微信 dat 文件还原

原创
2019/07/27 15:02
阅读数 3W

前言

以微信 PC 端为例

某个小姐姐/小哥哥通过微信发给你的图片会在以下目录以 .dat 后缀的格式出现

C:\Users\taadis\Documents\WeChat Files\taadis\FileStorage\Image\2019-07

如果对方撤回后, 对应的文件会被微信删除 (理论上磁盘记录过, 磁盘恢复也可以找回)

一张图片对应一个 .dat 文件.

直接把 .dat 改为 .jpg 是看不了滴...

如何查看

现在试试怎么还原微信的 .dat 文件到可以查看的图片

打开多个微信 .dat 文件 (16进制HEX查看), 都是 0D2A 开头的

but .jpg 图片文件通常是 FFD8 开头的, 所以这里有个伪加密的操作在, 我们拿 FFD8 ^ 0D2A 做一次 异或/xor/^ 操作

可得 F2F2 (这里大家可能会有点不一样, 以你自己的电脑为准)

关键的数据拿到了, 那么后面通过程序读取 dat 文件字节数据然后做一次异或操作就可以得到图片的原始数据咯

靠图说话

先拿一个简单的做个测试先

然后拿多个继续测试

搞定, 剩下的就是完善工具咯, 方便使用咯.

源码

最后源码在这里

参考

展开阅读全文
打赏
0
24 收藏
分享
加载中
原来如此,我更进一步,自己写了个脚本完善了一下,可以自动判断这个数组了
10/19 17:05
回复
举报
dat文件的转换可以在线转换方式实现blog.9035shop.cn实现文件异或解密为png或者jpg格式
03/11 13:08
回复
举报
您好博主,抱歉,第一次到 coschina,以为上面提问才是正确的方式。
关于「如何查看」的步骤,如何做?我的dat文件用16进制HEX开启,您所红圈注记的位置是在我的dat文件上是「37 10」,但我不晓得后续的步骤应该如何操作。直接执行go.exe也是dat文件解失败了。
2019/09/10 11:21
回复
举报
taadis博主
你是要还原一个文件么?
2019/09/10 11:22
回复
举报
多个dat文件
2019/09/10 11:24
回复
举报
taadis博主
异或操作后得到的16进制码 替换代码里的 然后重新编译运行试试
2019/09/10 11:26
回复
举报
请问如果不知道dat文件应该是什么类型的文件,也不确定是不是jpg或是png之类的,那该怎么找出正确属于它的编码呀?
2019/09/10 18:23
回复
举报
taadis博主
你可以用微信发送不同类型的文件给自己, 然后异或比对16进制数, 来决定最后转成什么类型后缀的文件, 并且正常的各类文件都有自己固定的格式, 也可以通过16进制数来查看.
2019/09/11 09:14
回复
举报
来来来,代码放码云链接
2019/07/27 19:32
回复
举报
taadis博主
补了...😈
2019/07/27 19:37
回复
举报
更多评论
打赏
10 评论
24 收藏
0
分享
返回顶部
顶部