Kui soovite teada, mis tüüpi WhatsAppi kohtuekspertiisi artefakte on erinevates operatsioonisüsteemides ja kus neid täpselt leida võib, siis see on teie jaoks õige koht. See artikkel on pärit Group-IB arvutikohtuekspertiisi labori spetsialistilt Igor Mihhailov alustab postituste seeriat WhatsAppi kohtuekspertiisi ja selle kohta, millist teavet seadme analüüsimisel saada on.
Pangem kohe tähele, et erinevad operatsioonisüsteemid salvestavad erinevat tüüpi WhatsAppi artefakte ja kui teadlane saab ühest seadmest välja võtta teatud tüüpi WhatsAppi andmeid, ei tähenda see, et sarnaseid andmeid saaks teisest seadmest välja tõmmata. Näiteks kui Windows OS-i kasutav süsteemiüksus eemaldatakse, siis tõenäoliselt selle ketastelt WhatsAppi vestlusi ei leita (erandiks on iOS-i seadmete varukoopiad, mida võib leida samadelt draividelt). Sülearvutite ja mobiilseadmete arestimisel on oma eripärad. Räägime sellest üksikasjalikumalt.
WhatsAppi artefaktid Android-seadmes
WhatsAppi artefaktide eraldamiseks Android-seadmest peavad uurijal olema superkasutaja õigused ("juur").
Rakenduste failid asuvad telefoni mälus jaotises, kuhu kasutajaandmed salvestatakse. Reeglina kannab see jaotis nime 'kasutaja andmed'. Alamkataloogid ja programmifailid asuvad tee ääres: '/data/data/com.whatsapp/'.
Peamised failid, mis sisaldavad Android OS-is WhatsAppi kohtuekspertiisi artefakte, on andmebaasid 'wa.db' и 'msgstore.db'.
Andmebaasis 'wa.db' sisaldab WhatsAppi kasutaja täielikku kontaktide loendit, sealhulgas telefoninumbrit, kuvatavat nime, ajatempleid ja muud WhatsAppi registreerumisel antud teavet. Fail 'wa.db' asub tee ääres: '/data/data/com.whatsapp/databases/' ja sellel on järgmine struktuur:
Kõige huvitavamad tabelid andmebaasis 'wa.db' teadlase jaoks on:
- 'wa_contacts'
See tabel sisaldab kontaktteavet: WhatsAppi kontakti ID, olekuteave, kasutaja kuvatav nimi, ajatemplid jne.Tabeli välimus:
Tabeli struktuurVälja nimi Väärtus _id kirje järjenumber (SQL-i tabelis) jid WhatsAppi kontakti ID, mis on kirjutatud kujul <telefoninumber>@s.whatsapp.net is_whatsapp_user sisaldab '1', kui kontakt vastab tegelikule WhatsAppi kasutajale, vastasel korral '0' staatus sisaldab kontakti olekus kuvatavat teksti staatuse_ajatempel sisaldab ajatemplit Unix Epoch Time (ms) vormingus number kontaktiga seotud telefoninumber raw_contact_id kontakti seerianumber DISPLAY_NAME kontakti kuvatav nimi telefoni_tüüp telefoni tüüp telefoni_silt kontaktnumbriga seotud silt unseen_msg_count sõnumite arv, mille kontakt saatis, kuid mida adressaat ei lugenud foto_ts sisaldab Unix Epoch Time vormingus ajatemplit thumb_ts sisaldab Unix Epoch Time vormingus ajatemplit photo_id_timestamp sisaldab ajatemplit Unix Epoch Time (ms) vormingus antud nimi välja väärtus ühtib iga kontakti väärtusega „kuva_nimi”. wa_nimi WhatsAppi kontakti nimi (kuvatakse kontakti profiilis määratud nimi) sorti_nimi sortimistoimingutes kasutatav kontakti nimi hüüdnimi kontakti hüüdnimi WhatsAppis (kuvatakse kontakti profiilis määratud hüüdnimi) ettevõte ettevõte (kuvatakse kontakti profiilil määratud ettevõte) pealkiri tiitel (proua/härra; kuvatakse kontaktiprofiilis konfigureeritud ametinimetus) tasakaalustama eelarvamus - 'sqlite_sequence'
See tabel sisaldab teavet kontaktide arvu kohta; - 'android_metadata'
See tabel sisaldab teavet WhatsAppi keele lokaliseerimise kohta.
Andmebaasis 'msgstore.db' sisaldab teavet saadetud sõnumite kohta, nagu kontaktnumber, sõnumi tekst, sõnumi olek, ajatemplid, sõnumites sisalduvate edastatud failide üksikasjad jne. Fail 'msgstore.db' asub tee ääres: '/data/data/com.whatsapp/databases/' ja sellel on järgmine struktuur:
Faili kõige huvitavamad tabelid 'msgstore.db' teadlase jaoks on:
- 'sqlite_sequence'
See tabel sisaldab üldist teavet selle andmebaasi kohta, nagu salvestatud sõnumite koguarv, vestluste koguarv jne.Tabeli välimus:
- 'message_fts_content'
Sisaldab saadetud sõnumite teksti.Tabeli välimus:
- 'sõnumid'
See tabel sisaldab sellist teavet nagu kontakti number, sõnumi tekst, sõnumi olek, ajatemplid, teave sõnumites sisalduvate edastatud failide kohta.Tabeli välimus:
Tabeli struktuurVälja nimi Väärtus _id kirje järjenumber (SQL-i tabelis) key_remote_jid Suhtluspartneri WhatsAppi ID võti_minust sõnumi suund: '0' – sissetulev, '1' – väljaminev võtme_id unikaalne sõnumi identifikaator staatus sõnumi olek: '0' – kätte toimetatud, '4' – ootab serveris, '5' – sihtkohta vastu võetud, '6' – kontrollteade, '13' – saaja avas sõnum (loe) need_push omab väärtust "2", kui see on leviteade, vastasel juhul sisaldab "0" andmed sõnumi tekst (kui parameeter 'media_wa_type' on '0') ajatempel sisaldab Unix Epoch Time (ms) vormingus ajatemplit, väärtus võetakse seadme kellalt media_url sisaldab ülekantud faili URL-i (kui parameeter 'media_wa_type' on '1', '2', '3') media_mime_type Edastatud faili MIME tüüp (kui parameeter 'media_wa_type' on võrdne '1', '2', '3') media_wa_type sõnumi tüüp: '0' - tekst, '1' - graafikafail, '2' - helifail, '3' - videofail, '4' - kontaktikaart, '5' - geoandmed meedia_suurus ülekantud faili suurus (kui parameeter 'media_wa_type' on '1', '2', '3') meedia_nimi ülekantud faili nimi (kui parameeter 'media_wa_type' on '1', '2', '3') meedia_pealkiri Sisaldab sõnu "audio", "video" parameetri "media_wa_type" vastavate väärtuste jaoks (kui parameeter "media_wa_type" on "1", "3") media_hash edastatud faili base64 kodeeritud räsi, mis arvutatakse HAS-256 algoritmi abil (kui parameeter 'media_wa_type' on võrdne '1', '2', '3') meedia_kestus meediumifaili kestus sekundites (kui 'media_wa_type' on '1', '2', '3') päritolu omab väärtust "2", kui see on leviteade, vastasel juhul sisaldab "0" laius geoandmed: laiuskraad (kui parameeter 'media_wa_type' on '5') pikkuskraad geoandmed: pikkuskraad (kui parameeter 'media_wa_type' on '5') thumb_image teenuse teave kaugressurss Saatja ID (ainult grupivestluste jaoks) vastu võetud_ajatempel kättesaamise aeg, sisaldab Unix Epoch Time (ms) vormingus ajatemplit, väärtus võetakse seadme kellalt (kui parameetri 'key_from_me' väärtus on '0', '-1' või muu väärtus) send_timestamp ei kasutata, tavaliselt on selle väärtus "-1" kviitungi_serveri_ajatempel keskserveri poolt vastuvõetud aeg sisaldab Unix Epoch Time (ms) vormingus ajatemplit, väärtus võetakse seadme kellalt (kui parameetri 'key_from_me' väärtus on '1', '-1' või muu väärtus kviitungi_seadme_ajatempel kellaaeg, millal teine abonent sõnumi vastu võttis, sisaldab ajatemplit Unix Epoch Time (ms) vormingus, väärtus võetakse seadme kellalt (kui parameetri 'key_from_me' väärtus on '1', '-1' või muu väärtus read_device_timestamp sõnumi avamise (lugemise) aeg, sisaldab Unix Epoch Time (ms) vormingus ajatemplit, väärtus võetakse seadme kellalt play_device_timestamp sõnumi taasesitusaeg, sisaldab ajatemplit Unix Epoch Time (ms) vormingus, väärtus võetakse seadme kellalt algandmed ülekantud faili pisipilt (kui parameeter "media_wa_type" on "1" või "3") adressaatide_arv adressaatide arv (edastussõnumite jaoks) osaleja_räsi kasutatakse geoandmetega sõnumite edastamisel peaosa pole kasutatud tsiteeritud_rea_id teadmata, sisaldab tavaliselt väärtust '0' mainitud_jids pole kasutatud multisaate_id pole kasutatud tasakaalustama eelarvamus See väljade loetelu ei ole ammendav. WhatsAppi erinevate versioonide puhul võivad mõned väljad olla olemas või puududa. Lisaks võivad olla väljad 'media_enc_hash', 'redigeeri_versioon', 'makse_tehingu_id' jne
- 'messages_thumbnails'
See tabel sisaldab teavet edastatud piltide ja ajatemplite kohta. Veerus 'Ajatempel' on kellaaeg näidatud Unixi ajastuaja (ms) vormingus. - 'vestlusloend'
See tabel sisaldab teavet vestluste kohta.Tabeli välimus:
Samuti peaksite Androidi kasutavas mobiilseadmes WhatsAppi uurides pöörama tähelepanu järgmistele failidele:
- fail "msgstore.db.cryptXX" (kus XX on üks või kaks numbrit vahemikus 0 kuni 12, näiteks msgstore.db.crypt12). Sisaldab WhatsAppi sõnumite krüptitud varukoopiat (varukoopiafail msgstore.db). Fail(id) "msgstore.db.cryptXX" asub tee ääres: '/data/media/0/WhatsApp/Databases/' (virtuaalne SD-kaart), '/mnt/sdcard/WhatsApp/Databases/ (füüsiline SD-kaart)".
- fail 'võti'. Sisaldab krüptovõtit. Asub tee ääres: '/data/data/com.whatsapp/files/'. Kasutatakse krüptitud WhatsAppi varukoopiate dekrüpteerimiseks.
- fail 'com.whatsapp_preferences.xml'. Sisaldab teavet teie WhatsAppi konto profiili kohta. Fail asub tee ääres: '/data/data/com.whatsapp/shared_prefs/'.
Faili sisu fragment
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) …
- fail "registration.RegisterPhone.xml". Sisaldab teavet WhatsAppi kontoga seotud telefoninumbri kohta. Fail asub tee ääres: '/data/data/com.whatsapp/shared_prefs/'.
Faili sisu
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- fail "axolotl.db". Sisaldab krüptovõtmeid ja muid andmeid, mis on vajalikud konto omaniku tuvastamiseks. Asub tee ääres: '/data/data/com.whatsapp/databases/'.
- fail 'chatsettings.db'. Sisaldab rakenduse konfiguratsiooni teavet.
- fail 'wa.db'. Sisaldab kontaktandmeid. Väga huvitav (kohtuekspertiisi aspektist) ja informatiivne andmebaas. See võib sisaldada üksikasjalikku teavet kustutatud kontaktide kohta.
Samuti peate tähelepanu pöörama järgmistele kataloogidele:
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Sisaldab ülekantud graafilisi faile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Sisaldab häälsõnumeid .OPUS-vormingus failides.
- Kataloog '/data/data/com.whatsapp/cache/Profile Pictures/'. Sisaldab graafilisi faile – kontaktide pilte.
- Kataloog '/data/data/com.whatsapp/files/Avatars/'. Sisaldab graafilisi faile – kontaktide pisipilte. Nendel failidel on laiend ".j", kuid need on siiski JPEG (JPG) pildifailid.
- Kataloog '/data/data/com.whatsapp/files/Avatars/'. Sisaldab graafilisi faile – pilti ja pildi pisipilti, mille konto omanik on avatariks määranud.
- Kataloog '/data/data/com.whatsapp/files/Logs/'. Sisaldab programmi toimingute logi (fail 'whatsapp.log') ja programmi toimingute logide varukoopiaid (failid nimedega vormingus whatsapp-yyyy-mm-dd.1.log.gz).
WhatsAppi logifailid:
Ajakirja fragment2017-01-10 09:37:09.757 LL_I D [524: WhatsApp Worker #1] vastamata kõneteade/inittide arv:0 ajatempel:0
2017-01-10 09:37:09.758 LL_I D [524: WhatsApp Worker #1] vastamata kõne/värskendus tühistada tõene
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] paroolifail puudub või on loetamatu
2017-01-10 09:37:09.782 LL_I D [1:main] statistika Tekstsõnumeid: 59 saadetud, 82 vastu võetud / Meediasõnumid: 1 saadetud (0 baiti), 0 vastu võetud (9850158 baiti) / Võrguühenduseta sõnumid: 81 vastu võetud ( 19522 msek keskmine viivitus) / Sõnumiteenus: saadetud 116075 baiti, vastu võetud 211729 baiti / VoIP-kõned: 1 väljaminev kõne, 0 sissetulevat kõnet, 2492 baiti saadetud, 1530 baiti vastu võetud / Google Drive: saadetud 0 baiti, vastu võetud 0 baiti / Rändlus baiti saadetud, 1524 baiti vastu võetud / Andmed kokku: saadetud 1826 baiti, vastu võetud 118567 baiti
2017-01-10 09:37:09.785 LL_I D [1:peamine] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/taimer/stopp: 24
2017-01-10 09:37:09.811 LL_I D [1:peamine] sgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/taimer/stopp: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | kulutatud aeg:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage saadaval:1,345,622,016 5,687,922,688 XNUMX XNUMX kokku: XNUMX XNUMX XNUMX XNUMX
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Sisaldab vastuvõetud helifaile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Sisaldab saadetud helifaile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Sisaldab saadud graafilisi faile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Sisaldab saadetud graafilisi faile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Sisaldab vastuvõetud videofaile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Sisaldab saadetud videofaile.
- Kataloog '/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/'. Sisaldab WhatsAppi konto omanikuga seotud graafilisi faile.
- Android-nutitelefoni mäluruumi säästmiseks saab mõned WhatsAppi andmed salvestada SD-kaardile. SD-kaardil on juurkataloogis kataloog "WhatsApp", kust leiate selle programmi järgmised artefaktid:
- Kataloog '.Jaga' ('/mnt/sdcard/WhatsApp/.Share/'). Sisaldab teiste WhatsAppi kasutajatega jagatud failide koopiaid.
- Kataloog ".trash" ('/mnt/sdcard/WhatsApp/.trash/'). Sisaldab kustutatud faile.
- Kataloog "Andmebaasid" ('/mnt/sdcard/WhatsApp/Databases/'). Sisaldab krüptitud varukoopiaid. Neid saab dekrüpteerida, kui fail on olemas 'võti', eraldatud analüüsitud seadme mälust.
Alamkataloogis asuvad failid "Andmebaasid":
- Kataloog 'Pool' ('/mnt/sdcard/WhatsApp/Media/'). Sisaldab alamkatalooge "Tapeet", "WhatsApp Audio", "WhatsAppi pildid", WhatsAppi profiilifotod, "WhatsApp video", WhatsAppi häälmärkmed, mis sisaldavad vastuvõetud ja edastatud multimeediumfaile (graafikafailid, videofailid, häälsõnumid, WhatsAppi konto omaniku profiiliga seotud fotod, taustapildid).
