Recovery Method of WeChat Revoking Message Based on Dynamic Memory Analysis

doi:10.3778/j.issn.1002-8331.2007-0284

Abstract

Abstract:

As an instant messaging system favored by users, WeChat not only brings great convenience to people’s lives, but also provides criminals with new methods and tools for illegal crimes. WeChat chat records, as a type of electronic evidence clearly listed in Chinese laws, have attracted wide attention for their validity, making WeChat chat records recovery a research hotspot in related fields. Most of the existing research on the recovery of chats focuses on the recovery of deleted messages, while the recovery of revoking messages has not made effective progress. By studying the dynamic memory management mechanism of PC WeChat, this paper analyzes the characteristic characters and field structure of the revoking message in dynamic memory. By comparing the storage principles of different types of messages such as text, emoticons, pictures, etc, a method of recovering WeChat revoking messages based on dynamic memory analysis is proposed. Finally, a tool written in Python language is used to achieve batch recovery of the revoking messages such as text, status of revocation, WeChat ID , etc, which verifies the effectiveness of this method.

Key words: dynamic memory, revoking message, data recovery, digital forensics, Python

摘要：

作为广受用户青睐的即时通信系统，微信在给人们生活带来极大便利的同时，也给不法分子提供了违法犯罪的新手段、新工具。微信聊天记录作为我国法律中明确列出的电子证据类型，其有效性引起广泛关注，使得微信聊天记录的恢复成为相关领域的研究热点。针对现有的聊天记录恢复研究多集中于删除消息的恢复，撤回消息的恢复尚未取得有效进展，通过研究PC版微信运行过程中的动态内存管理机制，分析撤回消息在动态内存中的特征字符及字段结构，对比文本、表情、图片等不同类型的消息在内存中的存储原理，提出一种基于动态内存分析的微信撤回消息恢复方法。利用Python语言编写的工具实现了对微信撤回消息原文、撤回状态、撤回方微信ID等内容的批量恢复，验证了该方法的有效性。

关键词: 动态内存, 撤回消息, 数据恢复, 电子数据取证, Python

NI Xueli, LIANG Guangjun. Recovery Method of WeChat Revoking Message Based on Dynamic Memory Analysis[J]. Computer Engineering and Applications, 2021, 57(23): 146-153.

倪雪莉，梁广俊. 引入动态内存分析的微信撤回消息恢复方法[J]. 计算机工程与应用, 2021, 57(23): 146-153.

References

[1] 微信.2019微信数据报告[EB/OL].（2019-08-06）[2020-01-09].https：//mp.weixin.qq.com/s/vmhoiRzpBs7-JK_x2a7gZw.WeChat.2019 WeChat data report[EB/OL].（2019-08-06）[2020-01-09].https：//mp.weixin.qq.com/s/vmhoiRzpBs7-JK_x2a7gZw.
[2] 明振亚.基于Android系统的微信小程序数据库取证问题分析[D].上海：华东政法大学，2019.
MING Z Y.Analysis on forensics of webchat program database based on android system[D].Shanghai：East China University of Political Science and Law，2019.
[3] 潘子文，胡莹莹.关于微信证据保全公证的探讨[J].法制与社会，2015（36）：137-139.
PAN Z W，HU Y Y.Discussion on the notarization of WeChat evidence preservation[J].Legal System and Society，2015（36）：137-139.
[4] 古国妍，娄琳莉，贡凤，等.电子证据的鉴真——以微信为例[J].东南大学学报（哲学社会科学版），2017，19（S2）：62-66.
GU G Y，LOU L L，GONG F，et al.Identification of electronic evidence-take WeChat as an example[J].Journal of Southeast University（Philosophy and Social Science），2017，19（S2）：62-66.
[5] 白晋国，孙红胜，胡泽明.一种基于SQLite3文件格式的删除数据恢复方法[J].小型微型计算机系统，2016，37（3）：505-509.
BAI J G，SUN H S，HU Z M.A recovery method of deleted data based on SQLite3 file format[J].Journal of Chinese Computer Systems，2016，37（3）：505-509.
[6] 张艳姣，曾光裕，冯培均，等.一种基于Android平台的微信取证分析方法[J].信息工程大学学报，2018，19（6）：719-725.
ZHANG Y J，ZENG G Y，FENG P J，et al.Forensics and analysis method of WeChat based on Android smart phone[J].Journal of Information Engineering University，2018，19（6）：719-725.
[7] 吴熙曦，李炳龙，张天琪.基于KNN的Android智能手机微信取证方法[J].山东大学学报（理学版），2014，49（9）：150-153.
WU X X，LI B L，ZHANG T Q.A KNN based forensic method of Android smartphone WeChat[J].Journal of Shandong University（Natural Science），2014，49（9）：150-153.
[8] WU S，ZHANG Y，WANG X，et al.Forensic analysis of WeChat on Android smartphones[J].Digital Investigation，2017，21：3-10.
[9] ZHANG Lijun，YU Fei，JI Qingbing.The forensic analysis of WeChat message[C]//2016 Sixth International Conference on Instrumentation & Measurement，Computer，Communication and Control（IMCCC），Harbin，China，21-23 July，2016.Piscataway：IEEE，2016：500-503.
[10] 李威，廖健，曾剑平.面向取证应用的PC版微信的内存分析方法[J].计算机应用与软件，2019，36（2）：329-333.
LI W，LIAO J，ZENG J P.Memory analysis method of WeChat in PC version for forensics application[J].Computer Applications and Software，2019，36（2）：329-333.
[11] 李强，刘宝旭，姜政伟，等.一种Android系统下的QQ取证模型分析[J].信息网络安全，2016（1）：40-44.
LI Q，LIU B X，JIANG Z W，et al.Analysis of model of QQ forensic in Android system[J].Netinfo Security，2016（1）：40-44.
[12] ZHOU F，YANG Y，DING Z，et al.Dump and analysis of Android volatile memory on WeChat[C]//2015 IEEE International Conference on Communications，London，UK，8-12 June，2015.Piscataway：IEEE，2015：7151-7156.
[13] 丁丽萍，刘雪花，陈光宣，等.Android智能手机动态内存取证技术综述[J].信息网络安全，2019（2）：10-17.
DING L P，LIU X H，CHEN G X，et al.Overview of digital forensics technologies of RAM in Android devices[J].Netinfo Security，2019，19（2）：10-17.
[14] TOBIAS L，RALPH P，FELIX F.A universal taxonomy and survey of forensic memory acquisition techniques[J].Digital Investigation，2019，28：56-69.
[15] FABIO P，OLEKSII F，DAVIDE B.Introducing the temporal dimension to memory forensics[J].ACM Transactions on Information and System Security，2019，22（2）：1-21.
[16] DIOGO B，TIAGO B，DAVID D，et al.Forensic analysis of communication records of messaging applications from physical memory[J].Computers & Security，2019，86：484-497.
[17] 王虹桥.电子数据证据在民事诉讼中的应用规则——以“微信证据”为例[J].法制与社会，2019（3）：17-19.
WANG H Q.Rules for the application of electronic data evidence in civil proceedings-take “WeChat evidence” for example[J].Legal System and Society，2019（3）：17-19.
[18] 贾志强.微信通信信息取证问题实证探究——以相关裁判文书为样本[J].出版发行研究，2018（2）：82-84.
JIA Z Q.Empirical research on WeChat communication information forensics-take the relevant judgment documents as samples[J].Publishing Research，2018（2）：82-84.