1.2 基於PC微信與Android模擬器的微信數據收集
手機型號沒有已知微信備份方法的情況下,可以通過手機微信通過軟件自帶的聊天記錄備份功能導入到PC微信,再由PC微信向Android模擬器導出數據,而對電腦微信或虛擬機微信進行取證的方法。該方法需要電腦和手機連接到相同網絡進行。
這種方法的優勢在於模擬器可以視爲已root的Android設備,可以很方便地直接導出微信數據文件進行分析,從而避免了對移動設備可能導致證據失效的風險操作;但需要對物證手機有足夠的控制權,即微信保持登陸狀態且沒有雙因子認證措施,手機可以接收驗證碼,或相關人員人配合,才能掃碼登錄PC微信。
本方法具體步驟如下:
1)使用掃碼登錄等方式,登錄PC端同號微信,左下角選擇“備份與恢復”,如圖1;
圖1 電腦端微信備份與恢復
2)選擇備份聊天記錄至電腦,並在手機上確認,如圖2;
圖2 電腦端與手機端均選擇確認
3)默認備份目錄爲“C:\Users\Administrator\Documents\WeChat Files\<微信ID>\BackupFiles”,打開可以看到備份文件,如圖3;
圖3 電腦端備份文件
4)在Android模擬器中打開微信,並在電腦端微信中選擇恢復聊天記錄至手機,此處以夜神模擬器爲例,如圖3.16;
圖4 備份到模擬器
5)通過模擬器的文件共享將微信的數據庫文件“/data/data/com.tencent.mm/”與資源文件“/sdcard/tencent/MicroMsg”導出到電腦,如圖5;
圖5 導出文件到電腦
6)在電腦端可以直接查看文件夾形式的該文件,如圖6;
圖6導出的微信數據庫文件