CN109308229B - 一种恢复微信聊天记录的方法 - Google Patents
一种恢复微信聊天记录的方法 Download PDFInfo
- Publication number
- CN109308229B CN109308229B CN201710617567.7A CN201710617567A CN109308229B CN 109308229 B CN109308229 B CN 109308229B CN 201710617567 A CN201710617567 A CN 201710617567A CN 109308229 B CN109308229 B CN 109308229B
- Authority
- CN
- China
- Prior art keywords
- database
- chat record
- chat
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1469—Backup restoration techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种恢复微信聊天记录的方法,其特征在于包括以下步骤,S1:获取微信的加密数据库及索引数据库;S2:获取所述加密数据库的密钥并使用所述密钥打开所述加密数据库;S3:打开所述索引数据库;S4:查找并解析含有聊天记录时间戳的元消息表及含有聊天记录内容的聊天记录表的存储结构,查找并解析含有聊天记录创建时间的message表的存储结构;S5:判断在message表的创建时间中是否查找到所述时间戳,如果是,结束流程;否则,执行步骤S6进行聊天记录的恢复;S6:根据所述时间戳,在所述索引数据库的聊天记录表中获取被删除的聊天记录。本发明解决了微信聊天记录被删除后,加密数据库底层会被填充、数据库会缩减而无法恢复被删除的聊天记录的问题。
Description
技术领域
本发明属于数据恢复与电子取证领域,涉及手机数据恢复与手机取证,尤其涉及一种恢复微信聊天记录的方法。
背景技术
随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可缺少的联系工具。然而,利用手机的即时通讯服务的APP,例如微信等进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜,手机数据恢复与手机取证是打击这类犯罪的一个有效手段。
微信是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用程序,支持跨通信运营商、跨操作系统平台通过网络快速发送免费语音短信、视频、图片和文字;截止到2016年第二季度,微信已经覆盖中国94%以上的智能手机,月活跃用户达到8.06亿,用户覆盖200多个国家、超过20种语言。此外,各品牌的微信公众账号总数已经超过800万个,移动应用对接数量超过85000个,微信支付用户则达到了4亿左右。
微信的聊天功能十分强大,在用户中有广泛的使用基础,但删除微信聊天记录后,需要一种方法来进行恢复。现有技术中虽然已有一些方法可以提取微信聊天记录,但是,由于删除微信聊天记录后,加密数据库底层会被填充、数据库会缩减,因而无法恢复被删除的聊天记录。
发明内容
本发明针对现有技术的不足和上述问题,提出一种恢复微信聊天记录的方法,通过判断聊天记录的创建时间中是否查找到聊天记录的时间戳来判断该条消息是否为已删除的聊天记录,如果是,则在索引数据库的聊天记录表中获取被删除的聊天记录,所述方法包括以下步骤:
S1:获取微信数据文件,所述微信数据文件包括加密数据库及索引数据库;
S2:获取所述加密数据库的密钥并使用所述密钥打开所述加密数据库;
S3:打开所述索引数据库;
S4:查找并解析所述索引数据库中含有聊天记录时间戳的元消息表及含有聊天记录内容的聊天记录表的存储结构,查找并解析所述加密数据库中含有聊天记录创建时间的message表的存储结构;
S5:判断在所述message表的创建时间中是否查找到所述时间戳,如果是,则当前消息为未删除的聊天记录,结束流程;否则,则当前消息为已删除的聊天记录,执行步骤S6进行聊天记录的恢复;
S6:根据所述时间戳,在所述索引数据库的聊天记录表中获取被删除的聊天记录。
作为优选,所述步骤S5中,所述创建时间和所述时间戳均为unix时间戳格式。
作为优选,所述步骤S6包括以下步骤:
S601:根据所述时间戳,在所述索引数据库的元消息表中获取索引值;
S602:在所述索引数据库的聊天记录表中查找所述索引值及其对应的聊天记录。
与现有技术相比,本发明的有益效果是:解决了微信聊天记录被删除后,加密数据库底层会被填充、数据库会缩减,因而无法恢复被删除的聊天记录的问题。
附图说明
图1为本发明的主流程图。
图2为本发明中包含微信用户识别号UIN的文件的数据结构图。
图3为本发明中包含手机IMEI号的文件的数据结构图。
图4为本发明中索引数据库的元消息表的存储结构示意图。
图5为本发明中索引数据库的聊天记录表的存储结构示意图。
图6为本发明中加密数据库的message表的存储结构示意图。
图7为本发明中加密数据库的message表的查询结果示意图。
图8为本发明中获取被删除的聊天记录的处理流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步阐述。
如图1所示,一种恢复微信聊天记录的方法,包括以下步骤:
S1:获取微信数据文件:在手机或者手机镜像数据中找到com.tencent.mm文件夹,提取该文件夹下的所有微信数据文件,包括加密数据库EnMicroMsg.db及索引数据库IndexMicroMsg.db;
S2:获取加密数据库EnMicroMsg.db的密钥并使用该密钥打开加密数据库EnMicroMsg.db:
在com.tencent.mm文件夹的cdndnsinfo文件夹中任一文件均可获得微信用户识别号UIN,如图2所示,在标记符0x0201010201010204后的无符号数值即为UIN,以Unicode大端格式存储;
