ProHoster > بلوق > أخبار الإنترنت > WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

إذا كنت تريد معرفة أنواع الأدوات الجنائية الخاصة بواتساب الموجودة على أنظمة التشغيل المختلفة وأين يمكن العثور عليها بالضبط ، فأنت هنا. مع هذا المقال ، متخصص في مختبر الطب الشرعي للكمبيوتر Group-IB إيغور ميخائيلوف يفتح سلسلة من المشاركات حول التحقيق الجنائي في WhatsApp وما هي المعلومات التي يمكن الحصول عليها من تحليل الجهاز.

نلاحظ على الفور أن أنواعًا مختلفة من أدوات WhatsApp يتم تخزينها في أنظمة تشغيل مختلفة ، وإذا تمكن الباحث من استخراج أنواع معينة من بيانات WhatsApp من جهاز واحد ، فهذا لا يعني على الإطلاق أنه يمكن استخراج أنواع مماثلة من البيانات من جهاز آخر. على سبيل المثال ، إذا تمت إزالة وحدة نظام تعمل بنظام Windows ، فمن المحتمل ألا يتم العثور على محادثات WhatsApp على محركات الأقراص الخاصة بها (الاستثناء هو النسخ الاحتياطية لأجهزة iOS التي يمكن العثور عليها على نفس محركات الأقراص). عند الاستيلاء على أجهزة الكمبيوتر المحمولة والأجهزة المحمولة ، ستكون هناك بعض الخصائص المميزة. دعنا نتحدث عن هذا بمزيد من التفصيل.

عناصر Whatsapp في جهاز Android

لاستخراج عناصر WhatsApp من جهاز Android ، يجب أن يمتلك الباحث امتيازات الجذر ('جذر') على الجهاز قيد التحقيق ، أو القدرة على استخراج تفريغ مادي لذاكرة الجهاز ، أو نظام الملفات الخاص به (على سبيل المثال ، استخدام ثغرات البرامج في جهاز محمول معين).

توجد ملفات التطبيقات في ذاكرة الهاتف في القسم الذي يتم فيه تخزين بيانات المستخدم. عادة ، يتم تسمية هذا القسم 'بيانات المستخدم'. توجد الدلائل الفرعية وملفات البرنامج على طول المسار: "/data/data/com.whatsapp/".

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
الملفات الرئيسية التي تحتوي على أدوات WhatsApp الجنائية في نظام التشغيل Android هي قواعد البيانات 'wa.db' и "msgstore.db".

في قاعدة البيانات 'wa.db' يحتوي على قائمة كاملة بجهات اتصال WhatsApp الخاصة بالمستخدم ، بما في ذلك رقم الهاتف واسم العرض والطوابع الزمنية وأي معلومات أخرى يتم تقديمها عند التسجيل في WhatsApp. ملف 'wa.db' تقع على طول المسار: "/data/data/com.whatsapp/databases/" وله الهيكل التالي:

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
الجداول الأكثر إثارة للاهتمام في قاعدة البيانات 'wa.db' للباحث هم:

  • "إتصالات"
    يحتوي هذا الجدول على معلومات الاتصال: معرف جهة اتصال whatsapp ، ومعلومات الحالة ، واسم عرض المستخدم ، والطوابع الزمنية ، وما إلى ذلك.

    مظهر الجدول:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
    هيكل الجدول

    اسم الحقل قيمة
    _ID رقم السجل (في جدول SQL)
    jid معرف جهة اتصال WhatsApp ، مكتوب بالتنسيق <رقم الهاتف> @ s.whatsapp.net
    is_whatsapp_user تحتوي على "1" إذا كانت جهة الاتصال مستخدم WhatsApp فعليًا ، وإلا "0"
    الحالة يحتوي على النص المعروض في حالة جهة الاتصال
    Status_timestamp يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية)
    عدد رقم الهاتف المرتبط بجهة الاتصال
    Raw_contact_id رقم الاتصال
    DISPLAY_NAME اسم عرض جهة الاتصال
    نوع الهاتف نوع الهاتف
    phone_label الملصق المرتبط برقم جهة الاتصال
    unseen_msg_count عدد الرسائل التي تم إرسالها بواسطة جهة الاتصال ولكن لم يقرأها المستلم
    photo_ts يحتوي على طابع زمني بتنسيق Unix Epoch Time
    إبهام يحتوي على طابع زمني بتنسيق Unix Epoch Time
    photo_id_timestamp يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية)
    الاسم المعطى تطابق قيمة الحقل "اسم_عرض" لكل جهة اتصال
    واسم اسم جهة اتصال Whatsapp (يعرض الاسم في ملف تعريف جهة الاتصال)
    نوع_اسم اسم جهة الاتصال المستخدمة في عمليات الفرز
    كنية لقب WhatsApp الخاص بجهة الاتصال (يعرض الاسم المستعار المحدد في ملف تعريف جهة الاتصال)
    حول الشركة الشركة (تعرض الشركة المدرجة في ملف تعريف جهة الاتصال)
    لقب العنوان (سيدتي / السيد ؛ يعرض العنوان الذي تم تكوينه في ملف تعريف جهة الاتصال)
    عوض الإزاحة
  • "sqlite_sequence"
    يحتوي هذا الجدول على معلومات حول عدد جهات الاتصال ؛
  • "android_metadata"
    يحتوي هذا الجدول على معلومات حول توطين لغة WhatsApp.

في قاعدة البيانات "msgstore.db" يحتوي على معلومات حول الرسائل المنقولة ، مثل رقم جهة الاتصال ونص الرسالة وحالة الرسالة والطوابع الزمنية ومعلومات حول الملفات المنقولة المضمنة في الرسائل وما إلى ذلك. ملف "msgstore.db" تقع على طول المسار: "/data/data/com.whatsapp/databases/" وله الهيكل التالي:

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
الجداول الأكثر إثارة للاهتمام في الملف "msgstore.db" للباحث هم:

  • "sqlite_sequence"
    يحتوي هذا الجدول على معلومات عامة حول قاعدة البيانات هذه ، مثل العدد الإجمالي للرسائل المخزنة والعدد الإجمالي للمحادثات وما إلى ذلك.

    مظهر الجدول:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

  • "message_fts_content"
    يحتوي على نص الرسائل المرسلة.

    مظهر الجدول:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

  • 'رسائل'
    يحتوي هذا الجدول على معلومات مثل رقم جهة الاتصال ونص الرسالة وحالة الرسالة والطوابع الزمنية ومعلومات حول الملفات المنقولة المضمنة في الرسائل.

    مظهر الجدول:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
    هيكل الجدول

    اسم الحقل قيمة
    _ID رقم السجل (في جدول SQL)
    key_remote_jid معرف Whatsapp لشريك الاتصال
    key_from_me اتجاه الرسالة: '0' - وارد ، '1' - صادر
    key_id معرّف رسالة فريد
    الحالة حالة الرسالة: 0
    need_push تكون "2" إذا كانت رسالة إذاعية ، وإلا "0"
    البيانات نص الرسالة (عندما يكون "media_wa_type" هو "0")
    الطابع الزمني يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز
    media_url يحتوي على عنوان URL للملف الجاري نقله (عندما تكون المعلمة "media_wa_type" هي "1" ، "2" ، "3")
    media_mime_type نوع MIME للملف المنقول (عندما تكون المعلمة "media_wa_type" مساوية لـ "1" ، "2" ، "3")
    media_wa_type نوع الرسالة: '0' - نص ، '1' - ملف رسومي ، '2' - ملف صوتي ، '3' - ملف فيديو ، '4' - بطاقة جهة اتصال ، '5' - بيانات جغرافية
    حجم_الميديا حجم ملف النقل (عندما يكون 'media_wa_type' هو '1' ، '2' ، '3')
    اسم_الميديا اسم الملف المراد نقله (عندما يكون 'media_wa_type' هو '1' ، '2' ، '3')
    media_caption يحتوي على الكلمات "audio" ، "video" للقيم المقابلة لمعلمة "media_wa_type" (عندما تكون المعلمة "media_wa_type" مساوية لـ "1" ، "3")
    media_hash تجزئة base64 المشفرة للملف المرسل المحسوبة باستخدام خوارزمية HAS-256 (عندما تكون المعلمة "media_wa_type" مساوية لـ "1" ، "2" ، "3")
    مدة_الوسائط المدة بالثواني لملف الوسائط (عندما يكون 'media_wa_type' هو '1' ، '2' ، '3')
    الأصل تكون "2" إذا كانت رسالة إذاعية ، وإلا "0"
    خط العرض البيانات الجغرافية: خط العرض (عندما تكون "media_wa_type" تساوي "5")
    خط الطول البيانات الجغرافية: خط الطول (عندما تكون "media_wa_type" تساوي "5")
    صورة_إبهام معلومات الخدمة
    remote_resource معرف المرسل (الدردشات الجماعية فقط)
    Received_timestamp وقت الاستلام ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز (عندما تكون المعلمة "key_from_me" هي "0" أو "-1" أو قيمة أخرى)
    send_timestamp غير مستخدم ، يتم تعيينه عادةً على "-1"
    Receiving_server_timestamp الوقت المستلم بواسطة الخادم المركزي ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز (عندما تكون المعلمة 'key_from_me' هي '1' أو '-1' أو قيمة أخرى
    Receiving_device_timestamp وقت استلام الرسالة من قبل مشترك آخر ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز (عندما يكون للمعلمة "key_from_me" "1" أو "-1" أو قيمة أخرى
    read_device_timestamp وقت فتح الرسالة (القراءة) ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز
    تم تشغيل_طابع_الجهاز وقت تشغيل الرسالة ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (مللي ثانية) ، يتم أخذ القيمة من ساعة الجهاز
    مسودة بيانات صورة مصغرة للملف المنقول (عندما تكون المعلمة "media_wa_type" مساوية لـ "1" أو "3")
    المتلقي_كونت عدد المستلمين (لرسائل البث)
    مشارك_هاش تستخدم عند إرسال الرسائل مع البيانات الجغرافية
    تألق لا تستخدم
    ونقلت غير معروف ، يحتوي عادةً على القيمة "0"
    المذكورة لا تستخدم
    multicast_id لا تستخدم
    عوض الإزاحة

