腾讯微博Android手机客户端取证分析
环境:腾讯微博Android版 V2.3.1(2011-5-10),HTC G7,Android 2.2
目的
通过针对Android手机中安装的腾讯微博程序的分析,提取用户曾经使用腾讯微博的痕迹以及用户名密码等敏感信息,已达到取证目的。
分析过程
l 腾讯微博Android程序安装后会在手机存储卡目录data/data目录下生成com.tencent.WBlog文件夹,其目录结构如下:
图中黑色遮盖部分为登陆过的QQ号码,如登录过多个号码,则会显示多个号码文件夹。
l 同时,手机SD卡根目录中将生成Tencent\MicroBlog文件夹
下文将分为手机存储和TF卡存储两部分分析
1. 手机存储部分
1.1 “0”文件夹
该文件夹下存在MessageEX.Db文件一个,为SQL Lite数据库文件,为默认文件夹,不包含取证信息。
1.2 86XXXXXX(用户号码)文件夹
该文件夹名称为登陆过的QQ号码,其目录下会包含一个MessageEX.Db为名称的SQL Lite数据库,其内容为应用程序主界面“主页”中显示的最新微博更新和微博对话信息,编码为UTF-8。
继续向下,可得到该用户以及其对话方详细的个人资料,包括昵称、登录名、生日、地区和个人页面等信息:
1.3 App_avatar文件夹
该文件夹为用户头像文件夹,其中的文件大小为0,实际引用存储卡中cache目录下的图片文件
1.4 databases文件夹
此文件夹为数据文件夹,包含了登录用户的多数敏感信息,文件夹内包含名为tencent_wblog.db的SQLite文件,如下图所示:
第一部分,为用户头像
第二部分,为用户敏感信息,其中,图中红色框体部分为用户QQ号码,蓝色框体部分为QQ密码的单词MD5散列,黄色部分为用户名和昵称,其后还包含用户所在地信息。
1.5 files文件夹,默认为空
1.6 lib 文件夹,程序库和类型
1.7 shared_prefs 文件夹
该文件夹下包含setting.xml和viewed.xml两个文件,其中setting.xml为设置文件,文件内容包括密码是否保存、是否设置自动登录、系统版本、自动更新时间等,如图:
2. 存储卡部分
微博应用在存储卡中生成的文件结构如下:
2.1 cache文件夹
2.1.1 following文件夹,暂未搞明白作用
2.1.2 .wblog-images文件夹
该文件夹下为应用程序中,所有用户(包含博主、收听者、对话者)的头像缓存。
2.1.3 Topic文件夹,暂不明用途,该文件夹中文件内容与following文件夹少有差异,文件名相差数个字符,文件内容有两字节不同,有待高手解释。
2.2 log文件夹,默认为空
分析结论
腾讯延续了在QQ上使用的安全措施,针对微博客户端上保存的密码进行了单次MD5散列,在一定程度上提高了安全性;在实际取证工作中,针对简单的字符组合,可采用超算破解方式尝试数字+字母排列,并可适当与手机QQ、台式机QQ取证相结合,从而达到互为补充的效果。
2011-6-27 5:34