手机QQ的聊天记录,提取已经不是什么难题了。当前市面上很多取证软件都可以做到。小编想从底层的角度,向大家展示一下,鹅厂对聊天记录是怎么加密的。
这又是一个苦逼的手工活……
一、手机QQ的聊天记录内容保存在哪里?
以安卓机为例,手机QQ的聊天记录数据库保存在“/data/data/com.tencent.mobileqq /databases/”这个文件夹下,文件名为:QQ号码.db。如果有多个号码登陆的话,会有多个QQ.db。
QQ号码.db的路径
当然,访问这个路径的前提是获得root权限。
二、如何打开“QQ号码.db”文件?
db是数据库的文件,打开它需要用到数据库工具,如sqlite。小编尝试打开了一下,结果发现居然没有保护,那岂不是为所欲为了。
三、聊天记录是哪一张表?
这个db文件内容是比较多的,小编只针对保存聊天记录内容的表做攻关。
手机QQ用户与其他QQ号码聊天的记录分别保存在不同的数据表里,具体的表名非常直观:mr_friend_MD5(对方QQ号码)_New。
为什么要加“new”呢?应该是为了保持向下兼容(小编注)
打开这个表,大家可以看到有很多字段。其中,msgData保存了聊天记录的内容,senderuin保存了对方QQ号码,还有一些消息发送和接受时间方面的字段。用wireshark也能抓出同样的内容,遗憾的是,msgData、senderuin都是密文。怎么办?
加密后的“聊天记录内容”、“消息发送者QQ号码”