QQ聊天记录查询恢复技术深度剖析
第四章 QQ聊天记录查询恢复技术深度剖析4.1 QQ聊天记录的存储机制QQ的聊天记录存储相对复杂,涉及本地数据库和云端同步。[*]Android本地:/data/data/com.tencent.mobileqq/下包含多个数据库,其中nt_qq目录存储主要聊天记录,使用SQLCipher加密。
[*]iOS本地:需越狱才能访问,数据库位于应用沙盒的Documents/目录。
[*]PC本地:QQ安装目录下的Users/文件夹中,msg3.0.db等文件存储聊天记录,加密方式较为简单,早期版本甚至不加密。
[*]云端同步:QQ会员支持“消息漫游”功能,聊天记录会上传至腾讯服务器,用户登录新设备时可下载历史记录。
4.2 物理接触提取技术4.2.1 手机直接提取与微信类似,黑客通过取证工具或root/越狱后,直接复制QQ数据库文件。QQ数据库的加密密钥通常与设备相关信息绑定,但存在通用解密工具。4.2.2 电脑端提取QQ电脑版是黑客获取聊天记录的重要目标。由于许多用户习惯在电脑上登录QQ,且电脑版数据库加密较弱,黑客一旦入侵目标电脑,可直接复制msg3.0.db,使用公开的QQ数据库查看器(如“QQ聊天记录查看器”)打开,无需密码即可阅读。4.3 远程入侵提取技术4.3.1 木马盗取针对QQ的木马历史悠久,功能包括:
[*]键盘记录:记录QQ密码和聊天内容。
[*]屏幕监控:定时截取QQ窗口截图。
[*]数据库窃取:上传本地QQ数据库文件。
4.3.2 消息拦截通过ARP欺骗或DNS劫持,黑客可以在局域网内拦截QQ的通信数据包。早期QQ协议未加密时,可直接解析聊天内容;现在QQ已启用TLS加密,但黑客可通过中间人攻击(需伪造证书)解密,不过难度较大。4.3.3 钓鱼登录黑客搭建仿QQ登录页面,诱骗目标输入账号密码。获取密码后,直接登录目标QQ,通过消息漫游功能查看历史聊天记录。4.4 消息漫游的利用QQ会员的消息漫游功能为黑客提供了便利。如果黑客获取了目标的QQ密码,登录QQ后可以请求下载漫游的聊天记录。即使目标已删除本地记录,云端仍可能保留。黑客利用这一功能,能够查看目标数月甚至数年的聊天记录。
页:
[1]