Kung gusto nimo mahibal-an kung unsang mga klase sa WhatsApp forensic artifact ang naa sa lainlaing mga operating system ug kung diin eksakto kini makit-an, nan kini ang lugar alang kanimo. Kini nga artikulo gikan sa usa ka espesyalista sa Group-IB Computer Forensics Laboratory Igor Mikhailov nagsugod ang usa ka serye sa mga post bahin sa WhatsApp forensics ug unsa nga impormasyon ang makuha gikan sa pag-analisar sa device.
Ato dayon nga timan-an nga ang lainlaing mga operating system nagtipig sa lainlaing mga lahi sa mga artifact sa WhatsApp, ug kung makuha sa usa ka tigdukiduki ang pipila nga mga tipo sa data sa WhatsApp gikan sa usa ka aparato, wala kini magpasabut nga ang parehas nga mga tipo sa datos mahimong makuha gikan sa lain nga aparato. Pananglitan, kung ang usa ka yunit sa sistema nga nagpadagan sa Windows OS matangtang, ang mga chat sa WhatsApp lagmit dili makit-an sa mga disk niini (gawas sa mga backup nga kopya sa mga aparato sa iOS, nga makit-an sa parehas nga mga drive). Ang pagsakmit sa mga laptop ug mobile device adunay kaugalingong mga kinaiya. Atong hisgotan kini sa mas detalyado.
Mga artifact sa WhatsApp sa Android device
Aron makuha ang mga artifact sa WhatsApp gikan sa usa ka Android device, ang tigdukiduki kinahanglan adunay mga katungod sa superuser ('gamot') sa device nga giimbestigar o makahimo sa pagkuha sa pisikal nga memory dump sa device, o sa file system niini (pananglitan, gamit ang software vulnerabilities sa usa ka partikular nga mobile device).
Ang mga file sa aplikasyon nahimutang sa panumduman sa telepono sa seksyon diin ang data sa gumagamit gitipigan. Ingon sa usa ka lagda, kini nga seksyon ginganlan 'userdata'. Ang mga subdirektoryo ug mga file sa programa nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/'.
Ang mga nag-unang file nga adunay sulod nga WhatsApp forensic artifact sa Android OS mao ang mga database 'wa.db' ΠΈ 'msgstore.db'.
Sa database 'wa.db' naglangkob sa kompleto nga listahan sa kontak sa usa ka WhatsApp user, lakip na ang numero sa telepono, display name, timestamp, ug bisan unsa nga impormasyon nga gihatag samtang nagparehistro alang sa WhatsApp. file 'wa.db' nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/databases/' ug adunay mosunod nga istruktura:
Ang labing makapaikag nga mga lamesa sa database 'wa.db' alang sa tigdukiduki mao ang:
- 'wa_contacts'
Kini nga lamesa adunay impormasyon sa pagkontak: WhatsApp contact id, status information, user display name, timestamp, etc.Ang hitsura sa lamesa:
Istruktura sa lamesaNgalan sa field bili _id record sequence number (sa SQL table) jid WhatsApp contact ID, gisulat sa format <phone number>@s.whatsapp.net is_whatsapp_user adunay '1' kung ang kontak katumbas sa usa ka aktwal nga tiggamit sa WhatsApp, '0' kung dili status naglangkob sa teksto nga gipakita sa kahimtang sa kontak status_timestamp adunay usa ka timestamp sa Unix Epoch Time (ms) format gidaghanon numero sa telepono nga may kalabutan sa kontak raw_contact_id kontaka ang serial number display_name ngalan sa pagpakita sa kontak phone_type tipo sa telepono phone_label label nga nalangkit sa contact number unseen_msg_count gidaghanon sa mga mensahe nga gipadala sa usa ka kontak apan wala gibasa sa nakadawat litrato_ts adunay usa ka timestamp sa Unix Epoch Time format thumb_ts adunay usa ka timestamp sa Unix Epoch Time format photo_id_timestamp adunay usa ka timestamp sa Unix Epoch Time (ms) format gihatag_ngalan ang bili sa uma motakdo sa 'display_name' alang sa matag kontak wa_ngalan Ngalan sa kontak sa WhatsApp (ang ngalan nga gipiho sa profile sa kontak gipakita) sort_name ngalan sa kontak nga gigamit sa paghan-ay sa mga operasyon angga nickname sa kontak sa WhatsApp (ang nickname nga gipiho sa profile sa contact gipakita) kompanya sa kompanya (ang kompanya nga gipiho sa profile sa kontak gipakita) titulo titulo (Ms./Mr.; titulo nga gi-configure sa contact profile gipakita) gibug-aton bias - 'sqlite_sequence'
Kini nga lamesa adunay kasayuran bahin sa gidaghanon sa mga kontak; - 'android_metadata'
Kini nga lamesa adunay kasayuran bahin sa lokalisasyon sa lengguwahe sa WhatsApp.
Sa database 'msgstore.db' Naglangkob sa kasayuran bahin sa gipadala nga mga mensahe, sama sa numero sa kontak, text sa mensahe, status sa mensahe, mga timestamp, mga detalye sa gibalhin nga mga file nga gilakip sa mga mensahe, ug uban pa. file 'msgstore.db' nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/databases/' ug adunay mosunod nga istruktura:
Ang labing makapaikag nga mga lamesa sa file 'msgstore.db' alang sa tigdukiduki mao ang:
- 'sqlite_sequence'
Kini nga lamesa naglangkob sa kinatibuk-ang impormasyon bahin niini nga database, sama sa kinatibuk-ang gidaghanon sa mga mensahe nga gitipigan, ang kinatibuk-ang gidaghanon sa mga chat, ug uban pa.Ang hitsura sa lamesa:
- 'message_fts_content'
Naglangkob sa teksto sa gipadala nga mga mensahe.Ang hitsura sa lamesa:
- 'mensahe'
Kini nga lamesa adunay kasayuran sama sa numero sa kontak, text sa mensahe, status sa mensahe, mga timestamp, impormasyon bahin sa gibalhin nga mga file nga gilakip sa mga mensahe.Ang hitsura sa lamesa:
Istruktura sa lamesaNgalan sa field bili _id record sequence number (sa SQL table) key_remote_jid WhatsApp ID sa kauban sa komunikasyon yawe_gikan_ako direksyon sa mensahe: '0' β umaabot, '1' β mogawas key_id talagsaon nga mensahe identifier status status sa mensahe: '0' - gihatud, '4' - naghulat sa server, '5' - nadawat sa destinasyon, '6' - kontrol nga mensahe, '13' - mensahe nga giablihan sa nakadawat (basaha) kinahanglan_pagduso adunay kantidad nga '2' kung kini usa ka mensahe sa sibya, kung dili adunay '0' nga data text sa mensahe (kon ang parameter nga 'media_wa_type' kay '0') timestamp adunay usa ka timestamp sa Unix Epoch Time (ms) format, ang bili gikuha gikan sa device clock media_url naglangkob sa URL sa gibalhin nga file (kung ang 'media_wa_type' parameter kay '1', '2', '3') media_mime_type Ang tipo sa MIME sa gibalhin nga payl (kung ang parameter nga 'media_wa_type' katumbas sa '1', '2', '3') media_wa_type tipo sa mensahe: '0' - text, '1' - graphic file, '2' - audio file, '3' - video file, '4' - contact card, '5' - geodata gidak-on_media gidak-on sa gibalhin nga file (kung ang parameter nga 'media_wa_type' kay '1', '2', '3') media_name ngalan sa gibalhin nga file (kung ang parameter nga 'media_wa_type' kay '1', '2', '3') media_caption Naglangkob sa mga pulong nga 'audio', 'video' alang sa katumbas nga kantidad sa parameter nga 'media_wa_type' (kung ang parameter nga 'media_wa_type' kay '1', '3') media_hash base64 nga gi-encode nga hash sa gipasa nga file, gikalkulo gamit ang HAS-256 algorithm (kung ang parameter nga 'media_wa_type' katumbas sa '1', '2', '3') media_duration gidugayon sa mga segundo para sa media file (kon ang 'media_wa_type' kay '1', '2', '3') Gigikanan adunay kantidad nga '2' kung kini usa ka mensahe sa sibya, kung dili adunay '0' latitude geodata: latitude (kon ang parameter nga 'media_wa_type' kay '5') gitas-on geodata: longitude (kon ang parameter nga 'media_wa_type' kay '5') thumb_image impormasyon sa serbisyo remote_resource Sender ID (para sa group chat lang) nadawat_timestamp oras sa pagdawat, adunay usa ka timestamp sa Unix Epoch Time (ms) nga format, ang kantidad gikuha gikan sa orasan sa aparato (kung ang parameter nga 'key_from_me' adunay '0', '-1' o uban pang kantidad) send_timestamp wala gigamit, kasagaran adunay kantidad nga '-1' receipt_server_timestamp oras nga nadawat sa sentral nga server, adunay usa ka timestamp sa Unix Epoch Time (ms) format, ang kantidad gikuha gikan sa orasan sa aparato (kung ang parameter nga 'key_from_me' adunay '1', '-1' o uban pang kantidad receipt_device_timestamp sa panahon nga ang mensahe nadawat sa laing subscriber, adunay usa ka timestamp sa Unix Epoch Time (ms) format, ang bili gikuha gikan sa device clock (kon ang 'key_from_me' parameter adunay '1', '-1' o lain nga bili read_device_timestamp oras sa pag-abli (pagbasa) sa mensahe, adunay usa ka timestamp sa Unix Epoch Time (ms) format, ang kantidad gikuha gikan sa orasan sa aparato playing_device_timestamp oras sa pag-playback sa mensahe, adunay usa ka timestamp sa Unix Epoch Time (ms) nga format, ang kantidad gikuha gikan sa orasan sa aparato raw_data thumbnail sa gibalhin nga file (kung ang parameter nga 'media_wa_type' kay '1' o '3') nakadawat_ihap gidaghanon sa mga nakadawat (alang sa mga mensahe sa sibya) partisipante_hash gigamit sa pagpadala sa mga mensahe gamit ang geodata naka-star wala gigamit quoted_row_id wala mailhi, kasagaran adunay kantidad nga '0' gihisgotan_jids wala gigamit multicast_id wala gigamit gibug-aton bias Kini nga lista sa mga natad dili kompleto. Alang sa lain-laing mga bersyon sa WhatsApp, pipila ka mga natad mahimong anaa o wala. Dugang pa, ang mga umahan mahimong anaa 'media_enc_hash', 'edit_version', 'payment_transaction_id' ug uban pa.
- 'messages_thumbnails'
Kini nga lamesa adunay kasayuran bahin sa gibalhin nga mga imahe ug mga timestamp. Sa kolum nga 'timestamp', ang oras gipakita sa Unix Epoch Time (ms) format. - 'chat_list'
Kini nga lamesa adunay kasayuran bahin sa mga chat.Ang hitsura sa lamesa:
Ingon usab, kung gisusi ang WhatsApp sa usa ka mobile device nga nagpadagan sa Android, kinahanglan nimo nga hatagan pagtagad ang mosunud nga mga file:
- file 'msgstore.db.cryptXX' (diin ang XX usa o duha ka digit gikan sa 0 ngadto sa 12, pananglitan, msgstore.db.crypt12). Naglangkob sa usa ka naka-encrypt nga backup sa mga mensahe sa WhatsApp (backup file msgstore.db). (mga) file 'msgstore.db.cryptXX' nahimutang sa daplin sa dalan: '/data/media/0/WhatsApp/Databases/' (virtual SD card), '/mnt/sdcard/WhatsApp/Databases/ (pisikal nga SD card)'.
- file 'key'. Naglangkob sa usa ka cryptographic nga yawe. Nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/files/'. Gigamit sa pag-decrypt sa naka-encrypt nga mga backup sa WhatsApp.
- file 'com.whatsapp_preferences.xml'. Naglangkob sa kasayuran bahin sa imong profile sa WhatsApp account. Ang file nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/shared_prefs/'.
Tipik sa sulod sa file
<?xml version="1.0" encoding="ISO-8859-1"?> β¦ <string name="ph">9123456789</string> (Π½ΠΎΠΌΠ΅Ρ ΡΠ΅Π»Π΅ΡΠΎΠ½Π°, Π°ΡΡΠΎΡΠΈΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ Ρ Π°ΠΊΠΊΠ°ΡΠ½ΡΠΎΠΌ WhatsApp) β¦ <string name="version">2.17.395</string> (Π²Π΅ΡΡΠΈΡ WhatsApp) β¦ <string name="my_current_status">Hey there! I am using WhatsApp.</string> (ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠ΅, ΠΎΡΠΎΠ±ΡΠ°ΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² ΡΡΠ°ΡΡΡΠ΅ Π°ΠΊΠΊΠ°ΡΠ½ΡΠ°) β¦ <string name="push_name">Alex</string> (ΠΈΠΌΡ Π²Π»Π°Π΄Π΅Π»ΡΡΠ° Π°ΠΊΠΊΠ°ΡΠ½ΡΠ°) β¦ - file 'registration.RegisterPhone.xml'. Naglangkob sa kasayuran bahin sa numero sa telepono nga may kalabotan sa WhatsApp account. Ang file nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/shared_prefs/'.
