文章总结： 本文详细解析了安卓微信数据的存储路径与文件结构，重点分析了默认安装目录data/data/com.tencent.mm下的MicroMsg和shared_prefs目录，指出MD5命名目录对应登录账户、EnMicroMsg.db存储加密聊天记录、SnsMicroMsg.db缓存朋友圈数据等关键发现。提供了取证实操建议：忽略无效MD5目录、关注tmpScanLicense中的实名认证图片、通过文件存储位置判断用户预览/保存行为。 综合评分： 85 文章分类： 移动安全,数据安全,应用安全,应急响应,取证分析

经典回顾 | 手机取证之安卓微信数据分布

原创

取证者联盟 取证者联盟

取证者联盟

2026年4月17日 17:21 上海

在小说阅读器读本章

去阅读

一、默认安装路径

众所周知，安卓微信默认安装目录为data/data/com.tencent.mm，这里的com.tencent.mm即为我们常说的包名，第三方分身APP的包名一般不同，比如“双开助手”的包名是com.excelliance.dualaid。该目录中通常存储用户使用微信产生的主要数据，其中以MicroMsg和shared_prefs目录最为重要，下图展现的是com.tencent.mm/MicroMsg目录下的数据分布。

其中以MD5值命名的目录与登录过的微信账户相对应，该MD5值由“mm”和该微信uin拼接后计算得出。图中三组数据中均出现了MD5值为“ee1da3ae2100e09165c2e52382cfe79f”的目录，由于该三部手机不可能有同一微信账号登录，于是笔者重点对此进行分析。通过MD5破解工具获得其对应的明文为“mm-2147483648”，这里的“-2147483648”其实并不是具有实际意义的uin数值，而是int型整数存储的最小数值（即-231），即uin的理论最小值。这个目录中并没有实质性用户数据，取证时可以忽略。

如果在使用微信时上传过用于实名认证的证件照片，则会存储在MicroMsg目录下新生成的tmpScanLicense目录中，为微信取证中确定账号主人的真实身份提供线索。

如果在微信登录中更换过新的头像，则会在MicroMsg目录下存储一个对应的png文件（如上右图片所示）。

下图是微信用户目录（即名称为MD5值的目录）下的数据分布。

其中image2目录存储微信聊天产生的图片，video目录存储相应视频文件，voice2目录则存储相应语音音频文件，安卓语音通常为amr格式。核心文字聊天数据存储在加密的数据库文件EnMicroMsg.db中，收藏内容存储在同样加密的enFavorite.db文件中，缓存在本地的朋友圈内容存储在未加密的SnsMicroMsg.db文件中，上述文件均为SQLite格式。

值得一提的是，微信在升级后会对旧版本EnMicroMsg.db数据进行备份，生成一个新文件EnMicroMsg.db.bak，该文件是压缩并加密的。对该文件进行解析对微信历史记录恢复有着重要意义。（请允许作者先卖个关子，欢迎持续关注后续更新）

com.tencent.mm/shared_prefs目录中存储着大量的xml文件，大部分与微信配置有关，部分文件中存储的信息对于安卓微信取证分析具有一定意义。

其中DENGTA META.xml文件记录着该手机的IMEI和当前微信版本：

system_config_prefs.xml文件记录着当前登录微信的uin：

voip_plugin_prefs.xml文件记录着最近通过voip（即音视频通话）联系的微信账号，如下图所示，wxid_1nma29r0jvnr22为当前账号，Stevenpi和bulebodom为先后通话的好友账号：

 之所以上述3个微信号差别较大，是因为第一个微信号为注册微信账号时默认分配的账号，该账号只有一次自定义修改机会，而后两个账号显然是已经进行了自定义修改。

二、用户数据路径

用户数据目录为/storage/sdcard0/Tencent/MicroMsg，主要存储用户使用微信产生的附属数据，比如Download目录下存储通过微信接收并完成下载的文件；WeiXin目录下存储手动保存的文件，例如长按接收到的图片时选择“保存图片”。

其中以MD5值命名的目录同样与登录过的微信账户相对应，图中显示的数据说明该手机登录过6个账户，这些目录中均包含各自的用户附属数据，但通常没有存储聊天记录的数据库文件。我们关注的聊天产生的图片、视频、音频等多媒体文件点开预览后就分别对应存储在image2、video和voice2目录中。因此，通过判断文件存储于/WeiXin目录及/MD5值/image2目录的情况即可分析出该用户是否有预览和手动保存情况。

下期预告：手机取证之安卓微信加密数据解析

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：取证者联盟 取证者联盟 取证者联盟《经典回顾 | 手机取证之安卓微信数据分布》