Os ydych chi eisiau gwybod pa fathau o arteffactau fforensig WhatsApp sy'n bodoli ar wahanol systemau gweithredu a ble yn union y gellir eu canfod, yna dyma'r lle i chi. Daw'r erthygl hon gan arbenigwr yn Labordy Fforensig Cyfrifiadurol Group-IB Igor Mikhailov yn dechrau cyfres o bostiadau am fforensig WhatsApp a pha wybodaeth y gellir ei chael o ddadansoddi'r ddyfais.
Gadewch i ni nodi ar unwaith bod gwahanol systemau gweithredu yn storio gwahanol fathau o arteffactau WhatsApp, ac os gall ymchwilydd dynnu rhai mathau o ddata WhatsApp o un ddyfais, nid yw hyn yn golygu y gellir tynnu mathau tebyg o ddata o ddyfais arall. Er enghraifft, os caiff uned system sy'n rhedeg Windows OS ei thynnu, mae'n debyg na fydd sgyrsiau WhatsApp i'w cael ar ei disgiau (ac eithrio copïau wrth gefn o ddyfeisiau iOS, sydd i'w cael ar yr un gyriannau). Bydd gan atafaelu gliniaduron a dyfeisiau symudol ei nodweddion ei hun. Gadewch i ni siarad am hyn yn fwy manwl.
Arteffactau WhatsApp mewn dyfais Android
Er mwyn tynnu arteffactau WhatsApp o ddyfais Android, rhaid bod gan yr ymchwilydd hawliau uwch-ddefnyddiwr ('gwraidd') ar y ddyfais sy’n cael ei hastudio neu allu echdynnu fel arall dymp ffisegol o gof y ddyfais, neu ei system ffeiliau (er enghraifft, defnyddio gwendidau meddalwedd dyfais symudol benodol).
Mae ffeiliau cais wedi'u lleoli yng nghof y ffôn yn yr adran lle mae data defnyddwyr yn cael eu cadw. Fel rheol, enwir yr adran hon 'data defnyddiwr'. Mae is-gyfeiriaduron a ffeiliau rhaglen wedi'u lleoli ar hyd y llwybr: '/data/data/com.whatsapp/'.
Cronfeydd data yw'r prif ffeiliau sy'n cynnwys arteffactau fforensig WhatsApp yn yr AO Android 'wa.db' и 'msgstore.db'.
Yn y gronfa ddata 'wa.db' yn cynnwys rhestr gyswllt gyflawn defnyddiwr WhatsApp, gan gynnwys rhif ffôn, enw arddangos, stampiau amser, ac unrhyw wybodaeth arall a ddarperir wrth gofrestru ar gyfer WhatsApp. Ffeil 'wa.db' lleoli ar hyd y llwybr: '/data/data/com.whatsapp/databases/' ac mae ganddo'r strwythur canlynol:
Y tablau mwyaf diddorol yn y gronfa ddata 'wa.db' ar gyfer yr ymchwilydd yw:
- 'wa_cysylltiadau'
Mae'r tabl hwn yn cynnwys gwybodaeth gyswllt: ID cyswllt WhatsApp, gwybodaeth statws, enw arddangos defnyddiwr, stampiau amser, ac ati.Ymddangosiad tabl:
Strwythur tablEnw maes Gwerth _id cofnodi rhif dilyniant (yn nhabl SQL) jid ID cyswllt WhatsApp, wedi'i ysgrifennu yn y fformat <rhif ffôn>@s.whatsapp.net yw_whatsapp_user yn cynnwys '1' os yw'r cyswllt yn cyfateb i ddefnyddiwr WhatsApp gwirioneddol, '0' fel arall statws yn cynnwys y testun a ddangosir yn y statws cyswllt statws_stamp amser yn cynnwys stamp amser yn fformat Unix Epoch Time (ms). nifer rhif ffôn sy'n gysylltiedig â'r cyswllt amrwd_contact_id rhif cyfresol cyswllt enw_arddangos enw arddangos cyswllt ffôn_math math ffôn ffôn_label label sy'n gysylltiedig â'r rhif cyswllt cyfrif_msg_anweledig nifer y negeseuon a anfonwyd gan gyswllt ond na chafodd eu darllen gan y derbynnydd llun_ts yn cynnwys stamp amser yn fformat Unix Epoch Time bawd_ts yn cynnwys stamp amser yn fformat Unix Epoch Time llun_id_stamp amser yn cynnwys stamp amser yn fformat Unix Epoch Time (ms). enw_rhoi gwerth maes yn cyfateb i 'display_name' ar gyfer pob cyswllt wa_enw Enw cyswllt WhatsApp (dangosir yr enw a nodir ym mhroffil y cyswllt) math_enw enw cyswllt a ddefnyddir mewn gweithrediadau didoli llysenw llysenw cyswllt yn WhatsApp (dangosir y llysenw a nodir ym mhroffil y cyswllt) cwmni cwmni (dangosir y cwmni a nodir ym mhroffil y cyswllt) Teitl teitl (Ms./Mr.; dangosir y teitl sydd wedi'i ffurfweddu yn y proffil cyswllt) gwrthbwyso gogwydd - 'sqlite_sequence'
Mae'r tabl hwn yn cynnwys gwybodaeth am nifer y cysylltiadau; - 'android_metadata'
Mae'r tabl hwn yn cynnwys gwybodaeth am leoleiddio iaith WhatsApp.