如图3所示,在文件CompatibleInfo.cfg中获取手机IMEI号,IMEI号的标记符为0x7870000001027400,紧接一个字节是IMEI的长度,该处为0x0F,即15字节,该实施例中,手机IMEI号为860752039526699;
将IMEI号与UIN组成的字符串进行MD5加密,然后读取前7位,得到的字符串即是加密数据库EnMicroMsg.db的密钥,利用该密钥打开加密数据库EnMicroMsg.db,本实施例中,利用数据库浏览工具SQLite Database Browser打开EnMicroMsg.db。
S3:打开索引数据库IndexMicroMsg.db:本实施例中,用数据库浏览工具SQLiteExpert打开IndexMicroMsg.db。
S4:如图4所示,查找并解析索引数据库IndexMicroMsg.db中含有聊天记录时间戳timestamp的元消息表FtsMetaMessage的存储结构;
如图5所示,查找并解析含有聊天记录内容的聊天记录表FtsIndexMessage_content的存储结构;
如图6所示,查找并解析加密数据库中含有聊天记录创建时间createTime的message表的存储结构;
S5:判断在message表的创建时间createTime中是否查找到时间戳timestamp,如果是,则当前消息为未删除的聊天记录,结束流程;否则,则当前消息为已删除的聊天记录,执行步骤S6进行聊天记录的恢复:
如图4所示,选取时间戳timestamp为1459368283473的记录;
如图7所示,在message表的创建时间createTime中查询是否有包含1459368283473的记录,通过查询,未发现该条记录,同时,如图6所示,message表的全部记录中也可以看到无此记录存在,则可以判断该记录是已删除的聊天记录;
S6:根据时间戳timestamp为1459368283473,在索引数据库IndexMicroMsg.db的聊天记录表FtsIndexMessage_content中获取被删除的聊天记录,包括如图8所示的以下步骤:
S601:结合图4,根据时间戳timestamp为1459368283473,在索引数据库IndexMicroMsg.db的元消息表FtsMetaMessage中获取索引值docid为9;
S602:结合图5,在索引数据库IndexMicroMsg.db的聊天记录表FtsIndexMessage_content中查找与索引值docid为9相对应的聊天记录,可以看到,该条被删除的聊天记录为“微信连聊天记录可以查得到吗?”,以此方法,可以恢复被删除的微信聊天记录。
应当理解的是,本发明不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (2)
1.一种恢复微信聊天记录的方法,其特征在于包括以下步骤:
S1:获取微信数据文件,所述微信数据文件包括加密数据库及索引数据库;
S2:获取所述加密数据库的密钥并使用所述密钥打开所述加密数据库;
S3:打开所述索引数据库;
S4:查找并解析所述索引数据库中含有聊天记录时间戳的元消息表及含有聊天记录内容的聊天记录表的存储结构,查找并解析所述加密数据库中含有聊天记录创建时间的message表的存储结构;
S5:判断在所述message表的创建时间中是否查找到所述时间戳,如果是,则当前消息为未删除的聊天记录,结束流程;否则,则当前消息为已删除的聊天记录,执行步骤S6进行聊天记录的恢复;
S6:根据所述时间戳,在所述索引数据库的聊天记录表中获取被删除的聊天记录,所述步骤S6包括以下步骤:
S601:根据所述时间戳,在所述索引数据库的元消息表FtsMetaMessage中获取索引值;
S602:在所述索引数据库的聊天记录表FtsIndexMessage_content中查找所述索引值及其对应的聊天记录。
2.根据权利要求1所述的一种恢复微信聊天记录的方法,其特征在于,所述S5中,所述创建时间和所述时间戳均为unix时间戳格式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710617567.7A CN109308229B (zh) | 2017-07-26 | 2017-07-26 | 一种恢复微信聊天记录的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710617567.7A CN109308229B (zh) | 2017-07-26 | 2017-07-26 | 一种恢复微信聊天记录的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109308229A CN109308229A (zh) | 2019-02-05 |
| CN109308229B true CN109308229B (zh) | 2022-03-08 |
Family
ID=65202020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710617567.7A Active CN109308229B (zh) | 2017-07-26 | 2017-07-26 | 一种恢复微信聊天记录的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109308229B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109873921B (zh) * | 2019-02-14 | 2023-04-07 | 魔门塔(苏州)科技有限公司 | 一种图像时间戳的传输方法、解析方法和装置 |