Mga sulod sa file
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - file 'axolotl.db'. Naglangkob sa mga cryptographic nga yawe ug uban pang datos nga gikinahanglan aron mailhan ang tag-iya sa account. Nahimutang sa daplin sa dalan: '/data/data/com.whatsapp/databases/'.
- file 'chatsettings.db'. Naglangkob sa impormasyon sa pagsumpo sa aplikasyon.
- file 'wa.db'. Naglangkob sa mga detalye sa pagkontak. Usa ka makapaikag kaayo (gikan sa forensic nga aspeto) ug informative database. Mahimo kini nga adunay detalyado nga kasayuran bahin sa mga natangtang nga kontak.
Kinahanglan mo usab nga hatagan ug pagtagad ang mosunod nga mga direktoryo:
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Naglangkob sa gibalhin nga mga graphic file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Naglangkob sa mga voice message sa .OPUS format nga mga file.
- Directory '/data/data/com.whatsapp/cache/Mga Hulagway sa Profile/'. Naglangkob sa mga graphic file - mga imahe sa mga kontak.
- Directory '/data/data/com.whatsapp/files/Avatars/'. Naglangkob sa mga graphic file - thumbnail nga mga imahe sa mga kontak. Kini nga mga file adunay usa ka '.j' nga extension apan bisan pa niana JPEG (JPG) nga mga file sa imahe.
- Directory '/data/data/com.whatsapp/files/Avatars/'. Naglangkob sa mga graphic file - usa ka imahe ug usa ka thumbnail sa imahe nga gitakda ingon usa ka avatar sa tag-iya sa account.
- Directory '/data/data/com.whatsapp/files/Logs/'. Naglangkob sa log sa operasyon sa programa (file 'whatsapp.log') ug mga backup nga kopya sa mga log sa operasyon sa programa (mga file nga adunay mga ngalan sa format nga whatsapp-yyyy-mm-dd.1.log.gz).
WhatsApp Log Files:
Ang tipik sa journal2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] password file nawala o dili mabasa
2017-01-10 09:37:09.782 LL_I D [1: main] statistics Text Messages: 59 gipadala, 82 nadawat / Media Mensahe: 1 gipadala (0 bytes), 0 nadawat (9850158 bytes) / Offline Messages: 81 nadawat ( 19522 msec average delay) / Message Service: 116075 bytes nga gipadala, 211729 bytes nadawat / Voip Calls: 1 outgoing calls, 0 incoming calls, 2492 bytes nga gipadala, 1530 bytes nga nadawat / Google Drive: 0 bytes nga gipadala, 0 bytes 1524: bytes gipadala, 1826 bytes nadawat / Total Data: 118567 bytes gipadala, 10063417 bytes nadawat
2017-01-10 09:37:09.785 LL_I D [1: main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1: main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1: main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1: main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/bersyon 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/ihap 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1: main] msgstore/canquery 517 | oras nga gigahin:8
2017-01-10 09:37:09.848 LL_I D [529: WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage anaa:1,345,622,016 total:5,687,922,688
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Naglangkob sa nadawat nga mga audio file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Naglangkob sa gipadala nga mga audio file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Naglangkob sa mga sangputanan nga mga graphic file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Naglangkob sa gipadala nga mga graphic file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Naglangkob sa nadawat nga mga video file.
- Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/Gipadala/'. Naglangkob sa gipadala nga mga video file.
- Directory '/data/media/0/WhatsApp/Media/Mga Litrato sa Profile sa WhatsApp/'. Naglangkob sa mga graphic file nga nakig-uban sa tag-iya sa WhatsApp account.
- Aron makadaginot sa memory space sa imong Android smartphone, ang pipila ka data sa WhatsApp mahimong tipigan sa SD card. Sa SD card, sa root directory, adunay direktoryo 'Whatsapp', diin ang mosunod nga mga artifact niini nga programa makita:
- Directory '.Ipakigbahin' ('/mnt/sdcard/WhatsApp/.Share/'). Naglangkob sa mga kopya sa mga file nga gipaambit sa ubang mga tiggamit sa WhatsApp.