- Kataloog 'Profiilipildid' ('/mnt/sdcard/WhatsApp/Profiilipildid/'). Sisaldab WhatsAppi konto omaniku profiiliga seotud graafilisi faile.
- Mõnikord võib SD-kaardil olla kataloog 'failid' ('/mnt/sdcard/WhatsApp/Files/'). See kataloog sisaldab faile, mis salvestavad programmi sätteid ja kasutaja eelistusi.
Teatud mobiilseadmete mudelite andmesalvestuse omadused
Mõned Android OS-i kasutavate mobiilseadmete mudelid võivad salvestada WhatsAppi artefakte teises kohas. Selle põhjuseks on muudatused mobiilseadme süsteemitarkvara poolt rakendusandmete salvestusruumis. Näiteks on Xiaomi mobiilseadmetel funktsioon teise tööruumi loomiseks (“SecondSpace”). Kui see funktsioon on aktiveeritud, muutub andmete asukoht. Seega, kui tavalises mobiilseadmes, kus töötab Android OS, salvestatakse kasutajaandmed kataloogi '/data/user/0/' (mis on viide tavalisele '/data/data/'), siis teises tööruumis salvestatakse rakenduse andmed kataloogi '/data/user/10/'. See tähendab, kasutades faili asukoha näidet 'wa.db':
- tavalises nutitelefonis, kus töötab Android OS: /data/user/0/com.whatsapp/databases/wa.db' (mis on samaväärne '/data/data/com.whatsapp/databases/wa.db');
- Xiaomi nutitelefoni teises tööruumis: '/data/user/10/com.whatsapp/databases/wa.db'.
WhatsAppi artefaktid iOS-i seadmes
Erinevalt Android OS-ist edastatakse iOS-i rakenduses WhatsApp andmed varukoopiasse (iTunesi varukoopia). Seetõttu ei nõua sellest rakendusest andmete ekstraheerimiseks failisüsteemi lahtipakkimist ega uuritava seadme füüsilise mälu väljavõtte loomist. Suurem osa asjakohasest teabest on andmebaasis "ChatStorage.sqlite", mis asub tee ääres: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (mõnes programmis kuvatakse see tee järgmiselt 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Struktuur "ChatStorage.sqlite":
Kõige informatiivsemad tabelid andmebaasis 'ChatStorage.sqlite' on "ZWAMESSAGE" и "ZWAMEDIAITEM".
Laua välimus "ZWAMESSAGE":
Tabeli 'ZWAMESSAGE' struktuur
Välja nimi | Väärtus |
---|---|
Z_PK | kirje järjenumber (SQL-i tabelis) |
Z_ENT | tabeli identifikaator, mille väärtus on '9' |
Z_OPT | teadmata, sisaldab tavaliselt väärtusi '1' kuni '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | teadmata, sisaldab tavaliselt väärtust '0' |
ZCHILDMESSAGESPLAYEDCOUNT | teadmata, sisaldab tavaliselt väärtust '0' |
ZCHILDMESSAGESREADCOUNT | teadmata, sisaldab tavaliselt väärtust '0' |
ZDATAITEMVERSION | teadmata, sisaldab tavaliselt väärtust '3', tõenäoliselt tekstisõnumi indikaator |
ZDOCID | teadmata |
ZENCRETRYCOUNT | teadmata, sisaldab tavaliselt väärtust '0' |
ZFILTEREDRECIPIENTCOUNT | teadmata, sisaldab tavaliselt väärtusi "0", "2", "256" |
ZISFROMME | sõnumi suund: '0' – sissetulev, '1' – väljaminev |
ZMESSAGEERRORSTATUS | sõnumi edastamise olek. Kui sõnum on saadetud/vastu võetud, on selle väärtus '0' |