    قائمة الحقول هذه ليست شاملة. بالنسبة للإصدارات المختلفة من WhatsApp ، قد تكون بعض الحقول موجودة أو غير موجودة. قد تكون الحقول الإضافية موجودة "media_enc_hash", "edit_version", "payment_transaction_id" إلخ

  • "الرسائل_المصغرة"
    يحتوي هذا الجدول على معلومات حول الصور والطوابع الزمنية المنقولة. يشير عمود "الطابع الزمني" إلى الوقت بتنسيق Unix Epoch Time (بالمللي ثانية).
  • "قائمة_المحادثة"
    يحتوي هذا الجدول على معلومات حول الدردشات.

    مظهر الجدول:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

أيضًا ، عند فحص WhatsApp على جهاز محمول يعمل بنظام Android ، يجب الانتباه إلى الملفات التالية:

  • ملف "msgstore.db.cryptXX" (حيث XX عبارة عن رقم واحد أو رقمين من 0 إلى 12 ، على سبيل المثال ، msgstore.db.crypt12). يحتوي على نسخة احتياطية مشفرة من رسائل WhatsApp (ملف النسخ الاحتياطي msgstore.db). ملف (أو ملفات) "msgstore.db.cryptXX" تقع على طول المسار: "/ data / media / 0 / WhatsApp / Databases /" (بطاقة SD الافتراضية) ، '/ mnt / sdcard / WhatsApp / قواعد البيانات / (بطاقة SD فعلية) ".
  • ملف 'مفتاح'. يحتوي على مفتاح تشفير. تقع على طول الطريق: "/data/data/com.whatsapp/files/". تستخدم لفك تشفير نسخ WhatsApp الاحتياطية المشفرة.
  • ملف "com.whatsapp_preferences.xml". يحتوي على معلومات حول ملف تعريف حساب WhatsApp. يوجد الملف على طول المسار: "/data/data/com.whatsapp/shared_prefs/".

    جزء محتوى الملف

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • ملف "Registration.RegisterPhone.xml". يحتوي على معلومات حول رقم الهاتف المرتبط بحساب WhatsApp. يوجد الملف على طول المسار: "/data/data/com.whatsapp/shared_prefs/".

    محتويات الملف 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • ملف "axolotl.db". يحتوي على مفاتيح تشفير وبيانات أخرى ضرورية للتعرف على صاحب الحساب. تقع على طول الطريق: "/data/data/com.whatsapp/databases/".
  • ملف "chatsettings.db". يحتوي على معلومات تكوين التطبيق.
  • ملف 'wa.db'. يحتوي على تفاصيل الاتصال. مثيرة جدا للاهتمام (في الجانب الجنائي) وقاعدة بيانات مفيدة. يمكن العثور على معلومات مفصلة حول جهات الاتصال المحذوفة فيه.

تحتاج أيضًا إلى الانتباه إلى الأدلة التالية:

  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Images /". يحتوي على ملفات الرسوم التي تم تحميلها.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Voice Notes /". يحتوي على رسائل صوتية بتنسيق ملفات OPUS.
  • دليل "/data/data/com.whatsapp/cache/Profile Pictures /". يحتوي على ملفات رسومية - صور جهات اتصال.
  • دليل "/data/data/com.whatsapp/files/Avatars/". يحتوي على ملفات رسومية - صور مصغرة للأسماء. هذه الملفات لها امتداد ".j" ، لكنها لا تزال ملفات صور بتنسيق JPEG (JPG).
  • دليل "/data/data/com.whatsapp/files/Avatars/". يحتوي على ملفات رسومية - صورة وصورة مصغرة لصورة تم تعيينها كصورة رمزية من قبل مالك الحساب.
  • دليل "/data/data/com.whatsapp/files/Logs/". يحتوي على سجل عمليات البرنامج (ملف "whatsapp.log") ونسخ احتياطية من سجلات عمليات التطبيق (ملفات لها أسماء بتنسيق whatsapp-yyyy-mm-dd.1.log.gz).

