Hvis du vil vide, hvilke typer WhatsApp retsmedicinske artefakter, der findes på forskellige operativsystemer, og hvor præcis de kan findes, så er dette stedet for dig. Denne artikel er fra en specialist ved Group-IB Computer Forensics Laboratory Igor Mikhailov starter en række indlæg om WhatsApp efterforskning og hvilke oplysninger der kan hentes ved at analysere enheden.
Lad os straks bemærke, at forskellige operativsystemer gemmer forskellige typer WhatsApp-artefakter, og hvis en forsker kan udtrække bestemte typer WhatsApp-data fra én enhed, betyder det ikke, at lignende typer data kan udtrækkes fra en anden enhed. For eksempel, hvis en systemenhed, der kører Windows OS, fjernes, vil WhatsApp-chats sandsynligvis ikke blive fundet på dens diske (med undtagelse af sikkerhedskopier af iOS-enheder, som kan findes på de samme drev). Beslaglæggelsen af bærbare computere og mobile enheder vil have sine egne karakteristika. Lad os tale om dette mere detaljeret.
WhatsApp-artefakter på Android-enhed
For at udtrække WhatsApp-artefakter fra en Android-enhed skal forskeren have superbrugerrettigheder ('rod') på den enhed, der undersøges, eller på anden måde kunne udtrække en fysisk hukommelsesdump af enheden eller dens filsystem (f.eks. ved hjælp af softwaresårbarheder på en specifik mobilenhed).
Applikationsfiler er placeret i telefonens hukommelse i det afsnit, hvor brugerdata er gemt. Som regel er dette afsnit navngivet 'brugerdata'. Undermapper og programfiler er placeret langs stien: '/data/data/com.whatsapp/'.
De vigtigste filer, der indeholder WhatsApp retsmedicinske artefakter i Android OS, er databaser 'wa.db' и 'msgstore.db'.
I databasen 'wa.db' indeholder den komplette kontaktliste for en WhatsApp-bruger, inklusive telefonnummer, visningsnavn, tidsstempler og enhver anden information, der gives under registreringen til WhatsApp. Fil 'wa.db' placeret langs stien: '/data/data/com.whatsapp/databases/' og har følgende struktur:
De mest interessante tabeller i databasen 'wa.db' for forskeren er:
- 'wa_contacts'
Denne tabel indeholder kontaktoplysninger: WhatsApp-kontakt-id, statusoplysninger, brugervisningsnavn, tidsstempler osv.Bordets udseende:
BordstrukturFeltnavn Value _id record sekvensnummer (i SQL-tabel) jid WhatsApp-kontakt-id, skrevet i formatet <telefonnummer>@s.whatsapp.net er_whatsapp_bruger indeholder '1', hvis kontakten svarer til en faktisk WhatsApp-bruger, ellers '0' status indeholder den tekst, der vises i kontaktstatus status_tidsstempel indeholder et tidsstempel i Unix Epoch Time (ms) format nummer telefonnummer tilknyttet kontakten rå_kontakt_id kontakt serienummer DISPLAY_NAME kontaktens visningsnavn telefontype telefontype telefon_label etiket tilknyttet kontaktnummeret unseen_msg_count antal beskeder, der blev sendt af en kontakt, men ikke blev læst af modtageren foto_ts indeholder et tidsstempel i Unix Epoch Time-format thumb_ts indeholder et tidsstempel i Unix Epoch Time-format foto_id_tidsstempel indeholder et tidsstempel i Unix Epoch Time (ms) format givet navn feltværdien matcher 'display_name' for hver kontakt wa_name WhatsApp-kontaktnavn (navnet angivet i kontaktpersonens profil vises) sort_navn kontaktnavn brugt i sorteringsoperationer kaldenavn kontaktens kaldenavn i WhatsApp (kaldenavnet angivet i kontaktens profil vises) selskab virksomhed (det firma, der er angivet i kontaktpersonens profil, vises) titel titel (Ms./Mr.; titel konfigureret i kontaktprofilen vises) offset partiskhed - 'sqlite_sequence'
Denne tabel indeholder oplysninger om antallet af kontakter; - 'android_metadata'
Denne tabel indeholder oplysninger om WhatsApp-sproglokalisering.
