近日，一位企業(yè)老板帶著他的臺(tái)式機(jī)電腦來到鴻萌數(shù)據(jù)安全中心。經(jīng)了解，他在2020年8月時(shí)給某客戶發(fā)送報(bào)價(jià)單，但是在微信聊天記錄里面，該報(bào)價(jià)單因?yàn)檫^期被清理，而無法打開，如下圖所示：

現(xiàn)對(duì)方與他因?yàn)閮r(jià)格不一致而產(chǎn)生糾紛，該老板需要修復(fù)該聊天記錄，以作為憑證。

鴻萌工程師通過檢索，發(fā)現(xiàn)該2020年報(bào)價(jià)單，在此電腦上其他位置還保存有原始文本，現(xiàn)在需要將此文件保存到此微信的原始文件存儲(chǔ)位置。而找到這一文件的原始存儲(chǔ)位置是解決問題的關(guān)鍵。

如何找到微信中被清理文件的原始存放路徑

下載工具：

• wx-dump-key-v0.1.0.exe（獲取微信密鑰）
• wx-decrypter-v0.1.1.exe（聊天記錄導(dǎo)出）
• 注：不支持32位操作系統(tǒng)

1.打開cmd窗口將wx-dump-key-v0.1.0.exe拖入，然后空格zmkm回車（需要登錄微信），顯示幾段輸出信息，只需留存sqlite key后面的內(nèi)容，即密鑰。

2.準(zhǔn)備需要的db文件：

好友列表

• MicroMsg.db
• MicroMsg.db-shm
• MicroMsg.db-wal

聊天記錄（可以有0、1、2、3，，，）

• MSG0.db
• MSG0.db-shm
• MSG0.db-wal
• MSG1.db
• MSG1.db-shm
• MSG1.db-wal
• MSG2.db
• MSG2.db-shm
• MSG2.db-wal

通過搜索軟件 everything 搜索 MicroMsg 與 MSG 文件，注意 MicroMsg.db-shm 和 MicroMsg.db-wal 只有在登錄微信時(shí)才會(huì)出現(xiàn)，且所需 MicroMsg 和 MSG 文件都沒有其他前綴后綴，把鼠標(biāo)箭頭放在路徑欄可以看到具體路徑信息，因?yàn)殡娔X上可能登陸過多個(gè)微信賬號(hào)，選擇保存所需微信號(hào)的文件。

3.將上面的全部文件拷入到工具文件夾中的 input 文件夾中

然后運(yùn)行 wx-decrypter-v0.1.1.exe [sqlite key]，注意，需要在微信工具所在的分區(qū)硬盤文件夾里運(yùn)行上述命令，如果是在D盤，就要切換到D盤，輸入D：或d：回車，并通過cd指向所在文件夾。

導(dǎo)出成功之后會(huì)發(fā)現(xiàn) output 中有兩個(gè)文件夾：csv、db。我們選擇使用 Navicat 打開 output 中的 db 文件：

然后右鍵 MSG 文件選擇在數(shù)據(jù)庫中查找：

雙擊右邊結(jié)果 1

然后檢索目標(biāo)好友的微信ID，文字間的空白區(qū)域就是文檔類文件，逐個(gè)搜索MSG文件，通過上下文確定所需文件區(qū)域，點(diǎn)擊某一空白行獲取具體路徑：

4.找到路徑目錄，把備份文件拷貝進(jìn)去即可。

根據(jù)精確到 bit 的文件大小及校驗(yàn)值可以判斷恢復(fù)文件與原文件的一致性。