ZMESSAGETYPE | edastatava sõnumi tüüp |
ZSORT | teadmata |
ZSPOTLIGHSTATUS | teadmata |
ZSTARRED | teadmata, kasutamata |
ZCHATSESSION | teadmata |
ZGRUPI LIIKME | teadmata, kasutamata |
ZLASTSESSION | teadmata |
ZMEDIAITEM | teadmata |
ZMESSAGEINFO | teadmata |
ZPARENTMESSAGE | teadmata, kasutamata |
ZMESSAGEDATE | ajatempel OS X Epoch Time vormingus |
ZSENTDATE | sõnumi saatmise aeg OS X Epoch Time formaadis |
ZFROMJID | WhatsApp saatja ID |
ZMEDIASECTIONID | sisaldab meediumifaili saatmise aastat ja kuud |
ZPHASH | teadmata, kasutamata |
ZPUSHPAME | UTF-8 formaadis meediumifaili saatnud kontakti nimi |
ZSTANZID | unikaalne sõnumi identifikaator |
ZTEXT | Sõnumi tekst |
ZTOJID | Saaja WhatsAppi ID |
OFFSET | eelarvamus |
Laua välimus "ZWAMEDIAITEM":
Tabeli 'ZWAMEDIAITEM' struktuur
Välja nimi | Väärtus |
---|---|
Z_PK | kirje järjenumber (SQL-i tabelis) |
Z_ENT | tabeli identifikaator, mille väärtus on '8' |
Z_OPT | teadmata, sisaldab tavaliselt väärtusi '1' kuni '3'. |
ZCLOUDSTATUS | sisaldab väärtust "4", kui fail on laaditud. |
ZFILESIZE | sisaldab allalaaditud failide faili pikkust (baitides). |
ZMEDIAORIGIN | teadmata, tavaliselt on väärtusega 0 |
ZMOVIEDURATION | meediumifaili kestus, pdf-failid võivad sisaldada dokumendi lehekülgede arvu |
ZSÕNUM | sisaldab seerianumbrit (number erineb veerus 'Z_PK' märgitud numbrist) |
ZASPECTRATIO | kuvasuhe, ei kasutata, tavaliselt on seatud '0' |
TÄPSUS | teadmata, tavaliselt on väärtusega 0 |
ZLATTITUDE | laius pikslites |
ZLONGTITUDE | kõrgus pikslites |
ZMEDIAURLDATE | ajatempel OS X Epoch Time vormingus |
ZAUTHORNAME | autor (dokumentide puhul võib sisaldada faili nime) |
ZCOLLECTIONNAME | pole kasutatud |
ZMEDIALOCALPATH | failinimi (kaasa arvatud tee) seadme failisüsteemis |
ZMEDIAURL | URL, kus meediumifail asus. Kui fail kanti ühelt abonendilt teisele, siis see krüpteeriti ja selle laiend märgitakse ülekantud faili laiendiks - .enc |
ZTHUMBNAILLOCALPATH | faili pisipildi tee seadme failisüsteemis |
ZTITLE | faili päis |
ZVCARDNAME | meediumifaili räsi; faili gruppi ülekandmisel võib see sisaldada saatja identifikaatorit |
ZVCARDSTRING | sisaldab teavet edastatava faili tüübi kohta (näiteks pilt/jpeg); faili gruppi ülekandmisel võib see sisaldada adressaadi identifikaatorit |
ZXMPPTHUMBPATH | faili pisipildi tee seadme failisüsteemis |
ZMEDIAKEY | teadmata, sisaldab tõenäoliselt võtit krüptitud faili dekrüpteerimiseks. |
ZMETADATA | edastatud sõnumi metaandmed |
Tasakaalustama | eelarvamus |
Muud huvitavad andmebaasi tabelid "ChatStorage.sqlite" on:
- „ZWAPROFILEPUSHNAME”. Sobib WhatsAppi ID-le kontakti nimega;
- „ZWAPROFILEPICTUREITEM”. Ühendab WhatsAppi ID kontakti avatariga;
- 'Z_PRIMARYKEY'. Tabel sisaldab üldist teavet selle andmebaasi kohta, nagu salvestatud sõnumite koguarv, vestluste koguarv jne.
