ID：Pansafe

1EnMicroMsg.db

EnMicroMsg.db是一個加密的SQLite檔案，加密方式已經公開，解密金鑰為手機IMEI與微信uin組合後計算其MD5值取前7位，因此只要得到手機的IMEI和微信的uin即可解密。這也是眾多手機取證軟體所採用的的方法，這裡不做贅述。

使用sqlcipher開啟EnMicroMsg.db，在彈出的視窗中輸入金鑰，即可看到明文內容。

重要資料表及其欄位內容包括：

(1)userinfo：使用者基本資訊，如微訊號（Stevenpi）、暱稱（Steven）、qq郵箱（87*****[email protected]）、手機號（186****1128）、QQ號（87*****08）、地區資訊（上海虹口）以及個性簽名、最近一次登入時間（UNIX時間戳）等。

(2)userinfo2：其他使用者資訊，與使用功能數量有關，多則可達數百項，主要包括：

最近登入的微信賬號（USERINFO_LAST_LOGIN_USERNAME_STRING）；

頭像小圖URL（USERINFO_SELFINFO_SMALLIMGURL_STRING）；

首次安裝版本（USERINFO_INSTALL_FIRST_CLIENT_VERSION_INT）；

首次安裝時間（USERINFO_INSTALL_FIRST_TIME_LONG）；

資料庫大小（USERINFO_HEAVY_USER_REPORT_TYPE_DB_SIZE_LONG）；

群組數（USERINFO_HEAVY_USER_REPORT_TYPE_DB_CHATROOM_LONG）；

訊息數（USERINFO_HEAVY_USER_REPORT_TYPE_DB_MESSAGE_LONG）；

通訊物件數（USERINFO_HEAVY_USER_REPORT_TYPE_DB_CONTACT_LONG）；

會話數（USERINFO_HEAVY_USER_REPORT_TYPE_DB_CONVERSATION_LONG）；

錢包零錢通餘額（USERINFO_WALLET_LQT_ENTRY_WORDING_STRING）；

更新時間（USERINFO_UPDATE_UPDATE_TIME_LONG）；

更新版本（USERINFO_UPDATE_UPDATE_VERION_LONG）；

最近登入賬號頭像路徑（USERINFO_LAST_LOGIN_AVATAR_PATH_STRING）；

最近使用的位置（USERINFO_LAST_LOCATION_STRING）；

實名認證（USERINFO_WALLET_RELEAY_NAME_BALANCE_CONTENT_STRING）；

面對面收款實名（USERINFO_WALLET_F2F_COLLECT_TRUE_NAME_STRING）；

銀行卡明細URL（USERINFO_WALLET_BANKCARD_DETAIL_URL_STRING）。

(3)BizChatUserInfo：企業賬號資訊，包括企業賬號ID、名稱、該使用者在企業中的名稱、頭像/簡介/新增成員連結等。

(4)MediaDuplication：多媒體檔案資訊，包括檔案的MD5值、大小、路徑和建立時間等。

(5)voiceinfo：語音資訊，包括語音檔名稱、語音傳送者微訊號、語音長度以及時間屬性等。

(6)ImgInfo2:圖片資訊，包括訊息ID、長度、大圖路徑、縮圖路徑、建立時間、原圖MD5等。

(7)videoinfo2：視訊資訊，包括檔名、大小、長度、訊息ID、時間屬性、對應使用者ID（個人或群）等。

(8)VideoHash：視訊雜湊，包括視訊檔案的大小、建立時間、原始路徑等。

(9)WalletUserInfo：錢包使用者資訊，包括使用者的uin（退出登入的為空）、真實姓名、面對面支付連結、零錢通訊息、認證型別等。

(10)WalletLuckyMoney：紅包資訊，包括接收總量、狀態、時間等。

(11)WalletBankcard：錢包銀行卡資訊，包括銀行名稱、銀行卡型別、尾號、單次轉賬限額、單日轉賬限額、轉賬時間等。

(12)bottleinfo1：漂流瓶資訊，記錄撿到的所有漂流瓶，包括ID、型別、語音長度、文字內容、建立時間等。

(13)bottlemessage：漂流瓶訊息，記錄進入臨時會話視窗的漂流瓶資料，表中內容與上表類似。rbottlecoversation

(14)chatroom：群組，包括群ID、群成員列表（微訊號）、顯示名（預設顯示成員備註名）、群主（微訊號），自己的群內備註名等。奇怪的是，該表中沒有記錄自定義的群名稱和群公告。

(15)rconversation：會話，以相同聊天物件的訊息合併為一組，包括會話內訊息數、會話物件ID（含群ID）、未讀訊息數、會話時間、內容等。目前conversation表為空，不再儲存相關資料。

(16)message：聊天記錄，包括點對點訊息（傳送者微訊號、訊息內容、時間）和群組訊息（群ID、訊息內容、時間），多媒體檔案儲存路徑等。QQ離線訊息單獨儲存在qmessage表中。

(17)ContactLabel：聯絡人標籤，主要記錄自定義的聯絡人分組標籤，包括標籤名、拼音（全稱和縮寫）以及建立時間等。

(18)rcontact：通訊物件（與userinfo2中的數量對應），指的是好友、公眾號、小程式及群成員去重後的總和，還包括已經被刪除的曾經好友。主要欄位包括微訊號（ID）、別名、備註名、暱稱等。目前contact表為空，不再儲存相關資料。

上表中，type（型別）欄位用於區分物件型別，常見型別對應分類：

(19)bottlecontact：漂流瓶聯絡人，專門儲存撿到的漂流瓶主資訊，欄位與上述通訊物件相同。

(20)DeletedConversationInfo：刪除會話資訊，包括會話物件微訊號或群ID、漂流瓶ID及其最近順序。

2  enFavorite.db

enFavorite.db檔案的解密金鑰與EnMicroMsg.db相同，同理解密。

關鍵資料主要集中在FavSearchInfo和FavItemInfo表中，對應分析可以獲得收藏內容的本地ID、內容、標籤、時間、傳送與接收者等資訊。

通過手機取證黃蜂，可以快速友好的獲得上述結果：

3  WxFileIndex.db

WxFileIndex.db檔案的解密金鑰也與EnMicroMsg.db相同，同理解密後可以得到如圖所示的內容。

該檔案記錄了微信聊天涉及的檔案附件的情況，各欄位含義分析如下：

(1)msgId：訊息ID，同一來源的記錄（點對點聊天時的同一個微信賬號或群聊時的同一群）具有同一個ID。

(2)username：傳送者，點對點聊天時對應傳送者微訊號（上圖Stevenpi即為傳送者微訊號），群聊時對應群ID。

(3)msgType：訊息型別，每種檔案對應一個數字，比如語音音訊對應34、圖片對應3、檔案對應49、視訊對應62等等。

(4)msgSubType：訊息子類，用於區分同一型別檔案的多種形態，如圖片的原圖、縮圖、預覽圖等。

(5)path：檔案的儲存路徑。

(6)size：檔案大小，大小為0的情況比較常見的是由於縮圖沒有點開預覽或原圖沒有下載，也有些記錄與微信資料某些生成機制有關。

(7)msgtime：產生該條記錄的時間，通過UNIX時間戳記錄，轉換後可以獲得準確的北京時間。