ملفات تسجيل Whatsapp:

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
جزء من مجلة2017-01-10 09: 37: 09.757 LL_I D [524: WhatsApp Worker # 1] فاتتك إشعار المكالمة / عدد التهيئة: 0 الطابع الزمني: 0
2017-01-10 09: 37: 09.758 LL_I D [524: WhatsApp Worker # 1] فائت إخطار المكالمة / التحديث إلغاء صحيح
2017-01-10 09: 37: 09.768 LL_I D [1: main] app-init / load-me
2017-01-10 09: 37: 09.772 LL_I D [1: main] ملف كلمة المرور مفقود أو غير قابل للقراءة
2017-01-10 09: 37: 09.782 LL_I D [1: main] إحصائيات الرسائل النصية: 59 مرسلة ، 82 مستلمة / رسائل الوسائط: 1 مرسلة (0 بايت) ، 0 مستلمة (9850158 بايت) / رسائل غير متصلة: 81 مستلمة ( 19522 ميللي ثانية متوسط ​​التأخير) / خدمة الرسائل: 116075 بايت تم إرسالها ، 211729 بايت تم تلقيها / مكالمات Voip: مكالمة واحدة صادرة ، 1 مكالمات واردة ، 0 بايت تم إرسالها ، 2492 بايت تم استلامها / Google Drive: 1530 بايت تم إرسالها ، 0 بايت تم استلامها / التجوال: 0 البايت المرسلة ، 1524 بايت المستلم / البيانات الإجمالية: 1826 بايت المرسلة ، 118567 بايت المتلقاة
2017-01-10 09: 37: 09.785 LL_I D [1: main] media-state-manager / Refresh-media-state / writable-media
2017-01-10 09: 37: 09.806 LL_I D [1: main] app-init / initialize / timer / stop: 24
2017-01-10 09: 37: 09.811 LL_I D [1: main] msgstore / checkhealth
2017-01-10 09: 37: 09.817 LL_I D [1: main] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkhealth / back / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkdb / data / data / com.whatsapp / databases / msgstore.db
2017-01-10 09: 37: 09.819 LL_I D [1: main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.822 LL_I D [1: main] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: main] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: main] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.824 LL_I D [1: main] msgstore / checkdb / list wa.db 69632 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: main] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: main] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db 4096 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09: 37: 09.827 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.838 LL_I D [1: main] msgstore / checkdb / version 1
2017-01-10 09: 37: 09.839 LL_I D [1: main] msgstore / canquery
2017-01-10 09: 37: 09.846 LL_I D [1: main] msgstore / canquery / count 1
2017-01-10 09: 37: 09.847 LL_I D [1: main] msgstore / canquery / timer / stop: 8
2017-01-10 09: 37: 09.847 LL_I D [1: main] msgstore / canquery 517 | الوقت المستغرق: 8
2017-01-10 09: 37: 09.848 LL_I D [529: WhatsApp Worker # 3] media-state-manager / Refresh-media-state / Internal-storage المتاحة: 1,345,622,016،5,687,922,688،XNUMX،XNUMX الإجمالي: XNUMX،XNUMX،XNUMX،XNUMX

  • دليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Audio /'. يحتوي على ملفات صوتية مستلمة.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Audio / مرسل /". يحتوي على الملفات الصوتية المرسلة.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Images /". يحتوي على ملفات رسومية مستلمة.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Images / Sent /". يحتوي على ملفات الرسوم التي تم تحميلها.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Video /". يحتوي على ملفات الفيديو المستلمة.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Video / مرسل /". يحتوي على ملفات الفيديو التي تم تحميلها.
  • دليل "/ data / media / 0 / WhatsApp / Media / WhatsApp Profile Photos /". يحتوي على ملفات صور مرتبطة بمالك حساب WhatsApp.
  • لتوفير مساحة على هاتفك الذكي الذي يعمل بنظام Android ، يمكن تخزين بعض بيانات WhatsApp على بطاقة SD. على بطاقة SD ، في الدليل الجذر ، هناك دليل "ال WhatsApp"حيث يمكن العثور على القطع الأثرية التالية من هذا البرنامج:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

  • دليل '.يشارك' ("/mnt/sdcard/WhatsApp/.Share/"). يحتوي على نسخ من الملفات التي تمت مشاركتها مع مستخدمي WhatsApp الآخرين.
  • دليل '.نفاية' ("/mnt/sdcard/WhatsApp/.trash/"). يحتوي على ملفات محذوفة.
  • دليل 'قواعد بيانات' ('/ mnt / sdcard / WhatsApp / قواعد البيانات /'). يحتوي على نسخ احتياطية مشفرة. يمكن فك تشفيرها إذا كان هناك ملف 'مفتاح'، المستخرج من ذاكرة الجهاز الذي تم تحليله.