I databasen 'msgstore.db' indeholder oplysninger om sendte beskeder, såsom kontaktnummer, beskedtekst, beskedstatus, tidsstempler, detaljer om overførte filer inkluderet i beskeder osv. Fil 'msgstore.db' placeret langs stien: '/data/data/com.whatsapp/databases/' og har følgende struktur:
De mest interessante tabeller i filen 'msgstore.db' for forskeren er:
- 'sqlite_sequence'
Denne tabel indeholder generelle oplysninger om denne database, såsom det samlede antal gemte beskeder, det samlede antal chats osv.Bordets udseende:
- 'message_fts_content'
Indeholder teksten til sendte beskeder.Bordets udseende:
- 'Beskeder'
Denne tabel indeholder oplysninger såsom kontaktnummer, beskedtekst, beskedstatus, tidsstempler, oplysninger om overførte filer inkluderet i beskeder.Bordets udseende:
BordstrukturFeltnavn Value _id record sekvensnummer (i SQL-tabel) key_remote_jid WhatsApp-id for kommunikationspartner nøgle_fra_mig beskedretning: '0' – indgående, '1' – udgående nøgle_id unik meddelelsesidentifikator status beskedstatus: '0' – leveret, '4' – venter på serveren, '5' – modtaget på destinationen, '6' – kontrolmeddelelse, '13' – besked åbnet af modtageren (læs) need_push har værdien '2', hvis det er en broadcast-meddelelse, ellers indeholder '0' data beskedtekst (når parameteren 'media_wa_type' er '0') tidsstempel indeholder et tidsstempel i Unix Epoch Time (ms) format, er værdien taget fra enhedens ur media_url indeholder URL'en på den overførte fil (når parameteren 'media_wa_type' er '1', '2', '3') media_mime_type MIME-typen for den overførte fil (når parameteren 'media_wa_type' er lig med '1', '2', '3') media_wa_type beskedtype: '0' - tekst, '1' - grafikfil, '2' - lydfil, '3' - videofil, '4' - kontaktkort, '5' - geodata mediestørrelse størrelsen på den overførte fil (når parameteren 'media_wa_type' er '1', '2', '3') medienavn navnet på den overførte fil (når parameteren 'media_wa_type' er '1', '2', '3') media_caption Indeholder ordene 'audio', 'video' for de tilsvarende værdier af parameteren 'media_wa_type' (når parameteren 'media_wa_type' er '1', '3') media_hash base64-kodet hash af den transmitterede fil, beregnet ved hjælp af HAS-256-algoritmen (når parameteren 'media_wa_type' er lig med '1', '2', '3') media_duration varighed i sekunder for mediefilen (når 'media_wa_type' er '1', '2', '3') oprindelse har værdien '2', hvis det er en broadcast-meddelelse, ellers indeholder '0' breddegrad geodata: breddegrad (når parameteren 'media_wa_type' er '5') længde geodata: længdegrad (når parameteren 'media_wa_type' er '5') thumb_image serviceoplysninger fjern_ressource Afsender-id (kun til gruppechat) modtaget_tidsstempel modtagelsestidspunkt, indeholder et tidsstempel i Unix Epoch Time (ms) format, er værdien taget fra enhedens ur (når parameteren 'key_from_me' har '0', '-1' eller anden værdi) send_tidsstempel ikke brugt, har normalt værdien '-1' receipt_server_timestamp tid modtaget af den centrale server, indeholder et tidsstempel i Unix Epoch Time (ms) format, værdien tages fra enhedens ur (når parameteren 'key_from_me' har '1', '-1' eller anden værdi receipt_device_timestamp når beskeden blev modtaget af en anden abonnent, indeholder et tidsstempel i Unix Epoch Time (ms)-format, tages værdien fra enhedens ur (når parameteren 'key_from_me' har '1', '-1' eller en anden værdi read_device_timestamp tidspunkt for åbning (læsning) af meddelelsen, indeholder et tidsstempel i Unix Epoch Time (ms) format, værdien er taget fra enhedens ur spillet_enhed_tidsstempel beskedens afspilningstid, indeholder et tidsstempel i Unix Epoch Time (ms) format, værdien er taget fra enhedens ur rådata thumbnail af den overførte fil (når parameteren 'media_wa_type' er '1' eller '3') modtager_antal antal modtagere (for broadcast-beskeder) deltager_hash bruges ved transmission af meddelelser med geodata stjernemarkerede anvendes ikke citeret_række-id ukendt, indeholder normalt værdien '0' nævnte_jids anvendes ikke multicast_id anvendes ikke offset partiskhed Denne liste over felter er ikke udtømmende. For forskellige versioner af WhatsApp kan nogle felter være til stede eller fraværende. Derudover kan felter være til stede 'media_enc_hash', 'edit_version', 'payment_transaction_id' etc.
