微信会在每个账户初次登录时同步该用户和该手机的通讯录,可以在“通讯录”模块直接查看。对通讯录的取证可以列出没有聊天记录或清除了聊天记录的联系人,可以辅助进行取证和多手机多账号情况下的关联分析。
除了直接登录微信并截图记录外,可以从rcontact表中提取公众号与联系人列表,如图4.10。根据username列的微信号,微信自带的如腾讯新闻、微信支付等服务置顶,以“gh_”开头的为公众号,“wxid_”开头或由自定义微信号的为联系人。
图4.10 rcontact表中存有微信号与昵称对应关系
建议使用SQL语句:
select username as 微信id,alias as 微信号,conRemark as 备注,nickname as 昵称 from rcontact
用户关注的公众号与服务号列表对用户画像有一定的辅助作用。如2019年某案件中嫌疑人的微信关注了大量网络安全技术类公众号和法律相关公众号,同时与多个黑产相关公众号有互动记录,给下一步浏览器历史记录取证和个人电脑取证提供了大方向。
除了直接登录微信并截图记录外,可以从EnMicroMsg.db的bizinfo表中username列提取所有关注公众号的“gh_”编码,如图4.11。“updateTime”列存取最近更新时间, 结合rcontact表的nickname列提取公众号名称。
图4.11 bizinfo表中存有公众号列表
建议使用SQL语句:
select nickname from bizinfo a,rcontact b where a.username = b.username