Yn y gronfa ddata 'msgstore.db' yn cynnwys gwybodaeth am negeseuon a anfonwyd, megis rhif cyswllt, testun neges, statws neges, stampiau amser, manylion y ffeiliau a drosglwyddwyd sydd wedi'u cynnwys mewn negeseuon, ac ati. Ffeil 'msgstore.db' lleoli ar hyd y llwybr: '/data/data/com.whatsapp/databases/' ac mae ganddo'r strwythur canlynol:
Y tablau mwyaf diddorol yn y ffeil 'msgstore.db' ar gyfer yr ymchwilydd yw:
- 'sqlite_sequence'
Mae'r tabl hwn yn cynnwys gwybodaeth gyffredinol am y gronfa ddata hon, megis cyfanswm nifer y negeseuon a storiwyd, cyfanswm nifer y sgyrsiau, ac ati.Ymddangosiad tabl:
- 'message_fts_content'
Yn cynnwys testun y negeseuon a anfonwyd.Ymddangosiad tabl:
- 'negeseuon'
Mae'r tabl hwn yn cynnwys gwybodaeth fel rhif cyswllt, testun neges, statws neges, stampiau amser, gwybodaeth am ffeiliau a drosglwyddwyd sydd wedi'u cynnwys mewn negeseuon.Ymddangosiad tabl:
Strwythur tablEnw maes Gwerth _id cofnodi rhif dilyniant (yn nhabl SQL) allwedd_pell_jid ID WhatsApp partner cyfathrebu allwedd_oddi_mi cyfeiriad neges: '0' – yn dod i mewn, '1' – yn mynd allan allwedd_id dynodwr neges unigryw statws statws neges: '0' - danfonwyd, '4' - aros ar y gweinydd, '5' - derbyniwyd yn y gyrchfan, '6' - neges reoli, '13' - neges wedi'i hagor gan y derbynnydd (darllen) angen_gwthio sydd â'r gwerth '2' os yw'n neges ddarlledu, fel arall yn cynnwys '0' data testun neges (pan mai '0' yw paramedr 'media_wa_type') stamp amser yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais cyfryngau_url yn cynnwys URL y ffeil a drosglwyddwyd (pan mai'r paramedr 'media_wa_type' yw '1', '2', '3') cyfrwng_meim_math Math MIME o'r ffeil a drosglwyddwyd (pan fo'r paramedr 'media_wa_type' yn hafal i '1', '2', '3') cyfrwng_wa_fath math o neges: '0' - testun, '1' - ffeil graffeg, '2' - ffeil sain, '3' - ffeil fideo, '4' - cerdyn cyswllt, '5' - geodata cyfrwng_maint maint y ffeil a drosglwyddwyd (pan mai'r paramedr 'media_wa_type' yw '1', '2', '3') enw_cyfrwng enw'r ffeil a drosglwyddwyd (pan mai'r paramedr 'media_wa_type' yw '1', '2', '3') capsiwn_cyfryngau Yn cynnwys y geiriau 'sain', 'fideo' ar gyfer gwerthoedd cyfatebol y paramedr 'media_wa_type' (pan fydd y paramedr 'media_wa_type' yn '1', '3') cyfryngau_hash hash wedi'i amgodio base64 o'r ffeil a drosglwyddir, wedi'i gyfrifo gan ddefnyddio'r algorithm HAS-256 (pan fo'r paramedr 'media_wa_type' yn hafal i '1', '2', '3') cyfrwng_hyd hyd mewn eiliadau ar gyfer y ffeil cyfryngau (pan mae 'media_wa_type' yn '1', '2', '3') tarddiad sydd â'r gwerth '2' os yw'n neges ddarlledu, fel arall yn cynnwys '0' lledred geodata: lledred (pan mai '5' yw paramedr 'media_wa_type') hydred geodata: hydred (pan mai '5' yw paramedr 'media_wa_type') bawd_delwedd gwybodaeth gwasanaeth adnodd_o bell ID anfonwr (ar gyfer sgyrsiau grŵp yn unig) derbyniwyd_stamp amser amser derbyn, yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais (pan fydd gan y paramedr 'key_from_me' '0', '-1' neu werth arall) anfon_stamp amser heb ei ddefnyddio, fel arfer mae ganddo'r gwerth '-1' derbynneb_server_stamp amser amser a dderbyniwyd gan y gweinydd canolog, yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais (pan fydd gan y paramedr 'key_from_me' '1', '-1' neu werth arall stamp amser derbynneb_dyfais_ amser derbyniwyd y neges gan danysgrifiwr arall, yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais (pan fydd gan y paramedr 'key_from_me' '1', '-1' neu werth arall darllen_dyfais_stamp amser amser agor (darllen) y neges, yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais stamp_amser_dyfais_chwarae amser chwarae neges, yn cynnwys