Müxtəlif əməliyyat sistemlərində hansı növ WhatsApp məhkəmə artefaktlarının mövcud olduğunu və onların dəqiq harada tapılacağını bilmək istəyirsinizsə, bu sizin üçün yerdir. Bu məqalə Group-IB Kompüter Məhkəmə Laboratoriyasının mütəxəssisindəndir İqor Mixaylov WhatsApp kriminalistikası və cihazın təhlilindən hansı məlumatların əldə oluna biləcəyi haqqında bir sıra yazılara start verir.
Dərhal qeyd edək ki, müxtəlif əməliyyat sistemləri müxtəlif növ WhatsApp artefaktlarını saxlayır və əgər tədqiqatçı bir cihazdan müəyyən növ WhatsApp məlumatlarını çıxara bilirsə, bu o demək deyil ki, oxşar tipli verilənlər başqa bir cihazdan çıxarıla bilər. Məsələn, Windows OS ilə işləyən sistem bloku çıxarılarsa, WhatsApp söhbətləri onun disklərində çox güman ki, tapılmayacaq (eyni disklərdə tapıla bilən iOS cihazlarının ehtiyat nüsxələri istisna olmaqla). Noutbukların və mobil cihazların ələ keçirilməsinin öz xüsusiyyətləri olacaq. Bu barədə daha ətraflı danışaq.
Android cihazında WhatsApp artefaktları
Android cihazından WhatsApp artefaktlarını çıxarmaq üçün tədqiqatçı super istifadəçi hüquqlarına malik olmalıdır ('kök') təhqiqat altında olan cihazda və ya cihazın və ya onun fayl sisteminin fiziki yaddaş zibilini başqa cür çıxara bilmək (məsələn, xüsusi mobil cihazın proqram təminatı zəifliyindən istifadə etməklə).
Proqram faylları telefonun yaddaşında istifadəçi məlumatlarının saxlandığı bölmədə yerləşir. Bir qayda olaraq, bu bölmə adlanır 'istifadəçi məlumatları'. Alt kataloqlar və proqram faylları yol boyunca yerləşir: '/data/data/com.whatsapp/'.
Android OS-də WhatsApp məhkəmə artefaktlarını ehtiva edən əsas fayllar verilənlər bazalarıdır 'wa.db' и 'msgstore.db'.
Verilənlər bazasında 'wa.db' telefon nömrəsi, ekran adı, vaxt ştampları və WhatsApp-da qeydiyyatdan keçərkən verilən hər hansı digər məlumatlar daxil olmaqla, WhatsApp istifadəçisinin tam əlaqə siyahısını ehtiva edir. Fayl 'wa.db' yol boyu yerləşir: '/data/data/com.whatsapp/databases/' və aşağıdakı quruluşa malikdir:
Verilənlər bazasında ən maraqlı cədvəllər 'wa.db' tədqiqatçı üçün bunlardır:
- 'wa_contacts'
Bu cədvəldə əlaqə məlumatları var: WhatsApp əlaqə nömrəsi, status məlumatı, istifadəçinin ekran adı, vaxt ştampları və s.Cədvəlin görünüşü:
Cədvəl quruluşuSahənin adı Dəyər _id qeyd ardıcıllığı nömrəsi (SQL cədvəlində) jid <telefon nömrəsi>@s.whatsapp.net formatında yazılmış WhatsApp əlaqə nömrəsi whatsapp_istifadəçisidir kontakt faktiki WhatsApp istifadəçisinə uyğundursa, "1", əks halda "0" ehtiva edir vəziyyət əlaqə statusunda göstərilən mətni ehtiva edir status_zaman damgası Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir nömrə əlaqə ilə əlaqəli telefon nömrəsi xam_əlaqə_id əlaqə seriya nömrəsi ekran_adı əlaqə ekran adı telefon_növü telefon növü telefon_etiketi əlaqə nömrəsi ilə əlaqəli etiket görünməmiş_msg_sayı kontakt tərəfindən göndərilən, lakin alıcı tərəfindən oxunmayan mesajların sayı foto_ts Unix Epoch Time formatında vaxt möhürü var baş barmaqlar Unix Epoch Time formatında vaxt möhürü var şəkil_id_zaman möhürü Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir verilmiş ad sahə dəyəri hər bir kontakt üçün "ekran_adı"na uyğun gəlir wa_name WhatsApp əlaqə adı (kontaktın profilində göstərilən ad göstərilir) sort_name çeşidləmə əməliyyatlarında istifadə edilən əlaqə adı ləqəb WhatsApp-da kontaktın ləqəbi (kontaktın profilində göstərilən ləqəb göstərilir) şirkət şirkət (əlaqənin profilində göstərilən şirkət göstərilir) adı başlıq (xanım/cənab; əlaqə profilində konfiqurasiya edilmiş başlıq göstərilir) ofset qərəz - 'sqlite_sequence'
Bu cədvəldə kontaktların sayı haqqında məlumat var; - 'android_metadata'
Bu cədvəldə WhatsApp dilinin lokallaşdırılması haqqında məlumat var.
