一種基于二進制解密微信加密數據的方法
【技術領域】
[0001]本發明涉及電子取證領域,特別涉及一種基于二進制解密微信加密數據的方法。
【背景技術】
[0002]隨著移動通信技術所提供服務水平和服務種類的不斷提高和擴充,手機已日益成為人們工作生活中不可或缺的聯系工具,然而與此同時,利用手機進行詐騙、誹謗和偽造等犯罪活動也屢見不鮮。手機取證正是打擊這類犯罪的一個有效手段。從概念上講,手機取證就是從手機SM卡、手機內/外置存儲卡以及移動網絡運營商數據庫中收集、保全和分析相關的電子證據,并最終從中獲得具有法律效力、能被法庭所承認的證據的過程。
[0003]目前牽涉到手機的犯罪行為大致有三種:一是在犯罪行為的實施過程中使用手機來充當通信聯絡工具;二是手機被用作一種犯罪證據的存儲媒質;最后一種方式是手機被當作短信詐騙、短信騷擾和病毒軟件傳播等新型手機犯罪活動的實施工具。這些都充分地表明進行手機取證技術的相關研究對于維持社會穩定、保障人民權益和打擊犯罪行為具有充分的必要性和極大的迫切性。
[0004]在手機取證中涉及的目標數據往往是加密的,特別是使用人數較多的聊天類應用,微信數據就是使用SQL Cipher for Android加密存儲的,一旦嫌疑人將微信應用卸載,或者將手機格式化后,這些加密數據庫是不能夠使用慣用手段文件簽名的方式來恢復的,那么遇到這類問題,取證就會陷入僵局,目前還沒有較好的辦法解決此問題。
【發明內容】
[0005]本發明針對現有技術的不足,提供一種基于二進制解密微信加密數據的方法,能夠有效解決微信加密數據庫文件的問題。
[0006]為解決以上問題,本發明采用的技術方案如下:一種基于二進制解密微信加密數據的方法,包括如下步驟:101獲取安卓設備的唯一專屬imei號與微信uid,并計算密鑰;102制作安卓設備鏡像文件;103使用微信加密算法加密文件標識生成唯一專屬的加密數據特征;104使用加密數據特征在102中制作的鏡像文件的空閑區域中檢索與103生產的數據特征一致的內容并獲取其地址,如有則執行105,沒有則結束;105使用微信算法解密經過103加密的數據。
[0007]作為優選,101的具體方法如下:通過查找安卓設備設置即可直接獲取安卓設備的唯一專屬imei號,通過查找微信的MicroMsg文件夾下的兩個cfg文件即可直接獲取微信的uid,兩個 cf g 文件分別是sy steminf ο.cfg 和compatible inf0.cfg,獲取imei 號與微信uid后,密鑰即為(imei+uid)取MD5值的前七位。
[0008]作為優選,103所述的文件標識為0X53514C69746520666F726D6174203300。
[0009]作為優選,103所述的微信加密算法為AES-256-CBC。
[0010]作為優選,所述的安卓設備包括安卓手機、安卓平板。
[0011]本發明的方法可以達到以下效果:本發明通過獲取手機imei號,微信uid算出密鑰;使用微信加密算法AES-256-CBC加密數據;在鏡像文件中查找加密數據位置;最后使用AES-256-CBC算法解密找到的數據。上述方法可以很好的解決微信加密數據無法被解密的問題,成為了電子取證工作的重大突破之一。
【附圖說明】
[0012]圖1為本發明的流程示意圖。
【具體實施方式】
[0013]為使本發明的目的、技術方案及優點更加清楚明白,以下參照附圖并舉實施例,對本發明做進一步詳細說明。
[0014]—種基于二進制解密微信加密數據的方法,以安卓手機為例:
[0015]101獲取安卓設備的唯一專屬imei號與微信uid,并計算密鑰;102制作安卓設備鏡像文件;103使用微信加密算法加密文件標識生成唯一專屬的數據特征;104使用加密數據特征在102中制作的鏡像文件的空閑區域中檢索與103生產的數據特征一致的內容并獲取其地址,如有則執行105,沒有則結束;105使用微信算法解密經過103加密的數據。
