ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

በተለያዩ ኦፕሬቲንግ ሲስተሞች ላይ ምን አይነት የዋትስአፕ ፎረንሲክ ቅርሶች እንዳሉ እና በትክክል የት እንደሚገኙ ማወቅ ከፈለጉ እዚህ ነዎት። በዚህ ጽሑፍ ፣ የቡድን-IB የኮምፒተር ፎረንሲክስ ላብራቶሪ ልዩ ባለሙያ Igor Mikhailov ስለ WhatsApp ፎረንሲክ ምርመራ እና ከመሳሪያው ትንታኔ ምን መረጃ ሊገኝ እንደሚችል ተከታታይ ጽሁፎችን ይከፍታል።

የተለያዩ የዋትስአፕ ቅርሶች በተለያዩ ኦፕሬቲንግ ሲስተሞች ውስጥ እንደሚቀመጡ እና ተመራማሪው የተወሰኑ የዋትስአፕ ዳታዎችን ከአንድ መሳሪያ ማውጣት ከቻለ ይህ ማለት በፍፁም ተመሳሳይ የመረጃ አይነቶች ከሌላ መሳሪያ ሊወጣ ይችላል ማለት እንዳልሆነ እናስተውላለን። ለምሳሌ ዊንዶውስ የሚያስኬድ የሲስተም አሃድ ከተወገደ የዋትስአፕ ቻቶች ምናልባት በሾፌሮቹ ላይ ላይገኙ ይችላሉ (ልዩነቱ በተመሳሳዩ ድራይቮች ላይ ሊገኙ የሚችሉ የ iOS መሳሪያዎች መጠባበቂያ ቅጂዎች ናቸው)። ላፕቶፖችን እና ሞባይል መሳሪያዎችን በሚይዙበት ጊዜ, አንዳንድ ልዩ ነገሮች ይኖራሉ. ስለዚህ ጉዳይ በበለጠ ዝርዝር እንነጋገር.

በአንድሮይድ መሳሪያ ውስጥ የዋትስአፕ ቅርሶች

የዋትስአፕ ቅርሶችን ከአንድሮይድ መሳሪያ ለማውጣት፣ተመራማሪው የስር መብቶች ሊኖራቸው ይገባል('ሥር') በምርመራ ላይ ባለው መሳሪያ ላይ ወይም በሌላ መልኩ የመሳሪያውን ማህደረ ትውስታ ወይም የፋይል ስርዓቱን (ለምሳሌ በአንድ የተወሰነ ተንቀሳቃሽ መሳሪያ ላይ ያሉ የሶፍትዌር ተጋላጭነቶችን በመጠቀም) ማውጣት ይችላል።

የመተግበሪያ ፋይሎች የተጠቃሚ ውሂብ በሚቀመጥበት ክፍል ውስጥ በስልኩ ማህደረ ትውስታ ውስጥ ይገኛሉ። በተለምዶ ይህ ክፍል ተሰይሟል 'userdata'. የፕሮግራሙ ንዑስ ማውጫዎች እና ፋይሎች በመንገዱ ላይ ይገኛሉ፡- '/data/data/com.whatsapp/'.

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
በአንድሮይድ ኦኤስ ውስጥ የዋትስአፕ ፎረንሲክ ቅርሶችን ያካተቱ ዋና ፋይሎች ዳታቤዝ ናቸው። 'ዋ.ዲቢ' и 'msgstore.db'.

በመረጃ ቋቱ ውስጥ 'ዋ.ዲቢ' የስልክ ቁጥር፣ የማሳያ ስም፣ የጊዜ ማህተም እና በዋትስአፕ ሲመዘገቡ የሚቀርቡ ሌሎች መረጃዎችን ጨምሮ የተጠቃሚውን የዋትስአፕ አድራሻዎች ሙሉ ዝርዝር ይዟል። ፋይል 'ዋ.ዲቢ' በመንገዱ ላይ የሚገኝ; '/data/data/com.whatsapp/databases/' እና የሚከተለው መዋቅር አለው:

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
በመረጃ ቋቱ ውስጥ በጣም የሚስቡ ሠንጠረዦች 'ዋ.ዲቢ' ለተመራማሪው፡-

  • 'የዋ_እውቂያዎች'
    ይህ ሠንጠረዥ የእውቂያ መረጃን ይዟል፡የዋትስአፕ አድራሻ መታወቂያ፣ሁኔታ መረጃ፣የተጠቃሚ ማሳያ ስም፣የጊዜ ማህተሞች፣ወዘተ።

    የጠረጴዛ መልክ፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
    የጠረጴዛ መዋቅር

    የመስክ ስም ዋጋ
    _መታወቂያ የመዝገብ ቁጥር (በ SQL ሰንጠረዥ)
    ኢድ የዋትስአፕ አድራሻ መታወቂያ፣ በ<ስልክ ቁጥር>@s.whatsapp.net ቅርጸት የተፃፈ
    የዋትስአፕ_ተጠቃሚ ነው። እውቂያው ትክክለኛ የዋትስአፕ ተጠቃሚ ከሆነ ‹1› ይይዛል፣ ካልሆነ ‹0›
    ሁናቴ በእውቂያ ሁኔታ ውስጥ የሚታየውን ጽሑፍ ይዟል
    የሁኔታ_ጊዜ ማህተም የጊዜ ማህተም በ Unix Epoch Time (ms) ቅርጸት ይዟል
    ቁጥር ከእውቂያው ጋር የተያያዘ ስልክ ቁጥር
    ጥሬ_የእውቂያ_መታወቂያ የእውቂያ ቁጥር
    መጠሪያው ስም የእውቂያ ማሳያ ስም
    የስልክ አይነት የስልክ ዓይነት
    የስልክ መለያ ከእውቂያ ቁጥሩ ጋር የተያያዘው መለያ
    የማይታይ_msg_count በእውቂያው የተላኩ ነገር ግን በተቀባዩ ያልተነበቡ የመልእክቶች ብዛት
    ፎቶ_ቶች የጊዜ ማህተም በዩኒክስ ኢፖክ ጊዜ ቅርጸት ይዟል
    አውራ ጣት የጊዜ ማህተም በዩኒክስ ኢፖክ ጊዜ ቅርጸት ይዟል
    የፎቶ_መታወቂያ_ጊዜ ማህተም የጊዜ ማህተም በ Unix Epoch Time (ms) ቅርጸት ይዟል
    የተሰጠ ስም የመስክ ዋጋ ለእያንዳንዱ እውቂያ 'display_name' ጋር ይዛመዳል
    ዋ_ስም የ WhatsApp አድራሻ ስም (በእውቂያው መገለጫ ውስጥ ያለውን ስም ያሳያል)
    ደርድር_ስም የእውቂያ ስም በመደርደር ላይ ጥቅም ላይ ይውላል
    ቅጽል ስም የእውቂያ WhatsApp ቅጽል ስም (በእውቂያው መገለጫ ውስጥ የተገለጸውን ቅጽል ስም ያሳያል)
    ኩባንያ ኩባንያ (በእውቂያው መገለጫ ውስጥ የተዘረዘሩትን ኩባንያ ያሳያል)
    አርእስት ርዕስ (እመቤት/አቶ፣ በእውቂያው መገለጫ ውስጥ የተዋቀረውን ርዕስ ያሳያል)
    ማካካሻ አድሏዊነት
  • 'sqlite_ቅደም ተከተል'
    ይህ ሰንጠረዥ ስለ እውቂያዎች ብዛት መረጃ ይዟል;
  • 'android_ሜታዳታ'
    ይህ ሰንጠረዥ ስለ WhatsApp የቋንቋ አካባቢያዊነት መረጃ ይዟል።

