荐:

1、【技术视界】第1期:手机取证-手机音频文件恢复提取技术研究

2、【技术视界】第2期:精确读取  提高缺陷硬盘数据恢复成功率

3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?

4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究

5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?

6、【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究

7、【技术视界】第7期:手机取证-SQLite数据库文件恢复提取技术研究

8、【技术视界】第8期:视频侦查-监控主机自动识别技术研究

9、【技术视界】第9期:视频侦查——不转码直接检索监控视频的方法探讨


10、【技术视界】第10期:电子取证— RAID 5、RAID 6崩溃的数据恢复取证提取技术研究

11、【技术视界】第11期:教你怎么编写智能手机APP的取证脚本

12、【技术视界】第12期:电子取证反向思维 防御手机APP偷窃破案机密的2个高招

13、【技术视界】第13期:希捷硬盘修复P表实现数据恢复的电子取证方法研究

14、【技术视界】第14期:手机取证——关于iPhone手机数据提取方式的探讨

15、【技术视界】第15期:智能手机APP取证脚本编写续—iPhone数据提取与解析

16、【技术视界】第16期:视侦检索技术(一)——视频解码研究

17、【技术视界】第17期:电子取证— 360浏览器历史记录数据恢复提取方法

18、【技术视界】第18期:手机取证— 手机解锁不清除数据研究

19、【技术视界】第19期:视侦检索技术(二)——目标检测

20、【技术视界】第20期:手机取证——安卓Radio日志基站数据提取

21、【技术视界】第21期:IOS/Android设备GPS定位点和基站原始数据解析

22、【技术视界】第22期:通过清除非常驻缺陷表解决希捷硬盘前好后坏故障的研究

23、【技术视界】第23期:视侦检索技术(三)——目标跟踪

24、【技术视界】第24期:一种基于Oracle数据库的数据恢复方法

25、【技术视界】第25期:小米手机备份文件数据提取研究

26、【技术视界】第26期:手机如何在有屏幕锁情况下设置飞行模式

27、【技术视界】第27期:一种有效提取伪基站中短信内容的技术方案

28、【技术视界】第28期:希捷硬盘固件故障状态忙修复方法

29、【技术视界】第29期:一种利用密码强度判定WiFi安全等级的方法

30、【技术视界】第30期:重大技术突破:有屏锁高通芯片手机(小米、中兴、OPPO、VIVO等)支持不开机、不调试获取全盘镜像


31、【技术视界】第31期:如何通过芯片提取获取有屏锁三星Galaxy S6数据

32、【技术视界】第32期:Android手机定位与地理位置解析研究

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存