Verilənlər bazasında 'msgstore.db' göndərilən mesajlar haqqında məlumatları, məsələn, əlaqə nömrəsi, mesaj mətni, mesaj statusu, vaxt ştampları, mesajlara daxil edilmiş ötürülən faylların təfərrüatları və s. Fayl 'msgstore.db' yol boyu yerləşir: '/data/data/com.whatsapp/databases/' və aşağıdakı quruluşa malikdir:
Fayldakı ən maraqlı cədvəllər 'msgstore.db' tədqiqatçı üçün bunlardır:
- 'sqlite_sequence'
Bu cədvəldə bu verilənlər bazası haqqında ümumi məlumat var, məsələn, saxlanılan mesajların ümumi sayı, söhbətlərin ümumi sayı və s.Cədvəlin görünüşü:
- 'message_fts_content'
Göndərilən mesajların mətnini ehtiva edir.Cədvəlin görünüşü:
- 'mesajlar'
Bu cədvəldə əlaqə nömrəsi, mesaj mətni, mesaj statusu, vaxt ştampları, mesajlara daxil edilmiş ötürülən fayllar haqqında məlumatlar var.Cədvəlin görünüşü:
Cədvəl quruluşuSahənin adı Dəyər _id qeyd ardıcıllığı nömrəsi (SQL cədvəlində) açar_uzaqdan_cid Əlaqə partnyorunun WhatsApp ID-si açar_məndən mesaj istiqaməti: '0' - gələn, '1' - gedən key_id unikal mesaj identifikatoru vəziyyət mesaj statusu: '0' - çatdırıldı, '4' - serverdə gözləyir, '5' - təyinat yerində qəbul edildi, '6' - nəzarət mesajı, '13' - alıcı tərəfindən açılan mesaj (oxu) itələmək lazımdır yayım mesajıdırsa, '2' dəyərinə malikdir, əks halda '0' məlumat mesaj mətni ('media_wa_type' parametri '0' olduqda) vaxt damgası Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir, dəyər cihazın saatından götürülür media_url köçürülmüş faylın URL-ni ehtiva edir ('media_wa_type' parametri '1', '2', '3' olduqda) media_mime_növü Köçürülən faylın MIME növü ('media_wa_type' parametri '1', '2', '3'-ə bərabər olduqda) media_wa_type mesaj növü: '0' - mətn, '1' - qrafik fayl, '2' - audio fayl, '3' - video fayl, '4' - əlaqə kartı, '5' - coğrafi məlumat media_ölçüsü köçürülmüş faylın ölçüsü ('media_wa_type' parametri '1', '2', '3' olduqda) media_adı köçürülmüş faylın adı ('media_wa_type' parametri '1', '2', '3' olduqda) media_başlığı 'media_wa_type' parametrinin müvafiq dəyərləri üçün 'audio', 'video' sözlərini ehtiva edir ('media_wa_type' parametri '1', '3' olduqda) media_hash HAS-64 alqoritmi ilə hesablanmış ötürülən faylın base256 kodlu hashı ('media_wa_type' parametri '1', '2', '3'-ə bərabər olduqda) media_müddəti media faylı üçün saniyələrlə müddət ('media_wa_type' '1', '2', '3' olduqda) mənşə yayım mesajıdırsa, '2' dəyərinə malikdir, əks halda '0' Enlem geodata: enlik ('media_wa_type' parametri '5' olduqda) uzunluq geodata: uzunluq ('media_wa_type' parametri '5' olduqda) baş barmaq şəkli xidmət məlumatları uzaq_resurs Göndərən ID (yalnız qrup söhbətləri üçün) qəbul_vaxt damğası qəbul vaxtı, Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir, dəyər cihazın saatından götürülür ('key_from_me' parametri '0', '-1' və ya digər dəyərə malik olduqda) göndərmə_zaman damğası istifadə edilmir, adətən '-1' dəyərinə malikdir qəbz_server_zaman möhürü mərkəzi server tərəfindən qəbul edilən vaxt, Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir, dəyər cihazın saatından götürülür ('key_from_me' parametri '1', '-1' və ya digər dəyərə malik olduqda qəbz_cihazı_zaman möhürü mesajın başqa abunəçi tərəfindən qəbul edildiyi vaxt, Unix Epoch Time (ms) formatında vaxt damğası ehtiva edir, dəyər cihazın saatından götürülür ('key_from_me' parametri '1', '-1' və ya başqa bir dəyərə malik olduqda oxumaq_cihazı_zaman möhürü mesajın açılması (oxuması) vaxtı, Unix Epoch Time (ms) formatında vaxt möhürü var, dəyər cihazın saatından götürülür oynanılan_cihaz_zaman möhürü mesajın oxudulma vaxtı, Unix Epoch Time (ms) formatında vaxt möhürü var, dəyər cihazın saatından götürülür xam_data köçürülmüş faylın miniatürü ('media_wa_type' parametri '1' və ya '3' olduqda) alıcı_sayı alıcıların sayı (yayım mesajları üçün) iştirakçı_hash geoməlumatlarla mesajların ötürülməsi zamanı istifadə olunur Ulduzlu istifadə edilməmişdir sitat_sətir_id naməlum, adətən '0' dəyərini ehtiva edir qeyd olunan_cidlər istifadə edilməmişdir multicast_id istifadə edilməmişdir ofset qərəz Sahələrin bu siyahısı tam deyil. WhatsApp-ın müxtəlif versiyaları üçün bəzi sahələr mövcud və ya olmaya bilər. Bundan əlavə, sahələr mövcud ola bilər 'media_enc_hash', 'edit_version', 'ödəniş_transaction_id' və s.
- 'messages_thumbnails'
Bu cədvəldə köçürülmüş şəkillər və vaxt nişanları haqqında məlumat var. 'Vaxt damğası' sütununda vaxt Unix Epoch Time (ms) formatında göstərilir. - 'chat_list'
Bu cədvəldə söhbətlər haqqında məlumat var.Cədvəlin görünüşü:
Həmçinin, Android ilə işləyən mobil cihazda WhatsApp-ı araşdırarkən aşağıdakı fayllara diqqət yetirməlisiniz:
- Файл 'msgstore.db.cryptXX' (burada XX 0-dan 12-yə qədər bir və ya iki rəqəmdir, məsələn, msgstore.db.crypt12). WhatsApp mesajlarının şifrələnmiş ehtiyat nüsxəsini ehtiva edir (yedek fayl msgstore.db). Fayl(lar) 'msgstore.db.cryptXX' yol boyu yerləşir: '/data/media/0/WhatsApp/Databases/' (virtual SD kart), '/mnt/sdcard/WhatsApp/Verilənlər bazaları/ (fiziki SD kart)'.
- Файл 'açar'. Tərkibində kriptoqrafik açar var. Yol boyu yerləşir: '/data/data/com.whatsapp/files/'. Şifrələnmiş WhatsApp ehtiyat nüsxələrinin şifrəsini açmaq üçün istifadə olunur.
- Файл 'com.whatsapp_preferences.xml'. WhatsApp hesab profiliniz haqqında məlumat ehtiva edir. Fayl yol boyunca yerləşir: '/data/data/com.whatsapp/shared_prefs/'.
Fayl məzmun fraqmenti
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - Файл 'register.RegisterPhone.xml'. WhatsApp hesabı ilə əlaqəli telefon nömrəsi haqqında məlumat ehtiva edir. Fayl yol boyunca yerləşir: '/data/data/com.whatsapp/shared_prefs/'.
Fayl məzmunu
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - Файл 'axolotl.db'. Hesab sahibini müəyyən etmək üçün zəruri olan kriptoqrafik açarları və digər məlumatları ehtiva edir. Yol boyu yerləşir: '/data/data/com.whatsapp/databases/'.
- Файл 'chatsettings.db'. Tətbiq konfiqurasiyası məlumatlarını ehtiva edir.
- Файл 'wa.db'. Əlaqə məlumatlarını ehtiva edir. Çox maraqlı (məhkəmə aspektindən) və məlumat bazası. O, silinmiş kontaktlar haqqında ətraflı məlumatı ehtiva edə bilər.
Aşağıdakı qovluqlara da diqqət yetirməlisiniz:
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Şəkilləri/'. Köçürülmüş qrafik faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Səs Qeydləri/'. .OPUS format fayllarında səsli mesajları ehtiva edir.
- Directory '/data/data/com.whatsapp/cache/Profil Şəkilləri/'. Qrafik faylları - kontaktların şəkillərini ehtiva edir.
- Directory '/data/data/com.whatsapp/files/Avatarlar/'. Qrafik faylları - kontaktların kiçik şəkillərini ehtiva edir. Bu fayllar '.j' uzantısına malikdir, lakin buna baxmayaraq, JPEG (JPG) şəkil fayllarıdır.