- 'messages_thumbnails'
Denne tabel indeholder oplysninger om overførte billeder og tidsstempler. I kolonnen 'tidsstempel' er tiden angivet i Unix Epoch Time (ms) format. - 'chat_list'
Denne tabel indeholder oplysninger om chats.Bordets udseende:
Når du undersøger WhatsApp på en mobilenhed, der kører Android, skal du også være opmærksom på følgende filer:
- fil 'msgstore.db.cryptXX' (hvor XX er et eller to cifre fra 0 til 12, f.eks. msgstore.db.crypt12). Indeholder en krypteret sikkerhedskopi af WhatsApp-beskeder (backup-fil msgstore.db). Fil(er) 'msgstore.db.cryptXX' placeret langs stien: '/data/media/0/WhatsApp/Databases/' (virtuelt SD-kort), '/mnt/sdcard/WhatsApp/Databases/ (fysisk SD-kort)'.
- fil 'nøgle'. Indeholder en kryptografisk nøgle. Placeret langs stien: '/data/data/com.whatsapp/files/'. Bruges til at dekryptere krypterede WhatsApp-sikkerhedskopier.
- fil 'com.whatsapp_preferences.xml'. Indeholder oplysninger om din WhatsApp-kontoprofil. Filen er placeret langs stien: '/data/data/com.whatsapp/shared_prefs/'.
Filindholdsfragment
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - fil 'registration.RegisterPhone.xml'. Indeholder oplysninger om det telefonnummer, der er knyttet til WhatsApp-kontoen. Filen er placeret langs stien: '/data/data/com.whatsapp/shared_prefs/'.
Filens indhold
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - fil 'axolotl.db'. Indeholder kryptografiske nøgler og andre data, der er nødvendige for at identificere kontoejeren. Placeret langs stien: '/data/data/com.whatsapp/databases/'.
- fil 'chatsettings.db'. Indeholder applikationskonfigurationsoplysninger.
- fil 'wa.db'. Indeholder kontaktoplysninger. En meget interessant (fra et retsmedicinsk aspekt) og informativ database. Det kan indeholde detaljerede oplysninger om slettede kontakter.
Du skal også være opmærksom på følgende mapper:
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-billeder/'. Indeholder overførte grafikfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Indeholder talebeskeder i .OPUS-formatfiler.
- Каталог '/data/data/com.whatsapp/cache/Profile Pictures/'. Indeholder grafiske filer – billeder af kontakter.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Indeholder grafiske filer – miniaturebilleder af kontakter. Disse filer har filtypenavnet '.j', men er ikke desto mindre JPEG (JPG) billedfiler.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Indeholder grafiske filer - et billede og et miniaturebillede af billedet sat som en avatar af kontoejeren.
- Каталог '/data/data/com.whatsapp/files/Logs/'. Indeholder programdriftsloggen (filen 'whatsapp.log') og sikkerhedskopier af programdriftsloggene (filer med navne i formatet whatsapp-åååå-mm-dd.1.log.gz).
