当前位置:首页 > 分享 > 正文

案例分享——恢复微信聊天记录中过期被清理的文件(微信聊天记录过期或已被清理)

近日,一位企业老板带着他的台式机电脑来到鸿萌数据安全中心。经了解,他在2020年8月时给某客户发送报价单,但是在微信聊天记录里面,该报价单因为过期被清理,而无法打开,如下图所示:

现对方与他因为价格不一致而产生纠纷,该老板需要修复该聊天记录,以作为凭证。

鸿萌工程师通过检索,发现该2020年报价单,在此电脑上其他位置还保存有原始文本,现在需要将此文件保存到此微信的原始文件存储位置。而找到这一文件的原始存储位置是解决问题的关键。

如何找到微信中被清理文件的原始存放路径

下载工具:

  • wx-dump-key-v0.1.0.exe(获取微信密钥)
  • wx-decrypter-v0.1.1.exe(聊天记录导出)
  • 注:不支持32位操作系统

1.打开cmd窗口将wx-dump-key-v0.1.0.exe拖入,然后空格zmkm回车(需要登录微信),显示几段输出信息,只需留存sqlite key后面的内容,即密钥。

2.准备需要的db文件:

好友列表

  • MicroMsg.db
  • MicroMsg.db-shm
  • MicroMsg.db-wal

聊天记录(可以有0、1、2、3,,,)

  • MSG0.db
  • MSG0.db-shm
  • MSG0.db-wal
  • MSG1.db
  • MSG1.db-shm
  • MSG1.db-wal
  • MSG2.db
  • MSG2.db-shm
  • MSG2.db-wal

通过搜索软件 everything 搜索 MicroMsg 与 MSG 文件,注意 MicroMsg.db-shm 和 MicroMsg.db-wal 只有在登录微信时才会出现,且所需 MicroMsg 和 MSG 文件都没有其他前缀后缀,把鼠标箭头放在路径栏可以看到具体路径信息,因为电脑上可能登陆过多个微信账号,选择保存所需微信号的文件。

3.将上面的全部文件拷入到工具文件夹中的 input 文件夹中

然后运行 wx-decrypter-v0.1.1.exe [sqlite key],注意,需要在微信工具所在的分区硬盘文件夹里运行上述命令,如果是在D盘,就要切换到D盘,输入D:或d:回车,并通过cd指向所在文件夹。

导出成功之后会发现 output 中有两个文件夹:csv、db。我们选择使用 Navicat 打开 output 中的 db 文件:

然后右键 MSG 文件选择在数据库中查找:

找到该老板的好友A的微信ID(即wxidxxxxxxxxxx),如果改过了可以先检索某句话,在那句话的详情页找到他的微信ID。

双击右边结果 1

Wxid 即微信 ID。

然后检索目标好友的微信ID,文字间的空白区域就是文档类文件,逐个搜索MSG文件,通过上下文确定所需文件区域,点击某一空白行获取具体路径:

4.找到路径目录,把备份文件拷贝进去即可。

根据精确到 bit 的文件大小及校验值可以判断恢复文件与原文件的一致性。