- Directory '/data/data/com.whatsapp/files/Avatarlar/'. Qrafik faylları ehtiva edir - hesab sahibi tərəfindən avatar kimi təyin edilmiş şəklin şəkli və miniatürü.
- Directory '/data/data/com.whatsapp/files/Logs/'. Proqramın əməliyyat jurnalını ("whatsapp.log" faylı) və proqram əməliyyat jurnallarının ehtiyat nüsxələrini (adları whatsapp-yyyy-mm-dd.1.log.gz formatında olan fayllar) ehtiva edir.
WhatsApp Günlük Faylları:
Jurnal fraqmenti2017-01-10 09:37:09.757 LL_I D [524:WhatsApp İşçisi #1] buraxılmış zəng bildirişi/başlama sayı:0 vaxt damğası:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp İşçisi #1] buraxılmış zəng bildirişi/yeniləmə ləğvi doğrudur
2017-01-10 09:37:09.768 LL_I D [1:əsas] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:əsas] parol faylı çatışmır və ya oxunmur
2017-01-10 09:37:09.782 LL_I D [1:main] statistics Mətn Mesajları: 59 göndərildi, 82 qəbul edildi / Media Mesajları: 1 göndərildi (0 bayt), 0 qəbul edildi (9850158 bayt) / Offline Mesajlar: 81 qəbul edildi ( 19522 msn orta gecikmə) / Mesaj Xidməti: 116075 bayt göndərildi, 211729 bayt qəbul edildi / Voip Zənglər: 1 gedən zəng, 0 gələn zəng, 2492 bayt göndərildi, 1530 bayt qəbul edildi / Google Disk: 0 bayt göndərildi, 0 bayt qəbul edildi / Roam bayt göndərildi, 1524 bayt qəbul edildi / Ümumi məlumat: 1826 bayt göndərildi, 118567 bayt qəbul edildi
2017-01-10 09:37:09.785 LL_I D [1:əsas] media-dövlət-menecer/refresh-media-state/yazıla bilən media
2017-01-10 09:37:09.806 LL_I D [1:əsas] app-init/initialize/taymer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/false silin
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/geri/yanlış silin
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-jurnal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/versiya 1
2017-01-10 09:37:09.839 LL_I D [1:əsas] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:əsas] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/taymer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | sərf olunan vaxt: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp İşçisi #3] media-dövlət-menecer/refresh-media-state/daxili yaddaş mövcuddur:1,345,622,016 cəmi:5,687,922,688
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Qəbul edilmiş audio faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/Göndərildi/'. Göndərilən audio faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Şəkilləri/'. Yaranan qrafik faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Şəkilləri/Göndərildi/'. Göndərilən qrafik faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Qəbul edilmiş video faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/Göndərildi/'. Göndərilən video faylları ehtiva edir.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Profil Fotoları/'. WhatsApp hesabının sahibi ilə əlaqəli qrafik faylları ehtiva edir.
- Android smartfonunuzda yaddaş sahəsinə qənaət etmək üçün bəzi WhatsApp məlumatları SD kartda saxlanıla bilər. SD kartda, kök kataloqda bir kataloq var 'WhatsApp', bu proqramın aşağıdakı artefaktlarını tapmaq olar:
- Directory '.Paylaş' ('/mnt/sdcard/WhatsApp/.Paylaş/'). Digər WhatsApp istifadəçiləri ilə paylaşılan faylların surətlərini ehtiva edir.
- Directory '.zibil' ('/mnt/sdcard/WhatsApp/.trash/'). Silinmiş faylları ehtiva edir.
- Directory 'verilənlər bazaları' ('/mnt/sdcard/WhatsApp/Verilənlər bazaları/'). Şifrələnmiş ehtiyat nüsxələrini ehtiva edir. Fayl varsa, onların şifrəsi açıla bilər 'açar', təhlil edilən cihazın yaddaşından çıxarılır.
Alt kataloqda yerləşən fayllar 'verilənlər bazaları':
- Directory 'Yarım' ('/mnt/sdcard/WhatsApp/Media/'). Alt kataloqları ehtiva edir 'Divar kağızı', "WhatsApp Audio", "WhatsApp Şəkilləri", 'WhatsApp Profil Fotoları', 'WhatsApp Video', "WhatsApp səs qeydləri", qəbul edilmiş və ötürülən multimedia faylları (qrafik fayllar, video fayllar, səsli mesajlar, WhatsApp hesabı sahibinin profili ilə əlaqəli şəkillər, divar kağızları) ehtiva edir.
