QQ聊天记录的文件结构

lyw4682 · 发表于 2010-3-13 09:30:39

近几天对QQ聊天记录的文件结构进行了研究学习。起因是有的朋友需要对聊天记录急需恢复，具体恢复的原因很多，但基于隐私的成分居首，考虑到电子取证的需要，利用几天时间集中学习了一下。

QQ聊天记录都记录在一个文件夹里，QQ2008之前是MsgEx，QQ2009是Msg2.0.它们都采用了复合文档，但是Msg2.0的结构比以前复杂的多。当然这些数据都是加密的，需要解密以后在能正常显示。由于此系统只注重应用，对数据库的设计不是很好，当然数据是有点散乱。此前一位网友说数据都保存在buddy文件夹里，实验发现，当数据超过一定的数量，之后的文件都不保存在这里了。其中一个文件很关键：

登录/注册后可看大图

索引记录都在这里。

说到数据恢复，如果数据在消息框里删除，在不重新写入的情况下，可以恢复。如果删除后马上就写入数据，那么数据彻底消失。