በመረጃ ቋቱ ውስጥ 'msgstore.db' እንደ የእውቂያ ቁጥር፣ የመልእክት ጽሁፍ፣ የመልእክት ሁኔታ፣ የጊዜ ማህተም፣ በመልእክቶች ውስጥ ስለተካተቱት የተዘዋወሩ ፋይሎች መረጃ፣ ወዘተ የመሳሰሉ ስለተተላለፉ መልዕክቶች መረጃ ይዟል። ፋይል 'msgstore.db' በመንገዱ ላይ የሚገኝ; '/data/data/com.whatsapp/databases/' እና የሚከተለው መዋቅር አለው:

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
በፋይሉ ውስጥ በጣም የሚስቡ ሠንጠረዦች 'msgstore.db' ለተመራማሪው፡-

  • 'sqlite_ቅደም ተከተል'
    ይህ ሠንጠረዥ ስለዚህ የውሂብ ጎታ አጠቃላይ መረጃ ለምሳሌ የተከማቹ መልዕክቶች ጠቅላላ ቁጥር፣ አጠቃላይ የውይይት ብዛት እና የመሳሰሉትን ይዟል።

    የጠረጴዛ መልክ፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

  • 'የመልእክት_fts_ይዘት'
    የተላኩትን መልእክቶች ጽሁፍ ይዟል።

    የጠረጴዛ መልክ፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

  • 'መልእክቶች'
    ይህ ሠንጠረዥ እንደ የእውቂያ ቁጥር፣ የመልእክት ጽሁፍ፣ የመልእክት ሁኔታ፣ የጊዜ ማህተሞች፣ በመልእክቶች ውስጥ ስለተካተቱ የተዘዋወሩ ፋይሎች መረጃን ይዟል።

    የጠረጴዛ መልክ፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
    የጠረጴዛ መዋቅር

    የመስክ ስም ዋጋ
    _መታወቂያ የመዝገብ ቁጥር (በ SQL ሰንጠረዥ)
    ቁልፍ_ርቀት_ጂድ የ WhatsApp የግንኙነት አጋር መታወቂያ
    ቁልፍ_ከኔ የመልእክት አቅጣጫ፡ '0' - ገቢ፣ '1' - ወጪ
    ቁልፍ_መታወቂያ ልዩ መልእክት መለያ
    ሁናቴ የመልእክት ሁኔታ፡- '0' - ደረሰ፣ '4' - በአገልጋዩ ላይ መጠበቅ፣ '5' - በመድረሻ ደረሰኝ፣ '6' - የቁጥጥር መልእክት፣ '13' - በተቀባዩ የተከፈተ መልእክት (አንብብ)
    መግፋት ያስፈልጋል የብሮድካስት መልእክት ከሆነ '2' ነው፣ ካልሆነ '0'
    መረጃ የመልእክት ጽሑፍ ('ሚዲያ_ዋ_አይነት' '0' ሲሆን)
    ማህተም የጊዜ ማህተም በዩኒክስ ኢፖክ ጊዜ (ms) ቅርጸት ይዟል፣ እሴቱ ከመሳሪያው ሰዓት ይወሰዳል
    ሚዲያ_ዩአርኤል የሚተላለፈው ፋይል ዩአርኤል ይዟል ('ሚዲያ_ዋ_አይነት' መለኪያ '1'፣ '2'፣ '3' ሲሆን)
    የሚዲያ_ሚም_አይነት የተላለፈው ፋይል MIME አይነት ('ሚዲያ_ዋ_አይነት' መለኪያ ከ'1'፣ '2'፣ '3' ጋር እኩል ሲሆን)
    የሚዲያ_ዋ_አይነት የመልእክት አይነት፡ '0' - ጽሑፍ፣ '1' - ግራፊክ ፋይል፣ '2' - የድምጽ ፋይል፣ '3' - የቪዲዮ ፋይል፣ '4' - የእውቂያ ካርድ፣ '5' - ጂኦዳታ
    የሚዲያ_መጠን የፋይል መጠን ማስተላለፍ ('ሚዲያ_ዋ_አይነት' '1'፣ '2'፣ '3' ሲሆን)
    የሚዲያ_ስም የሚተላለፍ የፋይል ስም ('media_wa_type' '1', '2', '3' ሲሆን)
    ሚዲያ_መግለጫ ለ'ሚዲያ_ዋ_አይነት' መለኪያ (የ"ሚዲያ_ዋ_አይነት" መለኪያ ከ'1'፣ '3' ጋር እኩል ሲሆን) 'ድምጽ'፣ 'ቪዲዮ' የሚሉትን ቃላት ይዟል።
    ሚዲያ_ሀሽ HAS-64 ስልተ ቀመር በመጠቀም የሚሰላው የተላለፈው ፋይል base256 ኮድ (የ"ሚዲያ_ዋ_አይነት" መለኪያ ከ'1'፣ '2'፣ '3' ጋር እኩል ሲሆን)
    የሚዲያ_ቆይታ የሚዲያ ፋይሉ በሰከንዶች ውስጥ የሚቆይ ጊዜ ('media_wa_type' '1'፣ '2'፣ '3' ሲሆን)
    ምንጭ የብሮድካስት መልእክት ከሆነ '2' ነው፣ ካልሆነ '0'
    ኬክሮስ ጂኦዳታ፡ ኬክሮስ ('ሚዲያ_ዋ_አይነት' '5' ሲሆን)
    ኬንትሮስ ጂኦዳታ፡ ኬንትሮስ ('ሚዲያ_ዋ_አይነት''5' ሲሆን)
    አውራ ጣት ምስል የአገልግሎት መረጃ
    የርቀት_ሃብት የላኪ መታወቂያ (የቡድን ውይይት ብቻ)
    የተቀበለው_የጊዜ ማህተም የመቀበያ ጊዜ፣ የጊዜ ማህተም በዩኒክስ ኢፖች ሰዓት (ኤምኤስ) ቅርጸት ይይዛል፣ እሴቱ ከመሳሪያው ሰዓት ይወሰዳል (የ«ቁልፍ_from_me» ግቤት '0'፣ '-1' ወይም ሌላ እሴት ሲሆን)
    የሰዓት ማህተም ላክ ጥቅም ላይ ያልዋለ፣ ብዙውን ጊዜ ወደ '-1' ተቀናብሯል
    ደረሰኝ_የአገልጋይ_ጊዜ ማህተም በማዕከላዊ አገልጋዩ የተቀበለው ጊዜ፣ በዩኒክስ ኢፖክ ታይም (ms) ቅርጸት የሰዓት ማህተም ይይዛል፣ እሴቱ ከመሳሪያው ሰዓት ይወሰዳል (የ«ቁልፍ_from_me» ግቤት '1'፣ '-1' ወይም ሌላ እሴት ሲሆን
    ደረሰኝ_የመሣሪያ_ጊዜ ማህተም በሌላ ተመዝጋቢ መልእክቱን የተቀበለበት ጊዜ፣ በዩኒክስ ኢፖክ ሰዓት (ms) ቅርጸት የሰዓት ማህተም ይይዛል፣ እሴቱ የሚወሰደው ከመሳሪያው ሰዓት ነው (የ‹key_from_me› ግቤት '1'፣ '-1' ወይም ሌላ እሴት ሲኖረው
    የመሣሪያ_ጊዜ ማህተም አንብብ የመልእክት መክፈቻ (ንባብ) ጊዜ፣ የጊዜ ማህተም በዩኒክስ ኢፖክ ሰዓት (ኤምኤስ) ቅርጸት ይዟል፣ እሴቱ ከመሳሪያው ሰዓት ይወሰዳል።
    የተጫወተው_መሣሪያ_ጊዜ ማህተም የመልእክት መልሶ ማጫወት ጊዜ፣ የጊዜ ማህተም በዩኒክስ ኢፖክ ሰዓት (ሚሴ) ቅርጸት ይዟል፣ እሴቱ ከመሳሪያው ሰዓት ይወሰዳል።
    ጥሬ ውሂብ የተላለፈው ፋይል ድንክዬ (የ'ሚዲያ_ዋ_አይነት' ግቤት ከ'1' ወይም '3' ጋር እኩል ሲሆን)
    የተቀባይ_ቁጥር የተቀባዮች ብዛት (ለስርጭት መልእክቶች)
    ተሳታፊ_ሀሽ ከጂኦዳታ ጋር መልዕክቶችን ሲልኩ ጥቅም ላይ ይውላል
    ኮከብ የተደረገባቸው ጥቅም ላይ አልዋለም
    የተጠቀሰው_ረድፍ_መታወቂያ ያልታወቀ፣ አብዛኛውን ጊዜ '0' እሴት ይይዛል
    የተጠቀሰው_ጂድስ ጥቅም ላይ አልዋለም
    multicast_id ጥቅም ላይ አልዋለም
    ማካካሻ አድሏዊነት

    ይህ የመስኮች ዝርዝር ሙሉ በሙሉ አይደለም. ለተለያዩ የዋትስአፕ ስሪቶች አንዳንድ መስኮች ሊኖሩም ላይገኙም ይችላሉ። ተጨማሪ መስኮች ሊኖሩ ይችላሉ። 'ሚዲያ_ኢንክ_ሃሽ', 'አርትዕ_ስሪት', 'የክፍያ_ግብይት_መታወቂያ' እና የመሳሰሉት.

  • 'መልእክቶች_ድንክዬዎች'
    ይህ ሰንጠረዥ ስለ ተላልፈዋል ምስሎች እና የጊዜ ማህተሞች መረጃ ይዟል። የ'የጊዜ ማህተም' አምድ በዩኒክስ ኢፖክ ሰዓት (ms) ቅርጸት ያለውን ጊዜ ያሳያል።
  • 'ቻት_ዝርዝር'
    ይህ ሰንጠረዥ ስለ ቻቶች መረጃ ይዟል።

    የጠረጴዛ መልክ፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

እንዲሁም በአንድሮይድ ሞባይል መሳሪያ ላይ ዋትስአፕን ስትመረምር ለሚከተሉት ፋይሎች ትኩረት መስጠት አለብህ።

  • ፋይል 'msgstore.db.cryptXX' (XX አንድ ወይም ሁለት አሃዞች ከ 0 እስከ 12፣ ለምሳሌ msgstore.db.crypt12)። የተመሰጠረ የዋትስአፕ መልእክቶችን (የምትኬ ፋይል) ይይዛል msgstore.db). ፋይል (ወይም ፋይሎች) 'msgstore.db.cryptXX' በመንገዱ ላይ የሚገኝ; '/ዳታ/ሚዲያ/0/ዋትስአፕ/ዳታቤዝ/' (ምናባዊ ኤስዲ ካርድ)፣ '/mnt/sdcard/ዋትስአፕ/ዳታቤዝ/ (አካላዊ ኤስዲ ካርድ)'
  • ፋይል 'ቁልፍ'. ክሪፕቶግራፊክ ቁልፍ ይዟል። በመንገዱ ላይ የሚገኝ፡- '/data/data/com.whatsapp/ፋይሎች/'. ኢንክሪፕት የተደረጉ የዋትስአፕ ምትኬዎችን ለመፍታት ይጠቅማል።
  • ፋይል 'com.whatsapp_preferences.xml'. ሾለ WhatsApp መለያ መገለጫ መረጃ ይዟል። ፋይሉ በመንገዱ ላይ ይገኛል፡- '/data/data/com.whatsapp/shared_prefs/'.

    የፋይል ይዘት ቁርጥራጭ

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • ፋይል 'registration.registerPhone.xml'. ከ WhatsApp መለያ ጋር ስለተገናኘው የስልክ ቁጥር መረጃ ይዟል። ፋይሉ በመንገዱ ላይ ይገኛል፡- '/data/data/com.whatsapp/shared_prefs/'.

    ይዘቶችን ፋይል ያድርጉ 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • ፋይል 'axolotl.db'. የመለያውን ባለቤት ለመለየት አስፈላጊ የሆኑ ምስጢራዊ ቁልፎችን እና ሌሎች መረጃዎችን ይዟል። በመንገዱ ላይ የሚገኝ፡- '/data/data/com.whatsapp/databases/'.
  • ፋይል 'chattsettings.db'. የመተግበሪያ ውቅር መረጃ ይዟል።
  • ፋይል 'ዋ.ዲቢ'. የእውቂያ ዝርዝሮችን ይዟል። በጣም አስደሳች (በፎረንሲክ ገጽታ) እና መረጃ ሰጭ የውሂብ ጎታ. ሾለ ተሰረዙ እውቂያዎች ዝርዝር መረጃ በእሱ ውስጥ ሊገኝ ይችላል.

እንዲሁም ለሚከተሉት ማውጫዎች ትኩረት መስጠት አለብዎት:

  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ምስሎች/'. የተሰቀሉ ግራፊክ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ የድምጽ ማስታወሻዎች/'. የድምጽ መልዕክቶችን በ OPUS ቅርጸት ይዟል።
  • ማውጫ '/data/data/com.whatsapp/cache/የመገለጫ ሥዕሎች/'. ግራፊክ ፋይሎችን ይዟል - የእውቂያዎች ምስሎች.
  • ማውጫ '/data/data/com.whatsapp/files/Avatars/'. ግራፊክ ፋይሎችን ይዟል - የእውቂያዎች ድንክዬ ምስሎች። እነዚህ ፋይሎች የ'.j' ቅጥያ አላቸው፣ ግን አሁንም JPEG (JPG) ምስል ፋይሎች ናቸው።
  • ማውጫ '/data/data/com.whatsapp/files/Avatars/'. ግራፊክ ፋይሎችን ይይዛል - በመለያው ባለቤት እንደ አምሳያ የተቀናበረ የምስል ምስል እና ድንክዬ።
  • ማውጫ '/data/data/com.whatsapp/files/Logs/'. የፕሮግራም ኦፕሬሽን ሎግ ('whatsapp.log' ፋይል) እና የመተግበሪያው ኦፕሬሽን ምዝግብ ማስታወሻ ቅጂዎች (ስም ያላቸው ፋይሎች በ whatsapp-yyyy-mm-dd.1.log.gz) ይዟል።

የ WhatsApp ሎግ ፋይሎች

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
የመጽሔት ቁራጭ2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] ያመለጠ የጥሪ ማስታወቂያ/የመግቢያ ብዛት፡0 ጊዜ ማህተም፡0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] ያመለጠ የጥሪ ማስታወቂያ/ዝማኔ ተሰርዟል
2017-01-10 09:37:09.768 LL_I D [1:ዋና] አፕ-ኢኒት/ጫን-እኔ
2017-01-10 09:37:09.772 LL_I D [1: ዋና] የይለፍ ቃል ፋይሉ ይጎድላል ​​ወይም የማይነበብ
2017-01-10 09:37:09.782 LL_I D [1: ዋና] ስታቲስቲክስ የጽሑፍ መልዕክቶች: 59 ተልኳል, 82 ተቀብለዋል / የሚዲያ መልዕክቶች: 1 የተላከ (0 ባይት), 0 ተቀብለዋል (9850158 ባይት) / ከመስመር ውጭ መልዕክቶች: 81 ተቀብለዋል ( 19522 ሚሴኮንድ አማካይ መዘግየት) / የመልእክት አገልግሎት፡ 116075 ባይት ተልኳል፣ 211729 ባይት ተቀብለዋል / Voip ጥሪዎች፡ 1 ወጪ ጥሪዎች፣ 0 ገቢ ጥሪዎች፣ 2492 ባይት ተልኳል፣ 1530 ባይት ተቀብለዋል / ጎግል ድራይቭ፡ 0 ባይት ተልኳል፣ 0 ባይት ተቀብሏል / ሮሚንግ፡ 1524 ባይት ተልኳል ፣ 1826 ባይት ተቀብሏል / አጠቃላይ መረጃ: 118567 ባይት ተልኳል ፣ 10063417 ባይት ደርሷል
እ.ኤ.አ.
2017-01-10 09:37:09.806 LL_I D [1:ዋና] አፕ-ኢኒት/ማስጀመሪያ/ሰዓት ቆጣሪ/ማቆሚያ፡ 24
2017-01-10 09:37:09.811 LL_I D [1: main] msgstore/የቼክ ጤና
2017-01-10 09:37:09.817 LL_I D [1: main] msgstore/checkhealth/journal/የውሸት ሰርዝ
2017-01-10 09:37:09.818 LL_I D [1: main] msgstore/checkhealth/back/የውሸት ሰርዝ
2017-01-10 09:37:09.818 LL_I D [1: ዋና] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1: main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1: main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-ጆርናል 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1: main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1: main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1: main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1: main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1: main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1: main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1: main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1: main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1: main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1: main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1: main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1: main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:ዋና] msgstore/checkdb/ስሪት 1
2017-01-10 09:37:09.839 LL_I D [1:ዋና] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1: main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:ዋና] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1: main] msgstore/canquery 517 | ጊዜ ያሳለፈው፡8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] የሚዲያ-ግዛት-አስተዳዳሪ/አድስ-ሚዲያ-ግዛት/ውስጣዊ-ማከማቻ አለ፡1,345,622,016 ጠቅላላ፡5,687,922,688

  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ኦዲዮ/'. የተቀበሉ የድምጽ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ኦዲዮ/የተላከ/'. የተላኩ የድምጽ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ምስሎች/'. የተቀበሉት ግራፊክ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/የዋትስአፕ ምስሎች/የተላኩ/'. የተሰቀሉ ግራፊክ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ቪዲዮ/'. የተቀበሏቸው የቪዲዮ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ ቪዲዮ/የተላከ/'. የተሰቀሉ የቪዲዮ ፋይሎችን ይዟል።
  • ማውጫ '/ዳታ/ሚዲያ/0/ዋትስአፕ/ሚዲያ/ዋትስአፕ የመገለጫ ፎቶዎች/'. ከ WhatsApp መለያ ባለቤት ጋር የተጎዳኙ የምስል ፋይሎችን ይዟል።
  • በእርስዎ አንድሮይድ ስማርትፎን ላይ ቦታ ለመቆጠብ አንዳንድ የዋትስአፕ መረጃዎች በኤስዲ ካርዱ ላይ ሊቀመጡ ይችላሉ። በኤስዲ ካርድ፣ በስር ማውጫ ውስጥ፣ ማውጫ አለ። 'ዋትስአፕ'የሚከተሉት የዚህ ፕሮግራም ቅርሶች የሚገኙበት፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

  • ማውጫ '.ሟር' ('/mnt/sdcard/ዋትስአፕ/.አጋራ/'). ከሌሎች የዋትስአፕ ተጠቃሚዎች ጋር የተጋሩ ፋይሎች ቅጂዎችን ይዟል።
  • ማውጫ '.ቆሻሻ' ('/mnt/sdcard/WhatsApp/.ቆሻሻ/'). የተሰረዙ ፋይሎችን ይዟል።
  • ማውጫ 'መረጃ ቋቶች' ('/mnt/sdcard/ዋትስአፕ/ዳታቤዝ/'). የተመሰጠሩ መጠባበቂያዎችን ይዟል። ፋይል ካለ ዲክሪፕት ሊደረጉ ይችላሉ። 'ቁልፍ', ከተተነተነው መሣሪያ ማህደረ ትውስታ የተወሰደ.

    በንዑስ ማውጫ ውስጥ ያሉ ፋይሎች 'መረጃ ቋቶች':

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?

  • ማውጫ 'ግማሽ' ('/mnt/sdcard/ዋትስአፕ/ሚዲያ/'). ንዑስ ማውጫዎችን ይዟል 'የግድግዳ ወረቀት', 'ዋትስአፕ ኦዲዮ', 'WhatsApp ምስሎች', 'የዋትስአፕ መገለጫ ፎቶዎች', 'የዋትስአፕ ቪዲዮ', 'WhatsApp የድምጽ ማስታወሻዎች', የተቀበሉት እና የሚተላለፉ የመልቲሚዲያ ፋይሎችን (ግራፊክ ፋይሎችን, የቪዲዮ ፋይሎችን, የድምጽ መልዕክቶችን, ከ WhatsApp መለያ ባለቤት መገለጫ ጋር የተያያዙ ፎቶዎች, የግድግዳ ወረቀቶች) የያዘ.
  • ማውጫ 'የመገለጫ ሥዕሎች' ('/mnt/sdcard/WhatsApp/የመገለጫ ሥዕሎች/'). ከ WhatsApp መለያ ባለቤት መገለጫ ጋር የተቆራኙ የምስል ፋይሎችን ይዟል።
  • አንዳንድ ጊዜ በኤስዲ ካርዱ ላይ ማውጫ ሊኖር ይችላል። 'ፋይሎች' ('/mnt/sdcard/WhatsApp/ፋይሎች/'). ይህ ማውጫ የፕሮግራም ቅንብሮችን እና የተጠቃሚ ምርጫዎችን የሚያከማቹ ፋይሎችን ይዟል።

በአንዳንድ የሞባይል መሳሪያዎች ሞዴሎች ውስጥ የውሂብ ማከማቻ ባህሪያት

አንዳንድ የአንድሮይድ ሞባይል መሳሪያዎች የዋትስአፕ ቅርሶችን በተለየ ቦታ ሊያከማቹ ይችላሉ። ይህ የሆነበት ምክንያት በተንቀሳቃሽ መሣሪያው የስርዓት ሶፍትዌር የመተግበሪያው የውሂብ ማከማቻ ቦታ ለውጥ ምክንያት ነው። ስለዚህ, ለምሳሌ, በ Xiaomi ተንቀሳቃሽ መሳሪያዎች ውስጥ ሁለተኛ የስራ ቦታ ("SecondSpace") ለመፍጠር ተግባር አለ. ይህ ተግባር ሲነቃ የመረጃው ቦታ ይለወጣል. ስለዚህ፣ አንድሮይድ ኦኤስን በሚያሄድ መደበኛ የሞባይል መሳሪያ ውስጥ ከሆነ የተጠቃሚው ውሂብ በማውጫው ውስጥ ተከማችቷል። '/ዳታ/ተጠቃሚ/0/' (ይህም የተለመደው ማጣቀሻ ነው '/ዳታ/ዳታ/'), ከዚያም በሁለተኛው የሥራ ቦታ, የመተግበሪያ ውሂብ በማውጫው ውስጥ ተከማችቷል '/ዳታ/ተጠቃሚ/10/'. ማለትም, ለምሳሌ, የፋይሉ ቦታ 'ዋ.ዲቢ':

  • አንድሮይድ ኦኤስን በሚያሄድ መደበኛ ስማርትፎን ውስጥ፡- /data/user/0/com.whatsapp/databases/wa.db' (ይህም ጋር እኩል ነው። '/data/data/com.whatsapp/databases/wa.db');
  • በ Xiaomi ስማርትፎን ሁለተኛ የስራ ቦታ ውስጥ: '/data/user/10/com.whatsapp/databases/wa.db'.

በ iOS መሳሪያ ላይ የ Whatsapp ቅርሶች

እንደ አንድሮይድ ስርዓተ ክወና፣ በ iOS ውስጥ፣ WhatsApp ውሂብ ወደ ምትኬ ቅጂ (iTunes መጠባበቂያ) ይተላለፋል። ስለዚህ ከዚህ መተግበሪያ መረጃ ማውጣት የፋይል ስርዓቱን ማውጣት ወይም በምርመራ ላይ ያለውን መሳሪያ አካላዊ ማህደረ ትውስታ መፍጠር አያስፈልግም. አብዛኛዎቹ ተዛማጅ መረጃዎች በመረጃ ቋቱ ውስጥ ይገኛሉ 'ChatStorage.sqlite'በመንገዱ ዳር የሚገኘው፡- '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (በአንዳንድ ፕሮግራሞች ይህ ዱካ እንደ ይታያል 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared'').

