近日，一位企業(yè)老板帶著他的臺式機電腦來到鴻萌數(shù)據(jù)安全中心。經(jīng)了解，他在2020年8月時給某客戶發(fā)送報價單，但是在微信聊天記錄里面，該報價單因為過期被清理，而無法打開，如下圖所示：

現(xiàn)對方與他因為價格不一致而產(chǎn)生糾紛，該老板需要修復該聊天記錄，以作為憑證。

鴻萌工程師通過檢索，發(fā)現(xiàn)該2020年報價單，在此電腦上其他位置還保存有原始文本，現(xiàn)在需要將此文件保存到此微信的原始文件存儲位置。而找到這一文件的原始存儲位置是解決問題的關鍵。

如何找到微信中被清理文件的原始存放路徑

下載工具：

• wx-dump-key-v0.1.0.exe（獲取微信密鑰）
• wx-decrypter-v0.1.1.exe（聊天記錄導出）
• 注：不支持32位操作系統(tǒng)

1.打開cmd窗口將wx-dump-key-v0.1.0.exe拖入，然后空格zmkm回車（需要登錄微信），顯示幾段輸出信息，只需留存sqlite key后面的內容，即密鑰。

2.準備需要的db文件：

好友列表

• MicroMsg.db
• MicroMsg.db-shm
• MicroMsg.db-wal

聊天記錄（可以有0、1、2、3，，，）

• MSG0.db
• MSG0.db-shm
• MSG0.db-wal
• MSG1.db
• MSG1.db-shm
• MSG1.db-wal
• MSG2.db
• MSG2.db-shm
• MSG2.db-wal

通過搜索軟件 everything 搜索 MicroMsg 與 MSG 文件，注意 MicroMsg.db-shm 和 MicroMsg.db-wal 只有在登錄微信時才會出現(xiàn)，且所需 MicroMsg 和 MSG 文件都沒有其他前綴后綴，把鼠標箭頭放在路徑欄可以看到具體路徑信息，因為電腦上可能登陸過多個微信賬號，選擇保存所需微信號的文件。

3.將上面的全部文件拷入到工具文件夾中的 input 文件夾中

然后運行 wx-decrypter-v0.1.1.exe [sqlite key]，注意，需要在微信工具所在的分區(qū)硬盤文件夾里運行上述命令，如果是在D盤，就要切換到D盤，輸入D：或d：回車，并通過cd指向所在文件夾。

導出成功之后會發(fā)現(xiàn) output 中有兩個文件夾：csv、db。我們選擇使用 Navicat 打開 output 中的 db 文件：

然后右鍵 MSG 文件選擇在數(shù)據(jù)庫中查找：

雙擊右邊結果 1

然后檢索目標好友的微信ID，文字間的空白區(qū)域就是文檔類文件，逐個搜索MSG文件，通過上下文確定所需文件區(qū)域，點擊某一空白行獲取具體路徑：

4.找到路徑目錄，把備份文件拷貝進去即可。

根據(jù)精確到 bit 的文件大小及校驗值可以判斷恢復文件與原文件的一致性。