2019新春早已在向大家挥手,立刻便是新春佳节啦!我提早在这儿给大伙儿拜个早年!今儿给大伙儿产生年末最终一篇技术文章,祝大家新的一年在电子数据取证工作方面势如破“猪”!
在日常审理案件情况下,专业技术人员经常解决相关手机微信闲聊数据信息的恢复工作中。在其中有一类消息较为独特,那便是撤回消息,它不属于删掉消息,可是方式却与删掉消息相近,亦即被撤回以后的消息都是不可见的,同时难以被获取。
在本文中,大家就对Android撤回消息的恢复开展简单讨论。
微信撤回消息
从手机微信6.6版本号到现如今手机微信7.0版本号,都是有一个作用:撤回消息能够重新编辑。即在推送消息被撤回以后的2min内点一下重新编辑,能够对撤回的消息开展再编写,2min之后要是没有编写实际操作便会全自动消退。
从该作用不会太难发觉,撤回消息其实就是储放在某文档中,而非撤回以后就马上删掉。
手机微信撤回消息恢复难题
那撤回消息到底储放在哪里呢?根据研究发现,撤回消息被储放于微信客户账户文件夹名称下的FTS5IndexMicroMsg.db-journal文件中。
而在具体的审理案件情况下,可能是因为一些操作失误(例如机器设备待机、重新启动、退出微信等)而促使储放撤回消息的缓存文件被消除,因此无法正常的恢复出撤回消息,这就给审理案件工作员产生许多困惑。
下边就把实际的Android撤回消息恢复流程和大家分享,仅作参考!
实际操作流程
1、事先提前准备
1)实际操作手机上
一个可以读取数据的Android机器设备:以OPPO R11 plus(Android版本7.1.1,具备root权限)为例子开展解读;
保证Android机器设备里的手机微信存在过撤回消息;
2)数据查找专用工具
winhex:用以查询缓存文件的二进制值
2、仿真模拟造就需恢复的数据信息
△模拟操作数据信息
3、查找微信撤回数据信息缓存文件
1)根据adb命令获得键入模拟数据以后的FTS5IndexMicroMsg.db-journal文件;
2)使用winhex开启得到的缓存文件,检索仿真模拟入录的数据信息,发觉未找到。
4、重启手机机器设备(在重新启动前不退出微信)
1)重启手机机器设备以后,进入微信,键入一条数据测试,如“dianzishujuquzheng”,并把其撤回。
△数据测试
2)再度键入adb命令获得FTS5IndexMicroMsg.db-journal文件,随后根据剖析,找到逐渐所输入的模拟数据,如图所示。
常见问题
1、由于数据是储放在缓存文件里的,因此转变的工作频率太高,促使恢复的作用需根据实际情况来定。
2、根据对比测试以后,发觉下列二种状况能通过以上方法恢复被撤回消息:
退出应用被消除缓存文件;
重启手机被消除缓存文件;
3、对中英不一样数据对比后看到,英语的作用比汉语好,因汉语一般为utf-8编号,一个汉语一般占好几个字节数,因此非常容易被打撒,难以得到比较详细的消息。
4、对不一样型号规格机器设备,不一样系统版本,恢复实际效果也是有比较大差别,文中仅供应参照构思,实际恢复实际操作需需要结合实际状况具体剖析。
“
文中,大家介绍了一种恢复手机微信撤回消息缓存文件的方式,关键目的是和大家分享一种在恢复出不来撤回消息时(注:因待机、重新启动或退出应用而促使缓存文件被消除或改动)的分析思路和操作步骤。
但现实情景中需谨慎使用,由于必须网络连接,很有可能被别人根据远程控制清除所有数据等,请联系专业技术人员完成实际操作。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
