Android设备的微信数据分析（4）--小程序、下载的文件

自微信小程序正式发布，在行业内引起了足够的关注度，也给微信带来了新一波的红利。微信小程序具有无处不在，随时可用，但又无需安装卸载等优点，极具普及性及广泛性。作为微信生态圈重要的构成部分，在调查取证过程中也可能起到意想不到的作用。如电商类小程序如“当当网”、“苏宁小店”，可能存储了一些不在淘宝、京东等手机常见电商软件里存在的交易记录和联系地址；游戏类公众号如“1899棋牌”，可能关联了嫌疑人其他网站的账号；自媒体类公众号如“电影头条”，可以对用户画像提供有用的资料。

微信小程序界面在“最近使用”中保存该账号在设备登录历史中所有使用过的小程序，并在“我的小程序”中列出用户曾经添加到“我的小程序”的小程序。这些信息存储在“/data/data/com.tencent.mmMicroMsg//AppBrandComm.db”中的WxaAttributesTable表中，如图4.12，AppBrandComm.db的加解密规则同消息库EnMicroMsg.db。

 

图4.12 WxaAttributesTable表中存有小程序列表

建议使用SQL语句：

select nickname from WxaAttributesTable

 

用户通过微信下载的文件，有时可以辅助取证人员找到关键聊天记录的时间和对象，对用户画像也有一定的辅助作用。

微信下载的文件直接保存在“/sdcard/tencent/MicroMsg/Download”目录下，文件名与目录均不加密，可以直接在用户数据备份文件夹下查看。

微信朋友圈下载的文件直接保存在“/sdcard/tencent/MicroMsg/WeiXin”目录下，文件名与目录均不加密，可以直接在用户数据备份文件夹下查看。