መዋቅር 'ChatStorage.sqlite':

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
በ'ChatStorage.sqlite' ዳታቤዝ ውስጥ በጣም መረጃ ሰጪዎቹ ሠንጠረዦቹ ናቸው። 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

የጠረጴዛ መልክ 'ZWAMESSAGE':

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
የሠንጠረዥ መዋቅር 'ZWAMESSAGE'

የመስክ ስም ዋጋ
Z_PK የመዝገብ ቁጥር (በ SQL ሰንጠረዥ)
Z_ENT የሰንጠረዥ መለያ፣ ዋጋ '9'
Z_OPT ያልታወቀ፣ አብዛኛውን ጊዜ ከ'1' እስከ '6' ያሉ እሴቶችን ይይዛል።
ZCHILDMESSAGESDELIVEREDCOUNT ያልታወቀ፣ አብዛኛውን ጊዜ '0' እሴት ይይዛል
ZCHILDMESSAGESPLAYEDCOUNT ያልታወቀ፣ አብዛኛውን ጊዜ '0' እሴት ይይዛል
ZCHILDMESSAGESREADCOUNT ያልታወቀ፣ አብዛኛውን ጊዜ '0' እሴት ይይዛል
ZDATAITEMVERSION ያልታወቀ፣ ብዙ ጊዜ '3'፣ ምናልባት የጽሑፍ መልእክት ጠቋሚ
ZDOCID ያልታወቀ
ZENCRETRYCOUNT ያልታወቀ፣ አብዛኛውን ጊዜ '0' እሴት ይይዛል
ZFILTEREDRECIPIENTCOUNT ያልታወቀ፣ አብዛኛውን ጊዜ '0'፣ '2'፣ '256' እሴቶችን ይይዛል።
ZISFROMME የመልእክት አቅጣጫ፡ '0' - ገቢ፣ '1' - ወጪ
ZMESSAGEERRORSTATUS መልእክት ማስተላለፍ ሁኔታ. መልእክቱ ከተላከ/የደረሰው ከሆነ ዋጋው '0' አለው
ZMESSAGETYPE የመልዕክት አይነት
ZSORT ያልታወቀ
ZSPOTLIGHSTATUS ያልታወቀ
ዝስታረድ ያልታወቀ, ጥቅም ላይ ያልዋለ
ZCHATSESSION ያልታወቀ
ZGROUPMEMBER ያልታወቀ, ጥቅም ላይ ያልዋለ
ZLASSESSION ያልታወቀ
ZMEDIAITEM ያልታወቀ
ZMESSAGEINFO ያልታወቀ
ZPARENTMESSAGE ያልታወቀ, ጥቅም ላይ ያልዋለ
ZMESSAGEDATE የጊዜ ማህተም በ OS X Epoch Time ቅርጸት
ZSENTDATE መልእክቱ በ OS X Epoch Time ቅርጸት የተላከበት ጊዜ
ዝፍሮምጂድ የዋትስአፕ ላኪ መታወቂያ
ZMEDIASECTIONID የሚዲያ ፋይሉ የተላከበትን አመት እና ወር ይዟል
ZPHASH ያልታወቀ, ጥቅም ላይ ያልዋለ
ZPUSHPAME የሚዲያ ፋይሉን በ UTF-8 ቅርጸት የላከው የእውቂያ ስም
ዝስታንዚድ ልዩ መልእክት መለያ
Ztext የመልእክት ጽሑፍ
ዝቶጂድ የተቀባዩ WhatsApp መታወቂያ
OFFSET አድሏዊነት

የጠረጴዛ መልክ 'ZWAMEDIAITEM':

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
የሠንጠረዥ መዋቅር 'ZWAMEDIAITEM'

የመስክ ስም ዋጋ
Z_PK የመዝገብ ቁጥር (በ SQL ሰንጠረዥ)
Z_ENT የሰንጠረዥ መለያ፣ ዋጋ '8'
Z_OPT ያልታወቀ፣ አብዛኛውን ጊዜ ከ'1' እስከ '3' ያሉ እሴቶችን ይይዛል።
ZCLOUDSTATUS ፋይሉ ከተጫነ '4' እሴት ይይዛል።
ZFILESIZE ለተሰቀሉ ፋይሎች የፋይል ርዝመት (በባይት) ይዟል
ZMEDIAORIGIN የማይታወቅ፣ አብዛኛውን ጊዜ '0'
ZMOVIEDURATION የሚዲያ ፋይሉ የሚቆይበት ጊዜ፣ ለ pdf ፋይሎች የሰነዱን ገጾች ብዛት ሊይዝ ይችላል።
ZMESSAGE ተከታታይ ቁጥር ይዟል (ቁጥሩ በ'Z_PK' አምድ ውስጥ ከተገለጸው ይለያል)
ZASPECTRATIO ምጥጥነ ገጽታ፣ ጥቅም ላይ ያልዋለ፣ ብዙውን ጊዜ ወደ '0' ተቀናብሯል
ZHACCURACY የማይታወቅ፣ አብዛኛውን ጊዜ '0'
ዝላቲቱድ ስፋት በፒክሰል
ZLONGTITUDE ቁመት በፒክሰል
ZMEDIAURLDATE የጊዜ ማህተም በ OS X Epoch Time ቅርጸት
ZAUTHORNAME ደራሲ (ለሰነዶች፣ የፋይል ስም ሊይዝ ይችላል)
ZCOLLECTIONNAME ጥቅም ላይ አልዋለም
ZMEDIALOCALPATH የፋይል ስም (ከመንገዱ ጋር) በመሳሪያው የፋይል ስርዓት ውስጥ
ZMEDIAURL የሚዲያ ፋይሉ የሚገኝበት ዩአርኤል። ፋይሉ ከአንድ ተመዝጋቢ ወደ ሌላ ከተላለፈ ኢንክሪፕት የተደረገ ነበር እና ቅጥያው እንደ የተላለፈው ፋይል ቅጥያ ይገለጻል - .enc
ZTHUMBNAILLOCALPATH በመሳሪያው የፋይል ስርዓት ውስጥ ወደ ፋይል ድንክዬ የሚወስደው መንገድ
ZTITLE የፋይል ራስጌ
ZVCARDNAME የሚዲያ ፋይል hash፣ ፋይል ወደ ቡድን ሲያስተላልፍ፣ የላኪውን መለያ ሊይዝ ይችላል።
ZVCARDSTRING ስለ ፋይል አይነት መረጃ ይዟል (ለምሳሌ፡ ምስል/jpeg)፤ ፋይል ወደ ቡድን ሲያስተላልፍ የተቀባዩን መለያ ሊይዝ ይችላል።
ZXMPPTHUMBPATH በመሳሪያው የፋይል ስርዓት ውስጥ ወደ ፋይል ድንክዬ የሚወስደው መንገድ
ZMEDIAKEY ያልታወቀ፣ ምናልባት የተመሰጠረውን ፋይል ለመግለጥ ቁልፉን ይዟል።
ዘምቴዳታ የመልዕክት ዲበ ውሂብ
ማካካስ አድሏዊነት

ሌሎች አስደሳች የውሂብ ጎታ ሠንጠረዦች 'ChatStorage.sqlite' ናቸው

  • 'ZWAPROFILEPUSHNAME'. የ WhatsApp መታወቂያ ከእውቂያው ስም ጋር ይዛመዳል;
  • 'ZWAPROFILEPICTUREITEM'. የ WhatsApp መታወቂያ ከእውቂያው አምሳያ ጋር ይዛመዳል;
  • 'Z_PRIMARYKEY'. ሠንጠረዡ ስለዚህ የውሂብ ጎታ አጠቃላይ መረጃ ለምሳሌ የተከማቹ መልዕክቶች ጠቅላላ ቁጥር, አጠቃላይ የውይይት ብዛት, ወዘተ.

