从微信6.6版本到如今微信7.0版本,都有一个功能:撤回消息可以重新编辑。即在发送消息被撤回之后的2分钟内点击重新编辑,可以对撤回的消息进行再编辑,2分钟以后如果没有编辑操作就会自动消失。
从该功能不难发现,撤回消息其实是存放在某文件中,而不是撤回之后就立即删除。
微信撤回消息恢复难点
那撤回消息究竟存放在哪里呢?通过研究发现,撤回消息被存放于微信用户账号文件夹下的
FTS5IndexMicroMsg.db-journal文件中。
而在实际的办案过程中,可能会因为一些误操作(比如设备关机、重启、退出微信等)而使得存放撤回消息的缓存文件被清除,从而不能正常恢复出撤回消息,这就给办案工作人员带来不少困扰。
下面就将具体的Android撤回消息恢复步骤和大家分享,仅供参考!
具体操作步骤
1、事前准备
1)操作手机
一个能够获取数据的Android设备:以OPPO R11 plus(Android版本7.1.1,具有root权限)为例进行讲解;
确保Android设备中的微信存在过撤回消息;
2)数据查找工具
winhex:用于查看缓存文件的二进制值
2、模拟创造需恢复的数据
3、查找微信撤回数据缓存文件
1)通过adb指令获取输入模拟数据之后的
FTS5IndexMicroMsg.db-journal文件;
2)使用winhex打开获得的缓存文件,搜索模拟录入的数据,发现未找到。
4、重启手机设备(在重启前不退出微信)
1)重启手机设备之后,打开微信,输入一条测试数据,如“dianzishujuquzheng”,并将其撤回。
2)再次输入adb命令得到
FTS5IndexMicroMsg.db-journal文件,然后通过分析,找出开始所录入的模拟数据,如下图所示。
注意事项
1、因为数据是存放在缓存中的,所以变化的频率过高,使得恢复的效果需根据实际情况而定。
2、通过对比测试之后,发现以下两种情况可以通过上述方式恢复被撤回消息:
退出应用被清除缓存文件;
重启手机被清除缓存文件;
3、对中英文不同数据对比后发现,英文的效果比中文好,因中文一般为utf-8编码,一个中文通常占多个字节,所以容易被打散,很难获得较为完整的消息。
4、对于不同型号设备,不同系统版本,恢复效果也有较大差异,本文仅提供参考思路,具体恢复操作需结合实际情况实际分析。
本站部分文章来源或改编自互联网及其他公众平台,主要目的在于分享信息,版权归原作者所有,内容仅供读者参考。本站仅提供信息存储空间服务,如有侵权请联系我们删除。如若转载,请注明出处:https://sndnote.com/tougao/21113.html
