ProHoster > Blog > ειδήσεις στο διαδίκτυο > WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

Αν θέλετε να μάθετε ποιοι τύποι εγκληματολογικών τεχνουργημάτων WhatsApp υπάρχουν σε διαφορετικά λειτουργικά συστήματα και πού ακριβώς μπορούν να βρεθούν, τότε αυτό είναι το μέρος για εσάς. Αυτό το άρθρο προέρχεται από έναν ειδικό στο Εργαστήριο Εγκληματολογίας Υπολογιστών Group-IB Ιγκόρ Μιχαήλοφ ξεκινά μια σειρά αναρτήσεων σχετικά με την εγκληματολογία του WhatsApp και ποιες πληροφορίες μπορούν να ληφθούν από την ανάλυση της συσκευής.

Ας σημειώσουμε αμέσως ότι διαφορετικά λειτουργικά συστήματα αποθηκεύουν διαφορετικούς τύπους τεχνουργημάτων WhatsApp και εάν ένας ερευνητής μπορεί να εξαγάγει ορισμένους τύπους δεδομένων WhatsApp από μια συσκευή, αυτό δεν σημαίνει ότι παρόμοια είδη δεδομένων μπορούν να εξαχθούν από άλλη συσκευή. Για παράδειγμα, εάν αφαιρεθεί μια μονάδα συστήματος με λειτουργικό σύστημα Windows, τότε οι συνομιλίες WhatsApp πιθανότατα δεν θα βρίσκονται στους δίσκους της (με εξαίρεση τα αντίγραφα ασφαλείας των συσκευών iOS, τα οποία βρίσκονται στις ίδιες μονάδες δίσκου). Η κατάσχεση φορητών υπολογιστών και φορητών συσκευών θα έχει τα δικά της χαρακτηριστικά. Ας μιλήσουμε για αυτό με περισσότερες λεπτομέρειες.

Κατασκευάσματα WhatsApp σε συσκευή Android

Για να εξαγάγει αντικείμενα WhatsApp από μια συσκευή Android, ο ερευνητής πρέπει να έχει δικαιώματα υπερχρήστη ('ρίζα') στη συσκευή υπό διερεύνηση ή να μπορείτε να εξαγάγετε με άλλο τρόπο μια ένδειξη φυσικής μνήμης της συσκευής ή του συστήματος αρχείων της (για παράδειγμα, χρησιμοποιώντας ευπάθειες λογισμικού μιας συγκεκριμένης κινητής συσκευής).

Τα αρχεία εφαρμογών βρίσκονται στη μνήμη του τηλεφώνου στην ενότητα στην οποία αποθηκεύονται τα δεδομένα χρήστη. Κατά κανόνα, αυτή η ενότητα ονομάζεται 'δεδομένα χρήστη'. Οι υποκατάλογοι και τα αρχεία προγράμματος βρίσκονται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/'.

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Τα κύρια αρχεία που περιέχουν εγκληματολογικά αντικείμενα WhatsApp στο λειτουργικό σύστημα Android είναι βάσεις δεδομένων 'wa.db' и 'msgstore.db'.

Στη βάση δεδομένων 'wa.db' περιέχει την πλήρη λίστα επαφών ενός χρήστη WhatsApp, συμπεριλαμβανομένου του αριθμού τηλεφώνου, του εμφανιζόμενου ονόματος, των χρονικών σφραγίδων και οποιασδήποτε άλλης πληροφορίας που παρέχεται κατά την εγγραφή στο WhatsApp. Αρχείο 'wa.db' που βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/' και έχει την εξής δομή:

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Οι πιο ενδιαφέροντες πίνακες στη βάση δεδομένων 'wa.db' για τον ερευνητή είναι:

  • 'wa_contacts'
    Αυτός ο πίνακας περιέχει στοιχεία επικοινωνίας: Αναγνωριστικό επαφής WhatsApp, πληροφορίες κατάστασης, εμφανιζόμενο όνομα χρήστη, χρονικές σημάνσεις κ.λπ.

    Εμφάνιση τραπεζιού:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
    Δομή πίνακα

    Ονομα πεδίου Αξία
    _ταυτότητα αριθμός σειράς εγγραφής (στον πίνακα SQL)
    jid Αναγνωριστικό επαφής WhatsApp, γραμμένο στη μορφή <αριθμός τηλεφώνου>@s.whatsapp.net
    is_whatsapp_user περιέχει «1» εάν η επαφή αντιστοιχεί σε πραγματικό χρήστη του WhatsApp, «0» διαφορετικά
    κατάσταση περιέχει το κείμενο που εμφανίζεται στην κατάσταση επαφής
    status_timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms).
    αριθμός αριθμός τηλεφώνου που σχετίζεται με την επαφή
    raw_contact_id σειριακό αριθμό επικοινωνίας
    DISPLAY_NAME εμφανιζόμενο όνομα επαφής
    phone_type τύπο τηλεφώνου
    τηλέφωνο_ετικέτα ετικέτα που σχετίζεται με τον αριθμό επικοινωνίας
    unseen_msg_count αριθμός μηνυμάτων που στάλθηκαν από μια επαφή αλλά δεν διαβάστηκαν από τον παραλήπτη
    photo_ts περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time
    thumb_ts περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time
    photo_id_timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms).
    δεδομένο_όνομα Η τιμή πεδίου αντιστοιχεί στο "display_name" για κάθε επαφή
    wa_name Όνομα επαφής WhatsApp (εμφανίζεται το όνομα που καθορίζεται στο προφίλ της επαφής)
    sort_name όνομα επαφής που χρησιμοποιείται στις λειτουργίες ταξινόμησης
    παρατσούκλι το ψευδώνυμο της επαφής στο WhatsApp (εμφανίζεται το ψευδώνυμο που καθορίζεται στο προφίλ της επαφής)
    εταίρα εταιρεία (εμφανίζεται η εταιρεία που καθορίζεται στο προφίλ της επαφής)
    τίτλος τίτλος (Κυρία/Κύριος, εμφανίζεται ο τίτλος που έχει διαμορφωθεί στο προφίλ επαφής)
    όφσετ προκατάληψη
  • 'sqlite_sequence'
    Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τον αριθμό των επαφών.
  • 'android_metadata'
    Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τον εντοπισμό γλώσσας WhatsApp.

Στη βάση δεδομένων 'msgstore.db' περιέχει πληροφορίες σχετικά με τα απεσταλμένα μηνύματα, όπως αριθμός επικοινωνίας, κείμενο μηνύματος, κατάσταση μηνύματος, χρονικές σημάνσεις, λεπτομέρειες των μεταφερόμενων αρχείων που περιλαμβάνονται στα μηνύματα κ.λπ. Αρχείο 'msgstore.db' που βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/' και έχει την εξής δομή:

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Οι πιο ενδιαφέροντες πίνακες στο αρχείο 'msgstore.db' για τον ερευνητή είναι:

  • 'sqlite_sequence'
    Αυτός ο πίνακας περιέχει γενικές πληροφορίες σχετικά με αυτήν τη βάση δεδομένων, όπως ο συνολικός αριθμός των αποθηκευμένων μηνυμάτων, ο συνολικός αριθμός συνομιλιών κ.λπ.

    Εμφάνιση τραπεζιού:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

  • 'message_fts_content'
    Περιέχει το κείμενο των απεσταλμένων μηνυμάτων.

    Εμφάνιση τραπεζιού:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

  • "μηνύματα"
    Αυτός ο πίνακας περιέχει πληροφορίες όπως αριθμός επικοινωνίας, κείμενο μηνύματος, κατάσταση μηνύματος, χρονικές σημάνσεις, πληροφορίες σχετικά με τα μεταφερόμενα αρχεία που περιλαμβάνονται στα μηνύματα.

    Εμφάνιση τραπεζιού:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
    Δομή πίνακα

    Ονομα πεδίου Αξία
    _ταυτότητα αριθμός σειράς εγγραφής (στον πίνακα SQL)
    key_remote_jid WhatsApp ID συνεργάτη επικοινωνίας
    κλειδί_από_εμένα κατεύθυνση μηνύματος: «0» – εισερχόμενο, «1» – εξερχόμενο
    κλειδί_αναγνωριστικό μοναδικό αναγνωριστικό μηνύματος
    κατάσταση κατάσταση μηνύματος: «0» – παραδόθηκε, «4» – αναμονή στον διακομιστή, «5» – ελήφθη στον προορισμό, «6» – μήνυμα ελέγχου, «13» – μήνυμα που άνοιξε ο παραλήπτης (ανάγνωση)
    ανάγκη_ώθησης έχει την τιμή "2" αν είναι μήνυμα εκπομπής, διαφορετικά περιέχει "0"
    ημερομηνία κείμενο μηνύματος (όταν η παράμετρος "media_wa_type" είναι "0")
    timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής
    media_url περιέχει τη διεύθυνση URL του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3')
    media_mime_type Τύπος MIME του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι ίση με '1', '2', '3')
    media_wa_type τύπος μηνύματος: "0" - κείμενο, "1" - αρχείο γραφικών, "2" - αρχείο ήχου, "3" - αρχείο βίντεο, "4" - κάρτα επαφής, "5" - γεωδεδομένα
    μέσο_μέγεθος μέγεθος του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3')
    όνομα_μέσου όνομα του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3')
    media_caption Περιέχει τις λέξεις "audio", "video" για τις αντίστοιχες τιμές της παραμέτρου "media_wa_type" (όταν η παράμετρος "media_wa_type" είναι "1", "3")
    media_hash base64 κωδικοποιημένος κατακερματισμός του μεταδιδόμενου αρχείου, που υπολογίζεται χρησιμοποιώντας τον αλγόριθμο HAS-256 (όταν η παράμετρος 'media_wa_type' είναι ίση με '1', '2', '3')
    media_duration διάρκεια σε δευτερόλεπτα για το αρχείο πολυμέσων (όταν το 'media_wa_type' είναι '1', '2', '3')
    καταγωγή έχει την τιμή "2" αν είναι μήνυμα εκπομπής, διαφορετικά περιέχει "0"
    γεωγραφικό πλάτος geodata: γεωγραφικό πλάτος (όταν η παράμετρος "media_wa_type" είναι "5")
    γεωγραφικό μήκος geodata: γεωγραφικό μήκος (όταν η παράμετρος "media_wa_type" είναι "5")
    thumb_image πληροφορίες υπηρεσίας
    remote_resource Αναγνωριστικό αποστολέα (μόνο για ομαδικές συνομιλίες)
    λήφθηκε_χρονοσήμανση ώρα παραλαβής, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '0', '-1' ή άλλη τιμή)
    send_timestamp δεν χρησιμοποιείται, συνήθως έχει την τιμή '-1'
    receipt_server_timestamp χρόνος που λαμβάνεται από τον κεντρικό διακομιστή, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '1', '-1' ή άλλη τιμή
    receipt_device_timestamp τη στιγμή που το μήνυμα ελήφθη από άλλο συνδρομητή, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '1', '-1' ή άλλη τιμή
    read_device_timestamp χρόνος ανοίγματος (ανάγνωσης) του μηνύματος, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής
    play_device_timestamp χρόνος αναπαραγωγής μηνύματος, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής
    ακατέργαστα δεδομένα μικρογραφία του μεταφερθέντος αρχείου (όταν η παράμετρος "media_wa_type" είναι "1" ή "3")
    αριθμός_παραλήπτη αριθμός παραληπτών (για μηνύματα μετάδοσης)
    συμμετέχων_κατακερματισμός χρησιμοποιείται κατά τη μετάδοση μηνυμάτων με γεωδεδομένα
    πρωταγωνίστησε δεν χρησιμοποιείται
    quoted_row_id άγνωστο, συνήθως περιέχει την τιμή "0"
    αναφέρθηκε_jids δεν χρησιμοποιείται
    multicast_id δεν χρησιμοποιείται
    όφσετ προκατάληψη