እንዲሁም፣ iOS በሚያሄድ ተንቀሳቃሽ መሳሪያ ላይ ዋትስአፕን ስትመረምር ለሚከተሉት ፋይሎች ትኩረት መስጠት አለብህ።

  • ፋይል 'BackedUpKeyValue.sqlite'. የመለያውን ባለቤት ለመለየት አስፈላጊ የሆኑ ምስጢራዊ ቁልፎችን እና ሌሎች መረጃዎችን ይዟል። በመንገዱ ላይ የሚገኝ፡- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ፋይል 'እውቂያዎችV2.sqlite'. እንደ ሙሉ ስም፣ ስልክ ቁጥር፣ የእውቂያ ሁኔታ (እንደ ጽሑፍ)፣ የዋትስአፕ መታወቂያ፣ ወዘተ የመሳሰሉ የተጠቃሚውን እውቂያዎች መረጃ ይዟል። በመንገዱ ላይ የሚገኝ፡- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ፋይል 'የተጠቃሚ_ስሪት'. የተጫነው የዋትስአፕ መተግበሪያ የስሪት ቁጥር ይዟል። በመንገዱ ላይ የሚገኝ፡- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ፋይል 'የአሁኑ_የግድግዳ ወረቀት.jpg'. የአሁኑን የዋትስአፕ ዳራ ልጣፍ ይዟል። በመንገዱ ላይ የሚገኝ፡- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. የድሮው የመተግበሪያው ስሪቶች ፋይሉን ይጠቀማሉ 'የግድግዳ ወረቀት'በመንገዱ ዳር የሚገኘው፡- '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • ፋይል 'የተከለከሉ እውቂያዎች.dat'. ስለታገዱ እውቂያዎች መረጃ ይዟል። በመንገዱ ላይ የሚገኝ፡- /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • ፋይል 'pw.dat'. የተመሰጠረ የይለፍ ቃል ይዟል። በመንገዱ ላይ የሚገኝ፡- '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • ፋይል 'net.whatsapp.whatsapp.plist' (ወይም ፋይል 'group.net.whatsapp.whatsapp.የተጋራ.plist'). ሾለ WhatsApp መለያ መገለጫ መረጃ ይዟል። ፋይሉ በመንገዱ ላይ ይገኛል፡- '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

የ'group.net.whatsapp.WhatsApp.shared.plist' ፋይል ይዘቶች ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
እንዲሁም ለሚከተሉት ማውጫዎች ትኩረት መስጠት አለብዎት:

  • ማውጫ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ሚዲያ/መገለጫ/'. የእውቂያዎች ፣ ቡድኖች (ቅጥያ ያላቸው ፋይሎች) ድንክዬዎችን ይይዛል .አውራ ጣት)፣ የእውቂያ አምሳያዎች፣ የዋትስአፕ መለያ ባለቤት አምሳያ (ፋይል 'ፎቶ.jpg').
  • ማውጫ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/ሚዲያ/'. የመልቲሚዲያ ፋይሎችን እና ድንክዬዎቻቸውን ይዟል
  • ማውጫ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. የፕሮግራም ኦፕሬሽን ምዝግብ ማስታወሻን ይይዛል (ፋይል 'calls.log') እና የፕሮግራሙ ኦፕሬሽን ምዝግብ ማስታወሻ ቅጂዎች (ፋይል 'calls.backup.log').
  • ማውጫ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. ተለጣፊዎችን ይይዛል (ፋይሎች በ '.ድር ገጽ').
  • ማውጫ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. የፕሮግራም ኦፕሬሽን ምዝግብ ማስታወሻዎችን ይዟል.

በዊንዶውስ ላይ የ WhatsApp አርቲፊኬቶች

በዊንዶው ላይ የዋትስአፕ አርቲፊኬሽን በተለያዩ ቦታዎች ይገኛሉ። በመጀመሪያ ደረጃ እነዚህ የፕሮግራሙ ተፈጻሚ እና ረዳት ፋይሎች (ለዊንዶውስ 8/10) የያዙ ማውጫዎች ናቸው ።

  • 'C: Program Files (x86)WhatsApp'
  • 'C: Users% የተጠቃሚ መገለጫ%AppDataLocalWhatsApp'
  • 'C: Users% የተጠቃሚ መገለጫ% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

በካታሎግ ውስጥ 'C: Users% የተጠቃሚ መገለጫ%AppDataLocalWhatsApp' ሎግ ፋይል ይገኛል 'SquirrelSetup.log'ዝማኔዎችን ስለመፈተሽ እና ፕሮግራሙን ስለመጫን መረጃ የያዘ።

በካታሎግ ውስጥ 'C: Users% የተጠቃሚ መገለጫ%AppDataRoamingWhatsApp' በርካታ ንዑስ ማውጫዎች አሉ፡-

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
ፋይል 'ዋና ሂደት.log' ስለ WhatsApp አሠራር መረጃ ይዟል.