- Directory '.basura' ('/mnt/sdcard/WhatsApp/.trash/'). Naglangkob sa mga natangtang nga mga file.
- Directory 'Mga database' ('/mnt/sdcard/WhatsApp/Databases/'). Naglangkob sa mga naka-encrypt nga backup. Mahimo silang ma-decrypt kung naa ang file 'key', gikuha gikan sa panumduman sa gisusi nga aparato.
Mga file nga nahimutang sa usa ka subdirectory 'Mga database':
- Directory 'katunga' ('/mnt/sdcard/WhatsApp/Media/'). Naglangkob sa mga subdirektoryo 'WallPaper', 'WhatsApp Audio', 'Mga Larawan sa WhatsApp', 'Mga Litrato sa Profile sa WhatsApp', 'WhatsApp Video', 'Mga Tala sa Tingog sa WhatsApp', nga adunay gidawat ug gipasa nga mga multimedia file (mga file sa graphic, mga file sa video, mga mensahe sa tingog, mga litrato nga may kalabotan sa profile sa tag-iya sa WhatsApp account, mga wallpaper).
- Directory 'Mga hulagway sa profile' ('/mnt/sdcard/WhatsApp/Mga Hulagway sa Profile/'). Naglangkob sa mga graphic file nga may kalabotan sa profile sa tag-iya sa WhatsApp account.
- Usahay adunay usa ka direktoryo nga anaa sa SD card 'mga file' ('/mnt/sdcard/WhatsApp/Files/'). Kini nga direktoryo adunay mga file nga nagtipig sa mga setting sa programa ug mga gusto sa tiggamit.
Mga bahin sa pagtipig sa datos sa pipila ka mga modelo sa mga mobile device
Ang pipila ka mga modelo sa mga mobile device nga nagdagan sa Android OS mahimong magtipig sa mga artifact sa WhatsApp sa lahi nga lokasyon. Kini tungod sa mga pagbag-o sa storage space sa data sa aplikasyon pinaagi sa software sa sistema sa mobile device. Pananglitan, ang mga mobile device sa Xiaomi adunay function alang sa paghimo sa ikaduhang workspace ("SecondSpace"). Kung kini nga function gi-aktibo, ang lokasyon sa data mausab. Busa, kon sa usa ka regular nga mobile device nga nagdagan Android OS user data gitipigan sa direktoryo '/data/user/0/' (nga usa ka pakisayran sa naandan '/data/data/'), unya sa ikaduhang workspace application data gitipigan sa direktoryo '/data/user/10/'. Kana mao, gamit ang pananglitan sa lokasyon sa file 'wa.db':
- sa usa ka regular nga smartphone nga nagdagan sa Android OS: /data/user/0/com.whatsapp/databases/wa.db' (nga katumbas '/data/data/com.whatsapp/databases/wa.db');
- sa ikaduhang workspace sa Xiaomi smartphone: '/data/user/10/com.whatsapp/databases/wa.db'.
Mga artifact sa WhatsApp sa iOS device
Dili sama sa Android OS, sa iOS WhatsApp application data gibalhin ngadto sa backup nga kopya (iTunes backup). Busa, ang pagkuha sa datos gikan niini nga aplikasyon wala magkinahanglan sa pagkuha sa file system o paghimo og pisikal nga memory dump sa device nga gisusi. Kadaghanan sa may kalabutan nga impormasyon anaa sa database 'ChatStorage.sqlite', nga nahimutang sa daplin sa dalan: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (sa pipila ka mga programa kini nga dalan makita ingon 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
gambalay 'ChatStorage.sqlite':
Ang labing impormasyon nga mga lamesa sa 'ChatStorage.sqlite' database mao ang 'ZWAMESSAGE' ΠΈ 'ZWAMEDIAIITEM'.