    Αυτή η λίστα πεδίων δεν είναι εξαντλητική. Για διαφορετικές εκδόσεις του WhatsApp, ορισμένα πεδία ενδέχεται να υπάρχουν ή να λείπουν. Επιπλέον, ενδέχεται να υπάρχουν πεδία 'media_enc_hash', 'edit_version', "payment_transaction_id" κλπ.

  • 'messages_thumbnails'
    Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με μεταφερόμενες εικόνες και χρονικές σημάνσεις. Στη στήλη «χρονοσήμανση», η ώρα υποδεικνύεται σε μορφή Unix Epoch Time (ms).
  • 'chat_list'
    Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τις συνομιλίες.

    Εμφάνιση τραπεζιού:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

Επίσης, όταν εξετάζετε το WhatsApp σε μια κινητή συσκευή με Android, θα πρέπει να δώσετε προσοχή στα ακόλουθα αρχεία:

  • αρχείο 'msgstore.db.cryptXX' (όπου XX είναι ένα ή δύο ψηφία από το 0 έως το 12, για παράδειγμα, msgstore.db.crypt12). Περιέχει ένα κρυπτογραφημένο αντίγραφο ασφαλείας των μηνυμάτων WhatsApp (αρχείο αντιγράφου ασφαλείας msgstore.db). Αρχείο(α) 'msgstore.db.cryptXX' που βρίσκεται κατά μήκος του μονοπατιού: '/data/media/0/WhatsApp/Databases/' (εικονική κάρτα SD), '/mnt/sdcard/WhatsApp/Βάσεις δεδομένων/ (φυσική κάρτα SD)».
  • αρχείο 'κλειδί'. Περιέχει ένα κρυπτογραφικό κλειδί. Βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/files/'. Χρησιμοποιείται για την αποκρυπτογράφηση κρυπτογραφημένων αντιγράφων ασφαλείας WhatsApp.
  • αρχείο 'com.whatsapp_preferences.xml'. Περιέχει πληροφορίες σχετικά με το προφίλ του λογαριασμού σας WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/shared_prefs/'.

    Θραύσμα περιεχομένου αρχείου

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • αρχείο 'registration.RegisterPhone.xml'. Περιέχει πληροφορίες σχετικά με τον αριθμό τηλεφώνου που σχετίζεται με τον λογαριασμό WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/shared_prefs/'.

    Περιεχόμενα αρχείου 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • αρχείο 'axolotl.db'. Περιέχει κρυπτογραφικά κλειδιά και άλλα δεδομένα που είναι απαραίτητα για την αναγνώριση του κατόχου του λογαριασμού. Βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/'.
  • αρχείο 'chatsettings.db'. Περιέχει πληροφορίες διαμόρφωσης εφαρμογής.
  • αρχείο 'wa.db'. Περιέχει στοιχεία επικοινωνίας. Μια πολύ ενδιαφέρουσα (από εγκληματολογική άποψη) και ενημερωτική βάση δεδομένων. Μπορεί να περιέχει λεπτομερείς πληροφορίες σχετικά με τις διαγραμμένες επαφές.

