2019新年已經在向我們招手，馬上就是春節啦！小編提前在這裡給大家拜個早年！今天給大家帶來年底最後一篇技術文章，祝大家新的一年在電子數據取證工作上勢如破“豬”！

在日常辦案過程中，技術人員常會處理有關微信聊天數據的恢複工作。其中有一類消息比較特殊，那就是撤回消息，它不屬于删除消息，但是形式卻與删除消息類似，亦即被撤回之後的消息也是不可見的，并且很難被提取。

在這篇文章中，我們就對Android撤回消息的恢複進行簡單的探讨。

關于微信撤回消息

從微信6.6版本到如今微信7.0版本，都有一個功能：撤回消息可以重新編輯。即在發送消息被撤回之後的2分鐘内點擊重新編輯，可以對撤回的消息進行再編輯，2分鐘以後如果沒有編輯操作就會自動消失。

從該功能不難發現，撤回消息其實是存放在某文件中，而不是撤回之後就立即删除。

微信撤回消息恢複難點

那撤回消息究竟存放在哪裡呢？通過研究發現，撤回消息被存放于微信用戶賬号文件夾下的FTS5IndexMicroMsg.db-journal文件中。

而在實際的辦案過程中，可能會因為一些誤操作（比如設備關機、重啟、退出微信等）而使得存放撤回消息的緩存文件被清除，從而不能正常恢複出撤回消息，這就給辦案工作人員帶來不少困擾。

下面就将具體的Android撤回消息恢複步驟和大家分享，僅供參考！

具體操作步驟

1、事前準備

1）操作手機

一個能夠獲取數據的Android設備：以OPPO R11 plus（Android版本7.1.1，具有root權限）為例進行講解；

确保Android設備中的微信存在過撤回消息；

2）數據查找工具

winhex：用于查看緩存文件的二進制值

2、模拟創造需恢複的數據

△模拟操作數據

3、查找微信撤回數據緩存文件

1）通過adb指令獲取輸入模拟數據之後的FTS5IndexMicroMsg.db-journal文件；

2）使用winhex打開獲得的緩存文件，搜索模拟錄入的數據，發現未找到。

4、重啟手機設備（在重啟前不退出微信）

1）重啟手機設備之後，打開微信，輸入一條測試數據，如“dianzishujuquzheng”，并将其撤回。

△測試數據

2）再次輸入adb命令得到FTS5IndexMicroMsg.db-journal文件，然後通過分析，找出開始所錄入的模拟數據，如下圖所示。

注意事項

1、因為數據是存放在緩存中的，所以變化的頻率過高，使得恢複的效果需根據實際情況而定。

2、通過對比測試之後，發現以下兩種情況可以通過上述方式恢複被撤回消息：

退出應用被清除緩存文件；

重啟手機被清除緩存文件；

3、對中英文不同數據對比後發現，英文的效果比中文好，因中文一般為utf-8編碼，一個中文通常占多個字節，所以容易被打散，很難獲得較為完整的消息。

4、對于不同型号設備，不同系統版本，恢複效果也有較大差異，本文僅提供參考思路，具體恢複操作需結合實際情況實際分析。

“

本文，我們介紹了一種恢複微信撤回消息緩存文件的方法，主要目的是和大家分享一種在恢複不出撤回消息時（注：因關機、重啟或退出應用而使得緩存文件被清除或修改）的分析思路和操作方法。

但在實際場景中需慎用，因為需要連接網絡，可能被人通過遠程清除所有數據等，請聯系專業人員進行操作。

如對文中的操作、描述有任何疑問，或者有相關數據恢複案件協助支持也可以直接在微信公衆号後台給我們留言。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!