Ang hitsura sa lamesa 'ZWAMESSAGE':
Istruktura sa lamesa 'ZWAMESSAGE'
| Ngalan sa field | bili |
|---|---|
| Z_PK | record sequence number (sa SQL table) |
| Z_ENT | table identifier, adunay kantidad nga '9' |
| Z_OPT | wala mailhi, kasagaran adunay mga kantidad gikan sa '1' hangtod '6' |
| ZCHILDMESSAGESDELIVEREDCOUNT | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZCHILDMAGESPLAYEDCOUNT | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZCHILDMESSAGESREADCOUNT | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZDATAITEMVERSION | wala mailhi, kasagaran adunay kantidad nga '3', tingali usa ka timailhan sa text message |
| ZDOCID | dili mailhan |
| ZENCRETRYCOUNT | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZFILTEREDRECIPIENTCOUNT | wala mailhi, kasagaran adunay mga kantidad nga '0', '2', '256' |
| ZISFROMME | direksyon sa mensahe: '0' β umaabot, '1' β mogawas |
| ZMESSAGEERRORSATUS | kahimtang sa pagpadala sa mensahe. Kung ang mensahe gipadala/nadawat, nan kini adunay kantidad nga '0' |
| ZMESSAGETYPE | matang sa mensahe nga gipasa |
| ZSORT | dili mailhan |
| ZSPOTLIGHSTATUS | dili mailhan |
| ZSTARRED | wala mailhi, wala gigamit |
| ZCHATSESSION | dili mailhan |
| ZGROUPMEMBER | wala mailhi, wala gigamit |
| ZLASTSESSION | dili mailhan |
| ZMEDIAIITEM | dili mailhan |
| ZMESSAGEINFO | dili mailhan |
| ZPARENTMESSAGE | wala mailhi, wala gigamit |
| ZMESSAGEDATE | timestamp sa OS X Epoch Time format |
| ZSENTDATE | oras nga gipadala ang mensahe sa OS X Epoch Time format |
| ZFROMJID | WhatsApp Sender ID |
| ZMEDIASECTIONID | naglangkob sa tuig ug bulan ang media file gipadala |
| ZPHASH | wala mailhi, wala gigamit |
| ZPUSHPAME | ngalan sa kontak nga nagpadala sa media file sa format nga UTF-8 |
| ZSTANZID | talagsaon nga mensahe identifier |
| ZTEXT | Teksto sa mensahe |
| ZTOJID | WhatsApp ID sa nakadawat |
| OFFSET | bias |
Ang hitsura sa lamesa 'ZWAMEDIAIITEM':
Istruktura sa lamesa 'ZWAMEDIAITEM'
| Ngalan sa field | bili |
|---|---|
| Z_PK | record sequence number (sa SQL table) |
| Z_ENT | table identifier, adunay kantidad nga '8' |
| Z_OPT | wala mailhi, kasagaran adunay mga kantidad gikan sa '1' hangtod sa '3'. |
| ZCLOUDSTATUS | naglangkob sa kantidad nga '4' kung ang file gikarga. |
| ZFILESIZE | naglangkob sa gitas-on sa file (sa bytes) alang sa na-download nga mga file |
| ZMEDIAORIGIN | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZMOVIEDURATION | gidugayon sa media file, alang sa mga pdf file mahimong adunay sulod nga gidaghanon sa mga panid sa dokumento |
| ZMESSAGE | adunay usa ka serial number (ang numero lahi sa usa nga gipakita sa 'Z_PK' column) |
| ZASPECTRATIO | aspect ratio, wala gigamit, kasagaran gibutang sa '0' |
| ZHACCURACY | wala mailhi, kasagaran adunay kantidad nga '0' |
| ZLATTITUDE | gilapdon sa pixel |
| ZLONGTITUDE | gitas-on sa mga pixel |
| ZMEDIAURLDATE | timestamp sa OS X Epoch Time format |
| ZAUTHORNAME | tagsulat (alang sa mga dokumento, mahimong adunay ngalan sa file) |
| ZCOLLECTIONNAME | wala gigamit |
| ZMEDIALOCALPATH | ngalan sa file (lakip ang agianan) sa sistema sa file sa aparato |
| ZMEDIAURL | Ang URL diin nahimutang ang media file. Kung ang usa ka file gibalhin gikan sa usa ka subscriber ngadto sa lain, kini gi-encrypt ug ang extension niini ipakita isip extension sa gibalhin nga file - .enc |
| ZTHUMBNAILLOCALPATH | dalan sa file thumbnail sa device file system |
| ZTITLE | file header |
| ZVCARDNAME | hash sa media file; sa dihang ibalhin ang file ngadto sa usa ka grupo, kini mahimong adunay sulod sa nagpadala identifier |
| ZVCARDSTRING | adunay impormasyon mahitungod sa matang sa file nga gibalhin (pananglitan, image/jpeg); sa diha nga ang pagbalhin sa usa ka file ngadto sa usa ka grupo, kini mahimong adunay sulod nga identifier sa nakadawat |
| ZXMPPTHUMBPATH | dalan sa file thumbnail sa device file system |
| ZMEDIAKEY | wala mailhi, lagmit adunay yawe sa pag-decrypt sa na-encrypt nga file. |
| ZMEDATA | metadata sa gipasa nga mensahe |
| Gawas | bias |
Uban pang makapaikag nga mga lamesa sa database 'ChatStorage.sqlite' mao ang:
- 'ZWAPROFILEPUSHNAME'. Gipares sa WhatsApp ID nga adunay ngalan sa kontak;
- 'ZWAPROFILEPICTUREITEM'. Gipares sa WhatsApp ID nga adunay contact avatar;
- 'Z_PRIMARYKEY'. Ang lamesa adunay kinatibuk-ang impormasyon bahin niini nga database, sama sa kinatibuk-ang gidaghanon sa mga mensahe nga gitipigan, ang kinatibuk-ang gidaghanon sa mga chat, ug uban pa.