ንዑስ ማውጫ 'መረጃ ቋቶች' ፋይል ይዟል 'databases.db'ነገር ግን ይህ ፋይል ስለ ቻቶች ወይም አድራሻዎች ምንም መረጃ አልያዘም።

ከፎረንሲክ እይታ በጣም የሚስቡት በማውጫው ውስጥ የሚገኙት ፋይሎች ናቸው 'መሸጎጫ'. በመሠረቱ, እነዚህ ስሞች ያላቸው ፋይሎች ናቸው 'ረ *** (ከ0 እስከ 9 ያለው ቁጥር) የተመሰጠሩ የሚዲያ ፋይሎችን እና ሰነዶችን የያዙ ነገር ግን በመካከላቸው ያልተመሰጠሩ ፋይሎችም አሉ። ልዩ ፍላጎት ያላቸው ፋይሎች 'ዳታ_0', 'ዳታ_1', 'ዳታ_2', 'ዳታ_3'በተመሳሳይ ንዑስ ማውጫ ውስጥ ይገኛል። ፋይሎች 'ዳታ_0', 'ዳታ_1', 'ዳታ_3' ወደ ሚተላለፉ የመልቲሚዲያ ፋይሎች እና ሰነዶች ውጫዊ አገናኞችን ይይዛል።

በፋይሉ 'data_1' ውስጥ ያለው መረጃ ምሳሌዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
እንዲሁም ፋይል ያድርጉ 'ዳታ_3' ግራፊክ ፋይሎችን ሊይዝ ይችላል።

ፋይል 'ዳታ_2' የእውቂያ አምሳያዎችን ይዟል (በፋይል አርእስቶች ውስጥ በመፈለግ ማግኘት ይቻላል)።

በፋይሉ ውስጥ ያሉ አምሳያዎች 'ዳታ_2':

ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
ስለዚህ ፣ ቻቶች እራሳቸው በኮምፒተር ማህደረ ትውስታ ውስጥ ሊገኙ አይችሉም ፣ ግን የሚከተሉትን ማግኘት ይችላሉ-

  • የመልቲሚዲያ ፋይሎች;
  • በ WhatsApp በኩል የሚተላለፉ ሰነዶች;
  • የመለያ ባለቤት የእውቂያ መረጃ.

በ MacOS ላይ የ WhatsApp ቅርሶች

በ MacOS ላይ በዊንዶውስ ላይ ከሚገኙት ጋር ተመሳሳይ የሆኑ የዋትስአፕ ቅርሶችን ማግኘት ይችላሉ።

የፕሮግራሙ ፋይሎች በሚከተሉት ማውጫዎች ውስጥ ይገኛሉ።

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C: Users% User profile%LibraryPreferences'
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryLogsWhatsApp'
  • 'C: Users% የተጠቃሚ መገለጫ%LibrarySaved Application StateWhatsApp.savedState'
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryApplicationScripts'
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryApplication SupportCloudDocs'
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C: Users% User profile% Library Mobile Documents <text variable> WhatsApp Accounts'
    ይህ ማውጫ ስማቸው ከዋትስአፕ መለያ ባለቤት ጋር የተያያዙ የስልክ ቁጥሮች የሆኑ ንዑስ ማውጫዎችን ይዟል።
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryCachesWhatsApp.ShipIt'
    ይህ ማውጫ ፕሮግራሙን ስለመጫን መረጃ ይዟል።
  • 'C: Users% User profile%Pictures iPhoto Library.photolibraryMasters', 'C: Users% User profile%Pictures iPhoto Library.photolibraryThumbnails'
    እነዚህ ማውጫዎች የ WhatsApp አድራሻዎች ፎቶዎችን እና ጥፍር አከሎችን ጨምሮ የፕሮግራሙን የአገልግሎት ፋይሎች ይይዛሉ።
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryCachesWhatsApp'
    ይህ ማውጫ ለመረጃ መሸጎጫ የሚያገለግሉ በርካታ የSQLite ዳታቤዞችን ይዟል።
  • 'C: Users% የተጠቃሚ መገለጫ%LibraryApplication SupportWhatsApp'
    ይህ ማውጫ በርካታ ንዑስ ማውጫዎችን ይዟል፡-

    ዋትስአፕ በእጅዎ መዳፍ ላይ፡ የፎረንሲክ ቅርሶችን የት እና እንዴት ማግኘት ይችላሉ?
    በካታሎግ ውስጥ 'C: Users% User profile%LibraryApplication SupportWhatsAppCache' ፋይሎች አሉ። 'ዳታ_0', 'ዳታ_1', 'ዳታ_2', 'ዳታ_3' እና የተሰየሙ ፋይሎች 'ረ *** (በ* መካከል ያለው ቁጥር በ0 እና 9 መካከል ያለ)። እነዚህ ፋይሎች ምን አይነት መረጃ እንደያዙ መረጃ ለማግኘት በዊንዶውስ ላይ የዋትስአፕ አርቲፊክስን ይመልከቱ።

    በካታሎግ ውስጥ 'C: Users% የተጠቃሚ መገለጫ%LibraryApplication SupportWhatsAppIndexedDB' የመልቲሚዲያ ፋይሎችን ሊይዝ ይችላል (ፋይሎች ቅጥያዎች የሉትም)።

    ፋይል 'ዋና ሂደት.log' ስለ WhatsApp አሠራር መረጃ ይዟል.

ምንጮች

  1. በአንድሮይድ ስማርትፎኖች ላይ የዋትስአፕ ሜሴንጀር ፎረንሲክ ትንታኔ፣ በCosimo Anglano፣ 2014።
  2. የዋትስአፕ ፎረንሲክስ፡ የኤክስፕሎራሲ ስርዓት በርካስ ዳ መሰረት ዳታ ፓዳ አፕሊካሲ አንድሮይድ እና አይኦኤስ በአህመድ ፕራታማ፣ 2014።

በዚህ ተከታታይ ውስጥ በሚቀጥሉት መጣጥፎች ውስጥ፡-

የተመሰጠረ የዋትስአፕ ዳታቤዝ ዲክሪፕት ማድረግየዋትስአፕ ኢንክሪፕሽን ቁልፍ እንዴት እንደሚፈጠር መረጃ የሚሰጥ እና የዚህን አፕሊኬሽን ኢንክሪፕት የተደረጉ መሠረቶችን እንዴት ዲክሪፕት ማድረግ እንደሚቻል የሚያሳዩ ተግባራዊ ምሳሌዎችን የሚሰጥ ጽሑፍ።
ከዳመና ማከማቻ የ WhatsApp ውሂብ ያውጡየዋትስአፕ ዳታ በደመና ውስጥ ምን እንደሚከማች የምናብራራበት እና ይህን መረጃ ከደመና ማከማቻ የማውጣት ዘዴዎችን የምንገልጽበት መጣጥፍ።
WhatsApp ውሂብ ማውጣት፡ ተግባራዊ ምሳሌዎችምን አይነት ፕሮግራሞችን እና የዋትስአፕ ዳታ ከተለያዩ መሳሪያዎች እንዴት ማውጣት እንደሚቻል ደረጃ በደረጃ የሚገልጽ ጽሁፍ።

ምንጭ: hab.com

አስተያየት ያክሉ