安卓微信取證冷知識（微信數據分布）

衆所周知，安卓微信默認安裝目錄爲(wéi / wèi)：data/data/com.tencent.mm，這(zhè)裏的(de)com.tencent.mm即爲(wéi / wèi)我們常說(shuō)的(de)包名，第三方分身APP的(de)包名一(yī / yì ／yí)般不(bù)同，比如“雙開助手”的(de)包名是(shì)com.excelliance.dualaid。該目錄中通常存儲用戶使用微信産生的(de)主要(yào / yāo)數據，其中以(yǐ)MicroMsg和(hé / huò)shared_prefs目錄最爲(wéi / wèi)重要(yào / yāo)，下圖展現的(de)是(shì)com.tencent.mm/MicroMsg目錄下的(de)數據分布。

微信取證冷知識（加密數據解析）

EnMicroMsg.db是(shì)一(yī / yì ／yí)個(gè)加密的(de)SQLite文件，加密方式已經公開，解密密鑰爲(wéi / wèi)手機IMEI與微信uin組合後計算其MD5值取前7位，因此隻要(yào / yāo)得到(dào)手機的(de)IMEI和(hé / huò)微信的(de)uin即可解密。

安卓微信取證冷知識（微信數據恢複）

大(dà)部分用戶删除微信數據時(shí)，隻對部分消息進行針對性的(de)删除，實際上(shàng)僅僅删除了(le／liǎo)EnMicroMsg.db文件message數據表中的(de)局部内容，由于(yú)沒有覆蓋新數據，在(zài)安卓微信5.2版本前可以(yǐ)通過SQLite恢複工具直接恢複；5.2版本後因騰訊對安卓版本實行了(le／liǎo)删後寫0覆蓋的(de)機制，至此對數據庫文件無法直接恢複。

基于(yú)Charles的(de)實體安卓機APP抓包

上(shàng)一(yī / yì ／yí)期我們介紹到(dào)了(le／liǎo)對青花瓷（Charles）的(de)介紹和(hé / huò)基本常識，這(zhè)一(yī / yì ／yí)期我們就(jiù)是(shì)對青花瓷的(de)配置以(yǐ)及在(zài)實體安卓手機中怎麽進行抓包前的(de)配置。

隐藏軟件的(de)取證方法

在(zài)日常使用手機時(shí)候，我們也(yě)會發現一(yī / yì ／yí)個(gè)功能叫做隐私空間，很多人(rén)會把重要(yào / yāo)的(de)信息隐藏在(zài)這(zhè)個(gè)空間中防止他(tā)人(rén)輕易讀取裏面的(de)信息，PC端也(yě)不(bù)例外，今天我們就(jiù)來(lái)探讨一(yī / yì ／yí)下電腦端如何查看一(yī / yì ／yí)些被隐藏起來(lái)的(de)文件應用。

Linux日志分析與存儲

Linux日志分析與存儲是(shì)在(zài)數字取證過程中的(de)關鍵步驟，它涉及到(dào)收集、存儲、分析和(hé / huò)報告操作系統及其應用程序生成的(de)日志數據。在(zài)計算機取證、網絡安全和(hé / huò)系統監控領域，Linux日志文件的(de)合理管理和(hé / huò)有效利用具有重要(yào / yāo)意義。