众所周知,手机取证大部分的工作是获取APP数据,市场上的手机取证系统大多仅支持微信、QQ、陌陌等主流App的自动化取证,因此,面对层出不穷的小众App,往往会因为支持不及时而造成无法取证的情况。
遇到这类问题我们也并非束手无策,今天小编就带大家来手动解析这类App。
这里有一个快速简单的方法查看应用包名:
1.1、首先在手机上打开要查看的应用,让手机屏幕显示为软件窗口;
1.2、查询指令:
【adb shell dumpsys window w |findstr \/ |findstr name= 】,即可知道当前手机屏幕显示的App名称:这里面显示包名为:“com.zing.zalo”。
【adb backup -f C:\Path\zalo.ab com.zing.zalo】,界面会提示:在手机端解开手机屏幕锁,并进行备份操作。
在手机端按照操作提示,对数据进行备份。
成功备份到数据,打开备份文件所在的文件夹路径。
需要将数据包转换为可解包的tar文件。(该步骤使用的工具ABExtracter.exe,如果手头上没有的话,可以用我们的LX-A200取证软件,在“工具栏”中有该工具)。
转换指令:【ABExtracter.exe -b C:\Path\zalo.ab -t C:\Path\zalo.tar】。
用zip工具或者RAR工具,解压之后发现如下文件结构,根据经验分析,数据库很可能在db文件夹中。
7查看数据
在db文件夹中,我们找到了两个疑似用户数据库的文件,这里可能存在数据库加密情况,我们使用SQLiteExpertPro打开这两个文件看下,两个文件成功打开,没有加密。(这里我们也可以用HXD或者WinHex来判断是否加密)。
通过对比两个数据库的内容,我们发现zalo库和zalx_x_1.db库中都包含chat_content等的数据库表,我们分析zalx_x_1.db是用来快速查询的库,我们重点来看zalo这个库。
zalo库中的chat_content用来存储聊天数据,我们来分析下这个表的重要字段。
例如上图里面的ownerId为287128623,说明这组对话是发生在机主和userId为287128623的好友之间,通过查询好友列表,uid:287128623好友为Jerry。
该数据库表中,汇集了当前登录账号与所有好友、群聊之间的所有聊天消息,并且排列顺序为消息收发时间,看数据和查找相关数据费时费力,我们找一个简便的方法来查看。
首先将数据表导出到Excel。
我们删除不必要的字段,将timestamp字段的毫秒转换为时间格式,下图中的time列为转换后的时间。
然后我们根据ownerId列进行筛选,即可得到想要查看的好友的聊天记录,为了方便查看,我们将senderName列提到message列之前。例如我们筛选ownerId为287128623的聊天记录,这样我们就可以很方便的查看与好友Jerry的聊天了。
手机聊天数据来对比一下: