ProHoster > Blog > internet nuus > WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

As jy wil weet watter tipe WhatsApp-forensiese artefakte op verskeie bedryfstelsels bestaan ​​en waar hulle presies gevind kan word, dan is jy hier. Met hierdie artikel, 'n spesialis van die Group-IB Computer Forensics Laboratory Igor Mikhailov open 'n reeks plasings oor die forensiese ondersoek van WhatsApp en watter inligting uit die ontleding van die toestel verkry kan word.

Ons merk dadelik op dat verskillende tipes WhatsApp-artefakte in verskillende bedryfstelsels gestoor word, en as 'n navorser sekere soorte WhatsApp-data van een toestel kan onttrek, beteken dit glad nie dat soortgelyke tipes data van 'n ander toestel onttrek kan word nie. Byvoorbeeld, as 'n stelseleenheid met Windows verwyder word, sal WhatsApp-kletse waarskynlik nie op sy dryf gevind word nie (die uitsondering is rugsteunkopieë van iOS-toestelle wat op dieselfde dryf gevind kan word). Wanneer u skootrekenaars en mobiele toestelle beslag gelê, sal daar 'n paar eienaardighede wees. Kom ons praat in meer detail hieroor.

Whatsapp artefakte in 'n Android-toestel

Om WhatsApp-artefakte van 'n Android-toestel te onttrek, moet die navorser wortelregte hê ('wortel') op die toestel wat ondersoek word, of andersins 'n fisiese storting van die toestel se geheue, of sy lêerstelsel kan onttrek (byvoorbeeld deur sagteware-kwesbaarhede in 'n spesifieke mobiele toestel te gebruik).

Toepassinglêers is in die foon se geheue geleë in die afdeling waar gebruikersdata gestoor word. Tipies word hierdie afdeling genoem 'gebruikersdata'. Subgidse en lêers van die program is langs die pad geleë: '/data/data/com.whatsapp/'.

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Die hooflêers wat WhatsApp-forensiese artefakte in Android-bedryfstelsel bevat, is databasisse 'wa.db' и 'msgstore.db'.

In die databasis 'wa.db' bevat 'n volledige lys van die gebruiker se WhatsApp-kontakte, insluitend telefoonnommer, vertoonnaam, tydstempels en enige ander inligting wat verskaf word wanneer jy by WhatsApp registreer. lêer 'wa.db' langs die pad geleë: '/data/data/com.whatsapp/databases/' en het die volgende struktuur:

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Die interessantste tabelle in die databasis 'wa.db' vir die navorser is:

  • 'wa_kontakte'
    Hierdie tabel bevat kontakinligting: WhatsApp-kontak-ID, statusinligting, gebruikervertoonnaam, tydstempels, ens.

    Tafelvoorkoms:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
    Tafelstruktuur

    Veld naam Waarde
    _id rekordnommer (in SQL-tabel)
    jid WhatsApp-kontak-ID, geskryf in die formaat <foonnommer>@s.whatsapp.net
    is_whatsapp_user bevat '1' as die kontak 'n werklike WhatsApp-gebruiker is, '0' anders
    status bevat die teks wat in die kontakstatus vertoon word
    status_tydstempel bevat tydstempel in Unix Epoch Time (ms) formaat
    aantal telefoonnommer wat met die kontak geassosieer word
    rou_kontak_id Kontak nommer
    vertoonnaam kontak vertoon naam
    foontipe foon tipe
    foon_etiket die etiket wat met die kontaknommer geassosieer word
    unseen_msg_count die aantal boodskappe wat deur die kontak gestuur is, maar nie deur die ontvanger gelees is nie
    foto_ts bevat tydstempel in Unix Epoch Time-formaat
    duim_ts bevat tydstempel in Unix Epoch Time-formaat
    foto_id_tydstempel bevat tydstempel in Unix Epoch Time (ms) formaat
    noemnaam veldwaarde pas by 'display_name' vir elke kontak
    wa_naam Whatsapp-kontaknaam (vertoon die naam in die kontak se profiel)
    sorteernaam kontaknaam wat in sorteerbewerkings gebruik word
    bynaam kontak se WhatsApp-bynaam (vertoon die bynaam gespesifiseer in die kontak se profiel)
    maatskappy maatskappy (vertoon die maatskappy wat in die kontak se profiel gelys is)
    titel titel (Mevrou/Mnr.; vertoon die titel wat in die kontak se profiel gekonfigureer is)
    verreken vooroordeel
  • 'sqlite_sequence'
    Hierdie tabel bevat inligting oor die aantal kontakte;
  • 'android_metadata'
    Hierdie tabel bevat inligting oor die taallokalisering van WhatsApp.

In die databasis 'msgstore.db' bevat inligting oor oorgedrade boodskappe, soos kontaknommer, boodskapteks, boodskapstatus, tydstempels, inligting oor oorgedrade lêers wat in boodskappe ingesluit is, ens. lêer 'msgstore.db' langs die pad geleë: '/data/data/com.whatsapp/databases/' en het die volgende struktuur:

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Die interessantste tabelle in die lêer 'msgstore.db' vir die navorser is:

  • 'sqlite_sequence'
    Hierdie tabel bevat algemene inligting oor hierdie databasis, soos die totale aantal boodskappe wat gestoor is, die totale aantal kletse, ensovoorts.

    Tafelvoorkoms:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

  • 'boodskap_fts_inhoud'
    Bevat die teks van die gestuurde boodskappe.

    Tafelvoorkoms:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

  • 'boodskappe'
    Hierdie tabel bevat inligting soos kontaknommer, boodskapteks, boodskapstatus, tydstempels, inligting oor oorgedrade lêers wat in boodskappe ingesluit is.

    Tafelvoorkoms:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
    Tafelstruktuur

    Veld naam Waarde
    _id rekordnommer (in SQL-tabel)
    key_remote_jid Whatsapp ID van kommunikasievennoot
    sleutel_van_my boodskaprigting: '0' – inkomende, '1' – uitgaande
    sleutel_id unieke boodskap identifiseerder
    status boodskapstatus: '0' - afgelewer, '4' - wag op die bediener, '5' - ontvang by bestemming, '6' - beheerboodskap, '13' - boodskap oopgemaak deur ontvanger (lees)
    behoefte_stoot is '2' as dit 'n uitsaaiboodskap is, '0' anders
    data boodskap teks (wanneer 'media_wa_type' '0' is)
    tydstempel 'n tydstempel in Unix Epoch Time (ms)-formaat bevat, word die waarde van die toestelklok geneem
    media_url bevat die URL van die lêer wat oorgedra word (wanneer die 'media_wa_type'-parameter '1', '2', '3' is)
    media_mime_tipe MIME-tipe van die oorgedrade lêer (wanneer die 'media_wa_type'-parameter gelyk is aan '1', '2', '3')
    media_wa_tipe boodskaptipe: '0' - teks, '1' - grafiese lêer, '2' - oudiolêer, '3' - videolêer, '4' - kontakkaart, '5' - geodata
    media_grootte dra lêergrootte oor (wanneer 'media_wa_type' '1', '2', '3' is)
    medianaam lêernaam wat oorgedra moet word (wanneer 'media_wa_type' '1', '2', '3' is)
    media_byskrif Bevat die woorde 'oudio', 'video' vir die ooreenstemmende waardes van die 'media_wa_type'-parameter (wanneer die 'media_wa_type'-parameter gelyk is aan '1', '3')
    media_hash die base64-gekodeerde hash van die versendte lêer bereken met behulp van die HAS-256-algoritme (wanneer die 'media_wa_type'-parameter gelyk is aan '1', '2', '3')
    media_duur duur in sekondes vir die medialêer (wanneer 'media_wa_type' '1', '2', '3' is)
    oorsprong is '2' as dit 'n uitsaaiboodskap is, '0' anders
    breedtegraad geodata: breedtegraad (wanneer 'media_wa_type' '5' is)
    lengtegraad geodata: lengtegraad (wanneer 'media_wa_type' '5' is)
    thumb_image diens inligting
    afgeleë_hulpbron Sender-ID (slegs groepkletse)
    ontvang_tydstempel tyd van ontvangs, 'n tydstempel in Unix Epoch Time (ms)-formaat bevat, word die waarde van die toestel se horlosie geneem (wanneer die 'key_from_me'-parameter '0', '-1' of 'n ander waarde is)
    stuur_tydstempel nie gebruik nie, gewoonlik gestel op '-1'
    kwitansie_bediener_tydstempel tyd wat deur die sentrale bediener ontvang is, 'n tydstempel in die Unix Epoch Time (ms)-formaat bevat, word die waarde van die toestelhorlosie geneem (wanneer die 'key_from_me'-parameter '1', '-1' of 'n ander waarde is
    ontvangste_toestel_tydstempel tyd van ontvangs van die boodskap deur 'n ander intekenaar, 'n tydstempel in die Unix Epoch Time (ms)-formaat bevat, word die waarde van die toestelhorlosie geneem (wanneer die 'key_from_me'-parameter '1', '-1' of 'n ander waarde het
    lees_toestel_tydstempel boodskap oopmaak (lees) tyd, bevat 'n tydstempel in die Unix Epoch Time (ms) formaat, die waarde word van die toestel horlosie geneem
    gespeelde_toestel_tydstempel boodskap speel tyd, bevat 'n tydstempel in die Unix Epoch Time (ms) formaat, die waarde word van die toestel horlosie geneem
    rou_data kleinkiekie van die oorgedra lêer (wanneer die 'media_wa_type'-parameter gelyk is aan '1' of '3')
    ontvanger_telling aantal ontvangers (vir uitsaaiboodskappe)
    deelnemer_hash gebruik wanneer boodskappe met geodata gestuur word
    'n ster nie gebruik nie
    quoted_row_id onbekend, bevat gewoonlik die waarde '0'
    genoem_jids nie gebruik nie
    multicast_id nie gebruik nie
    verreken vooroordeel

    Hierdie lys van velde is nie volledig nie. Vir verskillende weergawes van WhatsApp kan sommige van die velde teenwoordig wees of nie. Bykomende velde kan teenwoordig wees 'media_enc_hash', 'edit_version', 'payment_transaction_id' ens.

  • 'boodskappe_kleinkiekies'
    Hierdie tabel bevat inligting oor oorgedra beelde en tydstempels. Die 'tydstempel'-kolom dui die tyd in Unix Epoch Time (ms)-formaat aan.
  • 'kletslys'
    Hierdie tabel bevat inligting oor kletse.

    Tafelvoorkoms:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

Ook, wanneer u WhatsApp op 'n Android-mobiele toestel ondersoek, moet u aandag gee aan die volgende lêers:

  • lêer 'msgstore.db.cryptXX' (waar XX een of twee syfers van 0 tot 12 is, byvoorbeeld, msgstore.db.crypt12). Bevat 'n geënkripteerde rugsteun van WhatsApp-boodskappe (rugsteunlêer msgstore.db). Lêer (of lêers) 'msgstore.db.cryptXX' langs die pad geleë: '/data/media/0/WhatsApp/Databases/' (virtuele SD-kaart), '/mnt/sdcard/WhatsApp/Databases/ (fisiese SD-kaart)'.
  • lêer 'sleutel'. Bevat 'n kriptografiese sleutel. Geleë langs die pad: '/data/data/com.whatsapp/files/'. Word gebruik om geënkripteerde WhatsApp-rugsteun te dekripteer.
  • lêer 'com.whatsapp_preferences.xml'. Bevat inligting oor die WhatsApp-rekeningprofiel. Die lêer is langs die pad geleë: '/data/data/com.whatsapp/shared_prefs/'.

    Lêerinhoudfragment

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • lêer 'registration.RegisterPhone.xml'. Bevat inligting oor die telefoonnommer wat met die WhatsApp-rekening geassosieer word. Die lêer is langs die pad geleë: '/data/data/com.whatsapp/shared_prefs/'.

    Lêer inhoud 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • lêer 'axolotl.db'. Bevat kriptografiese sleutels en ander data wat nodig is om die rekeningeienaar te identifiseer. Geleë langs die pad: '/data/data/com.whatsapp/databases/'.
  • lêer 'chatsettings.db'. Bevat inligting oor toepassingkonfigurasie.
  • lêer 'wa.db'. Bevat kontakbesonderhede. Baie interessante (in die forensiese aspek) en insiggewende databasis. Gedetailleerde inligting oor geskrap kontakte kan daarin gevind word.

U moet ook aandag gee aan die volgende gidse:

  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Bevat opgelaaide grafiese lêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Bevat stemboodskappe in .OPUS-formaat lêers.
  • Каталог '/data/data/com.whatsapp/cache/Profile Pictures/'. Bevat grafiese lêers - beelde van kontakte.
  • Каталог '/data/data/com.whatsapp/files/Avatars/'. Bevat grafiese lêers - duimnaelbeelde van kontakte. Hierdie lêers het 'n '.j'-uitbreiding, maar is steeds JPEG (JPG) beeldlêers.
  • Каталог '/data/data/com.whatsapp/files/Avatars/'. Bevat grafiese lêers - 'n prent en 'n duimnael van 'n prent wat deur die rekeningeienaar as 'n avatar gestel is.
  • Каталог '/data/data/com.whatsapp/files/Logs/'. Bevat die programbewerkingslogboek (die 'whatsapp.log'-lêer) en rugsteunkopieë van die toepassingsbewerkingslogboeke (lêers met name in die formaat whatsapp-jjjj-mm-dd.1.log.gz).

Whatsapp-loglêers:

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Fragment van 'n tydskrif2017-01-10 09:37:09.757 LL_I D [524:WhatsApp-werker #1] gemiste oproepkennisgewing/inittelling:0 tydstempel:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp-werker #1] gemiste oproepkennisgewing/opdatering kanselleer waar
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] wagwoordlêer ontbreek of onleesbaar
2017-01-10 09:37:09.782 LL_I D [1:main] statistieke Teksboodskappe: 59 gestuur, 82 ontvang / Mediaboodskappe: 1 gestuur (0 grepe), 0 ontvang (9850158 grepe) / Vanlyn boodskappe: 81 ontvang ( 19522 msek gemiddelde vertraging) / Boodskapdiens: 116075 grepe gestuur, 211729 grepe ontvang / Voip-oproepe: 1 uitgaande oproepe, 0 inkomende oproepe, 2492 grepe gestuur, 1530 grepe ontvang / Google Drive: 0 grepe gestuur, 0 grepe 1524 1826: grepe gestuur, 118567 grepe ontvang / Totaal data: 10063417 grepe gestuur, XNUMX grepe ontvang
2017-01-10 09:37:09.785 LL_I D [1:main] media-staat-bestuurder/verfris-media-staat/skryfbare-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialiseer/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/terug/skrap vals
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-joernaal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/weergawe 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | tyd spandeer:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp-werker #3] media-staatbestuurder/verfris-media-staat/interne berging beskikbaar:1,345,622,016 totaal:5,687,922,688

  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Bevat ontvangde oudiolêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Bevat gestuurde oudiolêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Bevat ontvangde grafiese lêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Bevat opgelaaide grafiese lêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Bevat ontvangde videolêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Bevat opgelaaide videolêers.
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp-profielfoto's/'. Bevat beeldlêers wat verband hou met die eienaar van die WhatsApp-rekening.
  • Om spasie op jou Android-slimfoon te bespaar, kan sommige WhatsApp-data op die SD-kaart gestoor word. Op die SD-kaart, in die wortelgids, is daar 'n gids 'whatsapp'waar die volgende artefakte van hierdie program gevind kan word:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

  • Каталог '.Deel' ('/mnt/sdcard/WhatsApp/.Share/'). Bevat afskrifte van lêers wat met ander WhatsApp-gebruikers gedeel is.
  • Каталог '.asblik' ('/mnt/sdcard/WhatsApp/.trash/'). Bevat geskrap lêers.
  • Каталог 'databasisse' ('/mnt/sdcard/WhatsApp/Databases/'). Bevat geënkripteerde rugsteun. Hulle kan gedekripteer word as daar 'n lêer is 'sleutel', onttrek uit die geheue van die geanaliseerde toestel.

    Lêers in 'n subgids 'databasisse':

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?

  • Каталог 'Halfte' ('/mnt/sdcard/WhatsApp/Media/'). Bevat subgidse 'Muurpapier', 'WhatsApp Audio', 'WhatsApp-beelde', 'WhatsApp-profielfoto's', 'whatsapp video', 'WhatsApp Voice Notes', wat ontvang en oorgedra multimedialêers bevat (grafiese lêers, videolêers, stemboodskappe, foto's wat verband hou met die profiel van die eienaar van die WhatsApp-rekening, agtergronde).
  • Каталог 'Profielprente' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Bevat beeldlêers wat verband hou met die profiel van die eienaar van die WhatsApp-rekening.
  • Soms is daar dalk 'n gids op die SD-kaart 'lêers' ('/mnt/sdcard/WhatsApp/Files/'). Hierdie gids bevat lêers wat programinstellings en gebruikervoorkeure stoor.

Kenmerke van databerging in sommige modelle van mobiele toestelle

Sommige modelle van Android-mobiele toestelle kan WhatsApp-artefakte op 'n ander plek stoor. Dit is as gevolg van die verandering in die toepassingsdatabergingspasie deur die stelselsagteware van die mobiele toestel. So, byvoorbeeld, in Xiaomi mobiele toestelle is daar 'n funksie om 'n tweede werkspasie (“SecondSpace”) te skep. Wanneer hierdie funksie geaktiveer word, word die ligging van die data verander. Dus, as in 'n gewone mobiele toestel wat die Android-bedryfstelsel gebruik, word gebruikersdata in die gids gestoor '/data/gebruiker/0/' (wat 'n verwysing na die gewone is '/data/data/'), dan in die tweede werkspasie word toepassingdata in die gids gestoor '/data/gebruiker/10/'. Dit is byvoorbeeld die ligging van die lêer 'wa.db':

  • in 'n gewone slimfoon met Android OS: /data/user/0/com.whatsapp/databases/wa.db' (wat gelykstaande is aan '/data/data/com.whatsapp/databases/wa.db');
  • in die tweede werkspasie van die Xiaomi-slimfoon: '/data/user/10/com.whatsapp/databases/wa.db'.

Whatsapp artefakte op 'n iOS-toestel

Anders as Android-bedryfstelsel, word WhatsApp-data in iOS oorgedra na 'n rugsteunkopie (iTunes-rugsteun). Om data uit hierdie toepassing te onttrek, vereis dus nie die onttrekking van die lêerstelsel of die skep van 'n fisiese geheuestorting van die toestel wat ondersoek word nie. Die meeste van die relevante inligting is in die databasis vervat 'ChatStorage.sqlite', wat langs die pad geleë is: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (in sommige programme word hierdie pad vertoon as 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Struktuur 'ChatStorage.sqlite':

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Die mees insiggewende in die 'ChatStorage.sqlite' databasis is die tabelle 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Tafel voorkoms 'ZWAMESSAGE':

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Tabelstruktuur 'ZWAMESSAGE'

Veld naam Waarde
Z_PK rekordnommer (in SQL-tabel)
Z_ENT tabel identifiseerder, waarde '9'
Z_OPT onbekend, bevat gewoonlik waardes van '1' tot '6'
ZCHILDMESSAGESDELIVEREDCOUNT onbekend, bevat gewoonlik die waarde '0'
ZCHILDMESSAGESPLAYEDCOUNT onbekend, bevat gewoonlik die waarde '0'
ZCHILDMESSAGESREADCOUNT onbekend, bevat gewoonlik die waarde '0'
ZDATAITEMVERSIE onbekend, gewoonlik '3', waarskynlik teksboodskapwyser
ZDOCID is onbekend
ZENCRETRYCOUNT onbekend, bevat gewoonlik die waarde '0'
ZFILTEREDRECIPIENTCOUNT onbekend, bevat gewoonlik die waardes '0', '2', '256'
ZISFROMME boodskaprigting: '0' – inkomende, '1' – uitgaande
ZMESSAGEERRORSTATUS boodskap oordrag status. As die boodskap gestuur/ontvang word, het dit die waarde '0'
ZMESSAGETYPE boodskap tipe
ZSORT is onbekend
ZSPOTLIGHSTATUS is onbekend
ZSTARRED onbekend, nie gebruik nie
ZCHATSESSION is onbekend
ZGROEPLID onbekend, nie gebruik nie
ZLASSESSIE is onbekend
ZMEDIAITEM is onbekend
ZMESSAGEINFO is onbekend
ZOUERBOODSKAP onbekend, nie gebruik nie
ZMESSAGEDATE tydstempel in OS X Epoch Time-formaat
ZSENTDATE die tyd wat die boodskap in OS X Epoch Time-formaat gestuur is
ZFROMJID whatsapp sender ID
ZMEDIASECTIONID bevat die jaar en maand wat die medialêer gestuur is
ZPHASH onbekend, nie gebruik nie
ZPUSHPAME naam van die kontak wat die medialêer in UTF-8-formaat gestuur het
ZSTANZID unieke boodskap identifiseerder
Ztext Boodskap teks
ZTOJID Ontvanger se WhatsApp ID
OFFSET vooroordeel

Tafel voorkoms 'ZWAMEDIAITEM':

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Tabelstruktuur 'ZWAMEDIAITEM'

Veld naam Waarde
Z_PK rekordnommer (in SQL-tabel)
Z_ENT tabel identifiseerder, waarde '8'
Z_OPT onbekend, bevat gewoonlik waardes van '1' tot '3'.
ZCLOUDSTATUS bevat die waarde '4' as die lêer gelaai is.
ZFILEGROOTTE bevat die lêerlengte (in grepe) vir opgelaaide lêers
ZMEDIAORIGIN onbekend, gewoonlik '0'
ZMOVIEDURATION duur van die medialêer, vir pdf-lêers kan dit die aantal bladsye van die dokument bevat
ZBOODSKAP bevat 'n rynommer (die nommer verskil van die een gespesifiseer in die 'Z_PK'-kolom)
ZASPEKTRASIE aspekverhouding, nie gebruik nie, gewoonlik op '0' gestel
ZHAARHEID onbekend, gewoonlik '0'
ZLATTITUDE breedte in pixels
ZLONGTITUDE hoogte in pixels
ZMEDIAURLDATE tydstempel in OS X Epoch Time-formaat
ZAUTHORNAME outeur (vir dokumente, kan lêernaam bevat)
ZCOLLECTIONNAME nie gebruik nie
ZMEDIALOCALPATH lêernaam (met pad) in die toestel se lêerstelsel
ZMEDIAURL Die URL waar die medialêer geleë was. As die lêer van een intekenaar na 'n ander oorgedra is, is dit geïnkripteer, en die uitbreiding daarvan sal aangedui word as die uitbreiding van die oorgeplaasde lêer - .enc
ZTHUMBNAILLOCALPATH pad na die lêer-kleinkiekie in die toestel se lêerstelsel
ZTITLE lêer opskrif
ZVCARDNAME hash van die medialêer, wanneer 'n lêer na 'n groep oorgedra word, kan dit die sender se identifiseerder bevat
ZVCARDSTRING bevat inligting oor die tipe lêer wat oorgedra word (byvoorbeeld beeld/jpeg); wanneer 'n lêer na 'n groep oorgedra word, kan dit die ontvanger-identifiseerder bevat
ZXMPPTHUMBPATH pad na die lêer-kleinkiekie in die toestel se lêerstelsel
ZMEDIAKEY onbekend, bevat waarskynlik die sleutel om die geënkripteerde lêer te dekripteer.
ZMETADATA boodskap metadata
Afset vooroordeel

Ander interessante databasistabelle 'ChatStorage.sqlite' Hulle is:

  • 'ZWAPROFILEPUSHNAME'. Kom ooreen met WhatsApp ID met die naam van die kontak;
  • 'ZWAPROFILEPICTUREITEM'. Kom ooreen met WhatsApp ID met die kontak se avatar;
  • 'Z_PRIMARYKEY'. Die tabel bevat algemene inligting oor hierdie databasis, soos die totale aantal gestoorde boodskappe, die totale aantal kletse, ensovoorts.

Ook, wanneer u WhatsApp op 'n mobiele toestel met iOS ondersoek, moet u aandag gee aan die volgende lêers:

  • lêer 'BackedUpKeyValue.sqlite'. Bevat kriptografiese sleutels en ander data wat nodig is om die rekeningeienaar te identifiseer. Geleë langs die pad: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • lêer 'ContactsV2.sqlite'. Bevat inligting oor die gebruiker se kontakte, soos volle naam, telefoonnommer, kontakstatus (as teks), WhatsApp ID, ens. Geleë langs die pad: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • lêer 'verbruiker_weergawe'. Bevat die weergawenommer van die geïnstalleerde WhatsApp-toepassing. Geleë langs die pad: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • lêer 'current_wallpaper.jpg'. Bevat die huidige WhatsApp-agtergrondpapier. Geleë langs die pad: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Ou weergawes van die toepassing gebruik die lêer 'muurpapier', wat langs die pad geleë is: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • lêer 'blockedcontacts.dat'. Bevat inligting oor geblokkeerde kontakte. Geleë langs die pad: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • lêer 'pw.dat'. Bevat 'n geënkripteerde wagwoord. Geleë langs die pad: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • lêer 'net.whatsapp.whatsapp.plist' (of lêer 'group.net.whatsapp.whatsapp.shared.plist'). Bevat inligting oor die WhatsApp-rekeningprofiel. Die lêer is langs die pad geleë: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Inhoud van 'group.net.whatsapp.WhatsApp.shared.plist'-lêer WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
U moet ook aandag gee aan die volgende gidse:

  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Bevat duimnaels van kontakte, groepe (lêers met uitbreiding .duim), kontak avatars, WhatsApp rekening eienaar avatar (lêer 'Photo.jpg').
  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Bevat multimedialêers en hul duimnaels
  • Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Bevat die programbewerkingslogboek (lêer 'oproepe.log') en rugsteunkopieë van die programoperasielogboeke (lêer 'calls.backup.log').
  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Bevat plakkers (lêers in '.webp').
  • Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Bevat program operasie logs.

Whatsapp artefakte op Windows

WhatsApp-artefakte op Windows kan op verskeie plekke gevind word. Eerstens is dit die gidse wat die uitvoerbare en hulplêers van die program bevat (vir Windows 8/10):

  • 'C:Program Files (x86)Whatsapp'
  • 'C:Gebruikers%Gebruikersprofiel%AppDataLocalWhatsApp'
  • 'C:Users%User profile% AppDataLocalVirtualStore-programlêers (x86)WhatsApp'

In die katalogus 'C:Gebruikers%Gebruikersprofiel%AppDataLocalWhatsApp' loglêer is geleë 'SquirrelSetup.log', wat inligting bevat oor die soek na opdaterings en die installering van die program.

In die katalogus 'C:Gebruikers%Gebruikersprofiel%AppDataRoamingWhatsApp' daar is verskeie subgidse:

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
lêer 'hoofproses.log' bevat inligting oor die werking van WhatsApp.

Subgids 'databasisse' lêer bevat 'databases.db', maar hierdie lêer bevat geen inligting oor kletse of kontakte nie.

Die interessantste uit 'n forensiese oogpunt is die lêers wat in die gids geleë is 'kas'. Basies is dit lêers met name 'f*******' (waar * 'n getal van 0 tot 9 is) wat geënkripteerde medialêers en dokumente bevat, maar daar is ook ongeënkripteerde lêers tussen hulle. Lêers van besondere belang 'data_0', 'data_1', 'data_2', 'data_3'geleë in dieselfde subgids. Lêers 'data_0', 'data_1', 'data_3' bevat eksterne skakels na versend geënkripteerde multimedia lêers en dokumente.