Ingon usab, kung gisusi ang WhatsApp sa usa ka mobile device nga nagdagan sa iOS, kinahanglan nimo nga hatagan pagtagad ang mosunud nga mga file:
- file 'BackedUpKeyValue.sqlite'. Naglangkob sa mga cryptographic nga yawe ug uban pang datos nga gikinahanglan aron mailhan ang tag-iya sa account. Nahimutang sa daplin sa dalan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'ContactsV2.sqlite'. Naglangkob sa kasayuran bahin sa mga kontak sa tiggamit, sama sa tibuuk nga ngalan, numero sa telepono, status sa pagkontak (sa porma sa teksto), WhatsApp ID, ug uban pa. Nahimutang sa daplin sa dalan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'konsumer_bersyon'. Naglangkob sa numero sa bersyon sa na-install nga aplikasyon sa WhatsApp. Nahimutang sa daplin sa dalan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'current_wallpaper.jpg'. Naglangkob sa kasamtangan nga wallpaper sa background sa WhatsApp. Nahimutang sa daplin sa dalan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Ang mga daan nga bersyon sa aplikasyon naggamit sa file 'wallpaper', nga nahimutang sa daplin sa dalan: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- file 'blockedcontacts.dat'. Naglangkob sa kasayuran bahin sa gibabagan nga mga kontak. Nahimutang sa daplin sa dalan: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- file 'pw.dat'. Naglangkob sa usa ka naka-encrypt nga password. Nahimutang sa daplin sa dalan: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- file 'net.whatsapp.WhatsApp.plist' (o file 'group.net.whatsapp.WhatsApp.shared.plist'). Naglangkob sa kasayuran bahin sa imong profile sa WhatsApp account. Ang file nahimutang sa daplin sa dalan: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Mga sulod sa payl 'group.net.whatsapp.WhatsApp.shared.plist'
Kinahanglan mo usab nga hatagan ug pagtagad ang mosunod nga mga direktoryo:
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Naglangkob sa mga thumbnail sa mga kontak, mga grupo (mga file nga adunay extension .kumagko), contact avatar, WhatsApp account tag-iya avatar (file 'Photo.jpg').
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Naglangkob sa mga file nga multimedia ug mga thumbnail niini
- Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Naglangkob sa log sa operasyon sa programa (file 'calls.log') ug mga backup nga kopya sa mga log sa operasyon sa programa (file 'calls.backup.log').
- Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Naglangkob sa mga sticker (mga file sa format '.webp').
- Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Naglangkob sa mga log sa operasyon sa programa.
Mga artifact sa WhatsApp sa Windows
Ang mga artifact sa WhatsApp sa Windows makit-an sa daghang mga lugar. Una sa tanan, kini ang mga direktoryo nga adunay mga executable ug auxiliary nga mga file sa programa (alang sa Windows 8/10):
- 'C:Program Files (x86)WhatsApp'
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'
Sa katalogo 'C:Users%User profile% AppDataLocalWhatsApp' ang log file nahimutang 'SquirrelSetup.log', nga adunay impormasyon bahin sa pagsusi sa mga update ug pag-instalar sa programa.
Sa katalogo 'C:Users%User profile% AppDataRoamingWhatsApp' Adunay daghang mga subdirectory:
file 'main-process.log' Naglangkob sa kasayuran bahin sa operasyon sa programa sa WhatsApp.
