微信储存数据的分析

2018-02-06 10:53:53 浏览数 (1)

iphone上微信聊天记录的储存分析

由于隐私的原因,这里不能将自己的聊天记录奉献出来

设备:越狱后的iphone5 ios7.0.4

           微信5.3.1

           windows 7

首先打开微信(这里使用的是itools)

数据是储存在Documents中

打开后,会发现几个文件夹,它们由数字和字母组成,细心的人可能会发现它们都是有32位,其实每一个文件夹代表了一个用户的记录,

如果你的设备上有多个用户登录过的话,便会有多个这种文件夹出现

我们选择一个打开后会发现很多的文件和文件夹

这里对部分的文件夹做简单的介绍(其实有一些我也不知道里面放的是什么东西)

appicon:储存了一些应用的图标

audio     :内有多个文件夹,分别储存了和人聊天时的语音资料,格式为aud

img       :内有多个文件夹,分别储存了和人聊天时的发送的和介绍的照片,格式为pic

usr        :内有很多usr格式的文件,但其实我们用记事本打开会发现文件的头写着

所以它应该就是JFIF图片,

      打开后会发现是很多人的头像,其中有很多是陌生的,估计是摇一摇,附件的人,漂流瓶等产生的

video     :内有多个文件夹,分别储存了和人聊天时的视频资料,格式为mp4

DB        :这是这篇文章的重点,内有MM.sqlite文件,以sqlite数据库储存了聊天记录的文字还有一些其他的信息

               将在下面进行介绍

打开DB之后,我们会发现一个

大小挺大,后缀是sqlite

想到了什么,sqlite数据库!

让我们下载一个SQLiteSpy,这样就能以图形界面的方式来查看MM.sqlite内储存的数据了

打开后我们会发现很多的表,它们以Chat_打头,后面有接了一串数字和字母组成的东西,如果在仔细数一下会发现它们也是32位

点击打开后会发现有以下几个字段,记录了聊天记录

createtime   :每一个聊天记录的时间,为表示自GMT时间1970年1月1日零点以来的秒数

Message      :聊天记录,文字或者是图片,声音,视频的相关信息

status          :好像只有4和2两种值,表示消息的来源,4表示对方,2表示自己

Imgstatus    :表示消息的类型,1代表文字,5,6代表表情,7,21表示声音,2代表图片

Type           :也是表示消息的类型,1代表文字,47代表表情,34代表声音,3代表图片,49代表发送给朋友的内容

Des            :感觉和status一样,表示消息的来源,只是1表示对方,0表示自己

好了,让我们回过头来看一看之前的哪些32位的字母数字代表什么,他们应该代表相应的人,用于确认聊天记录属于和哪一个人

汉字编码?不对,汉字编码有长有短,不应该都是32位

是什么能将任意长度的序列转换为32位的呢?

MD5!

在MM.sqlite中还有一个叫做Friend的表,里面储存了UserName,NickName等信息

那些32位的序列便是根据UserName生成的,大家可以自己验证一下

总结

微信用sqlite数据库储储存聊天记录,数据库文件叫做MM.sqlite,

将每一个用户的用户名用MD5的方式加密,并以此32位的序列加上Chat_为前缀作为表名,储存对应的聊天记录

0 人点赞