微信收藏图片缓存的文件目前发现有三个地方,都是在Fav下,名称都一样,有直接原始图片,也有加密的形式……,而且微信收藏的图片另存的大小和缓存的大小一致,但却和收藏中转发出去的还不一样大,从收藏中转发的图片会被再次压缩
1
实验环境
电脑版微信,[v3.9.9.43]
JPG图片
Windows 11 专业工作站版,[23H2(22631.3374)]
1
(一)
微信"收藏"图片的存储路径
微信的全部收藏分类有"最近使用、链接、图片与视频、笔记、文件、语音、位置"等几大类(注意,有些类别没有收藏可能不会显示该类图标)
2
**(二)
**
微信收藏的三大文件夹
看着这三大文件夹陷入了沉思,先猜测一下他们代表的意思,Data应该是存放数据之意;Temp是临时文件;Thumb是缩略图。先以这个思路分析下。
经过观察Data和Thumb文件下有许多子目录文件及他们两个文件下的文件都没有文件后缀,暂时直接看不出属于什么文件。(当然,有朋友可能会说,没有后缀看文件头不就行了?!对的,这方法可行,但先不说文件种类众多,他要是随便加个密我们验证也很难,我们还是先找找有没有其他突破口,越简便越好!)
1
突破口:Temp文件夹,微信收藏图片直接存储在本地的文件路径
为什么是突破口,因为Temp文件夹的层级关系最少,并且res文件夹存储的视频图像不加密,可以直接显示!!!
不同版本的文件夹"e5f90ce8"可能名称不同,一般"FileStorage\Fav\Temp"下只有一个文件夹,以本地记录的为准!然后进入到res文件夹即可查看到微信收藏缓存在本地的视频图像文件。
未点开收藏图片大图的情况,只会先缓存该图片的缩略图(缩略图很小,一般就几十KB);点开大图的情况就会将收藏的图片缓存到该文件夹下面。
图片基本属性,一大一小。其中缩略图命名和大图的区别是名称多了一个"_th"尾巴。(猜测th是英文单词thumbnail:缩略图)
根据微信的尿性,你以为到这就结束了吗?NoNoNo,我们试着继续挖挖看。
2
名称索引挖掘
试下这个名称,看看有没有什么突破点,搜索"9d4a2070a50ed3df8b7dbefdaea48cb0",一共找到四个同名文件,其中两个的路径分别在"\Fav\Data\9d"、"\Fav\Thumb\9d"下面。
发现大小分别对应该两个文件的大小,假设一下这两个就是文件夹的加密文件,而微信聊天图片一般是Dat加密,我们来测试下,看看是否能解密。
找到收藏中图片大图的缓存文件位置,发现无文件后缀显示。
【路径:\WeChat Files\【微信ID】\FileStorage\Fav\Data\9d】
收藏的图片另存本地和Temp下的JPG大图片对比,哈希值相同。
**3
**
解密无后缀大文件
发现疑似没有没有后缀,搜索
发现虽然收藏存储到本地的图片并没有文件后缀,但其文件哈希和"微信电脑端接收到的原图"生成的Dat文件哈希一致!!!
结果另存为JPG图片,并和"微信电脑端接收到的原图"校验,结果一致
4
三大存储路径
同理按Dat格式解密小文件成图片,解密结果对比和缩略图的哈希相同。
【路径:\WeChat Files\【微信ID】\FileStorage\Fav\Thumb\9d】
3
**(三)
**
微信收藏图片思维导图小结
微信收藏的图片另存的大小和缓存的图片大小一致,但和转发出去的图片又不一样。
**文件大小:另存图片=大图缓存>转发图片>小图缓存。
**
总结
微信收藏的图片会稍微特殊一点:
预览小图会缓存两个文件在本地,第一个是可以直接查看的图片格式(小图);第二个是无后缀的文件格式,按照Dat解密后会和第一个图片哈希值相同。
预览大图会缓存两个文件在本地,第一个是可以直接查看的图片格式(大图);第二个是无后缀的文件格式,按照Dat解密后会和第一个图片哈希值相同。
转自:DFIR蘇小沐
