技术分享 | PC版微信取证进入新时代

Posted 2021-04-01 盘石软件PANSAFE

微信（WeChat）是一款跨通信运营商、跨操作系统平台的即时通讯工具，支持通过网络快速发送免费语音短信、视频、图片、文字、动态、表情、同时，也可以使用通过共享流媒体内容的资料。随着，手机版微信的普及，PC微信使用也越来越广泛，因为利用电脑键盘和鼠标回复信息更快，传输文件更方便，使用微信的时候不用电脑手机来回切换，在此场景中体验更好。

PC版微信默认是不保留聊天记录，在软件关闭之后所有聊天记录都将消失，此情况无法获取退出之前的聊天信息。为了方便掌握交流的上下文，很多用户都会修改默认配置，保留聊天记录。修改默认配置方法如下图所示：

保留聊天记录的PC微信聊天记录信息文件默认保存路径“C:Users用户名DocumentsWeChat Files”下。这个目录保存电脑所有登录过的微信账号，每个账号都有各自保留聊天记录的文件夹。其中账号文件夹下的MSG文件夹中保存账号的通讯录和聊天记录，config目录保存账号的用户信息。通过分析这些文件夹下的数据库文件，可以对PC微信通讯录、聊天记录等信息取证。

使用SafeAnalyzer对PC微信取证的步骤如下：

1、运行SafeAnalyzer软件，添加证据。添加带有PC微信聊天记录数据的证据。

2、做即时通讯分析，选择“微信”，分析完可以得到证据中所有登录过的微信账号，并且把分析出的账号挂载到即时通讯tab页的目录中。如下图所示：

4、提示需要分析的账号对应的手机上进行登录授权。如下图所示：

5、在手机上点击【登录】，对本次PC微信分析进行授权。如下图所示：

6、通过手机上微信的【登录】授权后，SafeAnalyzer开始自动对PC微信的通讯录、好友聊天记录、群聊天记录进行解析，解析完成后，结果如下图所示：

盘石SafeAnalyzer V4.7版本于8月28日发布，隆重推出PC微信的取证功能，欢迎各位用户升级体验。

-------------------------------------------------------------------------