330wang 发表于 2014-7-4 11:02:06

QQ聊天记录MSG2.0.db恢复成功

本帖最后由 330wang 于 2014-7-4 11:05 编辑

这个案例有没有人用软件就可以搞定的??
你会用软件这并不能说明什么,要清楚原理才能完成软件不能完成的任务。

给大家分享一个脚本:
**** Hidden Message *****

这个案例是最复杂的,我恢复用的时间最长的一个案例了。

事情起源:接到一个客户咨询,说是要恢复电脑上的QQ聊天记录。我一听,头大了。大家都知道,从QQ2013SP5版本之后,聊天记录删除以后就不好恢复了。原因我就不说了,但是这个客户介绍说,他是2011年左右删除的,删除以后电脑出了一点小问题。硬盘一直没动,现在想恢复当年的聊天记录。我一听,有戏。

2011年的QQ采用的是复合文档结构。我研究过,原理比较简单,所以说恢复来说也是轻车熟路。
拿到数据库后,大小为156MB。
用脚本分离出MSAT SAT SSAT 目录区 好友列表等关键数据。



然后进行分析。
通过搜索SAT中0xFFFFFFFFFFFF确定了删除的碎片。
然后到主文件把相应的碎片进行合并(这个过程用了两天左右)。
102955-103087(18E)
(18E)109136-109263(CA)
(A0)126352-126447(12E)
(12E)128608-128671(DE)
(CA)139872-139999(A0)
(DE)147024-147183(9C)
(9C)147312-147327(4E)
(15A)155696-155711(6C)
(118)166240-166575(6)
(6)171920-171935(184)
这样取得了聊天的内容文件content.dat
通过脚本验证content.dat的内容完整无误。
然后用脚本通过content.dat生成index.dat

最后把content.dat和index.dat导入到msg2.0.db文件中。
客户登录QQ,输入密码后,导入成功842个聊天记录。

后来客户又来电话,说不全。
这时从后面两个碎片入手,开始往回推最终到了5008页,发现没有任何目录区指向这个页。假如这个页是客户删除后的内容开始区,把这回的碎片(达到了20个)导出来,重新修复一下index.dat。导入msg2.0.db。
经过奋斗,又恢复了441个聊天记录。

至此,msg2.0的恢复全部完工。

330wang 发表于 2014-7-4 11:27:09

欢迎拍砖。。。。。。

datahdd 发表于 2014-7-4 11:36:45

漂亮 绝对精彩

295482225 发表于 2014-7-4 12:03:16

漂亮 绝对精彩

qq564036242 发表于 2014-7-4 12:26:16

技术经验 看一下

逍遥枷锁 发表于 2014-7-4 13:02:35

谢谢很给力啊

gsjyao 发表于 2014-7-4 13:35:56

很给力

西安零壹 发表于 2014-7-4 14:54:30

谢谢分享,进来看看

wfzxb 发表于 2014-7-4 15:11:52

高手啊。。。。

zhaolim 发表于 2014-7-4 15:27:56

看看学习一下,88888
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: QQ聊天记录MSG2.0.db恢复成功