stamp amser yn fformat Unix Epoch Time (ms), cymerir y gwerth o gloc y ddyfais data Craidd bawdlun o'r ffeil a drosglwyddwyd (pan fo'r paramedr 'media_wa_type' yn '1' neu '3') cyfrif derbynnydd nifer y derbynwyr (ar gyfer negeseuon darlledu) cyfranogwr_hash a ddefnyddir wrth drosglwyddo negeseuon gyda geodata serennog heb ei ddefnyddio dyfynnwyd_row_id anhysbys, fel arfer yn cynnwys y gwerth '0' crybwyll_jids heb ei ddefnyddio amlcast_id heb ei ddefnyddio gwrthbwyso gogwydd Nid yw'r rhestr hon o feysydd yn hollgynhwysfawr. Ar gyfer gwahanol fersiynau o WhatsApp, gall rhai meysydd fod yn bresennol neu'n absennol. Yn ogystal, gall meysydd fod yn bresennol 'cyfryngau_enc_hash', 'golygu_fersiwn', 'taliad_trafodiad_id' ac ati
- 'negeseuon_bawdlun'
Mae'r tabl hwn yn cynnwys gwybodaeth am ddelweddau a drosglwyddwyd a stampiau amser. Yn y golofn 'stamp amser', nodir yr amser yn fformat Unix Epoch Time (ms). - 'rhestr_sgwrs'
Mae'r tabl hwn yn cynnwys gwybodaeth am sgyrsiau.Ymddangosiad tabl:
Hefyd, wrth archwilio WhatsApp ar ddyfais symudol sy'n rhedeg Android, dylech dalu sylw i'r ffeiliau canlynol:
- file 'msgstore.db.cryptXX' (lle mae XX yn un neu ddau ddigid o 0 i 12, er enghraifft, msgstore.db.crypt12). Yn cynnwys copi wrth gefn wedi'i amgryptio o negeseuon WhatsApp (ffeil wrth gefn msgstore.db). Ffeiliau) 'msgstore.db.cryptXX' lleoli ar hyd y llwybr: '/data/media/0/WhatsApp/Cronfeydd Data/' (cerdyn SD rhithwir), '/ mnt/sdcard/WhatsApp/Cronfeydd Data/ (cerdyn SD corfforol)'.
- file 'allwedd'. Yn cynnwys allwedd cryptograffig. Wedi'i leoli ar hyd y llwybr: '/data/data/com.whatsapp/files/'. Fe'i defnyddir i ddadgryptio copïau wrth gefn WhatsApp wedi'u hamgryptio.
- file 'com.whatsapp_preferences.xml'. Yn cynnwys gwybodaeth am broffil eich cyfrif WhatsApp. Mae'r ffeil wedi'i lleoli ar hyd y llwybr: '/data/data/com.whatsapp/shared_prefs/'.
Darn o gynnwys ffeil
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - file 'cofrestru.RegisterPhone.xml'. Yn cynnwys gwybodaeth am y rhif ffôn sy'n gysylltiedig â'r cyfrif WhatsApp. Mae'r ffeil wedi'i lleoli ar hyd y llwybr: '/data/data/com.whatsapp/shared_prefs/'.
Cynnwys y ffeil
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - file 'axolotl.db'. Yn cynnwys allweddi cryptograffig a data arall sy'n angenrheidiol i adnabod perchennog y cyfrif. Wedi'i leoli ar hyd y llwybr: '/data/data/com.whatsapp/databases/'.
- file 'chatsettings.db'. Yn cynnwys gwybodaeth ffurfweddu cymhwysiad.
- file 'wa.db'. Yn cynnwys manylion cyswllt. Cronfa ddata ddiddorol iawn (o agwedd fforensig) ac addysgiadol. Gall gynnwys gwybodaeth fanwl am gysylltiadau dileu.
Mae angen i chi hefyd dalu sylw i'r cyfeirlyfrau canlynol:
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Yn cynnwys ffeiliau graffeg a drosglwyddwyd.
- Каталог '/data/media/0/WhatsApp/Media/Nodiadau Llais WhatsApp/'. Yn cynnwys negeseuon llais mewn ffeiliau fformat .OPUS.
- Каталог '/data/data/com.whatsapp/cache/Profile Pictures/'. Yn cynnwys ffeiliau graffig - delweddau o gysylltiadau.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Yn cynnwys ffeiliau graffig - delweddau bawd o gysylltiadau. Mae gan y ffeiliau hyn estyniad '.j' ond serch hynny maent yn ffeiliau delwedd JPEG (JPG).
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Yn cynnwys ffeiliau graffig - delwedd a bawd o'r ddelwedd a osodwyd fel avatar gan berchennog y cyfrif.
- Каталог '/data/data/com.whatsapp/files/Logs/'. Yn cynnwys log gweithrediad y rhaglen (ffeil 'whatsapp.log') a chopïau wrth gefn o logiau gweithrediad rhaglen (ffeiliau gydag enwau yn y fformat whatsapp-yyyy-mm-dd.1.log.gz).
