微信PC版聊天记录取证工具使用指南

0x01 前言

微信作为主流即时通讯工具，在取证实践中已逐渐取代QQ成为最重要的取证项目。本指南将详细介绍微信PC版的取证方法，包括账户信息提取和聊天图片解密技术。

0x02 微信数据存储结构

微信PC版默认数据存储路径：

C:\Users\%UserName%\Documents\WeChat Files\

每登录一个微信账号，会在该文件夹下创建以微信号命名的子文件夹，包含：

• 配置信息
• 聊天记录
• 附件数据

0x03 账户信息提取

账户配置文件路径

C:\Users\%UserName%\Documents\WeChatFiles\All Users\config\config.data

该文件指向含有微信账户数据的文件，路径格式为：

C:\Users\Administrator\Documents\WeChat Files\wxid_xxx\config

关键账户信息文件

• AccInfo.dat：包含以下信息：
  • 用户原始ID
  • 昵称
  • 头像Logo
  • 区域信息
  • 手机号
  • 邮箱

注意：在特殊情况下，可以从C:\Windows\PFRO.log中读取可能存在的用户名信息。

0x04 聊天图片解密技术

图片存储路径

C:\Users\%UserName%\Documents\WeChat Files\wxid_xxx\FileStorage\Image\year-month

加密特点

• 所有图片均以.dat格式加密存储
• 采用"异或法加密"：每个文件逐个字节与加密码进行异或计算

常见文件头特征

异或值计算方法

1. 使用十六进制编辑器查看加密文件头
2. 计算异或值：
   • 例如：加密PNG文件头为7D A4
   • 计算：7D Xor 89 = F4；A4 Xor 50 = F4
   • 得出异或值为：0xF4

Python解密脚本

import os

def decrypt_wechat_image(input_file, output_file, xor_key):
    with open(input_file, 'rb') as f:
        data = f.read()
    
    decrypted_data = bytes([b ^ xor_key for b in data])
    
    with open(output_file, 'wb') as f:
        f.write(decrypted_data)

# 示例使用
# decrypt_wechat_image('encrypted.dat', 'decrypted.jpg', 0xF4)

注：完整工具可通过公众号"JaneNB"获取

0x05 实际取证流程

1. 定位微信数据存储目录
2. 提取账户配置文件(config.data)
3. 解析AccInfo.dat获取用户信息
4. 定位图片存储目录(FileStorage/Image)
5. 确定加密文件的异或值
6. 使用解密工具批量还原图片

0x06 注意事项

1. 不同微信版本可能使用不同的加密方式
2. 删除的聊天记录仍可能存在于存储中
3. 取证前应做好数据备份
4. 操作需遵守相关法律法规

0x07 扩展阅读

后续可研究：

• PC端通讯工具的多种电子证据提取方法
• 其他即时通讯工具的取证技术
• 内存取证技术在微信取证中的应用

本指南提供了微信PC版取证的基础技术框架，实际应用中可能需要根据具体情况调整参数和方法。