WhatsApp-logfiler:
Journal fragment2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcall notification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcall notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] adgangskodefil mangler eller er ulæselig
2017-01-10 09:37:09.782 LL_I D [1:main] statistik Tekstbeskeder: 59 sendt, 82 modtaget / Mediebeskeder: 1 sendt (0 bytes), 0 modtaget (9850158 bytes) / Offline beskeder: 81 modtaget ( 19522 msek gennemsnitlig forsinkelse) / Message Service: 116075 bytes sendt, 211729 bytes modtaget / Voip-opkald: 1 udgående opkald, 0 indgående opkald, 2492 bytes sendt, 1530 bytes modtaget / Google Drev: 0 bytes sendt, 0 bytes modtaget / 1524 roaming: bytes sendt, 1826 bytes modtaget / Samlet data: 118567 bytes sendt, 10063417 bytes modtaget
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | brugt tid: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/intern-storage available:1,345,622,016 total:5,687,922,688
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Indeholder de modtagne lydfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Indeholder sendte lydfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-billeder/'. Indeholder de resulterende grafikfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-billeder/Sent/'. Indeholder tilsendte grafikfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Indeholder modtagne videofiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Indeholder sendte videofiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-profilbilleder/'. Indeholder grafiske filer forbundet med ejeren af WhatsApp-kontoen.
- For at spare hukommelsesplads på din Android-smartphone kan nogle WhatsApp-data gemmes på et SD-kort. På SD-kortet, i rodmappen, er der en mappe 'Whatsapp', hvor følgende artefakter af dette program kan findes:
- Каталог '.Del' ('/mnt/sdcard/WhatsApp/.Share/'). Indeholder kopier af filer, der er blevet delt med andre WhatsApp-brugere.
- Каталог '.affald' ('/mnt/sdcard/WhatsApp/.trash/'). Indeholder slettede filer.
- Каталог 'databaser' ('/mnt/sdcard/WhatsApp/Databases/'). Indeholder krypterede sikkerhedskopier. De kan dekrypteres, hvis filen er til stede 'nøgle', udtrukket fra hukommelsen på den analyserede enhed.
Filer placeret i en undermappe 'databaser':
- Каталог 'Halvt' ('/mnt/sdcard/WhatsApp/Media/'). Indeholder undermapper 'Tapet', 'WhatsApp Audio', 'WhatsApp-billeder', 'WhatsApp-profilbilleder', 'WhatsApp-video', 'WhatsApp Voice Notes', som indeholder modtagne og transmitterede multimediefiler (grafikfiler, videofiler, talebeskeder, fotos forbundet med profilen for WhatsApp-kontoejeren, baggrunde).
- Каталог 'Profilbilleder' ('/mnt/sdcard/WhatsApp/Profilbilleder/'). Indeholder grafiske filer forbundet med profilen for WhatsApp-kontoejeren.
- Nogle gange kan der være en mappe på SD-kortet 'filer' ('/mnt/sdcard/WhatsApp/Files/'). Denne mappe indeholder filer, der gemmer programindstillinger og brugerpræferencer.
Funktioner af datalagring i nogle modeller af mobile enheder
Nogle modeller af mobilenheder, der kører Android OS, kan gemme WhatsApp-artefakter et andet sted. Dette skyldes ændringer i lagringspladsen af applikationsdata fra den mobile enheds systemsoftware. For eksempel har Xiaomi-mobilenheder en funktion til at oprette et andet arbejdsområde ("SecondSpace"). Når denne funktion er aktiveret, ændres placeringen af dataene. Så hvis i en almindelig mobil enhed, der kører Android OS, er brugerdata gemt i mappen '/data/bruger/0/' (hvilket er en henvisning til det sædvanlige '/data/data/'), så lagres applikationsdata i det andet arbejdsområde i mappen '/data/bruger/10/'. Det vil sige ved at bruge eksemplet med filplaceringen 'wa.db':
- i en almindelig smartphone, der kører Android OS: /data/user/0/com.whatsapp/databases/wa.db' (hvilket svarer til '/data/data/com.whatsapp/databases/wa.db');
- i det andet arbejdsområde på Xiaomi-smartphonen: '/data/user/10/com.whatsapp/databases/wa.db'.
