![]()
更新关键字:三星高版本、微信恢复、支付宝账单恢复、新增应用……作为一款用户规模庞大的社交软件,QQ在人们日常社交中占据了重要地位。同时,因其庞大的用户体量,不法分子经常选择通过QQ实施各种违法犯罪活动。近期QQ更新了其数据库结构,聊天记录性能得到提升,同时也为取证解析工作带来一定的难度。本期小拓就QQ数据库结构的变迁及解密,同各位数据安全从业者进行深入探讨。
从下图不难看出,老版本QQ的数据库存储结构较为分散,有多个不同的表记录并关联对应其聊天数据。这样的结构不仅影响记录查询速度,还不便搜索某条特定聊天记录,增加了应用的复杂性与不可控性。新版QQ的数据库结构则抛弃原有的分散型结构,转而采用一种有效的紧凑型结构(参看下图)。这样的转变不仅减少了各张表之间的协调关联,使得查看记录的效率大大提升,同时能支持聊天记录的搜索定位,降低了风险,提高了应用的整体稳定性。如前所述,QQ的数据库存储结构在近期进行了较大更新,此次更新也对手机取证工作产生很大影响。最直接的影响就是无法正常解析查看获取到的QQ数据,原有的数据库解析格式与解密方式已经不再适用了。如下图所示,数据库被加密,不对其进行解密则无法进行查看。
![]()
通过调研确认其加密规则后,拓界新版本的响尾雀已适配其加密结构,并能生成解密的数据库,如下图所示:
![]()
相应的数据库结构如下图所示:
![]()
对于在QQ新结构解密适配之前已获取且无法正常解析的数据,响尾雀手机取证也有对应的解决方案。响尾雀手机取证采用保留原始数据的策略,只需在版本更新之后对检材数据进行重新解析便可以对之前获取到的数据进行解密查看,无需重新提取QQ数据,大大提高了取证工作效率。
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247487824&idx=1&sn=f0759b3af18ffdb7bf244e8147f0c636&chksm=cf3e3160f849b8766550287fc71e4c6e2e09fb4695912ee3849b6f81afb158de9219d186e95c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh