一种基于二进制解密微信加密数据的方法
【技术领域】
[0001]本发明涉及电子取证领域,特别涉及一种基于二进制解密微信加密数据的方法。
【背景技术】
[0002]随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可或缺的联系工具,然而与此同时,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。从概念上讲,手机取证就是从手机SM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所承认的证据的过程。
[0003]目前牵涉到手机的犯罪行为大致有三种:一是在犯罪行为的实施过程中使用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质;最后一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。
[0004]在手机取证中涉及的目标数据往往是加密的,特别是使用人数较多的聊天类应用,微信数据就是使用SQL Cipher for Android加密存储的,一旦嫌疑人将微信应用卸载,或者将手机格式化后,这些加密数据库是不能够使用惯用手段文件签名的方式来恢复的,那么遇到这类问题,取证就会陷入僵局,目前还没有较好的办法解决此问题。
【发明内容】
[0005]本发明针对现有技术的不足,提供一种基于二进制解密微信加密数据的方法,能够有效解决微信加密数据库文件的问题。
[0006]为解决以上问题,本发明采用的技术方案如下:一种基于二进制解密微信加密数据的方法,包括如下步骤:101获取安卓设备的唯一专属imei号与微信uid,并计算密钥;102制作安卓设备镜像文件;103使用微信加密算法加密文件标识生成唯一专属的加密数据特征;104使用加密数据特征在102中制作的镜像文件的空闲区域中检索与103生产的数据特征一致的内容并获取其地址,如有则执行105,没有则结束;105使用微信算法解密经过103加密的数据。
[0007]作为优选,101的具体方法如下:通过查找安卓设备设置即可直接获取安卓设备的唯一专属imei号,通过查找微信的MicroMsg文件夹下的两个cfg文件即可直接获取微信的uid,两个 cf g 文件分别是sy steminf ο.cfg 和compatible inf0.cfg,获取imei 号与微信uid后,密钥即为(imei+uid)取MD5值的前七位。
[0008]作为优选,103所述的文件标识为0X53514C69746520666F726D6174203300。
[0009]作为优选,103所述的微信加密算法为AES-256-CBC。
[0010]作为优选,所述的安卓设备包括安卓手机、安卓平板。
[0011]本发明的方法可以达到以下效果:本发明通过获取手机imei号,微信uid算出密钥;使用微信加密算法AES-256-CBC加密数据;在镜像文件中查找加密数据位置;最后使用AES-256-CBC算法解密找到的数据。上述方法可以很好的解决微信加密数据无法被解密的问题,成为了电子取证工作的重大突破之一。
【附图说明】
[0012]图1为本发明的流程示意图。
【具体实施方式】
[0013]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
[0014]—种基于二进制解密微信加密数据的方法,以安卓手机为例:
[0015]101获取安卓设备的唯一专属imei号与微信uid,并计算密钥;102制作安卓设备镜像文件;103使用微信加密算法加密文件标识生成唯一专属的数据特征;104使用加密数据特征在102中制作的镜像文件的空闲区域中检索与103生产的数据特征一致的内容并获取其地址,如有则执行105,没有则结束;105使用微信算法解密经过103加密的数据。
[0016]101的具体方法如下:通过查找手机设置即可直接获取手机的唯一专属imei号,通过查找微信的MicroMsg文件夹下的两个cfg文件即可直接获取微信的uid,两个cfg文件分别是 sy steminf0.cfg 和compatible inf0.cfg,获取 imei 号与微信uid后,密钥即为(imei+uid)取MD5值的前七位;
[0017]102的具体方法如下:在有root权限的前提下,将手机全盘镜像,为后面在镜像中查找加密特征数据做铺垫;
[0018]103的具体方法如下:微信使用的是AES-256-CBC算法,此算法是开源的,微信数据库使用的是sqlite 3数据库,sqlite 3数据库会有一个文件签名标识,由于每个手机的imei号不一样,所以生成的密钥也是唯一的,使用AES-256-CBC算法加密的文件标识也就都是唯一专属的加密数据特征;
[0019]104的具体步骤如下:使用加密数据特征在102中制作的镜像空闲区域中检索与此特征一致的数据形态并获取其地址,如有则执行105,没有则结束。
[0020]105的具体步骤如下:将103加密特征的数据在104中检索到的数据通过AES-256-CBC进行解密,能够解密出一些微信数据的全部或者片段。
【主权项】
1.一种基于二进制查找微信加密数据的方法,其特征在于,包括如下步骤: 101获取安卓设备的唯一专属imei号与微信uid,并计算密钥;102制作安卓设备镜像文件;103使用微信加密算法加密文件标识生成唯一专属的加密数据特征;104使用加密数据特征在102中制作的镜像文件的空闲区域中检索与103生产的数据特征一致的内容并获取其地址,如有则执行105,没有则结束;105使用微信算法解密经过103加密的数据。2.根据权利要求1所述的一种基于二进制查找微信加密数据的方法,其特征在于,101的具体方法如下:通过查找安卓设备设置即可直接获取安卓设备的唯一专属imei号,通过查找微信的MicroMsg文件夹下的两个cfg文件即可直接获取微信的uid,两个cfg文件分别是sy steminf ο.cf g 和compatible inf ο.。€8,获取:[1116;[号与微信11丨(1后,密钥即为(;[1116丨+111(1)取MD5值的前七位。3.根据权利要求1或2所述的一种基于二进制查找微信加密数据的方法,其特征在于,103 所述的文件标识为0X53514C69746520666F726D6174203300。4.根据权利要求3所述的一种基于二进制查找微信加密数据的方法,其特征在于,103所述的微信加密算法为AES-256-CBC。5.根据权利要求1所述的一种基于二进制查找微信加密数据的方法,其特征在于,所述的安卓设备包括安卓手机、安卓平板。
【专利摘要】本发明公开了一种基于二进制解密微信加密数据的方法,属于电子数据取证领域,包括以下步骤:101获取安卓设备的唯一专属imei号与微信uid,并计算密钥;102制作安卓设备镜像文件;103使用微信加密算法加密文件标识生成唯一专属的加密数据特征;104使用加密数据特征在102中制作的镜像文件的空闲区域中检索与103生产的数据特征一致的内容并获取其地址,如有则执行105,没有则结束;105使用微信加密算法解密经过103加密的数据。本发明的方法可以达到以下效果:很好的解决微信加密数据无法被解密的问题,成为了电子取证工作的重大突破之一。
【IPC分类】G06F21/60
【公开号】CN105678174
【申请号】CN201511028797
【发明人】黄旭, 赵飞, 朱星海, 张佳强
【申请人】四川秘无痕信息安全技术有限责任公司
【公开日】2016年6月15日
【申请日】2015年12月31日