    ملفات في دليل فرعي 'قواعد بيانات':

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟

  • دليل 'نصف' ('/ mnt / sdcard / WhatsApp / Media /'). يحتوي على أدلة فرعية 'ورق الجدران', "WhatsApp Audio", "صور WhatsApp", "صور ملف تعريف WhatsApp", فيديو واتس اب, "ملاحظات WhatsApp الصوتية"، والتي تحتوي على ملفات الوسائط المتعددة المستلمة والمنقولة (ملفات رسومية ، ملفات فيديو ، رسائل صوتية ، صور مرتبطة بملف تعريف صاحب حساب WhatsApp ، خلفيات).
  • دليل 'الصور الرمزية' ("/ mnt / sdcard / WhatsApp / صور الملف الشخصي /"). يحتوي على ملفات صور مرتبطة بملف تعريف صاحب حساب WhatsApp.
  • في بعض الأحيان قد يكون هناك دليل على بطاقة SD "ملفات" ('/ mnt / sdcard / WhatsApp / ملفات /'). يحتوي هذا الدليل على ملفات تخزن إعدادات البرامج وتفضيلات المستخدم.

ميزات تخزين البيانات في بعض طرز الأجهزة المحمولة

قد تخزن بعض طرز الأجهزة المحمولة التي تعمل بنظام Android عناصر WhatsApp في موقع مختلف. هذا بسبب التغيير في مساحة تخزين بيانات التطبيق بواسطة برنامج النظام للجهاز المحمول. لذلك ، على سبيل المثال ، في أجهزة Xiaomi المحمولة ، توجد وظيفة لإنشاء مساحة عمل ثانية ("SecondSpace"). عند تنشيط هذه الوظيفة ، يتغير موقع البيانات. لذلك ، في حالة وجود جهاز محمول عادي يعمل بنظام التشغيل Android OS ، يتم تخزين بيانات المستخدم في الدليل "/ data / user / 0 /" (وهي إشارة إلى المعتاد "/ data / data /") ، ثم في مساحة العمل الثانية ، يتم تخزين بيانات التطبيق في الدليل "/ data / user / 10 /". هذا هو ، على سبيل المثال ، موقع الملف 'wa.db':

  • في هاتف ذكي عادي يعمل بنظام Android OS: /data/user/0/com.whatsapp/databases/wa.db ' (وهو ما يعادل "/data/data/com.whatsapp/databases/wa.db ');
  • في مساحة العمل الثانية لهاتف Xiaomi الذكي: "/data/user/10/com.whatsapp/databases/wa.db".

Whatsapp Artifacts على جهاز iOS

على عكس نظام التشغيل Android ، في iOS ، يتم نقل بيانات WhatsApp إلى نسخة احتياطية (نسخة احتياطية من iTunes). لذلك ، لا يتطلب استخراج البيانات من هذا التطبيق استخراج نظام الملفات أو إنشاء تفريغ ذاكرة فعلية للجهاز قيد التحقيق. معظم المعلومات ذات الصلة واردة في قاعدة البيانات "ChatStorage.sqlite"التي تقع على طول المسار: "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/" (في بعض البرامج يتم عرض هذا المسار على شكل "AppDomainGroup-group.net.whatsapp.WhatsApp.shared").

هيكل "ChatStorage.sqlite":

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
تعد الجداول الأكثر إفادة في قاعدة بيانات "ChatStorage.sqlite" "ZWAMESSAGE" и "ZWAMEDIAITEM".

