Αν θέλετε να μάθετε ποιοι τύποι εγκληματολογικών τεχνουργημάτων WhatsApp υπάρχουν σε διαφορετικά λειτουργικά συστήματα και πού ακριβώς μπορούν να βρεθούν, τότε αυτό είναι το μέρος για εσάς. Αυτό το άρθρο προέρχεται από έναν ειδικό στο Εργαστήριο Εγκληματολογίας Υπολογιστών Group-IB Ιγκόρ Μιχαήλοφ ξεκινά μια σειρά αναρτήσεων σχετικά με την εγκληματολογία του WhatsApp και ποιες πληροφορίες μπορούν να ληφθούν από την ανάλυση της συσκευής.
Ας σημειώσουμε αμέσως ότι διαφορετικά λειτουργικά συστήματα αποθηκεύουν διαφορετικούς τύπους τεχνουργημάτων WhatsApp και εάν ένας ερευνητής μπορεί να εξαγάγει ορισμένους τύπους δεδομένων WhatsApp από μια συσκευή, αυτό δεν σημαίνει ότι παρόμοια είδη δεδομένων μπορούν να εξαχθούν από άλλη συσκευή. Για παράδειγμα, εάν αφαιρεθεί μια μονάδα συστήματος με λειτουργικό σύστημα Windows, τότε οι συνομιλίες WhatsApp πιθανότατα δεν θα βρίσκονται στους δίσκους της (με εξαίρεση τα αντίγραφα ασφαλείας των συσκευών iOS, τα οποία βρίσκονται στις ίδιες μονάδες δίσκου). Η κατάσχεση φορητών υπολογιστών και φορητών συσκευών θα έχει τα δικά της χαρακτηριστικά. Ας μιλήσουμε για αυτό με περισσότερες λεπτομέρειες.
Κατασκευάσματα WhatsApp σε συσκευή Android
Για να εξαγάγει αντικείμενα WhatsApp από μια συσκευή Android, ο ερευνητής πρέπει να έχει δικαιώματα υπερχρήστη ('ρίζα') στη συσκευή υπό διερεύνηση ή να μπορείτε να εξαγάγετε με άλλο τρόπο μια ένδειξη φυσικής μνήμης της συσκευής ή του συστήματος αρχείων της (για παράδειγμα, χρησιμοποιώντας ευπάθειες λογισμικού μιας συγκεκριμένης κινητής συσκευής).
Τα αρχεία εφαρμογών βρίσκονται στη μνήμη του τηλεφώνου στην ενότητα στην οποία αποθηκεύονται τα δεδομένα χρήστη. Κατά κανόνα, αυτή η ενότητα ονομάζεται 'δεδομένα χρήστη'. Οι υποκατάλογοι και τα αρχεία προγράμματος βρίσκονται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/'.
Τα κύρια αρχεία που περιέχουν εγκληματολογικά αντικείμενα WhatsApp στο λειτουργικό σύστημα Android είναι βάσεις δεδομένων 'wa.db' и 'msgstore.db'.
Στη βάση δεδομένων 'wa.db' περιέχει την πλήρη λίστα επαφών ενός χρήστη WhatsApp, συμπεριλαμβανομένου του αριθμού τηλεφώνου, του εμφανιζόμενου ονόματος, των χρονικών σφραγίδων και οποιασδήποτε άλλης πληροφορίας που παρέχεται κατά την εγγραφή στο WhatsApp. Αρχείο 'wa.db' που βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/' και έχει την εξής δομή:
Οι πιο ενδιαφέροντες πίνακες στη βάση δεδομένων 'wa.db' για τον ερευνητή είναι:
- 'wa_contacts'
Αυτός ο πίνακας περιέχει στοιχεία επικοινωνίας: Αναγνωριστικό επαφής WhatsApp, πληροφορίες κατάστασης, εμφανιζόμενο όνομα χρήστη, χρονικές σημάνσεις κ.λπ.Εμφάνιση τραπεζιού:
Δομή πίνακαΟνομα πεδίου Αξία _ταυτότητα αριθμός σειράς εγγραφής (στον πίνακα SQL) jid Αναγνωριστικό επαφής WhatsApp, γραμμένο στη μορφή <αριθμός τηλεφώνου>@s.whatsapp.net is_whatsapp_user περιέχει «1» εάν η επαφή αντιστοιχεί σε πραγματικό χρήστη του WhatsApp, «0» διαφορετικά κατάσταση περιέχει το κείμενο που εμφανίζεται στην κατάσταση επαφής status_timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms). αριθμός αριθμός τηλεφώνου που σχετίζεται με την επαφή raw_contact_id σειριακό αριθμό επικοινωνίας DISPLAY_NAME εμφανιζόμενο όνομα επαφής phone_type τύπο τηλεφώνου τηλέφωνο_ετικέτα ετικέτα που σχετίζεται με τον αριθμό επικοινωνίας unseen_msg_count αριθμός μηνυμάτων που στάλθηκαν από μια επαφή αλλά δεν διαβάστηκαν από τον παραλήπτη photo_ts περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time thumb_ts περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time photo_id_timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms). δεδομένο_όνομα Η τιμή πεδίου αντιστοιχεί στο "display_name" για κάθε επαφή wa_name Όνομα επαφής WhatsApp (εμφανίζεται το όνομα που καθορίζεται στο προφίλ της επαφής) sort_name όνομα επαφής που χρησιμοποιείται στις λειτουργίες ταξινόμησης παρατσούκλι το ψευδώνυμο της επαφής στο WhatsApp (εμφανίζεται το ψευδώνυμο που καθορίζεται στο προφίλ της επαφής) εταίρα εταιρεία (εμφανίζεται η εταιρεία που καθορίζεται στο προφίλ της επαφής) τίτλος τίτλος (Κυρία/Κύριος, εμφανίζεται ο τίτλος που έχει διαμορφωθεί στο προφίλ επαφής) όφσετ προκατάληψη - 'sqlite_sequence'
Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τον αριθμό των επαφών. - 'android_metadata'
Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τον εντοπισμό γλώσσας WhatsApp.