- Directory "Profil şəkilləri" ('/mnt/sdcard/WhatsApp/Profil Şəkilləri/'). WhatsApp hesabı sahibinin profili ilə əlaqəli qrafik faylları ehtiva edir.
- Bəzən SD kartda bir kataloq ola bilər 'fayllar' ('/mnt/sdcard/WhatsApp/Files/'). Bu kataloq proqram parametrlərini və istifadəçi seçimlərini saxlayan fayllardan ibarətdir.
Mobil cihazların bəzi modellərində məlumatların saxlanmasının xüsusiyyətləri
Android OS ilə işləyən bəzi mobil cihazların modelləri WhatsApp artefaktlarını başqa yerdə saxlaya bilər. Bu, mobil cihazın sistem proqram təminatı tərəfindən tətbiq məlumatlarının saxlanma sahəsindəki dəyişikliklərlə bağlıdır. Məsələn, Xiaomi mobil cihazlarında ikinci iş sahəsi ("SecondSpace") yaratmaq funksiyası var. Bu funksiya aktivləşdirildikdə məlumatların yeri dəyişir. Beləliklə, Android OS ilə işləyən adi bir mobil cihazda istifadəçi məlumatları kataloqda saxlanılırsa '/data/user/0/' (bu adi olana istinaddır '/data/data/'), sonra ikinci iş sahəsində proqram məlumatları kataloqda saxlanılır '/data/user/10/'. Yəni, fayl yeri nümunəsindən istifadə etməklə 'wa.db':
- Android OS ilə işləyən adi smartfonda: /data/user/0/com.whatsapp/database/wa.db' (bu ekvivalentdir '/data/data/com.whatsapp/database/wa.db');
- Xiaomi smartfonunun ikinci iş yerində: '/data/user/10/com.whatsapp/databases/wa.db'.
iOS cihazında WhatsApp artefaktları
Android OS-dən fərqli olaraq, iOS-da WhatsApp tətbiqi məlumatları ehtiyat nüsxəyə (iTunes ehtiyat nüsxəsi) köçürülür. Buna görə də, bu proqramdan məlumatların çıxarılması fayl sisteminin çıxarılmasını və ya araşdırılan cihazın fiziki yaddaş zibilinin yaradılmasını tələb etmir. Müvafiq məlumatların əksəriyyəti verilənlər bazasındadır 'ChatStorage.sqlite', yol boyunca yerləşir: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (bəzi proqramlarda bu yol kimi görünür 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Struktur 'ChatStorage.sqlite':
'ChatStorage.sqlite' verilənlər bazasında ən məlumatlandırıcı cədvəllər bunlardır 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Masanın görünüşü 'ZWAMESSAGE':
'ZWAMESSAGE' cədvəlinin strukturu
| Sahənin adı | Dəyər |
|---|---|
| Z_PK | qeyd ardıcıllığı nömrəsi (SQL cədvəlində) |
| Z_ENT | cədvəl identifikatoru, '9' dəyərinə malikdir |
| Z_OPT | naməlum, adətən '1'dən '6'ya qədər dəyərləri ehtiva edir |
| ZCHILDMESSAGESDELIVEREDCOUNT | naməlum, adətən '0' dəyərini ehtiva edir |
| ZCHILDMESSAGESPLAYEDCOUNT | naməlum, adətən '0' dəyərini ehtiva edir |
| ZCHILDMESSAGESREADCOUNT | naməlum, adətən '0' dəyərini ehtiva edir |
| ZDATAITEMVERSION | naməlum, adətən "3" dəyərini ehtiva edir, ehtimal ki, mətn mesajı göstəricisidir |
| ZDOCID | bilinməyən |
| ZENCRETRYCOUNT | naməlum, adətən '0' dəyərini ehtiva edir |
| ZFILTEREDRECIPIENTCOUNT | naməlum, adətən '0', '2', '256' dəyərlərini ehtiva edir |
| ZISFROMME | mesaj istiqaməti: '0' - gələn, '1' - gedən |
| ZMESSAGEERRORSTATUS | mesajın ötürülməsi vəziyyəti. Mesaj göndərilib/qəbul edilibsə, o zaman '0' dəyəri var |
| ZMESSAGETYPE | ötürülən mesaj növü |