'n Voorbeeld van die inligting vervat in die lêer 'data_1'WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Lêer ook 'data_3' kan grafiese lêers bevat.

lêer 'data_2' bevat kontakavatars (kan herwin word deur deur lêertitels te soek).

Avatars vervat in die lêer 'data_2':

WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
Geselsies self kan dus nie in die rekenaargeheue gevind word nie, maar jy kan vind:

  • multimedia lêers;
  • dokumente wat per WhatsApp oorgedra word;
  • rekeninghouer se kontakinligting.

Whatsapp artefakte op MacOS

Op MacOS kan jy soorte WhatsApp-artefakte vind soortgelyk aan dié wat op Windows gevind word.

Die programlêers is in die volgende gidse geleë:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Toepassings._WhatsApp.app'
  • 'C:Gebruikers%Gebruikersprofiel%Biblioteekvoorkeure'
  • 'C:Gebruikers%Gebruikersprofiel%LibraryLogsWhatsApp'
  • 'C:Gebruikers%Gebruikersprofiel%BiblioteekGestoorde toepassingstaatWhatsApp.savedState'
  • 'C:Users%User profile%LibraryApplicationScripts'
  • 'C:Gebruikers%Gebruikersprofiel%LibraryApplication SupportCloudDocs'
  • 'C:Gebruikers%Gebruikersprofiel%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Gebruikers%Gebruikersprofiel% Biblioteek Mobiele dokumente <teksveranderlike> WhatsApp-rekeninge'
    Hierdie gids bevat subgidse waarvan die name die telefoonnommers is wat met die eienaar van die WhatsApp-rekening geassosieer word.
  • 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
    Hierdie gids bevat inligting oor die installering van die program.
  • 'C:Gebruikers%Gebruikersprofiel%Pictures iPhoto Library.photolibraryMasters', 'C:Gebruikers%Gebruikersprofiel%Pictures iPhoto Library.photolibraryThumbnails'
    Hierdie gidse bevat die program se dienslêers, insluitend foto's en duimnaels van WhatsApp-kontakte.
  • 'C:Gebruikers%Gebruikersprofiel%LibraryCachesWhatsApp'
    Hierdie gids bevat verskeie SQLite-databasisse wat vir datakas gebruik word.
  • 'C:Gebruikers%Gebruikersprofiel%LibraryApplication SupportWhatsApp'
    Hierdie gids bevat verskeie subgidse:

    WhatsApp in die palm van jou hand: waar en hoe kan jy forensiese artefakte vind?
    In die katalogus 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' daar is lêers 'data_0', 'data_1', 'data_2', 'data_3' en lêers genoem 'f*******' (waar * 'n getal tussen 0 en 9 is). Vir inligting oor watter inligting hierdie lêers bevat, sien WhatsApp Artifacts op Windows.

    In die katalogus 'C:Gebruikers%Gebruikersprofiel%LibraryApplication SupportWhatsAppIndexedDB' kan multimedialêers bevat (lêers het nie uitbreidings nie).

    lêer 'hoofproses.log' bevat inligting oor die werking van WhatsApp.

bronne

  1. Forensiese ontleding van WhatsApp Messenger op Android-slimfone, deur Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasie-stelsel gebruik en basisdata vir Android en iOS deur Ahmad Pratama, 2014.

In die volgende artikels in hierdie reeks:

Dekripsie van geïnkripteer WhatsApp-databasisse'n Artikel wat inligting sal verskaf oor hoe die WhatsApp-enkripsiesleutel gegenereer word, en praktiese voorbeelde gee wat wys hoe om die geënkripteerde basisse van hierdie toepassing te dekripteer.
Onttrek WhatsApp-data uit wolkberging'n Artikel waarin ons sal verduidelik watter WhatsApp-data in die wolke gestoor word en metodes beskryf om hierdie data uit wolkberging te onttrek.
WhatsApp-data-onttrekking: praktiese voorbeelde'n Artikel wat stap vir stap sal beskryf watter programme en hoe om WhatsApp-data van verskillende toestelle te onttrek.

Bron: will.com

Voeg 'n opmerking