1.2 基于PC微信与Android模拟器的微信数据收集
手机型号没有已知微信备份方法的情况下,可以通过手机微信通过软件自带的聊天记录备份功能导入到PC微信,再由PC微信向Android模拟器导出数据,而对电脑微信或虚拟机微信进行取证的方法。该方法需要电脑和手机连接到相同网络进行。
这种方法的优势在于模拟器可以视为已root的Android设备,可以很方便地直接导出微信数据文件进行分析,从而避免了对移动设备可能导致证据失效的风险操作;但需要对物证手机有足够的控制权,即微信保持登陆状态且没有双因子认证措施,手机可以接收验证码,或相关人员人配合,才能扫码登录PC微信。
本方法具体步骤如下:
1)使用扫码登录等方式,登录PC端同号微信,左下角选择“备份与恢复”,如图1;
图1 电脑端微信备份与恢复
2)选择备份聊天记录至电脑,并在手机上确认,如图2;
图2 电脑端与手机端均选择确认
3)默认备份目录为“C:\Users\Administrator\Documents\WeChat Files\<微信ID>\BackupFiles”,打开可以看到备份文件,如图3;
图3 电脑端备份文件
4)在Android模拟器中打开微信,并在电脑端微信中选择恢复聊天记录至手机,此处以夜神模拟器为例,如图3.16;
图4 备份到模拟器
5)通过模拟器的文件共享将微信的数据库文件“/data/data/com.tencent.mm/”与资源文件“/sdcard/tencent/MicroMsg”导出到电脑,如图5;
图5 导出文件到电脑
6)在电脑端可以直接查看文件夹形式的该文件,如图6;
图6导出的微信数据库文件