Ffeiliau Log WhatsApp:
Darn o gyfnodolion2017-01-10 09:37:09.757 LL_I D [524:Gweithiwr WhatsApp #1] hysbysiad galwad wedi'i fethu/cyfrif cychwyn: 0 stamp amser:0
2017-01-10 09:37:09.758 LL_I D [524:Gweithiwr WhatsApp #1] wedi methu hysbysiad/diweddariad canslo gwir
2017-01-10 09:37:09.768 LL_I D [1:prif] ap-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:prif] ffeil cyfrinair ar goll neu'n annarllenadwy
2017-01-10 09:37:09.782 LL_I D [1:prif] ystadegau Negeseuon Testun: 59 wedi'u hanfon, 82 wedi'u derbyn / Negeseuon Cyfryngau: 1 wedi'i anfon (0 beit), 0 wedi'i dderbyn (9850158 beit) / Negeseuon All-lein: 81 wedi'u derbyn ( Oedi cyfartalog msec 19522) / Gwasanaeth Neges: Anfonwyd 116075 beit, derbyniwyd 211729 beit / Galwadau Voip: 1 galwad yn mynd allan, 0 galwad yn dod i mewn, 2492 beit wedi'u hanfon, 1530 beit wedi'u derbyn / Google Drive: 0 beit wedi'u hanfon, 0 beit wedi'u derbyn / Crwydro: 1524 beit wedi'u hanfon, 1826 beit wedi'u derbyn / Cyfanswm Data: 118567 beit wedi'u hanfon, 10063417 beit wedi'u derbyn
2017-01-10 09:37:09.785 LL_I D [1:prif] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:prif] ap-cychwyn/cychwyn/amserydd/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:prif] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:prif] msgstore/checkhealth/journal/dileu ffug
2017-01-10 09:37:09.818 LL_I D [1:prif] msgstore/checkhealth/back/dileu ffug
2017-01-10 09:37:09.818 LL_I D [1:prif] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:prif] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:prif] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:prif] msgstore/checkdb/fersiwn 1
2017-01-10 09:37:09.839 LL_I D [1:prif] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:prif] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:prif] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:prif] msgstore/canquery 517 | amser a dreuliwyd: 8
2017-01-10 09:37:09.848 LL_I D [529:Gweithiwr WhatsApp #3] rheolwr-wladwriaeth cyfryngau/adnewyddu-cyfryngau-cyflwr/storfa fewnol ar gael:1,345,622,016 cyfanswm:5,687,922,688
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Yn cynnwys y ffeiliau sain a dderbyniwyd.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Yn cynnwys ffeiliau sain a anfonwyd.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Yn cynnwys y ffeiliau graffeg canlyniadol.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Yn cynnwys ffeiliau graffig a anfonwyd.
- Каталог '/data/media/0/WhatsApp/Cyfryngau/Fideos WhatsApp/'. Yn cynnwys ffeiliau fideo a dderbyniwyd.
- Каталог '/data/media/0/WhatsApp/Cyfryngau/Fideos WhatsApp/Anfonwyd/'. Yn cynnwys ffeiliau fideo a anfonwyd.
- Каталог '/data/media/0/WhatsApp/Media/Lluniau Proffil WhatsApp/'. Yn cynnwys ffeiliau graffig sy'n gysylltiedig â pherchennog y cyfrif WhatsApp.
- Er mwyn arbed lle cof ar eich ffôn clyfar Android, gellir storio rhywfaint o ddata WhatsApp ar gerdyn SD. Ar y cerdyn SD, yn y cyfeiriadur gwraidd, mae cyfeiriadur 'WhatsApp', lle gellir dod o hyd i arteffactau canlynol y rhaglen hon:
- Каталог '.Rhannu' ('/mnt/sdcard/WhatsApp/.Share/'). Yn cynnwys copïau o ffeiliau sydd wedi'u rhannu â defnyddwyr WhatsApp eraill.
- Каталог '.sbwriel' ('/mnt/sdcard/WhatsApp/.trash/'). Yn cynnwys ffeiliau sydd wedi'u dileu.
- Каталог 'Cronfeydd data' ('/ mnt/sdcard/WhatsApp/Cronfeydd Data/'). Yn cynnwys copïau wrth gefn wedi'u hamgryptio. Gellir eu dadgryptio os yw'r ffeil yn bresennol 'allwedd', wedi'i dynnu o gof y ddyfais a ddadansoddwyd.
Ffeiliau wedi'u lleoli mewn is-gyfeiriadur 'Cronfeydd data':
- Каталог 'Hanner' ('/ mnt/sdcard/WhatsApp/Cyfryngau/'). Yn cynnwys is-gyfeiriaduron 'Papur Wal', 'Sain WhatsApp', 'Delweddau WhatsApp', 'Lluniau Proffil WhatsApp', 'Fideo WhatsApp', 'Nodiadau Llais WhatsApp', sy'n cynnwys ffeiliau amlgyfrwng a dderbyniwyd ac a drosglwyddir (ffeiliau graffeg, ffeiliau fideo, negeseuon llais, lluniau sy'n gysylltiedig â phroffil perchennog cyfrif WhatsApp, papurau wal).
- Каталог 'Lluniau Proffil' ('/ mnt/sdcard/WhatsApp/Lluniau Proffil/'). Yn cynnwys ffeiliau graffig sy'n gysylltiedig â phroffil perchennog cyfrif WhatsApp.
- Weithiau gall fod cyfeiriadur yn bresennol ar y cerdyn SD 'ffeiliau' ('/ mnt/sdcard/WhatsApp/Files/'). Mae'r cyfeiriadur hwn yn cynnwys ffeiliau sy'n storio gosodiadau rhaglen a dewisiadau defnyddwyr.
Nodweddion storio data mewn rhai modelau o ddyfeisiau symudol
Gall rhai modelau o ddyfeisiau symudol sy'n rhedeg Android OS storio arteffactau WhatsApp mewn lleoliad gwahanol. Mae hyn oherwydd newidiadau yn y gofod storio data cais gan feddalwedd system y ddyfais symudol. Er enghraifft, mae gan ddyfeisiau symudol Xiaomi swyddogaeth ar gyfer creu ail fan gwaith (“SecondSpace”). Pan fydd y swyddogaeth hon yn cael ei actifadu, mae lleoliad y data yn newid. Felly, os yw mewn dyfais symudol reolaidd sy'n rhedeg data defnyddwyr Android OS yn cael ei storio yn y cyfeiriadur '/data/defnyddiwr/0/' (sy'n gyfeiriad at yr arferol '/data/data/'), yna yn yr ail le gwaith cymhwysiad data yn cael ei storio yn y cyfeiriadur '/data/defnyddiwr/10/'. Hynny yw, gan ddefnyddio'r enghraifft o leoliad y ffeil 'wa.db':
- mewn ffôn clyfar rheolaidd sy'n rhedeg Android OS: /data/user/0/com.whatsapp/databases/wa.db' (sy'n cyfateb '/data/data/com.whatsapp/databases/wa.db');
- yn ail weithle ffôn clyfar Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.
Arteffactau WhatsApp mewn dyfais iOS
Yn wahanol i AO Android, yn iOS data cais WhatsApp yn cael ei drosglwyddo i gopi wrth gefn (iTunes copi wrth gefn). Felly, nid yw echdynnu data o'r cais hwn yn gofyn am echdynnu'r system ffeiliau na chreu dymp cof corfforol o'r ddyfais sy'n cael ei harchwilio. Mae'r rhan fwyaf o'r wybodaeth berthnasol wedi'i chynnwys yn y gronfa ddata 'ChatStorage.sqlite', sydd wedi'i leoli ar hyd y llwybr: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (mewn rhai rhaglenni mae'r llwybr hwn yn ymddangos fel 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Strwythur 'ChatStorage.sqlite':
Mae'r tablau mwyaf addysgiadol yn y gronfa ddata 'ChatStorage.sqlite' 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Ymddangosiad tabl 'ZWAMESSAGE':
Strwythur y tabl 'ZWAMESSAGE'
| Enw maes | Gwerth |
|---|---|
| Z_PK | cofnodi rhif dilyniant (yn nhabl SQL) |
| Z_ENT | dynodwr tabl, sydd â'r gwerth '9' |
| Z_OPT | anhysbys, fel arfer yn cynnwys gwerthoedd o '1' i '6' |
| ZCHILDMESSAGESDELIVEREDCOUNT | anhysbys, fel arfer yn cynnwys y gwerth '0' |
| ZCHILDMESSAGESPLAYEDCOUNT | anhysbys, fel arfer yn cynnwys y gwerth '0' |
| ZCHILDMESSAGESREADCOUNT | anhysbys, fel arfer yn cynnwys y gwerth '0' |
| ZDATAITEMVERSION | anhysbys, fel arfer yn cynnwys y gwerth '3', yn ôl pob tebyg dangosydd neges destun |
| ZDOCID | anhysbys |
| ZENCRETRYCOUNT | anhysbys, fel arfer yn cynnwys y gwerth '0' |
| CYFRIF ZFILTEREDRECIPIENT | anhysbys, fel arfer yn cynnwys y gwerthoedd '0', '2', '256' |
| ZISFROMME | cyfeiriad neges: '0' – yn dod i mewn, '1' – yn mynd allan |
| ZMESSAGEERRORSTATUS | statws trosglwyddo neges. Os anfonir/derbynnir y neges, yna mae ganddi'r gwerth '0' |
| ZMESSAGETYPE | math o neges sy'n cael ei throsglwyddo |
| ZSORT | anhysbys |
| ZSPOTLIGHSTATUS | anhysbys |
| ZSTARRED | anhysbys, heb ei ddefnyddio |
| ZCHATSESSION | anhysbys |
| ZGROUPMEMBER | anhysbys, heb ei ddefnyddio |
| ZLASTSESSION | anhysbys |
| ZMEDIAITEM | anhysbys |
| ZMESSAGEINFO | anhysbys |
| ZPARENTMESSAGE | anhysbys, heb ei ddefnyddio |
| ZMESSAGEDYDDIAD | stamp amser yn fformat OS X Epoch Time |
| ZSENTDYDDIAD | amser anfonwyd y neges mewn fformat OS X Epoch Time |
| ZFROMJID | ID Anfonwr WhatsApp |
| ZMEDIASECTIONID | yn cynnwys y flwyddyn a'r mis yr anfonwyd y ffeil cyfryngau |
| ZPHASH | anhysbys, heb ei ddefnyddio |
| ZPUSHPAME | enw'r cyswllt a anfonodd y ffeil cyfryngau yn fformat UTF-8 |
| ZSTANZID | dynodwr neges unigryw |
| ZTEXT | Neges testun |
| ZTOJID | ID WhatsApp y derbynnydd |
| IAWN | gogwydd |
Ymddangosiad tabl 'ZWAMEDIAITEM':
Strwythur y tabl 'ZWAMEDIAITEM'
| Enw maes | Gwerth |
|---|---|
| Z_PK | cofnodi rhif dilyniant (yn nhabl SQL) |
| Z_ENT | dynodwr tabl, sydd â'r gwerth '8' |
| Z_OPT | anhysbys, fel arfer yn cynnwys gwerthoedd o '1' i '3'. |
| ZCLOUDSTATUS | yn cynnwys y gwerth '4' os yw'r ffeil yn cael ei llwytho. |
| ZFILESIZE | yn cynnwys hyd y ffeil (mewn beit) ar gyfer ffeiliau wedi'u llwytho i lawr |
| ZMEDIAORIGIN | anhysbys, fel arfer mae ganddo'r gwerth '0' |
| ZMOVIEDURIAD | hyd y ffeil cyfryngau, ar gyfer ffeiliau pdf gall gynnwys nifer y tudalennau yn y ddogfen |
| ZMESSAGE | yn cynnwys rhif cyfresol (mae'r rhif yn wahanol i'r un a nodir yn y golofn 'Z_PK') |
| ZASPECTRATIO | cymhareb agwedd, heb ei defnyddio, fel arfer wedi'i gosod i '0' |
| ZHACCURIAETH | anhysbys, fel arfer mae ganddo'r gwerth '0' |
| ZLATTITUDE | lled mewn picseli |
| ZLONGTITUDE | uchder mewn picseli |
| ZMEDIAURDATE | stamp amser yn fformat OS X Epoch Time |
| ZAUTHORNAME | awdur (ar gyfer dogfennau, gall gynnwys enw'r ffeil) |
| ZCOLLECTIONNAME | heb ei ddefnyddio |
| ZMEDIALOCALPATH | enw ffeil (gan gynnwys llwybr) yn system ffeiliau'r ddyfais |
| ZMEDIAURL | Yr URL lle lleolwyd y ffeil cyfryngau. Os trosglwyddwyd ffeil o un tanysgrifiwr i'r llall, cafodd ei hamgryptio a bydd ei estyniad yn cael ei nodi fel estyniad i'r ffeil a drosglwyddwyd - .enc |
| ZTHUMBNAILLOCALPATH | llwybr i'r mân-lun ffeil yn system ffeiliau'r ddyfais |
| ZTITLE | pennawd ffeil |
| ZVCARDNAME | hash ffeil cyfryngau; wrth drosglwyddo ffeil i grŵp, gall gynnwys y dynodwr anfonwr |
| ZVCARDSTRING | yn cynnwys gwybodaeth am y math o ffeil sy'n cael ei throsglwyddo (er enghraifft, delwedd/jpeg); wrth drosglwyddo ffeil i grŵp, gall gynnwys dynodwr y derbynnydd |
| ZXMPPTHUMBPATH | llwybr i'r mân-lun ffeil yn system ffeiliau'r ddyfais |
| ZMEDIAKEY | anhysbys, mae'n debyg yn cynnwys yr allwedd i ddadgryptio'r ffeil wedi'i hamgryptio. |
| ZMETADATA | metadata'r neges a drosglwyddir |
| Atred | gogwydd |
Tablau cronfa ddata diddorol eraill 'ChatStorage.sqlite' yw:
- 'ZWAPROFILEPUSHNAME'. Yn cyfateb ID WhatsApp ag enw cyswllt;
- 'ZWAPROFILEPICTUREITEM'. Yn paru ID WhatsApp ag avatar cyswllt;
- 'Z_PRIMARYKEY'. Mae'r tabl yn cynnwys gwybodaeth gyffredinol am y gronfa ddata hon, megis cyfanswm nifer y negeseuon sydd wedi'u storio, cyfanswm nifer y sgyrsiau, ac ati.
Hefyd, wrth archwilio WhatsApp ar ddyfais symudol sy'n rhedeg iOS, dylech dalu sylw i'r ffeiliau canlynol:
- file 'BackedUpKeyValue.sqlite'. Yn cynnwys allweddi cryptograffig a data arall sy'n angenrheidiol i adnabod perchennog y cyfrif. Wedi'i leoli ar hyd y llwybr: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'CysylltiadauV2.sqlite'. Yn cynnwys gwybodaeth am gysylltiadau'r defnyddiwr, megis enw llawn, rhif ffôn, statws cyswllt (ar ffurf testun), ID WhatsApp, ac ati. Wedi'i leoli ar hyd y llwybr: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'fersiwn_defnyddiwr'. Yn cynnwys rhif fersiwn y cymhwysiad WhatsApp sydd wedi'i osod. Wedi'i leoli ar hyd y llwybr: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'cyfredol_wallpaper.jpg'. Yn cynnwys y papur wal cefndir WhatsApp cyfredol. Wedi'i leoli ar hyd y llwybr: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Mae fersiynau hŷn o'r rhaglen yn defnyddio'r ffeil 'papur wal', sydd wedi'i leoli ar hyd y llwybr: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- file 'blockedcontacts.dat'. Yn cynnwys gwybodaeth am gysylltiadau sydd wedi'u blocio. Wedi'i leoli ar hyd y llwybr: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- file 'pw.dat'. Yn cynnwys cyfrinair wedi'i amgryptio. Wedi'i leoli ar hyd y llwybr: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- file 'net.whatsapp.WhatsApp.plist' (neu ffeil 'group.net.whatsapp.WhatsApp.shared.plist'). Yn cynnwys gwybodaeth am broffil eich cyfrif WhatsApp. Mae'r ffeil wedi'i lleoli ar hyd y llwybr: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Cynnwys y ffeil 'group.net.whatsapp.WhatsApp.shared.plist'
Mae angen i chi hefyd dalu sylw i'r cyfeirlyfrau canlynol:
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Yn cynnwys mân-luniau o gysylltiadau, grwpiau (ffeiliau gyda'r estyniad .bawd), cyswllt avatars, avatar perchennog cyfrif WhatsApp (ffeil 'Photo.jpg').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Yn cynnwys ffeiliau amlgyfrwng a'u mân-luniau
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Yn cynnwys log gweithrediad y rhaglen (ffeil 'calls.log') a chopïau wrth gefn o logiau gweithredu rhaglen (ffeil 'calls.backup.log').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/sticers/'. Yn cynnwys sticeri (ffeiliau yn y fformat '.webp').
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Yn cynnwys logiau gweithrediad rhaglen.
Arteffactau WhatsApp ar Windows
Gellir dod o hyd i arteffactau WhatsApp ar Windows mewn sawl man. Yn gyntaf oll, cyfeirlyfrau yw'r rhain sy'n cynnwys ffeiliau rhaglen gweithredadwy ac ategol (ar gyfer Windows 8/10):
- 'C: Ffeiliau Rhaglen (x86) Whatsapp'
- 'C:Defnyddwyr%Proffil defnyddiwr% AppDataLocalWhatsApp'
- 'C:Defnyddwyr%Proffil defnyddiwr% Ffeiliau Rhaglen AppDataLocalVirtualStore (x86)WhatsApp'
Yn y catalog 'C:Defnyddwyr%Proffil defnyddiwr% AppDataLocalWhatsApp' mae'r ffeil log wedi'i lleoli 'SquirrelSetup.log', sy'n cynnwys gwybodaeth am wirio am ddiweddariadau a gosod y rhaglen.
Yn y catalog 'C:Defnyddwyr%Proffil defnyddiwr% AppDataRoamingWhatsApp' Mae yna sawl is-gyfeiriadur:
file 'prif-broses.log' yn cynnwys gwybodaeth am weithrediad y rhaglen WhatsApp.
Is-gyfeiriadur 'cronfeydd data' yn cynnwys ffeil 'Cronfeydd data.db', ond nid yw'r ffeil hon yn cynnwys unrhyw wybodaeth am sgyrsiau neu gysylltiadau.
Y rhai mwyaf diddorol o safbwynt fforensig yw'r ffeiliau sydd wedi'u lleoli yn y cyfeiriadur 'Cache'. Yn y bôn, mae'r rhain yn ffeiliau a enwir 'f_******' (lle mae * yn rhif o 0 i 9) sy'n cynnwys ffeiliau a dogfennau amlgyfrwng wedi'u hamgryptio, ond mae ffeiliau heb eu hamgryptio yn eu plith hefyd. Mae'r ffeiliau o ddiddordeb arbennig 'data_0', 'data_1', 'data_2', 'data_3', wedi'i leoli yn yr un is-gyfeiriadur. Ffeiliau 'data_0', 'data_1', 'data_3' cynnwys dolenni allanol i ffeiliau a dogfennau amlgyfrwng wedi'u hamgryptio a drosglwyddir.
Enghraifft o wybodaeth yn ffeil 'data_1'
Ffeil hefyd 'data_3' gall gynnwys ffeiliau graffeg.
file 'data_2' yn cynnwys avatars cyswllt (gellir eu hadfer trwy chwilio yn ôl penawdau ffeil).