مظهر الجدول "ZWAMESSAGE":

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
هيكل الجدول "ZWAMESSAGE"

اسم الحقل قيمة
Z_PK رقم السجل (في جدول SQL)
Z_ENT معرف الجدول ، القيمة "9"
Z_OPT غير معروف ، يحتوي عادةً على قيم من "1" إلى "6"
رسائل ZCHILDELIVEREDCOUNT غير معروف ، يحتوي عادةً على القيمة "0"
رسائل ZCHILD غير معروف ، يحتوي عادةً على القيمة "0"
رسائل ZCHILDCOUNT غير معروف ، يحتوي عادةً على القيمة "0"
الإصدار غير معروف ، عادةً "3" ، مؤشر رسالة نصية على الأرجح
زدوكيد غير معروف
ZENCRETRYCOUNT غير معروف ، يحتوي عادةً على القيمة "0"
عدد التصفية ZFILTEREDRECIPIENTCOUNT غير معروف ، يحتوي عادةً على القيم "0" و "2" و "256"
زيسفروم اتجاه الرسالة: '0' - وارد ، '1' - صادر
حالة الخطأ ZMESSAGEER حالة نقل الرسائل. إذا تم إرسال / استلام الرسالة ، فستكون قيمتها "0"
ZMESSAGETYPE نوع الرسالة
ZSORT غير معروف
ZSpotlightstatus غير معروف
ZSTARRED غير معروف ، غير مستخدم
ZCHATSESION غير معروف
عضو المجموعة غير معروف ، غير مستخدم
زلاسيون غير معروف
زميديايتم غير معروف
ZMESSAGEINFO غير معروف
رسالة زبارنت غير معروف ، غير مستخدم
ZMESSAGEDATE الطابع الزمني بتنسيق OS X Epoch Time
تاريخ وقت إرسال الرسالة بتنسيق OS X Epoch Time
زفرومجيد معرف مرسل whatsapp
معرف ZMEDIASECTIONID يحتوي على السنة والشهر الذي تم إرسال ملف الوسائط فيه
زفاش غير معروف ، غير مستخدم
ZPUSHPAME اسم جهة الاتصال التي أرسلت ملف الوسائط بتنسيق UTF-8
زستانزيد معرّف رسالة فريد
Ztext رسالة نصية
زتوجيد معرف WhatsApp الخاص بالمستلم
الأوفست الإزاحة

مظهر الجدول "ZWAMEDIAITEM":

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
هيكل الطاولة "ZWAMEDIAITEM"

اسم الحقل قيمة
Z_PK رقم السجل (في جدول SQL)
Z_ENT معرف الجدول ، القيمة "8"
Z_OPT غير معروف ، يحتوي عادةً على قيم من "1" إلى "3".
ZCLUDSTATUS يحتوي على القيمة '4' إذا تم تحميل الملف.
ZFILESIZE يحتوي على طول الملف (بالبايت) للملفات التي تم تحميلها
ZMEDIAORIGIN غير معروف ، عادة "0"
ZMOVIEDURATION مدة ملف الوسائط ، بالنسبة لملفات pdf ، يمكن أن تحتوي على عدد صفحات المستند
ZMESSAGE يحتوي على رقم تسلسلي (الرقم يختلف عن الرقم المحدد في العمود "Z_PK")
زاسبكتاتيو نسبة العرض إلى الارتفاع ، غير مستخدمة ، يتم تعيينها عادةً على "0"
زهاكوراسي غير معروف ، عادة "0"
زلاتيتود العرض بالبكسل
زلونجتيود الارتفاع بالبكسل
ZMEDIAURLDATE الطابع الزمني بتنسيق OS X Epoch Time
ZAUTHORNAME المؤلف (للمستندات ، قد تحتوي على اسم الملف)
ZCOLLECTIONNAME لا تستخدم
زميديالوكالباث اسم الملف (مع المسار) في نظام ملفات الجهاز
زميدياورل عنوان URL حيث تم وضع ملف الوسائط. إذا تم نقل الملف من مشترك إلى آخر ، فيتم تشفيره ، وسيتم الإشارة إلى امتداده على أنه امتداد للملف المنقول - .enc.
ZTHUMBNAILLOCAPATH المسار إلى الصورة المصغرة للملف في نظام ملفات الجهاز
ZTITLE رأس الملف
ZVCARDNAME تجزئة ملف الوسائط ، عند نقل ملف إلى مجموعة ، قد يحتوي على معرف المرسل
ZVCARDSTRING يحتوي على معلومات حول نوع الملف الذي يتم نقله (على سبيل المثال ، image / jpeg) ؛ عند نقل ملف إلى مجموعة ، قد يحتوي على معرف المستلم
ZXMPPTHUMBPATH المسار إلى الصورة المصغرة للملف في نظام ملفات الجهاز
زميدياكي غير معروف ، ربما يحتوي على مفتاح فك تشفير الملف المشفر.
بيانات ZMETADATA البيانات الوصفية للرسالة
عوض الإزاحة

جداول قاعدة بيانات أخرى مثيرة للاهتمام "ChatStorage.sqlite" هي:

  • "ZWAPROFILEPUSHNAME". يتوافق مع معرف WhatsApp باسم جهة الاتصال ؛
  • "ZWAPROFILEPICTUREITEM". يتوافق مع معرف WhatsApp مع الصورة الرمزية لجهة الاتصال ؛
  • "Z_PRIMARYKEY". يحتوي الجدول على معلومات عامة حول قاعدة البيانات هذه ، مثل العدد الإجمالي للرسائل المخزنة والعدد الإجمالي للمحادثات وما إلى ذلك.

أيضًا ، عند فحص WhatsApp على جهاز محمول يعمل بنظام iOS ، يجب الانتباه إلى الملفات التالية:

  • ملف "BackedUpKeyValue.sqlite". يحتوي على مفاتيح تشفير وبيانات أخرى ضرورية للتعرف على صاحب الحساب. تقع على طول الطريق: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ملف "جهات الاتصال V2.sqlite". يحتوي على معلومات حول جهات اتصال المستخدم ، مثل الاسم الكامل ورقم الهاتف وحالة جهة الاتصال (كنص) ومعرف WhatsApp وما إلى ذلك. تقع على طول الطريق: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ملف "إصدار_المستهلك". يحتوي على رقم إصدار تطبيق WhatsApp المثبت. تقع على طول الطريق: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ملف "current_wallpaper.jpg". يحتوي على خلفية خلفية WhatsApp الحالية. تقع على طول الطريق: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. تستخدم الإصدارات القديمة من التطبيق الملف 'ورق الجدران'التي تقع على طول المسار: "/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/".
  • ملف "blockcontacts.dat". يحتوي على معلومات حول جهات الاتصال المحظورة. تقع على طول الطريق: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • ملف "pw.dat". يحتوي على كلمة مرور مشفرة. تقع على طول الطريق: "/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/".
  • ملف "net.whatsapp.whatsapp.plist" (أو ملف "group.net.whatsapp.whatsapp.shared.plist"). يحتوي على معلومات حول ملف تعريف حساب WhatsApp. يوجد الملف على طول المسار: "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/".

محتويات ملف "group.net.whatsapp.WhatsApp.shared.plist" WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
تحتاج أيضًا إلى الانتباه إلى الأدلة التالية:

  • دليل "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/". يحتوي على صور مصغرة لجهات الاتصال والمجموعات (الملفات ذات الامتداد .إبهام) ، اتصل بالصور الرمزية ، الصورة الرمزية لمالك حساب WhatsApp (ملف "Photo.jpg").
  • دليل "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/". يحتوي على ملفات الوسائط المتعددة والصور المصغرة الخاصة بهم
  • دليل "/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/". يحتوي على سجل عمليات البرنامج (ملف "calls.log") ونسخ احتياطية من سجلات تشغيل البرنامج (ملف "calls.backup.log").
  • دليل "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/". يحتوي على ملصقات (ملفات بتنسيق ".webp").
  • دليل "/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/". يحتوي على سجلات البرنامج.

Whatsapp Artifacts على Windows

يمكن العثور على WhatsApp Artifacts على Windows في عدة أماكن. بادئ ذي بدء ، هذه هي الدلائل التي تحتوي على الملفات القابلة للتنفيذ والملفات المساعدة للبرنامج (لنظام التشغيل Windows 8/10):

  • "C: ملفات البرنامج (x86) Whatsapp"
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ AppDataLocalWhatsApp"
  • 'C: المستخدمون٪ ملف تعريف المستخدم٪ ملفات برنامج AppDataLocalVirtualStore (x86) WhatsApp'

في الكتالوج "ج: المستخدمون٪ ملف تعريف المستخدم٪ AppDataLocalWhatsApp" يقع ملف السجل "SquirrelSetup.log"، والذي يحتوي على معلومات حول التحقق من وجود تحديثات وتثبيت البرنامج.

في الكتالوج "ج: المستخدمون٪ ملف تعريف المستخدم٪ AppDataRoamingWhatsApp" هناك عدة أدلة فرعية:

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
ملف "main-process.log" يحتوي على معلومات حول تشغيل WhatsApp.

دليل فرعي 'قواعد بيانات' يحتوي على ملف "قواعد بيانات. db"، لكن هذا الملف لا يحتوي على أي معلومات حول الدردشات أو جهات الاتصال.

الأكثر إثارة للاهتمام من وجهة نظر الطب الشرعي هي الملفات الموجودة في الدليل 'مخبأ'. في الأساس ، هذه ملفات ذات أسماء 'F_*******' (حيث * عبارة عن رقم من 0 إلى 9) يحتوي على ملفات ومستندات وسائط مشفرة ، ولكن هناك أيضًا ملفات غير مشفرة فيما بينها. ملفات ذات أهمية خاصة "data_0", "data_1", "data_2", "data_3"يقع في نفس الدليل الفرعي. الملفات "data_0", "data_1", "data_3" تحتوي على روابط خارجية لملفات الوسائط المتعددة والمستندات المشفرة المنقولة.