Πρέπει επίσης να δώσετε προσοχή στους ακόλουθους καταλόγους:

  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Περιέχει μεταφερθέντα αρχεία γραφικών.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Περιέχει φωνητικά μηνύματα σε αρχεία μορφής .OPUS.
  • Κατάλογος '/data/data/com.whatsapp/cache/Profile Pictures/'. Περιέχει αρχεία γραφικών – εικόνες επαφών.
  • Κατάλογος '/data/data/com.whatsapp/files/Avatars/'. Περιέχει αρχεία γραφικών - μικρογραφίες επαφών. Αυτά τα αρχεία έχουν επέκταση '.j' αλλά είναι αρχεία εικόνας JPEG (JPG).
  • Κατάλογος '/data/data/com.whatsapp/files/Avatars/'. Περιέχει αρχεία γραφικών - μια εικόνα και μια μικρογραφία της εικόνας που έχει οριστεί ως avatar από τον κάτοχο του λογαριασμού.
  • Κατάλογος '/data/data/com.whatsapp/files/Logs/'. Περιέχει το αρχείο καταγραφής λειτουργίας του προγράμματος (αρχείο 'whatsapp.log') και αντίγραφα ασφαλείας των αρχείων καταγραφής λειτουργίας του προγράμματος (αρχεία με ονόματα στη μορφή whatsapp-yyyy-mm-dd.1.log.gz).

Αρχεία καταγραφής WhatsApp:

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Θραύσμα περιοδικού2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] ειδοποίηση αναπάντητης κλήσης/πλήθος έναρξης:0 χρονική σήμανση:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] αναπάντητη ειδοποίηση κλήσης/ενημέρωση ακύρωση αληθής
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] αρχείο κωδικού πρόσβασης λείπει ή δεν είναι αναγνώσιμο
2017-01-10 09:37:09.782 LL_I D [1:main] στατιστικά Μηνύματα κειμένου: 59 σταλμένα, 82 ληφθέντα / Μηνύματα πολυμέσων: 1 σταλμένα (0 bytes), 0 ληφθέντα (9850158 bytes) / Μηνύματα εκτός σύνδεσης: 81 ελήφθησαν ( 19522 msec μέση καθυστέρηση) / Υπηρεσία μηνυμάτων: 116075 byte αποστέλλονται, 211729 byte ελήφθησαν / κλήσεις Voip: 1 εξερχόμενες κλήσεις, 0 εισερχόμενες κλήσεις, 2492 byte αποστολή, 1530 byte ελήφθησαν / Google Drive: 0 byte σταλμένα, 0 byte ελήφθησαν / Roam byte που εστάλησαν, 1524 byte ελήφθησαν / Σύνολο δεδομένων: 1826 byte που εστάλησαν, 118567 byte ελήφθησαν
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/έκδοση 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | χρόνος που δαπανήθηκε: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage διαθέσιμο:1,345,622,016 σύνολο:5,687,922,688

  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Περιέχει τα ληφθέντα αρχεία ήχου.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Περιέχει απεσταλμένα αρχεία ήχου.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Περιέχει τα αρχεία γραφικών που προκύπτουν.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Περιέχει απεσταλμένα αρχεία γραφικών.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Περιέχει ληφθέντα αρχεία βίντεο.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Περιέχει απεσταλμένα αρχεία βίντεο.
  • Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Φωτογραφίες προφίλ/'. Περιέχει αρχεία γραφικών που σχετίζονται με τον κάτοχο του λογαριασμού WhatsApp.
  • Για να εξοικονομήσετε χώρο στη μνήμη στο smartphone Android, ορισμένα δεδομένα WhatsApp μπορούν να αποθηκευτούν σε μια κάρτα SD. Στην κάρτα SD, στον ριζικό κατάλογο, υπάρχει ένας κατάλογος 'WhatsApp', όπου μπορούν να βρεθούν τα ακόλουθα αντικείμενα αυτού του προγράμματος:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

  • Κατάλογος '.Μερίδιο' ('/mnt/sdcard/WhatsApp/.Share/'). Περιέχει αντίγραφα αρχείων που έχουν κοινοποιηθεί με άλλους χρήστες του WhatsApp.
  • Κατάλογος '.Σκουπίδια' ('/mnt/sdcard/WhatsApp/.trash/'). Περιέχει διαγραμμένα αρχεία.
  • Κατάλογος 'Βάσεις δεδομένων' ('/mnt/sdcard/WhatsApp/Βάσεις δεδομένων/'). Περιέχει κρυπτογραφημένα αντίγραφα ασφαλείας. Μπορούν να αποκρυπτογραφηθούν εάν υπάρχει το αρχείο 'κλειδί', εξάγεται από τη μνήμη της αναλυόμενης συσκευής.

    Αρχεία που βρίσκονται σε έναν υποκατάλογο 'Βάσεις δεδομένων':

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;

  • Κατάλογος 'Ήμισυ' ('/mnt/sdcard/WhatsApp/Media/'). Περιέχει υποκαταλόγους 'Ταπετσαρία', 'WhatsApp Audio', 'Εικόνες WhatsApp', "Φωτογραφίες προφίλ WhatsApp", 'Βίντεο WhatsApp', "Σημειώσεις WhatsApp Voice", τα οποία περιέχουν ληφθέντα και μεταδιδόμενα αρχεία πολυμέσων (αρχεία γραφικών, αρχεία βίντεο, φωνητικά μηνύματα, φωτογραφίες που σχετίζονται με το προφίλ του κατόχου του λογαριασμού WhatsApp, ταπετσαρίες).
  • Κατάλογος 'Φωτογραφίες προφίλ' ('/mnt/sdcard/WhatsApp/Προφίλ Εικόνες/'). Περιέχει αρχεία γραφικών που σχετίζονται με το προφίλ του κατόχου του λογαριασμού WhatsApp.
  • Μερικές φορές μπορεί να υπάρχει ένας κατάλογος στην κάρτα SD 'αρχεία' ('/mnt/sdcard/WhatsApp/Files/'). Αυτός ο κατάλογος περιέχει αρχεία που αποθηκεύουν ρυθμίσεις προγράμματος και προτιμήσεις χρήστη.

Δυνατότητες αποθήκευσης δεδομένων σε ορισμένα μοντέλα κινητών συσκευών

Ορισμένα μοντέλα κινητών συσκευών με λειτουργικό Android μπορεί να αποθηκεύουν τεχνουργήματα WhatsApp σε διαφορετική τοποθεσία. Αυτό οφείλεται σε αλλαγές στον χώρο αποθήκευσης των δεδομένων εφαρμογής από το λογισμικό συστήματος της κινητής συσκευής. Για παράδειγμα, οι κινητές συσκευές Xiaomi έχουν μια λειτουργία για τη δημιουργία ενός δεύτερου χώρου εργασίας ("SecondSpace"). Όταν είναι ενεργοποιημένη αυτή η λειτουργία, αλλάζει η θέση των δεδομένων. Έτσι, εάν σε μια κανονική κινητή συσκευή που εκτελεί Android OS τα δεδομένα χρήστη αποθηκεύονται στον κατάλογο '/data/user/0/' (που είναι μια αναφορά στα συνηθισμένα '/data/data/'), στη συνέχεια στον δεύτερο χώρο εργασίας τα δεδομένα της εφαρμογής αποθηκεύονται στον κατάλογο '/data/user/10/'. Δηλαδή, χρησιμοποιώντας το παράδειγμα της θέσης του αρχείου 'wa.db':

  • σε ένα κανονικό smartphone με λειτουργικό Android: /data/user/0/com.whatsapp/databases/wa.db' (που είναι ισοδύναμο '/data/data/com.whatsapp/databases/wa.db');
  • στον δεύτερο χώρο εργασίας του smartphone Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Κατασκευάσματα WhatsApp σε συσκευή iOS

Σε αντίθεση με το Android OS, στο iOS τα δεδομένα της εφαρμογής WhatsApp μεταφέρονται σε ένα αντίγραφο ασφαλείας (iTunes backup). Επομένως, η εξαγωγή δεδομένων από αυτήν την εφαρμογή δεν απαιτεί την εξαγωγή του συστήματος αρχείων ή τη δημιουργία μιας ένδειξης φυσικής μνήμης της υπό έρευνα συσκευής. Οι περισσότερες από τις σχετικές πληροφορίες περιέχονται στη βάση δεδομένων 'ChatStorage.sqlite', που βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (σε ορισμένα προγράμματα αυτή η διαδρομή εμφανίζεται ως 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Δομή 'ChatStorage.sqlite':

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Οι πιο ενημερωτικοί πίνακες στη βάση δεδομένων «ChatStorage.sqlite» είναι 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Εμφάνιση τραπεζιού 'ZWAMESSAGE':

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Δομή πίνακα 'ZWAMESSAGE'

Ονομα πεδίου Αξία
Z_PK αριθμός σειράς εγγραφής (στον πίνακα SQL)
Z_ENT αναγνωριστικό πίνακα, έχει την τιμή '9'
Z_OPT άγνωστο, συνήθως περιέχει τιμές από '1' έως '6'
ZCHILDMESSAGESDELIVEREDCOUNT άγνωστο, συνήθως περιέχει την τιμή "0"
ZCHILDMESSAGESPLAYEDCOUNT άγνωστο, συνήθως περιέχει την τιμή "0"
ZCHILDMESSAGESREADCOUNT άγνωστο, συνήθως περιέχει την τιμή "0"
ZDATAITEMVERSION άγνωστο, συνήθως περιέχει την τιμή "3", πιθανώς μια ένδειξη μηνύματος κειμένου
ZDOCID άγνωστο
ZENCRETRYCOUNT άγνωστο, συνήθως περιέχει την τιμή "0"
ZFILTEREDRECIPIENTCOUNT άγνωστο, συνήθως περιέχει τις τιμές '0', '2', '256'
ΖΙΣΦΡΟΜΜΕ κατεύθυνση μηνύματος: «0» – εισερχόμενο, «1» – εξερχόμενο
ZMESSAGEERRORSTATUS κατάσταση μετάδοσης μηνύματος. Εάν το μήνυμα αποσταλεί/ληφθεί, τότε έχει την τιμή '0'
ZMESSAGETYPE είδος μηνύματος που μεταδίδεται
ZSORT άγνωστο
ZSPOTLIHSTATUS άγνωστο
Ζ ΑΣΤΕΡΙ άγνωστο, μη χρησιμοποιημένο
ZCHATSESSION άγνωστο
ZGROUPMEBER άγνωστο, μη χρησιμοποιημένο
ZLASTSESSION άγνωστο
ZMEDIAITEM άγνωστο
ZMESSAGEINFO άγνωστο
ZPARENTΜΗΝΥΜΑ άγνωστο, μη χρησιμοποιημένο
ZMESSAGEDATE χρονική σήμανση σε μορφή OS X Epoch Time
ZSENTDATE ώρα αποστολής του μηνύματος σε μορφή OS X Epoch Time
ZFROMJID Αναγνωριστικό αποστολέα WhatsApp
ZMEDIASECTIONID περιέχει το έτος και το μήνα αποστολής του αρχείου πολυμέσων
ZPHASH άγνωστο, μη χρησιμοποιημένο
ZPUSHPAME όνομα της επαφής που έστειλε το αρχείο πολυμέσων σε μορφή UTF-8
ΖΣΤΑΝΖΙΔ μοναδικό αναγνωριστικό μηνύματος
ZTEXT Κείμενο μηνύματος
ZTOJID Το αναγνωριστικό WhatsApp του παραλήπτη
OFFSET προκατάληψη

Εμφάνιση τραπεζιού 'ZWAMEDIAITEM':

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Δομή πίνακα 'ZWAMEDIAITEM'

Ονομα πεδίου Αξία
Z_PK αριθμός σειράς εγγραφής (στον πίνακα SQL)
Z_ENT αναγνωριστικό πίνακα, έχει την τιμή '8'
Z_OPT άγνωστο, συνήθως περιέχει τιμές από «1» έως «3».
ZCLOUDSTATUS περιέχει την τιμή '4' εάν το αρχείο έχει φορτωθεί.
ZFILESIZE περιέχει το μήκος του αρχείου (σε byte) για τα ληφθέντα αρχεία
ZMEDIAORIGIN άγνωστο, συνήθως έχει την τιμή "0"
ZMOVIEDURATION διάρκεια του αρχείου πολυμέσων, για αρχεία pdf μπορεί να περιέχει τον αριθμό των σελίδων του εγγράφου
ZΜΗΝΥΜΑ περιέχει έναν σειριακό αριθμό (ο αριθμός είναι διαφορετικός από αυτόν που υποδεικνύεται στη στήλη "Z_PK")
ZASPECTRATIO λόγος διαστάσεων, δεν χρησιμοποιείται, συνήθως ορίζεται σε '0'
ΑΚΡΙΒΕΙΑ άγνωστο, συνήθως έχει την τιμή "0"
ZLATTITUDE πλάτος σε pixel
ΜΗΚΟΣ ΜΗΧΟΣ ύψος σε pixel
ZMEDIAURLDATE χρονική σήμανση σε μορφή OS X Epoch Time
ZAUTHORNAME συγγραφέας (για έγγραφα, μπορεί να περιέχει το όνομα αρχείου)
ZCOLLECTIONNAME δεν χρησιμοποιείται
ZMEDIALOCALPATH όνομα αρχείου (συμπεριλαμβανομένης της διαδρομής) στο σύστημα αρχείων της συσκευής
ZMEDIAURL Η διεύθυνση URL όπου βρισκόταν το αρχείο πολυμέσων. Εάν ένα αρχείο μεταφέρθηκε από έναν συνδρομητή σε άλλο, κρυπτογραφήθηκε και η επέκτασή του θα υποδειχθεί ως η επέκταση του μεταφερόμενου αρχείου - .enc
ZTHUMBNAILLOCALPATH διαδρομή προς τη μικρογραφία του αρχείου στο σύστημα αρχείων της συσκευής
ZTITLE κεφαλίδα αρχείου
ZVCARDNAME κατακερματισμός του αρχείου πολυμέσων· κατά τη μεταφορά του αρχείου σε μια ομάδα, μπορεί να περιέχει το αναγνωριστικό αποστολέα
ZVCARDSTRING περιέχει πληροφορίες σχετικά με τον τύπο του αρχείου που μεταφέρεται (για παράδειγμα, εικόνα/jpeg), κατά τη μεταφορά ενός αρχείου σε μια ομάδα, μπορεί να περιέχει το αναγνωριστικό του παραλήπτη
ZXMPPTHUMBPATH διαδρομή προς τη μικρογραφία του αρχείου στο σύστημα αρχείων της συσκευής
ZMEDIAKEY άγνωστο, πιθανότατα περιέχει το κλειδί για την αποκρυπτογράφηση του κρυπτογραφημένου αρχείου.
ZMETADATA μεταδεδομένα του μεταδιδόμενου μηνύματος
Όφσετ προκατάληψη

Άλλοι ενδιαφέροντες πίνακες βάσεων δεδομένων 'ChatStorage.sqlite' είναι οι εξής:

  • 'ZWAPROFILEPUSHNAME'. Αντιστοιχίζει το αναγνωριστικό WhatsApp με το όνομα επαφής.
  • 'ZWAPROFILEPICTUREITEM'. Ταιριάζει το WhatsApp ID με το avatar επαφής.
  • 'Z_PRIMARYKEY'. Ο πίνακας περιέχει γενικές πληροφορίες σχετικά με αυτήν τη βάση δεδομένων, όπως ο συνολικός αριθμός των αποθηκευμένων μηνυμάτων, ο συνολικός αριθμός συνομιλιών κ.λπ.