Avatars yn y ffeil 'data_2':
Felly, ni ellir dod o hyd i'r sgyrsiau eu hunain yng nghof y cyfrifiadur, ond gallwch ddod o hyd i:
- ffeiliau amlgyfrwng;
- dogfennau a drosglwyddir trwy WhatsApp;
- gwybodaeth am gysylltiadau perchennog y cyfrif.
Arteffactau WhatsApp ar MacOS
Yn MacOS gallwch ddod o hyd i fathau o arteffactau WhatsApp tebyg i'r rhai a geir yn Windows OS.
Mae ffeiliau'r rhaglen wedi'u lleoli yn y cyfeiriaduron canlynol:
- 'C:ApplicationsWhatsApp.app'
- 'C:Ceisiadau._WhatsApp.app'
- 'C:Defnyddwyr%Proffil defnyddiwr%LibraryPreferences'
- 'C:Defnyddwyr%Proffil defnyddiwr%LibraryLogsWhatsApp'
- 'C:Defnyddwyr%Proffil defnyddiwr%Cais wedi'i Gadw yn y Llyfrgell StateWhatsApp.savedState'
- 'C:Defnyddwyr% Proffil defnyddiwr% Sgriptiau Cymhwysiad Llyfrgell'
- 'C:Defnyddwyr%Proffil defnyddiwr%LibraryApplication SupportCloudDocs'
- 'C:Defnyddwyr%Proffil defnyddiwr%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Defnyddwyr%Proffil defnyddiwr%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Defnyddwyr%Proffil defnyddiwr% Dogfennau Symudol Llyfrgell <newidyn testun> Cyfrifon WhatsApp'
Mae'r cyfeiriadur hwn yn cynnwys is-gyfeiriaduron y mae eu henwau'n rhifau ffôn sy'n gysylltiedig â pherchennog y cyfrif WhatsApp. - 'C:Defnyddwyr%Proffil defnyddiwr%LibraryCachesWhatsApp.ShipIt'
Mae'r cyfeiriadur hwn yn cynnwys gwybodaeth am osod y rhaglen. - 'C:Defnyddwyr%Proffil defnyddiwr%PicturesiPhoto Library.photolibraryMasters', 'C:Defnyddwyr%Proffil defnyddiwr%PicturesiPhoto Library.photolibraryThumbnails'
Mae'r cyfeirlyfrau hyn yn cynnwys ffeiliau gwasanaeth y rhaglen, gan gynnwys lluniau a mân-luniau o gysylltiadau WhatsApp. - 'C:Defnyddwyr%Proffil defnyddiwr%LibraryCachesWhatsApp'
Mae'r cyfeiriadur hwn yn cynnwys nifer o gronfeydd data SQLite a ddefnyddir ar gyfer storio data. - 'C:Defnyddwyr%Proffil defnyddiwr%LibraryApplication SupportWhatsApp'
Mae'r cyfeiriadur hwn yn cynnwys sawl is-gyfeiriadur:
Yn y catalog 'C:Defnyddwyr%Proffil defnyddiwr%LibraryApplication SupportWhatsAppCache' mae ffeiliau 'data_0', 'data_1', 'data_2', 'data_3' a ffeiliau ag enwau arnynt 'f_******' (lle mae * yn rhif o 0 i 9). I gael gwybodaeth am ba wybodaeth y mae'r ffeiliau hyn yn ei chynnwys, gweler WhatsApp Artifacts ar Windows.Yn y catalog 'C:Defnyddwyr%Proffil defnyddiwr%LibraryApplication SupportWhatsAppIndexedDB' Gall gynnwys ffeiliau amlgyfrwng (nid oes gan ffeiliau estyniadau).
file 'prif-broses.log' yn cynnwys gwybodaeth am weithrediad y rhaglen WhatsApp.
Ffynonellau
- Dadansoddiad fforensig o WhatsApp Messenger ar ffonau smart Android, gan Cosimo Anglano, 2014.
- Fforensig Whatsapp: Ecsplorasi system a data sail cymwysiadau Android ac iOS gan Ahmad Pratama, 2014.
Yn yr erthyglau canlynol yn y gyfres hon:
Dadgryptio cronfeydd data WhatsApp wedi'u hamgryptioErthygl a fydd yn darparu gwybodaeth ar sut mae allwedd amgryptio WhatsApp yn cael ei chynhyrchu ac enghreifftiau ymarferol yn dangos sut i ddadgryptio cronfeydd data amgryptio'r cais hwn.
Tynnu data WhatsApp o storfa cwmwlErthygl lle byddwn yn dweud wrthych pa ddata WhatsApp sy'n cael ei storio yn y cymylau ac yn disgrifio dulliau ar gyfer adfer y data hwn o storfa cwmwl.
Echdynnu Data WhatsApp: Enghreifftiau YmarferolErthygl a fydd yn disgrifio gam wrth gam pa raglenni a sut i echdynnu data WhatsApp o wahanol ddyfeisiau.
Ffynhonnell: hab.com