WhatsApp-artefakter i iOS-enhed
I modsætning til Android OS overføres WhatsApp-applikationsdata i iOS til en sikkerhedskopi (iTunes backup). Derfor kræver udtrækning af data fra denne applikation ikke udtrækning af filsystemet eller oprettelse af en fysisk hukommelsesdump af den enhed, der undersøges. De fleste af de relevante oplysninger er indeholdt i databasen 'ChatStorage.sqlite', som er placeret langs stien: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (i nogle programmer vises denne sti som 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Struktur 'ChatStorage.sqlite':
De mest informative tabeller i 'ChatStorage.sqlite'-databasen er 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Bordets udseende 'ZWAMESSAGE':
Struktur af tabellen 'ZWAMESSAGE'
| Feltnavn | Value |
|---|---|
| Z_PK | record sekvensnummer (i SQL-tabel) |
| Z_ENT | tabel-id, har værdien '9' |
| Z_OPT | ukendt, indeholder normalt værdier fra '1' til '6' |
| ZCHILDMESSAGESDELIVEREDCOUNT | ukendt, indeholder normalt værdien '0' |
| ZCHILDMESSAGESPLAYEDCOUNT | ukendt, indeholder normalt værdien '0' |
| ZCHILDMESSAGESREADCOUNT | ukendt, indeholder normalt værdien '0' |
| ZDATAITEMVERSION | ukendt, indeholder normalt værdien '3', sandsynligvis en tekstmeddelelsesindikator |
| ZDOCID | ukendt |
| ZENCRETRYCOUNT | ukendt, indeholder normalt værdien '0' |
| ZFILTEREDRECIPIENTCOUNT | ukendt, indeholder normalt værdierne '0', '2', '256' |
| ZISFROMME | beskedretning: '0' – indgående, '1' – udgående |
| ZMESSAGEERRORSTATUS | status for meddelelsestransmission. Hvis beskeden sendes/modtages, har den værdien '0' |
| ZMESSAGETYPE | type besked, der sendes |
| ZSORT | ukendt |
| ZSPOTLIGHSTATUS | ukendt |
| ZSTARRED | ukendt, ikke brugt |
| ZCHATSESSION | ukendt |
| ZGROUPEMEDLEM | ukendt, ikke brugt |
| ZLASTSESSION | ukendt |
| ZMEDIAITEM | ukendt |
| ZMESSAGEINFO | ukendt |
| ZPARENTMESSAGE | ukendt, ikke brugt |
| ZMESSAGEDATE | tidsstempel i OS X Epoch Time-format |
| ZSENTDATE | tidspunkt, hvor beskeden blev sendt i OS X Epoch Time-format |
| ZFROMJID | WhatsApp afsender-id |
| ZMEDIASECTIONID | indeholder år og måned, mediefilen blev sendt |
| ZPHASH | ukendt, ikke brugt |
| ZPUSHPAME | navnet på den kontakt, der sendte mediefilen i UTF-8-format |
| ZSTANZID | unik meddelelsesidentifikator |
| ZTEXT | Beskedtekst |
| ZTOJID | Modtagers WhatsApp ID |
| OFFSET | partiskhed |
Bordets udseende 'ZWAMEDIAITEM':
Struktur af tabellen 'ZWAMEDIAITEM'
| Feltnavn | Value |
|---|---|
| Z_PK | record sekvensnummer (i SQL-tabel) |
| Z_ENT | tabel-id, har værdien '8' |
| Z_OPT | ukendt, indeholder normalt værdier fra '1' til '3'. |
| ZCLOUDSTATUS | indeholder værdien '4', hvis filen er indlæst. |
| ZFILESIZE | indeholder fillængden (i bytes) for downloadede filer |
| ZMEDIAORIGIN | ukendt, har normalt værdien '0' |
| ZMOVIEDURATION | mediefilens varighed, for pdf-filer kan indeholde antallet af sider i dokumentet |
| ZMESSAGE | indeholder et serienummer (nummeret er forskelligt fra det, der er angivet i kolonnen 'Z_PK') |
| ZASPECTRATIO | billedformat, ikke brugt, normalt sat til '0' |
| ZH NØJAGTIGHED | ukendt, har normalt værdien '0' |
| ZLATTITUDE | bredde i pixels |
| ZLONGTITUDE | højde i pixels |
| ZMEDIAURLDATE | tidsstempel i OS X Epoch Time-format |
| ZAUTHORNAME | forfatter (for dokumenter, kan indeholde filnavnet) |
| ZCOLLECTIONNAME | anvendes ikke |
| ZMEDIALOCALPATH | filnavn (inklusive sti) i enhedens filsystem |
| ZMEDIAURL | URL'en, hvor mediefilen var placeret. Hvis en fil blev overført fra en abonnent til en anden, blev den krypteret, og dens udvidelse vil blive angivet som udvidelsen af den overførte fil - .enc |
| ZTHUMBNAILLOCALPATH | stien til filminiaturebilledet i enhedens filsystem |
| ZTITLE | filoverskrift |
| ZVCARDNAME | hash af mediefilen; når filen overføres til en gruppe, kan den indeholde afsender-id'et |
| ZVCARDSTRING | indeholder oplysninger om typen af fil, der overføres (f.eks. image/jpeg); når en fil overføres til en gruppe, kan den indeholde modtagerens id |
| ZXMPPTHUMBPATH | stien til filminiaturebilledet i enhedens filsystem |
| ZMEDIAKEY | ukendt, indeholder sandsynligvis nøglen til at dekryptere den krypterede fil. |
| ZMETADATA | metadata for den transmitterede meddelelse |
| Offset | partiskhed |
Andre interessante databasetabeller 'ChatStorage.sqlite' De er:
- 'ZWAPROFILEPUSHNAME'. Matcher WhatsApp ID med kontaktnavn;
- 'ZWAPROFILEPICTUREITEM'. Matcher WhatsApp ID med kontaktavatar;
- 'Z_PRIMARYKEY'. Tabellen indeholder generelle oplysninger om denne database, såsom det samlede antal gemte beskeder, det samlede antal chats osv.
Når du undersøger WhatsApp på en mobilenhed, der kører iOS, skal du også være opmærksom på følgende filer:
- fil 'BackedUpKeyValue.sqlite'. Indeholder kryptografiske nøgler og andre data, der er nødvendige for at identificere kontoejeren. Placeret langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'ContactsV2.sqlite'. Indeholder information om brugerens kontakter, såsom fulde navn, telefonnummer, kontaktstatus (i tekstform), WhatsApp ID osv. Placeret langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'consumer_version'. Indeholder versionsnummeret på den installerede WhatsApp-applikation. Placeret langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'current_wallpaper.jpg'. Indeholder det aktuelle WhatsApp-baggrunds tapet. Placeret langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Ældre versioner af programmet bruger filen 'tapet', som er placeret langs stien: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fil 'blockedcontacts.dat'. Indeholder information om blokerede kontakter. Placeret langs stien: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fil 'pw.dat'. Indeholder en krypteret adgangskode. Placeret langs stien: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fil 'net.whatsapp.WhatsApp.plist' (eller fil 'group.net.whatsapp.WhatsApp.shared.plist'). Indeholder oplysninger om din WhatsApp-kontoprofil. Filen er placeret langs stien: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Indholdet af filen 'group.net.whatsapp.WhatsApp.shared.plist'
Du skal også være opmærksom på følgende mapper:
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Indeholder thumbnails af kontakter, grupper (filer med udvidelsen .tommelfinger), kontaktavatarer, WhatsApp-kontoejeravatar (fil 'Photo.jpg').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Indeholder multimediefiler og deres thumbnails
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Indeholder programdriftsloggen (fil 'calls.log') og sikkerhedskopier af programdriftslogfiler (fil 'calls.backup.log').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Indeholder klistermærker (filer i formatet '.webp').
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Indeholder programdriftslogs.