Samuti peaksite iOS-i kasutavas mobiilseadmes WhatsAppi uurides pöörama tähelepanu järgmistele failidele:
- fail 'BackedUpKeyValue.sqlite'. Sisaldab krüptovõtmeid ja muid andmeid, mis on vajalikud konto omaniku tuvastamiseks. Asub tee ääres: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fail "KontaktidV2.sqlite". Sisaldab teavet kasutaja kontaktide kohta, nagu täisnimi, telefoninumber, kontakti olek (teksti kujul), WhatsApp ID jne. Asub tee ääres: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fail 'tarbija_versioon'. Sisaldab installitud WhatsAppi rakenduse versiooninumbrit. Asub tee ääres: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fail 'current_wallpaper.jpg'. Sisaldab praegust WhatsAppi taustapilti. Asub tee ääres: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Rakenduse vanemad versioonid kasutavad faili 'tapeet', mis asub tee ääres: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fail 'blockedcontacts.dat'. Sisaldab teavet blokeeritud kontaktide kohta. Asub tee ääres: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fail 'pw.dat'. Sisaldab krüpteeritud parooli. Asub tee ääres: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fail "net.whatsapp.WhatsApp.plist" (või faili "group.net.whatsapp.WhatsApp.shared.plist"). Sisaldab teavet teie WhatsAppi konto profiili kohta. Fail asub tee ääres: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Faili 'group.net.whatsapp.WhatsApp.shared.plist' sisu
Samuti peate tähelepanu pöörama järgmistele kataloogidele:
- Kataloog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Sisaldab kontaktide, rühmade pisipilte (laiendiga failid .pöial), kontakti avatarid, WhatsAppi konto omaniku avatar (fail "Photo.jpg").
- Kataloog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Sisaldab multimeediumifaile ja nende pisipilte
- Kataloog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Sisaldab programmi toimingute logi (fail 'calls.log') ja programmi toimingute logide varukoopiad (fail 'calls.backup.log').
- Kataloog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Sisaldab kleebiseid (vormingus failid ".webp").
- Kataloog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Sisaldab programmi toimimise logisid.
WhatsAppi artefaktid Windowsis
WhatsAppi artefakte Windowsis võib leida mitmest kohast. Esiteks on need kataloogid, mis sisaldavad käivitatavaid ja abiprogrammifaile (Windows 8/10 jaoks):
- "C:Program Files (x86)WhatsApp"
- „C:Users%Kasutajaprofiil% AppDataLocalWhatsApp”
- „C:Kasutajad%Kasutajaprofiil% AppDataLocalVirtualStore'i programmifailid (x86)WhatsApp”
Kataloogis „C:Users%Kasutajaprofiil% AppDataLocalWhatsApp” logifail asub "SquirrelSetup.log", mis sisaldab teavet värskenduste otsimise ja programmi installimise kohta.
Kataloogis „C:Users%Kasutajaprofiil% AppDataRoamingWhatsApp” Seal on mitu alamkataloogi:
fail 'main-process.log' sisaldab teavet WhatsApp programmi toimimise kohta.
Alamkataloog 'andmebaasid' sisaldab faili 'Databases.db', kuid see fail ei sisalda teavet vestluste ega kontaktide kohta.
Kohtuekspertiisi seisukohalt on kõige huvitavamad failid, mis asuvad kataloogis 'vahemälu'. Põhimõtteliselt on need failid nimega "f_********" (kus * on arv vahemikus 0 kuni 9), mis sisaldavad krüptitud multimeediumifaile ja dokumente, kuid nende hulgas on ka krüptimata faile. Eriti huvitavad on failid 'data_0', 'data_1', 'data_2', 'data_3', mis asub samas alamkataloogis. Failid 'data_0', 'data_1', 'data_3' sisaldavad väliseid linke edastatavatele krüptitud multimeediumifailidele ja dokumentidele.
Näide failis 'data_1' sisalduvast teabest
Samuti faili 'data_3' võib sisaldada graafilisi faile.
fail 'data_2' sisaldab kontaktide avatare (saab taastada failipäiste järgi otsides).
Failis sisalduvad avatarid 'data_2':
Seega ei leia vestlusi ennast arvuti mälust, kuid võite leida:
- multimeediumfailid;
- WhatsAppi kaudu edastatud dokumendid;
- teave konto omaniku kontaktide kohta.
WhatsAppi artefaktid MacOS-is
MacOS-is leiate WhatsAppi artefaktide tüüpe, mis on sarnased Windows OS-is leiduvatega.
Programmifailid asuvad järgmistes kataloogides:
- "C:ApplicationsWhatsApp.app"
- "C:Applications._WhatsApp.app"
- 'C:Users%Kasutajaprofiil%LibraryPreferences'
- „C:Users%Kasutajaprofiil%LibraryLogsWhatsApp”
- „C:Users%Kasutajaprofiil%LibrarySaved Application StateWhatsApp.savedState”
- „C:Users%Kasutajaprofiil%LibraryApplication Scripts”
- „C:Users%Kasutajaprofiil%LibraryApplication SupportCloudDocs”
- „C:Users%Kasutajaprofiil%LibraryApplication SupportWhatsApp.ShipIt”
- „C:Users%Kasutajaprofiil%LibraryContainerscom.rockysandstudio.app-for-whatsapp”
- „C:Kasutajad%Kasutajaprofiil% Teegi mobiilidokumendid <tekstimuutuja> WhatsAppi kontod”
See kataloog sisaldab alamkatalooge, mille nimed on WhatsAppi konto omanikuga seotud telefoninumbrid. - „C:Users%Kasutajaprofiil%LibraryCachesWhatsApp.ShipIt”
See kataloog sisaldab teavet programmi installimise kohta. - 'C:Users%Kasutajaprofiil%PicturesiPhoto Library.photolibraryMasters', 'C:Users%Kasutajaprofiil%PicturesiPhoto Library.photolibraryThumbnails'
Need kataloogid sisaldavad programmi teenusefaile, sealhulgas WhatsAppi kontaktide fotosid ja pisipilte. - „C:Users%Kasutajaprofiil%LibraryCachesWhatsApp”
See kataloog sisaldab mitut SQLite'i andmebaasi, mida kasutatakse andmete vahemällu salvestamiseks. - „C:Users%Kasutajaprofiil%LibraryApplication SupportWhatsApp”
See kataloog sisaldab mitut alamkataloogi:
Kataloogis „C:Users%Kasutajaprofiil%LibraryApplication SupportWhatsAppCache” seal on failid 'data_0', 'data_1', 'data_2', 'data_3' ja failid nimedega "f_********" (kus * on arv vahemikus 0 kuni 9). Teavet selle kohta, millist teavet need failid sisaldavad, leiate jaotisest WhatsApp Artifacts Windowsis.Kataloogis „C:Users%Kasutajaprofiil%LibraryApplication SupportWhatsAppIndexedDB” võib sisaldada multimeediumfaile (failidel pole laiendit).
fail 'main-process.log' sisaldab teavet WhatsApp programmi toimimise kohta.
allikatest
- WhatsApp Messengeri kohtuekspertiisi analüüs Androidi nutitelefonides, autor Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi süsteem ja Androidi ja iOS-i põhiandmed, autor Ahmad Pratama, 2014.
Selle sarja järgmistes artiklites:
Krüpteeritud WhatsAppi andmebaaside dekrüpteerimineArtikkel, mis annab teavet WhatsAppi krüpteerimisvõtme loomise kohta ja praktilisi näiteid selle rakenduse krüptitud andmebaaside dekrüpteerimiseks.
WhatsAppi andmete ekstraheerimine pilvesalvestusestArtikkel, milles räägime teile, milliseid WhatsAppi andmeid pilvedesse salvestatakse, ja kirjeldame meetodeid nende andmete toomiseks pilvesalvestustest.
WhatsAppi andmete ekstraheerimine: praktilised näitedArtikkel, mis kirjeldab samm-sammult, milliseid programme ja kuidas WhatsAppi andmeid erinevatest seadmetest ekstraheerida.
Allikas: www.habr.com