微信数据取证的前置条件是解密微信数据文件和恢复删除的微信数据,鉴于一个微信用户通常还可能使用手机、平板及微机等不同平台登录微信,因此在数据取证过程中还有必要将不同平台下的数据进行整合处理。本文从手机、平板、微机常用操作系统的角度,进行多平台微信数据恢复与分析技术研究。以下是论文主要的工作和贡献:1、针对现有解密方法仅适用于Android平台微信主库以及Windows平台数据库文件的问题,在动静态逆向分析SQLite数据库加密机制的基础上,设计了基于AES算法CBC模式的多平台可迁移解密方法。实验测试表明,本文提出的解密方法可成功实现对Android平台微信主库、索引库、主库预写日志文件、索引库回滚日志文件和Windows平台微信数据库文件的解密。2、针对现有Android微信数据恢复技术恢复率普遍偏低的问题,以及Windows平台微信数据恢复的研究仅针对撤回消息恢复,未涉及删除数据恢复的问题,提出了基于数据库和日志文件双重分析的数据恢复方法。实验结果表明,本文提出的恢复方法,相比现有技术,扩大了微信数据恢复范围,提高了微信数据恢复率,Android平台测试微信数据平均恢复率达到58.3%,Windows平台测试微信数据平均恢复率为11.2%。3、针对Android平台和Windows平台下,同一用户微信数据可能存在交叉及冗余的情况,在完成对两个平台微信数据恢复后,提出了基于KMP算法的多平台微信数据整合处理方法。可实现同一用户在多种平台下的微信记录数据合并、分组、去冗余等整合处理。最终应用效果表明,在保证电子取证过程中证据完整性和可用性的同时,有效减少了重复工作量,提高了取证工作效率。以上方法已应用于一款实际微信数据整合系统,为多例现实案件的线索侦办和证据固定提供了有力的技术支撑。