达思科技:安卓微信卸载后碎片级数据恢复技术
安卓系统是装机量最多的智能手机系统,据opera平台广告公布的数据来看,安卓智能手机系统占有率已经接近70%。而在取证过程中遇到的智能手机也是如此,安卓手机的数量也是多的惊人。然而,取证人员经常会遇到苦恼的问题是,微信拥有7亿手机客户端用户,但是取证的时候发现手机中的微信app已经被卸载掉了。就目前来看,支持安卓微信卸载后的数据恢复与取证的工具非常少。接下来我们来看看达思科技的手机数据恢复软件怎么样。
据达思科技技术专家表示,微信的数据库EnMicroMsg.db,以及uin和imei有可能保存在手机中而不会被清零。根据这个线索,达思科技谋求多种解决方案。需要在手机的全镜像中找到这三个数据,进而解密数据库。
手机的串号和uin比较好找,它们只是一个小文件中的记录.但是关键的数据:EnMicroMsg.db在存储时有可能有碎片.我们怎么还原呢?根据存储结构我们在全镜像中搜索关键值,并对数据库的0页进行判断,如果解密后符合数据库结构,则我们认定这个关键值就是加密数据库的解密字据。剩下的就是用这个解密字据对全镜像进行解密,把符合message表提取出来,这样就够成了镜像恢复安卓微信的全部内容。
原理有了以后,达思的工程师们在程序里经过多次测试,真实了整个过程的可行性。下面我来看一个真实的案例。
第一步、获取到卸载微信app的安卓手机的全盘镜像,这个在以前的章节里有说明,也可以查阅一下达思其他的技术文章。也可以用达思手机数据恢复软件专业版获取到全盘镜像。
第二步、加载全盘镜像,并且取得串号和uin并做运算。如图一。
图一、获取串号和uin
第三步、对全盘镜像解密,并且提取微信聊天记录,这个过程异常复杂,运算量比较大,因此需要有足够的耐心。我们测试的手机内存是32G的镜像,曾经耗时30个小时。我们正在努力优化算法,以便提升运算效率。
图二:解密镜像运算进行中
第四步、获得微信聊天记录,经过验证,被卸载后的微信聊天记录恢复成功。如图三所示。
图三:安卓微信卸载后聊天记录数据恢复成功。
关于达思科技
达思科技,国家级高新技术企业,天津市国家保密局涉密载体数据恢复唯一协作单位,数据恢复行业著名品牌,在国内乃至全亚洲数据恢复技术领先!
达思科技中国数据恢复与取证真专家!热线:4007000017
更多数据恢复与取证前沿技术请关注微信公众账号:woocs
微信号:woocs
长按识别二维码关注
专注数据恢复与取证技术、互联网
电话咨询:400-700-0017
投稿:woocs@qq.com
达思北京数据恢复中心(全国总部)
数据恢复服务咨询:400-700-0017
数据恢复培训咨询:010-62672127
达思数据恢复软件:010-62670586
达思软件技术支持:010-62670165
达思总部
数据恢复实验室: 010-62672127
数据恢复实训室: 010-62672381
电子取证实验室: 13522681842
软件销售QQ: 151208
远程协助QQ: 12869803
邮件联系:sos@dstchina.cn
邮件支持:support@dstchina.cn
24小时免费电话:400-700-0017
24小时监督电话:13671390603