手机 QQ2009 与手机 QQ2010 的聊天记录文件结构是一模一样的,就连存储在手机磁盘中的位置也是一样的。

笔者诺基亚智能手机(Symbian S60 V3)为例,解读手机 QQ 在手机中存储的聊天记录文件的具体结构及其提取导出方法。

找到手机中的 QQ 聊天记录文件,路径一般为:C:\System\data\Tencent\QQ\我方QQ号码\对方QQ号码\msg.info

每条消息以一段数据出现,其一般格式为:

  • 发送消息:A8 XX SS SS SS SS 00 00 00 00 00 00 80 {DD .. .. DD} A8 XX
  • 接收消息:A8 XX SS SS SS SS 00 00 00 00 00 00 00 {DD .. .. DD} A8 XX

每一条完整的消息,以“A8 XX”(XX是随机的)开头,并以其结尾,“A8 XX”后的四位数“SS SS SS SS”是时间数据(换算成十进制数是 Unix 时间戳,可转换成常规的时间格式),时间数据后是六位零数据数,其后紧跟的一位数决定消息的发送与接收(80为发送,00为接收),然后便是消息内容数据(以 UTF-16 格式存储)。

我们先看一段聊天记录(其中蓝色字为手机端):

手机 QQ 聊天记录分析提取

其对应的记录文件的十六进制编辑如下图所示:

手机 QQ 聊天记录分析提取

案例文件结构具体分析:

手机 QQ 聊天记录分析提取

至于提取导出的方法,读者可以自行到网上搜索,本文将不再一一阐述。