Subdirektoryo 'mga database' adunay usa ka file 'Databases.db', apan kini nga payl walay bisan unsang impormasyon mahitungod sa mga chat o kontak.
Ang labing makapaikag gikan sa forensic nga punto sa panglantaw mao ang mga file nga nahimutang sa direktoryo 'Cache'. Kini mga batakan nga mga file nga ginganlan 'f_********' (diin ang * usa ka numero gikan sa 0 hangtod 9) nga adunay sulud nga naka-encrypt nga mga file ug dokumento sa multimedia, apan adunay usab mga wala ma-encrypt nga mga file sa taliwala nila. Ang partikular nga interes mao ang mga file 'data_0', 'data_1', 'data_2', 'data_3', nahimutang sa samang subdirektoryo. Mga file 'data_0', 'data_1', 'data_3' adunay mga eksternal nga link sa gipasa nga naka-encrypt nga mga file ug dokumento sa multimedia.
Pananglitan sa impormasyon nga anaa sa file 'data_1'
File usab 'data_3' mahimong adunay mga graphic file.
file 'data_2' adunay mga contact avatar (mahimong ibalik pinaagi sa pagpangita pinaagi sa mga header sa file).
Mga avatar nga anaa sa file 'data_2':
Sa ingon, ang mga chat mismo dili makit-an sa panumduman sa kompyuter, apan makit-an nimo:
- multimedia nga mga file;
- mga dokumento nga gipadala pinaagi sa WhatsApp;
- impormasyon bahin sa mga kontak sa tag-iya sa account.
Mga artifact sa WhatsApp sa MacOS
Sa MacOS makit-an nimo ang mga tipo sa mga artifact sa WhatsApp nga parehas sa nakit-an sa Windows OS.
Ang mga file sa programa nahimutang sa mosunod nga mga direktoryo:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp Accounts'
Kini nga direktoryo adunay mga subdirektoryo kansang mga ngalan maoy mga numero sa telepono nga nalangkit sa tag-iya sa WhatsApp account. - 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Kini nga direktoryo adunay kasayuran bahin sa pag-install sa programa. - 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
Kini nga mga direktoryo adunay mga file sa serbisyo sa programa, lakip ang mga litrato ug mga thumbnail sa mga kontak sa WhatsApp. - 'C:Users%User profile%LibraryCachesWhatsApp'
Kini nga direktoryo adunay daghang mga database sa SQLite nga gigamit alang sa data caching. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Kini nga direktoryo adunay daghang mga subdirektoryo:
Sa katalogo 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' naay files 'data_0', 'data_1', 'data_2', 'data_3' ug mga file nga adunay mga ngalan 'f_********' (diin ang * usa ka numero gikan sa 0 hangtod 9). Alang sa impormasyon mahitungod sa unsa nga impormasyon nga anaa niini nga mga file, tan-awa ang WhatsApp Artifacts sa Windows.Sa katalogo 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' mahimong adunay mga multimedia file (ang mga file walay mga extension).
file 'main-process.log' Naglangkob sa kasayuran bahin sa operasyon sa programa sa WhatsApp.
Mga tinubdan
- Forensic analysis sa WhatsApp Messenger sa Android smartphones, ni Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi nga sistema sa mga file ug base data sa aplikasyon sa Android ug iOS ni Ahmad Pratama, 2014.
Sa mosunod nga mga artikulo niini nga serye:
Pag-decryption sa mga naka-encrypt nga database sa WhatsAppUsa ka artikulo nga maghatag ug impormasyon kung giunsa paghimo ang yawe sa pag-encrypt sa WhatsApp ug praktikal nga mga pananglitan nga nagpakita kung giunsa pag-decrypt ang mga naka-encrypt nga database sa kini nga aplikasyon.
Pagkuha sa datos sa WhatsApp gikan sa pagtipig sa panganodUsa ka artikulo diin among isulti kanimo kung unsa ang data sa WhatsApp nga gitipigan sa mga panganod ug gihubit ang mga pamaagi alang sa pagkuha niini nga datos gikan sa mga pagtipig sa panganod.
Pagkuha sa Data sa WhatsApp: Praktikal nga mga EhemploUsa ka artikulo nga maghubit sa matag lakang kung unsang mga programa ug kung giunsa pagkuha ang datos sa WhatsApp gikan sa lainlaing mga aparato.
Source: www.habr.com