| ZSORT | bilinməyən |
| ZSPOTLIGHSTATUS | bilinməyən |
| ZSTARRED | naməlum, istifadə olunmayıb |
| ZCHATSESSION | bilinməyən |
| ZGROUPMEMBER | naməlum, istifadə olunmayıb |
| SON SESSİYA | bilinməyən |
| ZMEDIAITEM | bilinməyən |
| ZMESSAGEINFO | bilinməyən |
| ZPARENTMESSAGE | naməlum, istifadə olunmayıb |
| ZMESSAGEDATE | OS X Epoch Time formatında vaxt damğası |
| ZSENTDATE | mesajın OS X Epoch Time formatında göndərildiyi vaxt |
| ZFROMJID | WhatsApp Göndərən ID |
| ZMEDIASECTIONID | media faylının göndərildiyi il və ayı ehtiva edir |
| ZPHASH | naməlum, istifadə olunmayıb |
| ZPUSHPAME | media faylını UTF-8 formatında göndərən kontaktın adı |
| ZSTANZID | unikal mesaj identifikatoru |
| ZTEXT | Mesaj mətni |
| ZTOJID | Alıcının WhatsApp ID-si |
| OFFSET | qərəz |
Masanın görünüşü 'ZWAMEDIAITEM':
'ZWAMEDIAITEM' cədvəlinin strukturu
| Sahənin adı | Dəyər |
|---|---|
| Z_PK | qeyd ardıcıllığı nömrəsi (SQL cədvəlində) |
| Z_ENT | cədvəl identifikatoru, '8' dəyərinə malikdir |
| Z_OPT | naməlum, adətən '1'dən '3'ə qədər olan dəyərləri ehtiva edir. |
| ZCLOUDSTATUS | fayl yüklənirsə, '4' dəyərini ehtiva edir. |
| ZFILESIZE | yüklənmiş fayllar üçün fayl uzunluğunu (baytla) ehtiva edir |
| ZMEDIAORIGIN | naməlum, adətən "0" dəyərinə malikdir |
| ZMOVIEDURATION | media faylının müddəti, pdf faylları üçün sənədin səhifələrinin sayı ola bilər |
| ZMESSAGE | seriya nömrəsini ehtiva edir (nömrə 'Z_PK' sütununda göstəriləndən fərqlidir) |
| ZƏZƏRÇİ | aspekt nisbəti, istifadə edilmir, adətən "0" olaraq təyin edilir |
| HAQQIZLIQ | naməlum, adətən "0" dəyərinə malikdir |
| ZLATTITUDE | piksellə eni |
| ZUZUNLUK | piksellə hündürlük |
| ZMEDIAURLDATE | OS X Epoch Time formatında vaxt damğası |
| ZAUTHORNAME | müəllif (sənədlər üçün fayl adı ola bilər) |
| ZCOLLECTIONNAME | istifadə edilməmişdir |
| ZMEDIALOCALPATH | cihazın fayl sistemindəki fayl adı (yol daxil olmaqla). |
| ZMEDIAURL | Media faylının yerləşdiyi URL. Əgər fayl bir abunəçidən digərinə ötürülübsə, o, şifrələnib və onun uzantısı köçürülmüş faylın uzantısı kimi göstəriləcək - .enc |
| ZTHUMBNAILLOCALPATH | cihazın fayl sistemindəki fayl miniatürünün yolu |
| ZTITLE | fayl başlığı |
| ZVCARDNAME | media faylı hash; faylı qrupa köçürərkən, göndərici identifikatorunu ehtiva edə bilər |
| ZVCARDSTRING | ötürülən faylın növü haqqında məlumatı ehtiva edir (məsələn, şəkil/jpeg); faylı qrupa köçürərkən o, alıcının identifikatorunu ehtiva edə bilər |
| ZXMPPTHUMBPATH | cihazın fayl sistemindəki fayl miniatürünün yolu |
| ZMEDIAKEY | naməlum, yəqin ki, şifrələnmiş faylın şifrəsini açmaq üçün açarı ehtiva edir. |
| ZMETADATA | ötürülən mesajın metadatası |
| Ofset | qərəz |
Digər maraqlı verilənlər bazası cədvəlləri 'ChatStorage.sqlite' aşağıdakılardır:
- 'ZWAPROFILEPUSHNAME'. Əlaqə adı ilə WhatsApp ID-yə uyğun gəlir;
- 'ZWAPROFILEPICTUREITEM'. Əlaqə avatarı ilə WhatsApp ID-yə uyğun gəlir;
- 'Z_PRIMARYKEY'. Cədvəldə bu verilənlər bazası haqqında ümumi məlumatlar, məsələn, saxlanılan mesajların ümumi sayı, söhbətlərin ümumi sayı və s.
