本文是献给那些手头存有量dat文件嘚人经供参考。 

事情的缘由是很久很久之前在和好友微信聊天好友发了一图片，正看的流口水呢 就突然被撤回了，弄的我是心急火燎的啊  

顺带提一下，那时候用的呢正好用的PC端的微信。我就不信了啊难道被撤回了就一点办法都没有了吗？ 

要知道早在几百年前，就连删除的文件都能恢复就不信找不到一点的蛛丝马迹。。 

如果用手机估计我也没那个闲心去找了，工程量太大对不！

回归正題，我们找蛛丝马迹…… 

凡事自己解决不了的问题我一向是直接问度娘的，自从谷哥弃天朝而去。 

度娘的粉丝是千千万万的，其中搜索到的信息太零碎我就不一一放入参考中，

微信所有发送接收的照片是实实在在存在于我们的电脑中的

所有的照片是经过加密处理的后缀名为**.dat，加密方式：异或

因为什么都没动过那个文件依然躺在那里，但是时间我不确定因为太过久远了。

最近几日为要新装win10，所以重新装了微信然后复制备份dat过去，结果第二次打开微信，什么都没有了

我很庆幸的是，我一直没有更新微信PC端而且我复制了┅堆的dat，哈哈哈哈。 

因为时间不确定我把所有的dat文件都保存了下来，留下的肯定是有用的。

根据【参考1/2】我们发现了微信图片的加密方式：异或加密  

文章中通过发送图片，对比dat文件发现了加密方式：【异或】【加密值：ox51】

但是，我只有加密过后的dat文件啊原图被對方撤回了啊。

保存都没法保存别说是对比了。

文章中的对比方式是用二进制编辑器打开本人在这推荐【010 编辑器】，有脚本功能后續会用上

我没有原图怎么办呢，本人有办法！ 

这是重点要考的哦！不懂的多打开几张，复习下功课就知道了   

大家发现这个dat文件的开头昰【53 74】，结尾是【53 75】是不是和我上面说的【开头FF D8，结束FF D9】几乎是一模一样啊~

我们这里用win10知道的计算器win7也有，切换到【程序员】模式

输叺我们已知的数值【FF】；再输入我们dat文件的开头【53】 

做个简单的草稿纸罗列：

之前大家都说是【异或加密】，给科普下什么是异或加密

相信很简单，对吧算出来了，【Code=】

那这个数值是多少呢我们回到【计算器】，切换到【Bin】输入数值，

做个加密老是换在【参考】中是51，也有14我自己恢复的这个是89，做个是新的样本：AC

知道了加密值知道了解密方法，其他的就好办多了

当然不可能自己一个个计算修改数值，【参考3】中给出了一段代码

我自己对其中的code做了修改就是0x14的地方，修改成0xAC

运行结果如下，以橙色显示修改查看开头【FFD8】

再看看结尾：【FF D9】

不知道微信是不是改版了，目前我试验下来有几点要注意的：

对方发过来图片，当时是可以看到dat文件的但是重新嶊出登录微信之后，dat文件被删除

聊天过程中删除聊天，也是会清空dat文件的

基于以上条件，弄个拦截dat文件的程序是必要的这点【参考3】中已经提及，本人并未测试

恢复照片是可以的，谁也拦不住但是自己看看就可以了，千万别传到不该传的地方保护自己最重要。