[0016]101的具體方法如下:通過查找手機設置即可直接獲取手機的唯一專屬imei號,通過查找微信的MicroMsg文件夾下的兩個cfg文件即可直接獲取微信的uid,兩個cfg文件分別是 sy steminf0.cfg 和compatible inf0.cfg,獲取 imei 號與微信uid后,密鑰即為(imei+uid)取MD5值的前七位;
[0017]102的具體方法如下:在有root權限的前提下,將手機全盤鏡像,為后面在鏡像中查找加密特征數據做鋪墊;
[0018]103的具體方法如下:微信使用的是AES-256-CBC算法,此算法是開源的,微信數據庫使用的是sqlite 3數據庫,sqlite 3數據庫會有一個文件簽名標識,由于每個手機的imei號不一樣,所以生成的密鑰也是唯一的,使用AES-256-CBC算法加密的文件標識也就都是唯一專屬的加密數據特征;
[0019]104的具體步驟如下:使用加密數據特征在102中制作的鏡像空閑區域中檢索與此特征一致的數據形態并獲取其地址,如有則執行105,沒有則結束。
[0020]105的具體步驟如下:將103加密特征的數據在104中檢索到的數據通過AES-256-CBC進行解密,能夠解密出一些微信數據的全部或者片段。
【主權項】
1.一種基于二進制查找微信加密數據的方法,其特征在于,包括如下步驟: 101獲取安卓設備的唯一專屬imei號與微信uid,并計算密鑰;102制作安卓設備鏡像文件;103使用微信加密算法加密文件標識生成唯一專屬的加密數據特征;104使用加密數據特征在102中制作的鏡像文件的空閑區域中檢索與103生產的數據特征一致的內容并獲取其地址,如有則執行105,沒有則結束;105使用微信算法解密經過103加密的數據。2.根據權利要求1所述的一種基于二進制查找微信加密數據的方法,其特征在于,101的具體方法如下:通過查找安卓設備設置即可直接獲取安卓設備的唯一專屬imei號,通過查找微信的MicroMsg文件夾下的兩個cfg文件即可直接獲取微信的uid,兩個cfg文件分別是sy steminf ο.cf g 和compatible inf ο.。€8,獲取:[1116;[號與微信11丨(1后,密鑰即為(;[1116丨+111(1)取MD5值的前七位。3.根據權利要求1或2所述的一種基于二進制查找微信加密數據的方法,其特征在于,103 所述的文件標識為0X53514C69746520666F726D6174203300。4.根據權利要求3所述的一種基于二進制查找微信加密數據的方法,其特征在于,103所述的微信加密算法為AES-256-CBC。5.根據權利要求1所述的一種基于二進制查找微信加密數據的方法,其特征在于,所述的安卓設備包括安卓手機、安卓平板。
【專利摘要】本發明公開了一種基于二進制解密微信加密數據的方法,屬于電子數據取證領域,包括以下步驟:101獲取安卓設備的唯一專屬imei號與微信uid,并計算密鑰;102制作安卓設備鏡像文件;103使用微信加密算法加密文件標識生成唯一專屬的加密數據特征;104使用加密數據特征在102中制作的鏡像文件的空閑區域中檢索與103生產的數據特征一致的內容并獲取其地址,如有則執行105,沒有則結束;105使用微信加密算法解密經過103加密的數據。本發明的方法可以達到以下效果:很好的解決微信加密數據無法被解密的問題,成為了電子取證工作的重大突破之一。
【IPC分類】G06F21/60
【公開號】CN105678174
【申請號】CN201511028797
【發明人】黃旭, 趙飛, 朱星海, 張佳強
【申請人】四川秘無痕信息安全技術有限責任公司
【公開日】2016年6月15日
【申請日】2015年12月31日