Həmçinin iOS ilə işləyən mobil cihazda WhatsApp-ı yoxlayarkən aşağıdakı fayllara diqqət yetirməlisiniz:
- Файл 'BackedUpKeyValue.sqlite'. Hesab sahibini müəyyən etmək üçün zəruri olan kriptoqrafik açarları və digər məlumatları ehtiva edir. Yol boyu yerləşir: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл 'ContactsV2.sqlite'. İstifadəçinin tam adı, telefon nömrəsi, əlaqə statusu (mətn şəklində), WhatsApp ID və s. kimi kontaktları haqqında məlumatları ehtiva edir. Yol boyu yerləşir: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл 'istehlakçı_versiya'. Quraşdırılmış WhatsApp tətbiqinin versiya nömrəsini ehtiva edir. Yol boyu yerləşir: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл 'current_wallpaper.jpg'. Cari WhatsApp fon divar kağızı ehtiva edir. Yol boyu yerləşir: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Proqramın köhnə versiyaları fayldan istifadə edir 'divar kağızı', yol boyunca yerləşir: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Sənədlər/'.
- Файл 'blockedcontacts.dat'. Bloklanmış kontaktlar haqqında məlumat ehtiva edir. Yol boyu yerləşir: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Sənədlər/.
- Файл 'pw.dat'. Şifrələnmiş parol ehtiva edir. Yol boyu yerləşir: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- Файл 'net.whatsapp.WhatsApp.plist' (və ya fayl 'group.net.whatsapp.WhatsApp.shared.plist'). WhatsApp hesab profiliniz haqqında məlumat ehtiva edir. Fayl yol boyunca yerləşir: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
"group.net.whatsapp.WhatsApp.shared.plist" faylının məzmunu
Aşağıdakı qovluqlara da diqqət yetirməlisiniz:
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Kontaktların, qrupların (uzantısı olan fayllar) kiçik şəkillərini ehtiva edir .baş barmaq), əlaqə avatarları, WhatsApp hesabı sahibi avatar (fayl 'Photo.jpg').
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Multimedia faylları və onların kiçik şəkillərini ehtiva edir
- Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Sənədlər/'. Proqramın əməliyyat jurnalını ehtiva edir (fayl 'cals.log') və proqram əməliyyat jurnallarının ehtiyat nüsxələri (fayl 'calls.backup.log').
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Tərkibində stikerlər (formatdakı fayllar '.webp').
- Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Proqram əməliyyat qeydlərini ehtiva edir.
Windows-da WhatsApp artefaktları
Windows-da WhatsApp artefaktlarına bir neçə yerdə rast gəlmək olar. Əvvəla, bunlar icra edilə bilən və köməkçi proqram faylları olan qovluqlardır (Windows 8/10 üçün):
- 'C:Proqram Faylları (x86)WhatsApp'
- 'C:İstifadəçilər%İstifadəçi profili% AppDataLocalWhatsApp'
- 'C:İstifadəçilər%İstifadəçi profili% AppDataLocalVirtualStore Proqram Faylları (x86)WhatsApp'
Kataloqda 'C:İstifadəçilər%İstifadəçi profili% AppDataLocalWhatsApp' log faylı yerləşir 'SquirrelSetup.log', yeniləmələri yoxlamaq və proqramı quraşdırmaq haqqında məlumatı ehtiva edir.
Kataloqda 'C:İstifadəçilər%İstifadəçi profili% AppDataRoamingWhatsApp' Bir neçə alt qovluq var:
Файл 'main-process.log' WhatsApp proqramının işləməsi haqqında məlumatları ehtiva edir.
Alt kataloq 'verilənlər bazaları' faylı ehtiva edir 'Databases.db', lakin bu faylda söhbətlər və ya kontaktlar haqqında heç bir məlumat yoxdur.
Məhkəmə ekspertizası baxımından ən maraqlısı kataloqda yerləşən fayllardır 'Gizli yer'. Bunlar əsasən adlandırılmış fayllardır 'f_********' (burada * 0-dan 9-a qədər rəqəmdir) şifrələnmiş multimedia faylları və sənədləri ehtiva edir, lakin onların arasında şifrələnməmiş fayllar da var. Fayllar xüsusi maraq doğurur 'data_0', 'data_1', 'data_2', 'data_3', eyni alt kataloqda yerləşir. Fayllar 'data_0', 'data_1', 'data_3' ötürülən şifrlənmiş multimedia fayllarına və sənədlərinə xarici keçidləri ehtiva edir.
'data_1' faylında olan məlumat nümunəsi
Həmçinin fayl 'data_3' qrafik faylları ehtiva edə bilər.
Файл 'data_2' kontakt avatarlarını ehtiva edir (fayl başlıqları ilə axtarış etməklə bərpa edilə bilər).