مثال على المعلومات الواردة في ملف "data_1"WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
أيضا ملف "data_3" قد تحتوي على ملفات رسومية.

ملف "data_2" يحتوي على صور شخصية لجهات الاتصال (يمكن استعادتها من خلال البحث في عناوين الملفات).

الصور الرمزية الموجودة في الملف "data_2":

WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
وبالتالي ، لا يمكن العثور على الدردشات نفسها في ذاكرة الكمبيوتر ، ولكن يمكنك العثور على:

  • ملفات الوسائط المتعددة
  • المستندات المنقولة عبر WhatsApp ؛
  • معلومات الاتصال بصاحب الحساب.

Whatsapp Artifacts على MacOS

في نظام MacOS ، يمكنك العثور على أنواع من أدوات WhatsApp مشابهة لتلك الموجودة على Windows.

توجد ملفات البرنامج في الأدلة التالية:

  • "ج: ApplicationsWhatsApp.app"
  • "C: Applications._WhatsApp.app"
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryPreferences"
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryLogsWhatsApp"
  • "C: المستخدمون٪ ملف تعريف المستخدم٪ LibrarySaved Application StateWhatsApp.savedState"
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplicationScripts"
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplication SupportCloudDocs"
  • 'C: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplication SupportWhatsApp.ShipIt'
  • 'C: المستخدمون٪ ملف تعريف المستخدم٪ LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ مكتبة المستندات المتنقلة <متغير نص> حسابات WhatsApp"
    يحتوي هذا الدليل على أدلة فرعية أسماؤها هي أرقام الهواتف المرتبطة بمالك حساب WhatsApp.
  • 'C: المستخدمون٪ ملف تعريف المستخدم٪ LibraryCachesWhatsApp.ShipIt'
    يحتوي هذا الدليل على معلومات حول تثبيت البرنامج.
  • 'C: المستخدمون٪ ملف تعريف المستخدم٪ الصور iPhoto Library.photolibraryMasters', 'C: المستخدمون٪ ملف تعريف المستخدم٪ الصور iPhoto Library.photolibraryThumbnails'
    تحتوي هذه الأدلة على ملفات خدمة البرنامج ، بما في ذلك الصور والصور المصغرة لجهات اتصال WhatsApp.
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryCachesWhatsApp"
    يحتوي هذا الدليل على العديد من قواعد بيانات SQLite التي يتم استخدامها للتخزين المؤقت للبيانات.
  • "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplication SupportWhatsApp"
    يحتوي هذا الدليل على عدة أدلة فرعية:

    WhatsApp في راحة يدك: أين وكيف يمكنك أن تجد أدوات الطب الشرعي؟
    في الكتالوج "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplication SupportWhatsAppCache" هناك ملفات "data_0", "data_1", "data_2", "data_3" والملفات المسماة 'F_*******' (حيث * عبارة عن رقم بين 0 و 9). للحصول على معلومات حول المعلومات التي تحتوي عليها هذه الملفات ، راجع WhatsApp Artifacts على Windows.

    في الكتالوج "ج: المستخدمون٪ ملف تعريف المستخدم٪ LibraryApplication SupportWhatsAppIndexedDB" قد تحتوي على ملفات وسائط متعددة (الملفات ليس لها امتدادات).

    ملف "main-process.log" يحتوي على معلومات حول تشغيل WhatsApp.

مصادر

  1. تحليل الطب الشرعي لتطبيق WhatsApp Messenger على الهواتف الذكية التي تعمل بنظام Android ، بواسطة Cosimo Anglano ، 2014.
  2. تحقيقات Whatsapp: Eksplorasi sistem berkas dan base data pada aplikasi Android dan iOS بواسطة Ahmad Pratama ، 2014.

في المقالات التالية في هذه السلسلة:

فك تشفير قواعد بيانات WhatsApp المشفرةمقالة ستوفر معلومات حول كيفية إنشاء مفتاح تشفير WhatsApp ، وإعطاء أمثلة عملية توضح كيفية فك تشفير القواعد المشفرة لهذا التطبيق.
استخراج بيانات WhatsApp من التخزين السحابيمقال سنشرح فيه بيانات WhatsApp المخزنة في السحاب ووصف طرق استخراج هذه البيانات من التخزين السحابي.
استخراج بيانات WhatsApp: أمثلة عمليةمقال يصف خطوة بخطوة البرامج وكيفية استخراج بيانات WhatsApp من الأجهزة المختلفة.

المصدر: www.habr.com

إضافة تعليق