WhatsApp-artefakter på Windows
WhatsApp-artefakter på Windows kan findes flere steder. Først og fremmest er disse mapper, der indeholder eksekverbare og hjælpeprogramfiler (til Windows 8/10):
- 'C:Program Files (x86)WhatsApp'
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'
I kataloget 'C:Users%User profile% AppDataLocalWhatsApp' logfilen er placeret 'SquirrelSetup.log', som indeholder oplysninger om søgning efter opdateringer og installation af programmet.
I kataloget 'C:Users%User profile% AppDataRoamingWhatsApp' Der er flere undermapper:
fil 'main-process.log' indeholder oplysninger om betjeningen af WhatsApp-programmet.
Undermappe 'databaser' indeholder en fil 'Databaser.db', men denne fil indeholder ingen oplysninger om chats eller kontakter.
De mest interessante fra et retsmedicinsk synspunkt er filerne, der er placeret i mappen 'Cache'. Disse er grundlæggende filer med navn 'f*******' (hvor * er et tal fra 0 til 9), der indeholder krypterede multimediefiler og dokumenter, men der er også ukrypterede filer blandt dem. Af særlig interesse er filerne 'data_0', 'data_1', 'data_2', 'data_3', placeret i samme undermappe. Filer 'data_0', 'data_1', 'data_3' indeholde eksterne links til transmitterede krypterede multimediefiler og dokumenter.
Eksempel på information indeholdt i filen 'data_1'
Filer også 'data_3' kan indeholde grafikfiler.
fil 'data_2' indeholder kontaktavatarer (kan gendannes ved at søge efter filoverskrifter).
Avatarer indeholdt i filen 'data_2':
Selve chattene kan således ikke findes i computerens hukommelse, men du kan finde:
- multimediefiler;
- dokumenter transmitteret via WhatsApp;
- oplysninger om kontoejerens kontakter.
WhatsApp-artefakter på MacOS
I MacOS kan du finde typer af WhatsApp-artefakter, der ligner dem, der findes i Windows OS.
Programfilerne er placeret i følgende mapper:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Brugere%Brugerprofil% Bibliotek Mobildokumenter <tekstvariabel> WhatsApp-konti'
Denne mappe indeholder undermapper, hvis navne er telefonnumre, der er knyttet til ejeren af WhatsApp-kontoen. - 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Denne mappe indeholder information om installation af programmet. - 'C:Brugere%Brugerprofil%PicturesiPhoto Library.photolibraryMasters', 'C:Brugere%Brugerprofil%PicturesiPhoto Library.photolibraryThumbnails'
Disse mapper indeholder servicefiler af programmet, inklusive fotos og miniaturebilleder af WhatsApp-kontakter. - 'C:Users%User profile%LibraryCachesWhatsApp'
Denne mappe indeholder flere SQLite-databaser, der bruges til datacache. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Denne mappe indeholder flere undermapper:
I kataloget 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' der er filer 'data_0', 'data_1', 'data_2', 'data_3' og filer med navne 'f*******' (hvor * er et tal fra 0 til 9). For information om, hvilke oplysninger disse filer indeholder, se WhatsApp Artifacts på Windows.I kataloget 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' kan indeholde multimediefiler (filer har ingen udvidelser).
fil 'main-process.log' indeholder oplysninger om betjeningen af WhatsApp-programmet.
kilder
- Retsmedicinsk analyse af WhatsApp Messenger på Android-smartphones, af Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi system berkas og basis data til Android og iOS af Ahmad Pratama, 2014.
I følgende artikler i denne serie:
Dekryptering af krypterede WhatsApp-databaserEn artikel, der vil give oplysninger om, hvordan WhatsApp-krypteringsnøglen genereres, og praktiske eksempler, der viser, hvordan man dekrypterer de krypterede databaser i denne applikation.
Udpakning af WhatsApp-data fra skylagerEn artikel, hvori vi vil fortælle dig, hvilke WhatsApp-data der er gemt i skyerne og beskriver metoder til at hente disse data fra skylager.
WhatsApp-dataudtræk: Praktiske eksemplerEn artikel, der trin for trin vil beskrive, hvilke programmer og hvordan man udtrækker WhatsApp-data fra forskellige enheder.
Kilde: www.habr.com