| CN113489635B (zh) * | 2021-06-18 | 2023-08-18 | 深圳软牛科技有限公司 | 基于微信的消息恢复方法和相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967527A (zh) * | 2015-05-04 | 2015-10-07 | 小米科技有限责任公司 | 通信记录的恢复方法、装置及服务器 |
| CN105260269A (zh) * | 2015-11-02 | 2016-01-20 | 广东欧珀移动通信有限公司 | 聊天记录的备份方法、装置和终端 |
-
2017
- 2017-07-26 CN CN201710617567.7A patent/CN109308229B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967527A (zh) * | 2015-05-04 | 2015-10-07 | 小米科技有限责任公司 | 通信记录的恢复方法、装置及服务器 |
| CN105260269A (zh) * | 2015-11-02 | 2016-01-20 | 广东欧珀移动通信有限公司 | 聊天记录的备份方法、装置和终端 |
Non-Patent Citations (2)
| Title |
|---|
| Dump and Analysis of Android Volatile Memory on Wechat;Fan Zhou et al.;《2015 IEEE International Conference on Communications》;20150608;第7151-7156页 * |
| Forensic analysis of WeChat on Android smartphones;Songyang Wu et al.;《Digital Investigation》;20170107;第21卷;第3-10页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109308229A (zh) | 2019-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103064764A (zh) | 一种快速恢复安卓手机删除信息的取证方法 | |
| CN111372209B (zh) | 信令数据处理方法、装置、设备及介质 | |
| CN106874778B (zh) | 基于Android系统的智能终端文件获取以及数据恢复系统及方法 | |
| CN104199851A (zh) | 通过黄页信息提取电话号码的方法及云端服务器 | |
| CN101626551A (zh) | 一种基于移动互联网的广告业务推送系统和方法 | |
| CN103942054A (zh) | 一种基于安卓的数据取证系统 | |
| US8838094B2 (en) | Acquiring information from volatile memory of a mobile device | |
| CN109308229B (zh) | 一种恢复微信聊天记录的方法 | |
| CN103973550A (zh) | 一种快速智能识别即时通讯应用id号并进行即时通讯的方法、系统和装置 | |
| Lone et al. | Implementation of forensic analysis procedures for whatsapp and viber android applications | |
| CN101799900A (zh) | 一种实现考勤对象管理的方法及系统 | |
| CN104699823A (zh) | 一种恢复手机被删除短信的方法 | |
| CN104053137A (zh) | 一种恢复数据的方法和设备 | |
| CN107180114B (zh) | 一种海事卫星通信话单解析方法和系统 | |
| CN110569295B (zh) | 通过定位关键词提高文档预警的方法 | |
| CN105468771A (zh) | 推荐软件的方法及装置 | |
| Murphy | Developing process for mobile device forensics | |
| CN105430623A (zh) | Rcs垃圾消息的监控方法、装置及系统 | |
| CN109257711B (zh) | 一种基于通信计费话单进行号码回填的系统和方法 | |
| CN108540471B (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| CN113923610B (zh) | 一种基于5g通信的短信消息服务平台 | |
| CN108123789B (zh) | 分析安全攻击的方法及设备 | |
| Williamson et al. | Forensic analysis of the contents of Nokia mobile phones | |
| Murphy | Cellular phone evidence data extraction and documentation | |
| CN108667685B (zh) | 移动应用网络流量聚类装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 641000 Songshan South Road 253, Neijiang City, Sichuan Province Applicant after: Sichuan Miwu Traceless Science and Technology Co.,Ltd. Address before: 641000 Songshan South Road 253, Neijiang City, Sichuan Province Applicant before: SICHUAN MWH INFORMATION SECURITY TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |