本文详细探讨了微信收藏图片的存储机制,包括图片缓存的三个文件夹(Data、Temp和Thumb),以及图片大小的不同版本。作者揭示了微信收藏图片的加密解密过程,指出预览小图和大图时的缓存差异,并提供了解密方法。
【微信取证篇】从微信收藏图片看微信存储详细记录(附思维导图下载)
本篇主要测试微信收藏图片的功能,发现许多有意思的地方,微信收藏图片缓存的文件目前发现有三个地方,都是在Fav下,名称都一样,有直接原始图片,也有加密的形式……,而且微信收藏的图片另存的大小和缓存的大小一致,但却和收藏中转发出去的还不一样大,从收藏中转发的图片会被再次压缩—【蘇小沐】
1、实验环境
| 电脑版微信,[v3.9.9.43] |
| JPG图片 |
| Windows 11 专业工作站版,[23H2(22631.3374)] |
(一)微信"收藏"图片的存储路径
微信的全部收藏分类有"最近使用、链接、图片与视频、笔记、文件、语音、位置"等几大类(注意,有些类别没有收藏可能不会显示该类图标)
(二) 微信收藏的三大文件夹
看着这三大文件夹陷入了沉思,先猜测一下他们代表的意思,Data应该是存放数据之意;Temp是临时文件;Thumb是缩略图。先以这个思路分析下。
经过观察Data和Thumb文件下有许多子目录文件及他们两个文件下的文件都没有文件后缀,暂时直接看不出属于什么文件。(当然,有朋友可能会说,没有后缀看文件头不就行了?!对的,这方法可行,但先不说文件种类众多,他要是随便加个密我们验证也很难,我们还是先找找有没有其他突破口,越简便越好!)
1、突破口:Temp文件夹,微信收藏图片直接存储在本地的文件路径
为什么是突破口,因为Temp文件夹的层级关系最少,并且res文件夹存储的视频图像不加密,可以直接显示!!!
不同版本的文件夹"e5f90ce8"可能名称不同,一般"FileStorage\Fav\Temp"下只有一个文件夹,以本地记录的为准!然后进入到res文件夹即可查看到微信收藏缓存在本地的视频图像文件。
未点开收藏图片大图的情况,只会先缓存该图片的缩略图(缩略图很小,一般就几十KB);点开大图的情况就会将收藏的图片缓存到该文件夹下面。
图片基本属性,一大一小。其中缩略图命名和大图的区别是名称多了一个"_th"尾巴。(猜测th是英文单词thumbnail:缩略图)
根据微信的尿性,你以为到这就结束了吗?NoNoNo,我们试着继续挖挖看。
2、名称索引挖掘
试下这个名称,看看有没有什么突破点,搜索"9d4a2070a50ed3df8b7dbefdaea48cb0",一共找到四个同名文件,其中两个的路径分别在"\Fav\Data\9d"、"\Fav\Thumb\9d"下面。
发现大小分别对应该两个文件的大小,假设一下这两个就是文件夹的加密文件,而微信聊天图片一般是Dat加密,我们来测试下,看看是否能解密。
找到收藏中图片大图的缓存文件位置,发现无文件后缀显示。
【路径:\WeChat Files\【微信ID】\FileStorage\Fav\Data\9d】
收藏的图片另存本地和Temp下的JPG大图片对比,哈希值相同。
3、解密无后缀大文件
发现疑似没有没有后缀,搜索
发现虽然收藏存储到本地的图片并没有文件后缀,但其文件哈希和"微信电脑端接收到的原图"生成的Dat文件哈希一致!!!
结果另存为JPG图片,并和"微信电脑端接收到的原图"校验,结果一致
4、三大存储路径
同理按Dat格式解密小文件成图片,解密结果对比和缩略图的哈希相同。
【路径:\WeChat Files\【微信ID】\FileStorage\Fav\Thumb\9d】
3
**(三)
**
微信收藏图片思维导图小结
微信收藏的图片另存的大小和缓存的图片大小一致,但和转发出去的图片又不一样。
**文件大小:另存图片=大图缓存>转发图片>小图缓存。
**
总结
微信收藏的图片会稍微特殊一点:
预览小图会缓存两个文件在本地,第一个是可以直接查看的图片格式(小图);第二个是无后缀的文件格式,按照Dat解密后会和第一个图片哈希值相同。
预览大图会缓存两个文件在本地,第一个是可以直接查看的图片格式(大图);第二个是无后缀的文件格式,按照Dat解密后会和第一个图片哈希值相同。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【微信取证】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
记录 |
开始编辑:2024年 04月 12日 |
|
|
【往期精彩回顾】
820
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