Επίσης, όταν εξετάζετε το WhatsApp σε μια κινητή συσκευή με iOS, θα πρέπει να δώσετε προσοχή στα ακόλουθα αρχεία:

  • αρχείο 'BackedUpKeyValue.sqlite'. Περιέχει κρυπτογραφικά κλειδιά και άλλα δεδομένα που είναι απαραίτητα για την αναγνώριση του κατόχου του λογαριασμού. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • αρχείο 'ContactsV2.sqlite'. Περιέχει πληροφορίες σχετικά με τις επαφές του χρήστη, όπως πλήρες όνομα, αριθμό τηλεφώνου, κατάσταση επαφής (σε μορφή κειμένου), αναγνωριστικό WhatsApp κ.λπ. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • αρχείο 'consumer_version'. Περιέχει τον αριθμό έκδοσης της εγκατεστημένης εφαρμογής WhatsApp. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • αρχείο 'current_wallpaper.jpg'. Περιέχει την τρέχουσα ταπετσαρία φόντου WhatsApp. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Παλαιότερες εκδόσεις της εφαρμογής χρησιμοποιούν το αρχείο 'ταπετσαρία', που βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • αρχείο 'blockedcontacts.dat'. Περιέχει πληροφορίες για αποκλεισμένες επαφές. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • αρχείο 'pw.dat'. Περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης. Βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • αρχείο "net.whatsapp.WhatsApp.plist" (ή αρχείο "group.net.whatsapp.WhatsApp.shared.plist"). Περιέχει πληροφορίες σχετικά με το προφίλ του λογαριασμού σας WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Περιεχόμενα του αρχείου "group.net.whatsapp.WhatsApp.shared.plist" WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Πρέπει επίσης να δώσετε προσοχή στους ακόλουθους καταλόγους:

  • Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Περιέχει μικρογραφίες επαφών, ομάδων (αρχεία με την επέκταση .αντίχειρας), avatar επαφών, avatar κατόχου λογαριασμού WhatsApp (αρχείο 'Photo.jpg').
  • Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Περιέχει αρχεία πολυμέσων και τις μικρογραφίες τους
  • Κατάλογος '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Περιέχει το αρχείο καταγραφής λειτουργίας του προγράμματος (αρχείο 'calls.log') και αντίγραφα ασφαλείας των αρχείων καταγραφής λειτουργίας του προγράμματος (αρχείο 'calls.backup.log').
  • Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Περιέχει αυτοκόλλητα (αρχεία σε μορφή ".webp").
  • Κατάλογος '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Περιέχει αρχεία καταγραφής λειτουργίας προγράμματος.

Τεχνουργήματα WhatsApp στα Windows

Τα τεχνουργήματα WhatsApp στα Windows μπορούν να βρεθούν σε πολλά μέρη. Πρώτα απ 'όλα, αυτοί είναι κατάλογοι που περιέχουν εκτελέσιμα και βοηθητικά αρχεία προγράμματος (για Windows 8/10):

  • 'C:Program Files (x86)WhatsApp'
  • 'C:Users%User profile% AppDataLocalWhatsApp'
  • 'C:Users%User Profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

Στον κατάλογο 'C:Users%User profile% AppDataLocalWhatsApp' βρίσκεται το αρχείο καταγραφής 'SquirrelSetup.log', το οποίο περιέχει πληροφορίες σχετικά με τον έλεγχο για ενημερώσεις και την εγκατάσταση του προγράμματος.

Στον κατάλογο 'C:Users%User profile% AppDataRoamingWhatsApp' Υπάρχουν αρκετοί υποκατάλογοι:

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
αρχείο 'main-process.log' περιέχει πληροφορίες σχετικά με τη λειτουργία του προγράμματος WhatsApp.

Υποκατάλογος "βάσεις δεδομένων" περιέχει ένα αρχείο 'Databases.db', αλλά αυτό το αρχείο δεν περιέχει πληροφορίες σχετικά με συνομιλίες ή επαφές.

Τα πιο ενδιαφέροντα από ιατροδικαστική άποψη είναι τα αρχεία που βρίσκονται στον κατάλογο 'Κρύπτη'. Αυτά είναι βασικά αρχεία με όνομα 'φά_*******' (όπου * είναι ένας αριθμός από το 0 έως το 9) που περιέχει κρυπτογραφημένα αρχεία πολυμέσων και έγγραφα, αλλά μεταξύ αυτών υπάρχουν και μη κρυπτογραφημένα αρχεία. Ιδιαίτερο ενδιαφέρον παρουσιάζουν τα αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_2", "δεδομένα_3", που βρίσκεται στον ίδιο υποκατάλογο. Αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_3" περιέχει εξωτερικούς συνδέσμους προς μεταδιδόμενα κρυπτογραφημένα αρχεία πολυμέσων και έγγραφα.

Παράδειγμα πληροφοριών που περιέχονται στο αρχείο 'data_1'WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Επίσης αρχείο "δεδομένα_3" μπορεί να περιέχει αρχεία γραφικών.

αρχείο "δεδομένα_2" περιέχει είδωλα επαφών (μπορεί να αποκατασταθεί με αναζήτηση βάσει κεφαλίδων αρχείων).

Avatar που περιέχονται στο αρχείο "δεδομένα_2":

WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
Έτσι, οι ίδιες οι συνομιλίες δεν μπορούν να βρεθούν στη μνήμη του υπολογιστή, αλλά μπορείτε να βρείτε:

  • αρχεία πολυμέσων?
  • έγγραφα που μεταδίδονται μέσω WhatsApp.
  • πληροφορίες σχετικά με τις επαφές του κατόχου του λογαριασμού.

Κατασκευάσματα WhatsApp στο MacOS

Στο MacOS μπορείτε να βρείτε τύπους τεχνουργημάτων WhatsApp παρόμοια με αυτά που βρίσκονται στο λειτουργικό σύστημα Windows.

Τα αρχεία του προγράμματος βρίσκονται στους παρακάτω καταλόγους:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Users%User profile%LibraryPreferences'
  • 'C:Users%User profile%LibraryLogsWhatsApp'
  • 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
  • 'C:Users%User profile%LibraryApplication Scripts'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%Προφίλ χρήστη%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%User profile% Library Documents Mobile <μεταβλητή κειμένου> Λογαριασμοί WhatsApp'
    Αυτός ο κατάλογος περιέχει υποκαταλόγους των οποίων τα ονόματα είναι αριθμοί τηλεφώνου που σχετίζονται με τον κάτοχο του λογαριασμού WhatsApp.
  • 'C:Users%User προφίλ%LibraryCachesWhatsApp.ShipIt'
    Αυτός ο κατάλογος περιέχει πληροφορίες σχετικά με την εγκατάσταση του προγράμματος.
  • 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
    Αυτοί οι κατάλογοι περιέχουν αρχεία υπηρεσίας του προγράμματος, συμπεριλαμβανομένων φωτογραφιών και μικρογραφιών των επαφών του WhatsApp.
  • 'C:Users%User profile%LibraryCachesWhatsApp'
    Αυτός ο κατάλογος περιέχει πολλές βάσεις δεδομένων SQLite που χρησιμοποιούνται για την προσωρινή αποθήκευση δεδομένων.
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp'
    Αυτός ο κατάλογος περιέχει αρκετούς υποκαταλόγους:

    WhatsApp στην παλάμη του χεριού σας: πού και πώς μπορείτε να βρείτε εγκληματολογικά αντικείμενα;
    Στον κατάλογο 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' υπάρχουν αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_2", "δεδομένα_3" και αρχεία με ονόματα 'φά_*******' (όπου * είναι ένας αριθμός από το 0 έως το 9). Για πληροφορίες σχετικά με τις πληροφορίες που περιέχουν αυτά τα αρχεία, ανατρέξτε στο WhatsApp Artifacts στα Windows.

    Στον κατάλογο 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' μπορεί να περιέχει αρχεία πολυμέσων (τα αρχεία δεν έχουν επεκτάσεις).

    αρχείο 'main-process.log' περιέχει πληροφορίες σχετικά με τη λειτουργία του προγράμματος WhatsApp.

πηγές

  1. Εγκληματολογική ανάλυση του WhatsApp Messenger σε smartphone Android, από τον Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Εκτύπωση συστήματος και δεδομένων βάσης για εφαρμογή Android και iOS από τον Ahmad Pratama, 2014.

Στα ακόλουθα άρθρα αυτής της σειράς:

Αποκρυπτογράφηση κρυπτογραφημένων βάσεων δεδομένων WhatsAppΈνα άρθρο που θα παρέχει πληροφορίες σχετικά με τον τρόπο δημιουργίας του κλειδιού κρυπτογράφησης WhatsApp και πρακτικά παραδείγματα που δείχνουν πώς να αποκρυπτογραφήσετε τις κρυπτογραφημένες βάσεις δεδομένων αυτής της εφαρμογής.
Εξαγωγή δεδομένων WhatsApp από την αποθήκευση cloudΈνα άρθρο στο οποίο θα σας πούμε ποια δεδομένα του WhatsApp αποθηκεύονται στα σύννεφα και θα περιγράψουμε μεθόδους για την ανάκτηση αυτών των δεδομένων από τις αποθήκες cloud.
Εξαγωγή δεδομένων WhatsApp: Πρακτικά παραδείγματαΈνα άρθρο που θα περιγράφει βήμα προς βήμα ποια προγράμματα και πώς να εξαγάγετε δεδομένα WhatsApp από διάφορες συσκευές.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο