自微信小程序正式發佈,在行業內引起了足夠的關注度,也給微信帶來了新一波的紅利。微信小程序具有無處不在,隨時可用,但又無需安裝卸載等優點,極具普及性及廣泛性。作爲微信生態圈重要的構成部分,在調查取證過程中也可能起到意想不到的作用。如電商類小程序如“噹噹網”、“蘇寧小店”,可能存儲了一些不在淘寶、京東等手機常見電商軟件裏存在的交易記錄和聯繫地址;遊戲類公衆號如“1899棋牌”,可能關聯了嫌疑人其他網站的賬號;自媒體類公衆號如“電影頭條”,可以對用戶畫像提供有用的資料。
微信小程序界面在“最近使用”中保存該賬號在設備登錄歷史中所有使用過的小程序,並在“我的小程序”中列出用戶曾經添加到“我的小程序”的小程序。這些信息存儲在“/data/data/com.tencent.mmMicroMsg/<udir>/AppBrandComm.db”中的WxaAttributesTable表中,如圖4.12,AppBrandComm.db的加解密規則同消息庫EnMicroMsg.db。
圖4.12 WxaAttributesTable表中存有小程序列表
建議使用SQL語句:
select nickname from WxaAttributesTable
用戶通過微信下載的文件,有時可以輔助取證人員找到關鍵聊天記錄的時間和對象,對用戶畫像也有一定的輔助作用。
微信下載的文件直接保存在“/sdcard/tencent/MicroMsg/Download”目錄下,文件名與目錄均不加密,可以直接在用戶數據備份文件夾下查看。
微信朋友圈下載的文件直接保存在“/sdcard/tencent/MicroMsg/WeiXin”目錄下,文件名與目錄均不加密,可以直接在用戶數據備份文件夾下查看。