近日,一位企业老板带着他的台式机电脑来到鸿萌数据安全中心。经了解,他在2020年8月时给某客户发送报价单,但是在微信聊天记录里面,该报价单因为过期被清理,而无法打开,如下图所示:
现对方与他因为价格不一致而产生纠纷,该老板需要修复该聊天记录,以作为凭证。
鸿萌工程师通过检索,发现该2020年报价单,在此电脑上其他位置还保存有原始文本,现在需要将此文件保存到此微信的原始文件存储位置。而找到这一文件的原始存储位置是解决问题的关键。
如何找到微信中被清理文件的原始存放路径下载工具:
wx-dump-key-v0.1.0.exe(获取微信密钥)wx-decrypter-v0.1.1.exe(聊天记录导出)注:不支持32位操作系统1.打开cmd窗口将wx-dump-key-v0.1.0.exe拖入,然后空格zmkm回车(需要登录微信),显示几段输出信息,只需留存sqlite key后面的内容,即密钥。
2.准备需要的db文件:
好友列表
MicroMsg.dbMicroMsg.db-shmMicroMsg.db-wal聊天记录(可以有0、1、2、3,,,)
MSG0.dbMSG0.db-shmMSG0.db-walMSG1.dbMSG1.db-shmMSG1.db-walMSG2.dbMSG2.db-shmMSG2.db-wal通过搜索软件 everything 搜索 MicroMsg 与 MSG 文件,注意 MicroMsg.db-shm 和 MicroMsg.db-wal 只有在登录微信时才会出现,且所需 MicroMsg 和 MSG 文件都没有其他前缀后缀,把鼠标箭头放在路径栏可以看到具体路径信息,因为电脑上可能登陆过多个微信账号,选择保存所需微信号的文件。
3.将上面的全部文件拷入到工具文件夹中的 input 文件夹中
然后运行 wx-decrypter-v0.1.1.exe [sqlite key],注意,需要在微信工具所在的分区硬盘文件夹里运行上述命令,如果是在D盘,就要切换到D盘,输入D:或d:回车,并通过cd指向所在文件夹。
导出成功之后会发现 output 中有两个文件夹:csv、db。我们选择使用 Navicat 打开 output 中的 db 文件:
然后右键 MSG 文件选择在数据库中查找:
找到该老板的好友A的微信ID(即wxidxxxxxxxxxx),如果改过了可以先检索某句话,在那句话的详情页找到他的微信ID。
双击右边结果 1
Wxid 即微信 ID。
然后检索目标好友的微信ID,文字间的空白区域就是文档类文件,逐个搜索MSG文件,通过上下文确定所需文件区域,点击某一空白行获取具体路径:
4.找到路径目录,把备份文件拷贝进去即可。
根据精确到 bit 的文件大小及校验值可以判断恢复文件与原文件的一致性。