世界上有兩件事情最讓人抓耳撓腮

一為“對方正在輸入……”

二是“對方撤回了一條消息”

人類對這類“猶抱琵琶半遮面”的信息

簡直是毫無抵抗力

【路徑一】

如果你很抗揍的話

揭開“廬山真面目”那是輕而易舉

（别問效哥是怎麼知道的~）

你隻需要在撤回消息的2分鐘内

迅速搶過對方手機進行重新編輯就可以了

這波操作周傑倫見了都要說：“哎喲，不錯哦”

如果你不抗揍的話

我們還提供另一條路徑！

【路徑二】

從“撤回後可再編輯”中不難發現

撤回消息其實是存放在某文件中

而不是撤回之後就立即删除

那它們究竟被存放在哪裡呢？

通常是在微信用戶賬号文件夾下的

FTS5IndexMicroMsg.db-journal文件中

也就是說你隻需要找到它即可

↓

但在實際辦案過程中

可能會因為一些誤操作

（比如設備關機、重啟、退出微信等）

使得存放撤回消息的緩存文件被清除

從而不能正常恢複出撤回消息

這時，你就需要懂得億點點技術啦

隻需記住4個關鍵步驟

即可一擊即中

（注：示例為Android撤回消息恢複步驟，僅供參考~）

事前準備

工欲善其事，必先利其器

從破洞兜裡掏出你需要恢複數據的Android設備

（注：以OPPO R11 plus為例進行講解：

Android版本7.1.1，具有root權限）

準備好數據查找工具winhex

用于查看緩存文件的二進制值

模拟創造

即模拟創造需恢複的數據

這一步我願稱之為“本手”

△模拟操作數據

查找文件

即查找微信撤回數據緩存文件

看似按圖索骥實為一招“妙手”

通過adb指令

獲取輸入模拟數據之後的

FTS5IndexMicroMsg.db-journal文件

使用winhex打開獲得的緩存文件

搜索模拟錄入的數據

發現未找到

↓

重啟手機

在重啟前千萬不能退出微信

退出即為“俗手”

重啟手機設備之後

打開微信輸入一條測試數據

并将其撤回

△測試數據

再次輸入adb命令

得到FTS5IndexMicroMsg.db-journal文件

然後通過分析

找出開始所錄入的模拟數據

如下圖所示

↓

效哥友情提示

1、因為數據是存放在緩存中的，變化頻率高，所以恢複的效果需根據實際情況而定。

2、通過對比測試之後，發現以下兩種情況可以通過上述方式恢複被撤回消息：

• 退出應用被清除緩存文件；
• 重啟手機被清除緩存文件；

3、對中英文不同數據對比後發現，英文的效果比中文好，因中文一般為utf-8編碼，一個中文通常占多個字節，容易被打散，所以較難獲得完整的消息。

4、對于不同型号設備，不同系統版本，恢複效果也有較大差異，效哥僅提供參考思路，具體恢複操作需結合實際情況實際分析。

有人說

微信的兩分鐘撤回功能

是留給成年人最後的溫柔

但也有人說

這樣的“限時操作”

是把“一言既出，驷馬難追”

按在地上狠狠摩擦

所以，你怎麼看呢？

歡迎給小編留言！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!