Faylda olan avatarlar 'data_2':
Beləliklə, söhbətlərin özləri kompüterin yaddaşında tapıla bilməz, ancaq tapa bilərsiniz:
- multimedia faylları;
- WhatsApp vasitəsilə ötürülən sənədlər;
- hesab sahibinin kontaktları haqqında məlumat.
MacOS-da WhatsApp artefaktları
MacOS-da siz Windows OS-də tapılanlara bənzər WhatsApp artefakt növlərini tapa bilərsiniz.
Proqram faylları aşağıdakı qovluqlarda yerləşir:
- 'C:ApplicationsWhatsApp.app'
- 'C:Proqramlar._WhatsApp.app'
- 'C:İstifadəçilər%İstifadəçi profili%KitabxanaPreferences'
- 'C:İstifadəçilər%İstifadəçi profili%LibraryLogsWhatsApp'
- 'C:İstifadəçilər%İstifadəçi profili%Kitabxanada Saxlanmış Tətbiq VəziyyətiWhatsApp.savedState'
- 'C:İstifadəçilər%İstifadəçi profili%KitabxanaTətbiq Skriptləri'
- 'C:İstifadəçilər%İstifadəçi profili%LibraryApplication SupportCloudDocs'
- 'C:İstifadəçilər%İstifadəçi profili%KitabxanaTətbiq DəstəyiWhatsApp.ShipIt'
- 'C:İstifadəçilər%İstifadəçi profili%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:İstifadəçilər%İstifadəçi profili% Kitabxana Mobil Sənədləri <mətn dəyişəni> WhatsApp Hesabları'
Bu kataloqda adları WhatsApp hesabının sahibi ilə əlaqəli telefon nömrələri olan alt kataloqlar var. - 'C:İstifadəçilər%İstifadəçi profili%LibraryCachesWhatsApp.ShipIt'
Bu kataloq proqramı quraşdırmaq haqqında məlumat ehtiva edir. - 'C:İstifadəçilər%İstifadəçi profili%PicturesiPhoto Library.photolibraryMasters', 'C:İstifadəçilər%İstifadəçi profili%PicturesiPhoto Library.photolibraryThumbnails'
Bu qovluqlarda proqramın xidmət faylları, o cümlədən WhatsApp kontaktlarının fotoşəkilləri və miniatürləri var. - 'C:İstifadəçilər%İstifadəçi profili%LibraryCachesWhatsApp'
Bu kataloq məlumatların keşləşdirilməsi üçün istifadə olunan bir neçə SQLite verilənlər bazasını ehtiva edir. - 'C:İstifadəçilər%İstifadəçi profili%KitabxanaTətbiq DəstəyiWhatsApp'
Bu kataloqda bir neçə alt kataloq var:
Kataloqda 'C:İstifadəçilər%İstifadəçi profili%KitabxanaTətbiq DəstəyiWhatsAppCache' fayllar var 'data_0', 'data_1', 'data_2', 'data_3' və adları olan fayllar 'f_********' (burada * 0-dan 9-a qədər olan rəqəmdir). Bu faylların hansı məlumatları ehtiva etdiyi barədə məlumat üçün Windows-da WhatsApp Artefaktlarına baxın.Kataloqda 'C:İstifadəçilər%İstifadəçi profili%KitabxanaTətbiq DəstəyiWhatsAppIndexedDB' multimedia faylları ola bilər (faylların uzantıları yoxdur).
Файл 'main-process.log' WhatsApp proqramının işləməsi haqqında məlumatları ehtiva edir.
İnformasiya qaynaqları
- Android smartfonlarında WhatsApp Messenger-in məhkəmə analizi, Cosimo Anglano, 2014.
- Whatsapp Forensics: Əhməd Pratama, 2014-cü il, Android və iOS əməliyyat sistemləri əsasında verilənlər bazası sistemi.
Bu seriyanın aşağıdakı məqalələrində:
Şifrələnmiş WhatsApp verilənlər bazalarının şifrəsinin açılmasıWhatsApp şifrələmə açarının necə yaradıldığı haqqında məlumat verəcək məqalə və bu proqramın şifrələnmiş verilənlər bazalarının şifrəsini necə açacağını göstərən praktik nümunələr.
WhatsApp məlumatlarının bulud yaddaşından çıxarılmasıBuludlarda hansı WhatsApp məlumatlarının saxlandığını sizə xəbər verəcəyimiz və bu məlumatların bulud anbarlarından əldə edilməsi üsullarını təsvir edəcəyimiz məqalə.
WhatsApp məlumatlarının çıxarılması: Praktik nümunələrHansı proqramları və WhatsApp məlumatlarını müxtəlif cihazlardan necə çıxarmaq lazım olduğunu addım-addım təsvir edəcək bir məqalə.
Mənbə: www.habr.com