Στη βάση δεδομένων 'msgstore.db' περιέχει πληροφορίες σχετικά με τα απεσταλμένα μηνύματα, όπως αριθμός επικοινωνίας, κείμενο μηνύματος, κατάσταση μηνύματος, χρονικές σημάνσεις, λεπτομέρειες των μεταφερόμενων αρχείων που περιλαμβάνονται στα μηνύματα κ.λπ. Αρχείο 'msgstore.db' που βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/' και έχει την εξής δομή:
Οι πιο ενδιαφέροντες πίνακες στο αρχείο 'msgstore.db' για τον ερευνητή είναι:
- 'sqlite_sequence'
Αυτός ο πίνακας περιέχει γενικές πληροφορίες σχετικά με αυτήν τη βάση δεδομένων, όπως ο συνολικός αριθμός των αποθηκευμένων μηνυμάτων, ο συνολικός αριθμός συνομιλιών κ.λπ.Εμφάνιση τραπεζιού:
- 'message_fts_content'
Περιέχει το κείμενο των απεσταλμένων μηνυμάτων.Εμφάνιση τραπεζιού:
- "μηνύματα"
Αυτός ο πίνακας περιέχει πληροφορίες όπως αριθμός επικοινωνίας, κείμενο μηνύματος, κατάσταση μηνύματος, χρονικές σημάνσεις, πληροφορίες σχετικά με τα μεταφερόμενα αρχεία που περιλαμβάνονται στα μηνύματα.Εμφάνιση τραπεζιού:
Δομή πίνακαΟνομα πεδίου Αξία _ταυτότητα αριθμός σειράς εγγραφής (στον πίνακα SQL) key_remote_jid WhatsApp ID συνεργάτη επικοινωνίας κλειδί_από_εμένα κατεύθυνση μηνύματος: «0» – εισερχόμενο, «1» – εξερχόμενο κλειδί_αναγνωριστικό μοναδικό αναγνωριστικό μηνύματος κατάσταση κατάσταση μηνύματος: «0» – παραδόθηκε, «4» – αναμονή στον διακομιστή, «5» – ελήφθη στον προορισμό, «6» – μήνυμα ελέγχου, «13» – μήνυμα που άνοιξε ο παραλήπτης (ανάγνωση) ανάγκη_ώθησης έχει την τιμή "2" αν είναι μήνυμα εκπομπής, διαφορετικά περιέχει "0" ημερομηνία κείμενο μηνύματος (όταν η παράμετρος "media_wa_type" είναι "0") timestamp περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής media_url περιέχει τη διεύθυνση URL του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3') media_mime_type Τύπος MIME του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι ίση με '1', '2', '3') media_wa_type τύπος μηνύματος: "0" - κείμενο, "1" - αρχείο γραφικών, "2" - αρχείο ήχου, "3" - αρχείο βίντεο, "4" - κάρτα επαφής, "5" - γεωδεδομένα μέσο_μέγεθος μέγεθος του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3') όνομα_μέσου όνομα του μεταφερόμενου αρχείου (όταν η παράμετρος 'media_wa_type' είναι '1', '2', '3') media_caption Περιέχει τις λέξεις "audio", "video" για τις αντίστοιχες τιμές της παραμέτρου "media_wa_type" (όταν η παράμετρος "media_wa_type" είναι "1", "3") media_hash base64 κωδικοποιημένος κατακερματισμός του μεταδιδόμενου αρχείου, που υπολογίζεται χρησιμοποιώντας τον αλγόριθμο HAS-256 (όταν η παράμετρος 'media_wa_type' είναι ίση με '1', '2', '3') media_duration διάρκεια σε δευτερόλεπτα για το αρχείο πολυμέσων (όταν το 'media_wa_type' είναι '1', '2', '3') καταγωγή έχει την τιμή "2" αν είναι μήνυμα εκπομπής, διαφορετικά περιέχει "0" γεωγραφικό πλάτος geodata: γεωγραφικό πλάτος (όταν η παράμετρος "media_wa_type" είναι "5") γεωγραφικό μήκος geodata: γεωγραφικό μήκος (όταν η παράμετρος "media_wa_type" είναι "5") thumb_image πληροφορίες υπηρεσίας remote_resource Αναγνωριστικό αποστολέα (μόνο για ομαδικές συνομιλίες) λήφθηκε_χρονοσήμανση ώρα παραλαβής, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '0', '-1' ή άλλη τιμή) send_timestamp δεν χρησιμοποιείται, συνήθως έχει την τιμή '-1' receipt_server_timestamp χρόνος που λαμβάνεται από τον κεντρικό διακομιστή, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '1', '-1' ή άλλη τιμή receipt_device_timestamp τη στιγμή που το μήνυμα ελήφθη από άλλο συνδρομητή, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής (όταν η παράμετρος 'key_from_me' έχει '1', '-1' ή άλλη τιμή read_device_timestamp χρόνος ανοίγματος (ανάγνωσης) του μηνύματος, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής play_device_timestamp χρόνος αναπαραγωγής μηνύματος, περιέχει μια χρονική σήμανση σε μορφή Unix Epoch Time (ms), η τιμή λαμβάνεται από το ρολόι της συσκευής ακατέργαστα δεδομένα μικρογραφία του μεταφερθέντος αρχείου (όταν η παράμετρος "media_wa_type" είναι "1" ή "3") αριθμός_παραλήπτη αριθμός παραληπτών (για μηνύματα μετάδοσης) συμμετέχων_κατακερματισμός χρησιμοποιείται κατά τη μετάδοση μηνυμάτων με γεωδεδομένα πρωταγωνίστησε δεν χρησιμοποιείται quoted_row_id άγνωστο, συνήθως περιέχει την τιμή "0" αναφέρθηκε_jids δεν χρησιμοποιείται multicast_id δεν χρησιμοποιείται όφσετ προκατάληψη Αυτή η λίστα πεδίων δεν είναι εξαντλητική. Για διαφορετικές εκδόσεις του WhatsApp, ορισμένα πεδία ενδέχεται να υπάρχουν ή να λείπουν. Επιπλέον, ενδέχεται να υπάρχουν πεδία 'media_enc_hash', 'edit_version', "payment_transaction_id" κλπ.
- 'messages_thumbnails'
Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με μεταφερόμενες εικόνες και χρονικές σημάνσεις. Στη στήλη «χρονοσήμανση», η ώρα υποδεικνύεται σε μορφή Unix Epoch Time (ms). - 'chat_list'
Αυτός ο πίνακας περιέχει πληροφορίες σχετικά με τις συνομιλίες.Εμφάνιση τραπεζιού:
Επίσης, όταν εξετάζετε το WhatsApp σε μια κινητή συσκευή με Android, θα πρέπει να δώσετε προσοχή στα ακόλουθα αρχεία:
- αρχείο 'msgstore.db.cryptXX' (όπου XX είναι ένα ή δύο ψηφία από το 0 έως το 12, για παράδειγμα, msgstore.db.crypt12). Περιέχει ένα κρυπτογραφημένο αντίγραφο ασφαλείας των μηνυμάτων WhatsApp (αρχείο αντιγράφου ασφαλείας msgstore.db). Αρχείο(α) 'msgstore.db.cryptXX' που βρίσκεται κατά μήκος του μονοπατιού: '/data/media/0/WhatsApp/Databases/' (εικονική κάρτα SD), '/mnt/sdcard/WhatsApp/Βάσεις δεδομένων/ (φυσική κάρτα SD)».
- αρχείο 'κλειδί'. Περιέχει ένα κρυπτογραφικό κλειδί. Βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/files/'. Χρησιμοποιείται για την αποκρυπτογράφηση κρυπτογραφημένων αντιγράφων ασφαλείας WhatsApp.
- αρχείο 'com.whatsapp_preferences.xml'. Περιέχει πληροφορίες σχετικά με το προφίλ του λογαριασμού σας WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/shared_prefs/'.
Θραύσμα περιεχομένου αρχείου
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) …
- αρχείο 'registration.RegisterPhone.xml'. Περιέχει πληροφορίες σχετικά με τον αριθμό τηλεφώνου που σχετίζεται με τον λογαριασμό WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/data/data/com.whatsapp/shared_prefs/'.
Περιεχόμενα αρχείου
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- αρχείο 'axolotl.db'. Περιέχει κρυπτογραφικά κλειδιά και άλλα δεδομένα που είναι απαραίτητα για την αναγνώριση του κατόχου του λογαριασμού. Βρίσκεται κατά μήκος του μονοπατιού: '/data/data/com.whatsapp/databases/'.
- αρχείο 'chatsettings.db'. Περιέχει πληροφορίες διαμόρφωσης εφαρμογής.
- αρχείο 'wa.db'. Περιέχει στοιχεία επικοινωνίας. Μια πολύ ενδιαφέρουσα (από εγκληματολογική άποψη) και ενημερωτική βάση δεδομένων. Μπορεί να περιέχει λεπτομερείς πληροφορίες σχετικά με τις διαγραμμένες επαφές.
Πρέπει επίσης να δώσετε προσοχή στους ακόλουθους καταλόγους:
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Περιέχει μεταφερθέντα αρχεία γραφικών.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Περιέχει φωνητικά μηνύματα σε αρχεία μορφής .OPUS.
- Κατάλογος '/data/data/com.whatsapp/cache/Profile Pictures/'. Περιέχει αρχεία γραφικών – εικόνες επαφών.
- Κατάλογος '/data/data/com.whatsapp/files/Avatars/'. Περιέχει αρχεία γραφικών - μικρογραφίες επαφών. Αυτά τα αρχεία έχουν επέκταση '.j' αλλά είναι αρχεία εικόνας JPEG (JPG).
- Κατάλογος '/data/data/com.whatsapp/files/Avatars/'. Περιέχει αρχεία γραφικών - μια εικόνα και μια μικρογραφία της εικόνας που έχει οριστεί ως avatar από τον κάτοχο του λογαριασμού.
- Κατάλογος '/data/data/com.whatsapp/files/Logs/'. Περιέχει το αρχείο καταγραφής λειτουργίας του προγράμματος (αρχείο 'whatsapp.log') και αντίγραφα ασφαλείας των αρχείων καταγραφής λειτουργίας του προγράμματος (αρχεία με ονόματα στη μορφή whatsapp-yyyy-mm-dd.1.log.gz).
Αρχεία καταγραφής WhatsApp:
Θραύσμα περιοδικού2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] ειδοποίηση αναπάντητης κλήσης/πλήθος έναρξης:0 χρονική σήμανση:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] αναπάντητη ειδοποίηση κλήσης/ενημέρωση ακύρωση αληθής
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] αρχείο κωδικού πρόσβασης λείπει ή δεν είναι αναγνώσιμο
2017-01-10 09:37:09.782 LL_I D [1:main] στατιστικά Μηνύματα κειμένου: 59 σταλμένα, 82 ληφθέντα / Μηνύματα πολυμέσων: 1 σταλμένα (0 bytes), 0 ληφθέντα (9850158 bytes) / Μηνύματα εκτός σύνδεσης: 81 ελήφθησαν ( 19522 msec μέση καθυστέρηση) / Υπηρεσία μηνυμάτων: 116075 byte αποστέλλονται, 211729 byte ελήφθησαν / κλήσεις Voip: 1 εξερχόμενες κλήσεις, 0 εισερχόμενες κλήσεις, 2492 byte αποστολή, 1530 byte ελήφθησαν / Google Drive: 0 byte σταλμένα, 0 byte ελήφθησαν / Roam byte που εστάλησαν, 1524 byte ελήφθησαν / Σύνολο δεδομένων: 1826 byte που εστάλησαν, 118567 byte ελήφθησαν
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/έκδοση 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | χρόνος που δαπανήθηκε: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage διαθέσιμο:1,345,622,016 σύνολο:5,687,922,688
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Περιέχει τα ληφθέντα αρχεία ήχου.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Περιέχει απεσταλμένα αρχεία ήχου.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Περιέχει τα αρχεία γραφικών που προκύπτουν.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Περιέχει απεσταλμένα αρχεία γραφικών.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Περιέχει ληφθέντα αρχεία βίντεο.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Περιέχει απεσταλμένα αρχεία βίντεο.
- Κατάλογος '/data/media/0/WhatsApp/Media/WhatsApp Φωτογραφίες προφίλ/'. Περιέχει αρχεία γραφικών που σχετίζονται με τον κάτοχο του λογαριασμού WhatsApp.
- Για να εξοικονομήσετε χώρο στη μνήμη στο smartphone Android, ορισμένα δεδομένα WhatsApp μπορούν να αποθηκευτούν σε μια κάρτα SD. Στην κάρτα SD, στον ριζικό κατάλογο, υπάρχει ένας κατάλογος 'WhatsApp', όπου μπορούν να βρεθούν τα ακόλουθα αντικείμενα αυτού του προγράμματος:
- Κατάλογος '.Μερίδιο' ('/mnt/sdcard/WhatsApp/.Share/'). Περιέχει αντίγραφα αρχείων που έχουν κοινοποιηθεί με άλλους χρήστες του WhatsApp.
- Κατάλογος '.Σκουπίδια' ('/mnt/sdcard/WhatsApp/.trash/'). Περιέχει διαγραμμένα αρχεία.
- Κατάλογος 'Βάσεις δεδομένων' ('/mnt/sdcard/WhatsApp/Βάσεις δεδομένων/'). Περιέχει κρυπτογραφημένα αντίγραφα ασφαλείας. Μπορούν να αποκρυπτογραφηθούν εάν υπάρχει το αρχείο 'κλειδί', εξάγεται από τη μνήμη της αναλυόμενης συσκευής.
Αρχεία που βρίσκονται σε έναν υποκατάλογο 'Βάσεις δεδομένων':
- Κατάλογος 'Ήμισυ' ('/mnt/sdcard/WhatsApp/Media/'). Περιέχει υποκαταλόγους 'Ταπετσαρία', 'WhatsApp Audio', 'Εικόνες WhatsApp', "Φωτογραφίες προφίλ WhatsApp", 'Βίντεο WhatsApp', "Σημειώσεις WhatsApp Voice", τα οποία περιέχουν ληφθέντα και μεταδιδόμενα αρχεία πολυμέσων (αρχεία γραφικών, αρχεία βίντεο, φωνητικά μηνύματα, φωτογραφίες που σχετίζονται με το προφίλ του κατόχου του λογαριασμού WhatsApp, ταπετσαρίες).
- Κατάλογος 'Φωτογραφίες προφίλ' ('/mnt/sdcard/WhatsApp/Προφίλ Εικόνες/'). Περιέχει αρχεία γραφικών που σχετίζονται με το προφίλ του κατόχου του λογαριασμού WhatsApp.
- Μερικές φορές μπορεί να υπάρχει ένας κατάλογος στην κάρτα SD 'αρχεία' ('/mnt/sdcard/WhatsApp/Files/'). Αυτός ο κατάλογος περιέχει αρχεία που αποθηκεύουν ρυθμίσεις προγράμματος και προτιμήσεις χρήστη.
Δυνατότητες αποθήκευσης δεδομένων σε ορισμένα μοντέλα κινητών συσκευών
Ορισμένα μοντέλα κινητών συσκευών με λειτουργικό Android μπορεί να αποθηκεύουν τεχνουργήματα WhatsApp σε διαφορετική τοποθεσία. Αυτό οφείλεται σε αλλαγές στον χώρο αποθήκευσης των δεδομένων εφαρμογής από το λογισμικό συστήματος της κινητής συσκευής. Για παράδειγμα, οι κινητές συσκευές Xiaomi έχουν μια λειτουργία για τη δημιουργία ενός δεύτερου χώρου εργασίας ("SecondSpace"). Όταν είναι ενεργοποιημένη αυτή η λειτουργία, αλλάζει η θέση των δεδομένων. Έτσι, εάν σε μια κανονική κινητή συσκευή που εκτελεί Android OS τα δεδομένα χρήστη αποθηκεύονται στον κατάλογο '/data/user/0/' (που είναι μια αναφορά στα συνηθισμένα '/data/data/'), στη συνέχεια στον δεύτερο χώρο εργασίας τα δεδομένα της εφαρμογής αποθηκεύονται στον κατάλογο '/data/user/10/'. Δηλαδή, χρησιμοποιώντας το παράδειγμα της θέσης του αρχείου 'wa.db':
- σε ένα κανονικό smartphone με λειτουργικό Android: /data/user/0/com.whatsapp/databases/wa.db' (που είναι ισοδύναμο '/data/data/com.whatsapp/databases/wa.db');
- στον δεύτερο χώρο εργασίας του smartphone Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.
Κατασκευάσματα WhatsApp σε συσκευή iOS
Σε αντίθεση με το Android OS, στο iOS τα δεδομένα της εφαρμογής WhatsApp μεταφέρονται σε ένα αντίγραφο ασφαλείας (iTunes backup). Επομένως, η εξαγωγή δεδομένων από αυτήν την εφαρμογή δεν απαιτεί την εξαγωγή του συστήματος αρχείων ή τη δημιουργία μιας ένδειξης φυσικής μνήμης της υπό έρευνα συσκευής. Οι περισσότερες από τις σχετικές πληροφορίες περιέχονται στη βάση δεδομένων 'ChatStorage.sqlite', που βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (σε ορισμένα προγράμματα αυτή η διαδρομή εμφανίζεται ως 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Δομή 'ChatStorage.sqlite':
Οι πιο ενημερωτικοί πίνακες στη βάση δεδομένων «ChatStorage.sqlite» είναι 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Εμφάνιση τραπεζιού 'ZWAMESSAGE':
Δομή πίνακα 'ZWAMESSAGE'
Ονομα πεδίου | Αξία |
---|---|
Z_PK | αριθμός σειράς εγγραφής (στον πίνακα SQL) |
Z_ENT | αναγνωριστικό πίνακα, έχει την τιμή '9' |
Z_OPT | άγνωστο, συνήθως περιέχει τιμές από '1' έως '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | άγνωστο, συνήθως περιέχει την τιμή "0" |
ZCHILDMESSAGESPLAYEDCOUNT | άγνωστο, συνήθως περιέχει την τιμή "0" |
ZCHILDMESSAGESREADCOUNT | άγνωστο, συνήθως περιέχει την τιμή "0" |
ZDATAITEMVERSION | άγνωστο, συνήθως περιέχει την τιμή "3", πιθανώς μια ένδειξη μηνύματος κειμένου |
ZDOCID | άγνωστο |
ZENCRETRYCOUNT | άγνωστο, συνήθως περιέχει την τιμή "0" |
ZFILTEREDRECIPIENTCOUNT | άγνωστο, συνήθως περιέχει τις τιμές '0', '2', '256' |
ΖΙΣΦΡΟΜΜΕ | κατεύθυνση μηνύματος: «0» – εισερχόμενο, «1» – εξερχόμενο |
ZMESSAGEERRORSTATUS | κατάσταση μετάδοσης μηνύματος. Εάν το μήνυμα αποσταλεί/ληφθεί, τότε έχει την τιμή '0' |
ZMESSAGETYPE | είδος μηνύματος που μεταδίδεται |
ZSORT | άγνωστο |
ZSPOTLIHSTATUS | άγνωστο |
Ζ ΑΣΤΕΡΙ | άγνωστο, μη χρησιμοποιημένο |
ZCHATSESSION | άγνωστο |
ZGROUPMEBER | άγνωστο, μη χρησιμοποιημένο |
ZLASTSESSION | άγνωστο |
ZMEDIAITEM | άγνωστο |
ZMESSAGEINFO | άγνωστο |
ZPARENTΜΗΝΥΜΑ | άγνωστο, μη χρησιμοποιημένο |
ZMESSAGEDATE | χρονική σήμανση σε μορφή OS X Epoch Time |
ZSENTDATE | ώρα αποστολής του μηνύματος σε μορφή OS X Epoch Time |
ZFROMJID | Αναγνωριστικό αποστολέα WhatsApp |
ZMEDIASECTIONID | περιέχει το έτος και το μήνα αποστολής του αρχείου πολυμέσων |
ZPHASH | άγνωστο, μη χρησιμοποιημένο |
ZPUSHPAME | όνομα της επαφής που έστειλε το αρχείο πολυμέσων σε μορφή UTF-8 |
ΖΣΤΑΝΖΙΔ | μοναδικό αναγνωριστικό μηνύματος |
ZTEXT | Κείμενο μηνύματος |
ZTOJID | Το αναγνωριστικό WhatsApp του παραλήπτη |
OFFSET | προκατάληψη |
Εμφάνιση τραπεζιού 'ZWAMEDIAITEM':
Δομή πίνακα 'ZWAMEDIAITEM'
Ονομα πεδίου | Αξία |
---|---|
Z_PK | αριθμός σειράς εγγραφής (στον πίνακα SQL) |
Z_ENT | αναγνωριστικό πίνακα, έχει την τιμή '8' |
Z_OPT | άγνωστο, συνήθως περιέχει τιμές από «1» έως «3». |
ZCLOUDSTATUS | περιέχει την τιμή '4' εάν το αρχείο έχει φορτωθεί. |
ZFILESIZE | περιέχει το μήκος του αρχείου (σε byte) για τα ληφθέντα αρχεία |
ZMEDIAORIGIN | άγνωστο, συνήθως έχει την τιμή "0" |
ZMOVIEDURATION | διάρκεια του αρχείου πολυμέσων, για αρχεία pdf μπορεί να περιέχει τον αριθμό των σελίδων του εγγράφου |
ZΜΗΝΥΜΑ | περιέχει έναν σειριακό αριθμό (ο αριθμός είναι διαφορετικός από αυτόν που υποδεικνύεται στη στήλη "Z_PK") |
ZASPECTRATIO | λόγος διαστάσεων, δεν χρησιμοποιείται, συνήθως ορίζεται σε '0' |
ΑΚΡΙΒΕΙΑ | άγνωστο, συνήθως έχει την τιμή "0" |
ZLATTITUDE | πλάτος σε pixel |
ΜΗΚΟΣ ΜΗΧΟΣ | ύψος σε pixel |
ZMEDIAURLDATE | χρονική σήμανση σε μορφή OS X Epoch Time |
ZAUTHORNAME | συγγραφέας (για έγγραφα, μπορεί να περιέχει το όνομα αρχείου) |
ZCOLLECTIONNAME | δεν χρησιμοποιείται |
ZMEDIALOCALPATH | όνομα αρχείου (συμπεριλαμβανομένης της διαδρομής) στο σύστημα αρχείων της συσκευής |
ZMEDIAURL | Η διεύθυνση URL όπου βρισκόταν το αρχείο πολυμέσων. Εάν ένα αρχείο μεταφέρθηκε από έναν συνδρομητή σε άλλο, κρυπτογραφήθηκε και η επέκτασή του θα υποδειχθεί ως η επέκταση του μεταφερόμενου αρχείου - .enc |
ZTHUMBNAILLOCALPATH | διαδρομή προς τη μικρογραφία του αρχείου στο σύστημα αρχείων της συσκευής |
ZTITLE | κεφαλίδα αρχείου |
ZVCARDNAME | κατακερματισμός του αρχείου πολυμέσων· κατά τη μεταφορά του αρχείου σε μια ομάδα, μπορεί να περιέχει το αναγνωριστικό αποστολέα |
ZVCARDSTRING | περιέχει πληροφορίες σχετικά με τον τύπο του αρχείου που μεταφέρεται (για παράδειγμα, εικόνα/jpeg), κατά τη μεταφορά ενός αρχείου σε μια ομάδα, μπορεί να περιέχει το αναγνωριστικό του παραλήπτη |
ZXMPPTHUMBPATH | διαδρομή προς τη μικρογραφία του αρχείου στο σύστημα αρχείων της συσκευής |
ZMEDIAKEY | άγνωστο, πιθανότατα περιέχει το κλειδί για την αποκρυπτογράφηση του κρυπτογραφημένου αρχείου. |
ZMETADATA | μεταδεδομένα του μεταδιδόμενου μηνύματος |
Όφσετ | προκατάληψη |
Άλλοι ενδιαφέροντες πίνακες βάσεων δεδομένων 'ChatStorage.sqlite' είναι οι εξής:
- 'ZWAPROFILEPUSHNAME'. Αντιστοιχίζει το αναγνωριστικό WhatsApp με το όνομα επαφής.
- 'ZWAPROFILEPICTUREITEM'. Ταιριάζει το WhatsApp ID με το avatar επαφής.
- 'Z_PRIMARYKEY'. Ο πίνακας περιέχει γενικές πληροφορίες σχετικά με αυτήν τη βάση δεδομένων, όπως ο συνολικός αριθμός των αποθηκευμένων μηνυμάτων, ο συνολικός αριθμός συνομιλιών κ.λπ.
Επίσης, όταν εξετάζετε το WhatsApp σε μια κινητή συσκευή με iOS, θα πρέπει να δώσετε προσοχή στα ακόλουθα αρχεία:
- αρχείο 'BackedUpKeyValue.sqlite'. Περιέχει κρυπτογραφικά κλειδιά και άλλα δεδομένα που είναι απαραίτητα για την αναγνώριση του κατόχου του λογαριασμού. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- αρχείο 'ContactsV2.sqlite'. Περιέχει πληροφορίες σχετικά με τις επαφές του χρήστη, όπως πλήρες όνομα, αριθμό τηλεφώνου, κατάσταση επαφής (σε μορφή κειμένου), αναγνωριστικό WhatsApp κ.λπ. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- αρχείο 'consumer_version'. Περιέχει τον αριθμό έκδοσης της εγκατεστημένης εφαρμογής WhatsApp. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- αρχείο 'current_wallpaper.jpg'. Περιέχει την τρέχουσα ταπετσαρία φόντου WhatsApp. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Παλαιότερες εκδόσεις της εφαρμογής χρησιμοποιούν το αρχείο 'ταπετσαρία', που βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- αρχείο 'blockedcontacts.dat'. Περιέχει πληροφορίες για αποκλεισμένες επαφές. Βρίσκεται κατά μήκος του μονοπατιού: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- αρχείο 'pw.dat'. Περιέχει έναν κρυπτογραφημένο κωδικό πρόσβασης. Βρίσκεται κατά μήκος του μονοπατιού: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- αρχείο "net.whatsapp.WhatsApp.plist" (ή αρχείο "group.net.whatsapp.WhatsApp.shared.plist"). Περιέχει πληροφορίες σχετικά με το προφίλ του λογαριασμού σας WhatsApp. Το αρχείο βρίσκεται κατά μήκος της διαδρομής: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Περιεχόμενα του αρχείου "group.net.whatsapp.WhatsApp.shared.plist"
Πρέπει επίσης να δώσετε προσοχή στους ακόλουθους καταλόγους:
- Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Περιέχει μικρογραφίες επαφών, ομάδων (αρχεία με την επέκταση .αντίχειρας), avatar επαφών, avatar κατόχου λογαριασμού WhatsApp (αρχείο 'Photo.jpg').
- Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Περιέχει αρχεία πολυμέσων και τις μικρογραφίες τους
- Κατάλογος '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Περιέχει το αρχείο καταγραφής λειτουργίας του προγράμματος (αρχείο 'calls.log') και αντίγραφα ασφαλείας των αρχείων καταγραφής λειτουργίας του προγράμματος (αρχείο 'calls.backup.log').
- Κατάλογος '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Περιέχει αυτοκόλλητα (αρχεία σε μορφή ".webp").
- Κατάλογος '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Περιέχει αρχεία καταγραφής λειτουργίας προγράμματος.
Τεχνουργήματα WhatsApp στα Windows
Τα τεχνουργήματα WhatsApp στα Windows μπορούν να βρεθούν σε πολλά μέρη. Πρώτα απ 'όλα, αυτοί είναι κατάλογοι που περιέχουν εκτελέσιμα και βοηθητικά αρχεία προγράμματος (για Windows 8/10):
- 'C:Program Files (x86)WhatsApp'
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User Profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'
Στον κατάλογο 'C:Users%User profile% AppDataLocalWhatsApp' βρίσκεται το αρχείο καταγραφής 'SquirrelSetup.log', το οποίο περιέχει πληροφορίες σχετικά με τον έλεγχο για ενημερώσεις και την εγκατάσταση του προγράμματος.
Στον κατάλογο 'C:Users%User profile% AppDataRoamingWhatsApp' Υπάρχουν αρκετοί υποκατάλογοι:
αρχείο 'main-process.log' περιέχει πληροφορίες σχετικά με τη λειτουργία του προγράμματος WhatsApp.
Υποκατάλογος "βάσεις δεδομένων" περιέχει ένα αρχείο 'Databases.db', αλλά αυτό το αρχείο δεν περιέχει πληροφορίες σχετικά με συνομιλίες ή επαφές.
Τα πιο ενδιαφέροντα από ιατροδικαστική άποψη είναι τα αρχεία που βρίσκονται στον κατάλογο 'Κρύπτη'. Αυτά είναι βασικά αρχεία με όνομα 'φά_*******' (όπου * είναι ένας αριθμός από το 0 έως το 9) που περιέχει κρυπτογραφημένα αρχεία πολυμέσων και έγγραφα, αλλά μεταξύ αυτών υπάρχουν και μη κρυπτογραφημένα αρχεία. Ιδιαίτερο ενδιαφέρον παρουσιάζουν τα αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_2", "δεδομένα_3", που βρίσκεται στον ίδιο υποκατάλογο. Αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_3" περιέχει εξωτερικούς συνδέσμους προς μεταδιδόμενα κρυπτογραφημένα αρχεία πολυμέσων και έγγραφα.
Παράδειγμα πληροφοριών που περιέχονται στο αρχείο 'data_1'
Επίσης αρχείο "δεδομένα_3" μπορεί να περιέχει αρχεία γραφικών.
αρχείο "δεδομένα_2" περιέχει είδωλα επαφών (μπορεί να αποκατασταθεί με αναζήτηση βάσει κεφαλίδων αρχείων).
Avatar που περιέχονται στο αρχείο "δεδομένα_2":
Έτσι, οι ίδιες οι συνομιλίες δεν μπορούν να βρεθούν στη μνήμη του υπολογιστή, αλλά μπορείτε να βρείτε:
- αρχεία πολυμέσων?
- έγγραφα που μεταδίδονται μέσω WhatsApp.
- πληροφορίες σχετικά με τις επαφές του κατόχου του λογαριασμού.
Κατασκευάσματα WhatsApp στο MacOS
Στο MacOS μπορείτε να βρείτε τύπους τεχνουργημάτων WhatsApp παρόμοια με αυτά που βρίσκονται στο λειτουργικό σύστημα Windows.
Τα αρχεία του προγράμματος βρίσκονται στους παρακάτω καταλόγους:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%Προφίλ χρήστη%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Users%User profile% Library Documents Mobile <μεταβλητή κειμένου> Λογαριασμοί WhatsApp'
Αυτός ο κατάλογος περιέχει υποκαταλόγους των οποίων τα ονόματα είναι αριθμοί τηλεφώνου που σχετίζονται με τον κάτοχο του λογαριασμού WhatsApp. - 'C:Users%User προφίλ%LibraryCachesWhatsApp.ShipIt'
Αυτός ο κατάλογος περιέχει πληροφορίες σχετικά με την εγκατάσταση του προγράμματος. - 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
Αυτοί οι κατάλογοι περιέχουν αρχεία υπηρεσίας του προγράμματος, συμπεριλαμβανομένων φωτογραφιών και μικρογραφιών των επαφών του WhatsApp. - 'C:Users%User profile%LibraryCachesWhatsApp'
Αυτός ο κατάλογος περιέχει πολλές βάσεις δεδομένων SQLite που χρησιμοποιούνται για την προσωρινή αποθήκευση δεδομένων. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Αυτός ο κατάλογος περιέχει αρκετούς υποκαταλόγους:
Στον κατάλογο 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' υπάρχουν αρχεία "δεδομένα_0", "δεδομένα_1", "δεδομένα_2", "δεδομένα_3" και αρχεία με ονόματα 'φά_*******' (όπου * είναι ένας αριθμός από το 0 έως το 9). Για πληροφορίες σχετικά με τις πληροφορίες που περιέχουν αυτά τα αρχεία, ανατρέξτε στο WhatsApp Artifacts στα Windows.Στον κατάλογο 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' μπορεί να περιέχει αρχεία πολυμέσων (τα αρχεία δεν έχουν επεκτάσεις).
αρχείο 'main-process.log' περιέχει πληροφορίες σχετικά με τη λειτουργία του προγράμματος WhatsApp.
πηγές
- Εγκληματολογική ανάλυση του WhatsApp Messenger σε smartphone Android, από τον Cosimo Anglano, 2014.
- Whatsapp Forensics: Εκτύπωση συστήματος και δεδομένων βάσης για εφαρμογή Android και iOS από τον Ahmad Pratama, 2014.
Στα ακόλουθα άρθρα αυτής της σειράς:
Αποκρυπτογράφηση κρυπτογραφημένων βάσεων δεδομένων WhatsAppΈνα άρθρο που θα παρέχει πληροφορίες σχετικά με τον τρόπο δημιουργίας του κλειδιού κρυπτογράφησης WhatsApp και πρακτικά παραδείγματα που δείχνουν πώς να αποκρυπτογραφήσετε τις κρυπτογραφημένες βάσεις δεδομένων αυτής της εφαρμογής.
Εξαγωγή δεδομένων WhatsApp από την αποθήκευση cloudΈνα άρθρο στο οποίο θα σας πούμε ποια δεδομένα του WhatsApp αποθηκεύονται στα σύννεφα και θα περιγράψουμε μεθόδους για την ανάκτηση αυτών των δεδομένων από τις αποθήκες cloud.
Εξαγωγή δεδομένων WhatsApp: Πρακτικά παραδείγματαΈνα άρθρο που θα περιγράφει βήμα προς βήμα ποια προγράμματα και πώς να εξαγάγετε δεδομένα WhatsApp από διάφορες συσκευές.
Πηγή: www.habr.com