ProHoster > وبلاگ > اخبار اینترنتی > واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

اگر می‌خواهید بدانید چه نوع مصنوعات قانونی واتس‌اپ در سیستم‌عامل‌های مختلف وجود دارد و دقیقاً کجا می‌توان آنها را پیدا کرد، این مکان مناسب شماست. این مقاله از یک متخصص در آزمایشگاه پزشکی قانونی Group-IB است ایگور میخائیلوف مجموعه ای از پست ها را در مورد پزشکی قانونی واتس اپ و اینکه چه اطلاعاتی را می توان از تجزیه و تحلیل دستگاه به دست آورد، آغاز می کند.

بیایید بلافاصله توجه کنیم که سیستم عامل های مختلف انواع مختلفی از مصنوعات واتس اپ را ذخیره می کنند و اگر محققی بتواند انواع خاصی از داده های واتس اپ را از یک دستگاه استخراج کند، این بدان معنا نیست که انواع مشابهی از داده ها را می توان از دستگاه دیگری استخراج کرد. به عنوان مثال، اگر یک واحد سیستمی که دارای سیستم عامل ویندوز است حذف شود، چت های WhatsApp احتمالاً روی دیسک های آن یافت نمی شوند (به استثنای نسخه های پشتیبان دستگاه های iOS که می توانند در همان درایوها پیدا شوند). توقیف لپ تاپ و دستگاه های تلفن همراه ویژگی های خاص خود را خواهد داشت. بیایید در مورد این با جزئیات بیشتر صحبت کنیم.

مصنوعات واتس اپ در دستگاه اندرویدی

به منظور استخراج مصنوعات واتس اپ از دستگاه اندرویدی، محقق باید دارای حقوق ابرکاربر ("ریشه") در دستگاه تحت بررسی یا قادر به استخراج حافظه فیزیکی دستگاه یا سیستم فایل آن (مثلاً با استفاده از آسیب پذیری های نرم افزاری یک دستگاه تلفن همراه خاص) باشید.

فایل های برنامه در حافظه گوشی در قسمتی قرار دارند که اطلاعات کاربر در آن ذخیره می شود. به عنوان یک قاعده، این بخش نامگذاری شده است 'اطلاعات کاربر'. زیر شاخه ها و فایل های برنامه در امتداد مسیر قرار دارند: '/data/data/com.whatsapp/'.

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
فایل های اصلی که حاوی مصنوعات قانونی واتس اپ در سیستم عامل اندروید هستند پایگاه داده هستند 'wa.db' и 'msgstore.db'.

در پایگاه داده 'wa.db' شامل لیست تماس کامل یک کاربر واتس اپ، از جمله شماره تلفن، نام نمایشی، مهرهای زمانی و هر اطلاعات دیگری است که هنگام ثبت نام در واتس اپ ارائه می شود. فایل 'wa.db' واقع در طول مسیر: '/data/data/com.whatsapp/databases/' و دارای ساختار زیر است:

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
جالب ترین جداول در پایگاه داده 'wa.db' برای محقق عبارتند از:

  • 'wa_contacts'
    این جدول حاوی اطلاعات تماس است: شناسه تماس WhatsApp، اطلاعات وضعیت، نام نمایش کاربر، مُهر زمانی و غیره.

    ظاهر میز:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
    ساختار جدول

    نام زمینه ارزش
    _شناسه شماره توالی رکورد (در جدول SQL)
    جید شناسه تماس واتساپ، با فرمت <شماره تلفن>@s.whatsapp.net نوشته شده است
    is_whatsapp_user اگر مخاطب با یک کاربر واقعی واتس اپ مطابقت داشته باشد، "1" دارد، در غیر این صورت "0".
    وضعیت حاوی متن نمایش داده شده در وضعیت تماس است
    status_timestamp حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است
    عدد شماره تلفن مرتبط با مخاطب
    raw_contact_id شماره سریال تماس
    DISPLAY_NAME نام نمایشی تماس
    phone_type نوع گوشی
    برچسب_تلفن برچسب مرتبط با شماره تماس
    unseen_msg_count تعداد پیام هایی که توسط یک مخاطب ارسال شده اما توسط گیرنده خوانده نشده است
    photo_ts حاوی یک مهر زمانی در قالب یونیکس Epoch Time است
    thumb_ts حاوی یک مهر زمانی در قالب یونیکس Epoch Time است
    photo_id_timestamp حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است
    داده_نام مقدار فیلد با «display_name» برای هر مخاطب مطابقت دارد
    wa_name نام مخاطب واتساپ (نام مشخص شده در نمایه مخاطب نمایش داده می شود)
    sort_name نام مخاطب مورد استفاده در عملیات مرتب سازی
    کنیه نام مستعار مخاطب در واتس اپ (نام مستعار مشخص شده در نمایه مخاطب نمایش داده می شود)
    شرکت شرکت (شرکت مشخص شده در نمایه مخاطب نمایش داده می شود)
    عنوان عنوان (خانم/آقا؛ عنوان پیکربندی شده در نمایه مخاطب نمایش داده می شود)
    چاپ افست جانبداری
  • 'sqlite_sequence'
    این جدول حاوی اطلاعاتی در مورد تعداد مخاطبین است.
  • 'android_metadata'
    این جدول حاوی اطلاعاتی در مورد بومی سازی زبان WhatsApp است.

در پایگاه داده 'msgstore.db' حاوی اطلاعاتی در مورد پیام های ارسال شده، مانند شماره تماس، متن پیام، وضعیت پیام، مهرهای زمانی، جزئیات فایل های منتقل شده موجود در پیام ها و غیره. فایل 'msgstore.db' واقع در طول مسیر: '/data/data/com.whatsapp/databases/' و دارای ساختار زیر است:

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
جالب ترین جداول موجود در فایل 'msgstore.db' برای محقق عبارتند از:

  • 'sqlite_sequence'
    این جدول حاوی اطلاعات کلی در مورد این پایگاه داده است، مانند تعداد کل پیام های ذخیره شده، تعداد کل چت ها و غیره.

    ظاهر میز:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

  • 'message_fts_content'
    حاوی متن پیام های ارسالی است.

    ظاهر میز:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

  • 'پیام ها'
    این جدول حاوی اطلاعاتی مانند شماره تماس، متن پیام، وضعیت پیام، مُهرهای زمانی، اطلاعات مربوط به فایل های منتقل شده موجود در پیام ها است.

    ظاهر میز:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
    ساختار جدول

    نام زمینه ارزش
    _شناسه شماره توالی رکورد (در جدول SQL)
    key_remote_jid شناسه واتساپ شریک ارتباطی
    کلید_از_من جهت پیام: '0' - ورودی، '1' - خروجی
    key_id شناسه پیام منحصر به فرد
    وضعیت وضعیت پیام: "0" - تحویل داده شد، "4" - انتظار در سرور، "5" - دریافت در مقصد، "6" - پیام کنترل، "13" - پیام باز شده توسط گیرنده (خواندن)
    نیاز_فشار اگر پیام پخش شده باشد مقدار "2" دارد، در غیر این صورت حاوی "0" است
    داده ها متن پیام (زمانی که پارامتر "media_wa_type" "0" است)
    برچسب زمان حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است که مقدار آن از ساعت دستگاه گرفته شده است
    media_url حاوی URL فایل منتقل شده است (زمانی که پارامتر "media_wa_type" "1"، "2"، "3" باشد)
    media_mime_type نوع MIME فایل منتقل شده (زمانی که پارامتر "media_wa_type" برابر با "1"، "2"، "3" باشد)
    media_wa_type نوع پیام: "0" - متن، "1" - فایل گرافیکی، "2" - فایل صوتی، "3" - فایل ویدئویی، "4" - کارت تماس، "5" - داده جغرافیایی
    رسانه_اندازه اندازه فایل منتقل شده (زمانی که پارامتر 'media_wa_type' '1'، '2'، '3' باشد)
    رسانه_نام نام فایل منتقل شده (زمانی که پارامتر 'media_wa_type' '1'، '2'، '3' باشد)
    رسانه_کپشن حاوی کلمات "audio"، "video" برای مقادیر مربوط به پارامتر "media_wa_type" است (زمانی که پارامتر "media_wa_type" "1"، "3" باشد)
    رسانه_هش هش کدگذاری شده base64 از فایل ارسالی، با استفاده از الگوریتم HAS-256 محاسبه شده است (زمانی که پارامتر 'media_wa_type' برابر با '1'، '2'، '3' باشد)
    مدت_رسانه مدت زمان فایل رسانه بر حسب ثانیه (زمانی که 'media_wa_type' '1'، '2'، '3' باشد)
    منشاء اگر پیام پخش شده باشد مقدار "2" دارد، در غیر این صورت حاوی "0" است
    عرض جغرافیایی geodata: عرض جغرافیایی (زمانی که پارامتر 'media_wa_type' '5' باشد)
    طول جغرافیایی geodata: طول جغرافیایی (زمانی که پارامتر 'media_wa_type' '5' باشد)
    thumb_image اطلاعات خدمات
    remote_resource شناسه فرستنده (فقط برای چت گروهی)
    دریافت_زمان مهر زمان دریافت، حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است، مقدار از ساعت دستگاه گرفته می شود (زمانی که پارامتر 'key_from_me' دارای '0'، '-1' یا مقدار دیگری باشد)
    send_timestamp استفاده نمی شود، معمولا دارای مقدار "-1" است
    receipt_server_timestamp زمان دریافت شده توسط سرور مرکزی، حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است، مقدار از ساعت دستگاه گرفته می شود (زمانی که پارامتر "key_from_me" دارای "1"، "-1" یا مقدار دیگری باشد.
    receipt_device_timestamp زمانی که پیام توسط مشترک دیگری دریافت شد، حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است، مقدار از ساعت دستگاه گرفته می‌شود (زمانی که پارامتر "key_from_me" دارای "1"، "-1" یا مقدار دیگری باشد.
    read_device_timestamp زمان باز کردن (خواندن) پیام، حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است، مقدار از ساعت دستگاه گرفته شده است.
    play_device_timestamp زمان پخش پیام، حاوی یک مهر زمانی در قالب Unix Epoch Time (ms) است، مقدار از ساعت دستگاه گرفته شده است.
    داده های خام تصویر کوچک فایل منتقل شده (زمانی که پارامتر 'media_wa_type' '1' یا '3' باشد)
    recipient_count تعداد گیرندگان (برای پیام های پخش شده)
    شرکت کننده_هش هنگام انتقال پیام با داده های جغرافیایی استفاده می شود
    ستاره دار استفاده نشده
    quoted_row_id ناشناخته، معمولا حاوی مقدار '0' است
    ذکر شده_جید استفاده نشده
    multicast_id استفاده نشده
    چاپ افست جانبداری

    این فهرست از فیلدها جامع نیست. برای نسخه‌های مختلف WhatsApp، ممکن است برخی از فیلدها وجود داشته باشد یا وجود نداشته باشد. علاوه بر این، ممکن است فیلدهایی وجود داشته باشد "media_enc_hash", 'edit_version', "payment_transaction_id" غیره

  • "پیامها_تصاویر کوچک"
    این جدول حاوی اطلاعاتی در مورد تصاویر منتقل شده و مُهرهای زمانی است. در ستون «مهر زمان»، زمان با فرمت Unix Epoch Time (ms) نشان داده شده است.
  • "فهرست_چت"
    این جدول حاوی اطلاعاتی در مورد چت است.

    ظاهر میز:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

همچنین هنگام بررسی واتس اپ در دستگاه تلفن همراه دارای اندروید، باید به فایل های زیر توجه کنید:

  • پرونده 'msgstore.db.cryptXX' (که XX یک یا دو رقم از 0 تا 12 است، به عنوان مثال، msgstore.db.crypt12). حاوی یک نسخه پشتیبان رمزگذاری شده از پیام های WhatsApp (فایل پشتیبان msgstore.db). فایل ها) 'msgstore.db.cryptXX' واقع در طول مسیر: '/data/media/0/WhatsApp/Databases/' (کارت SD مجازی)، '/mnt/sdcard/WhatsApp/Databases/ (کارت SD فیزیکی)'.
  • پرونده 'کلید'. حاوی یک کلید رمزنگاری واقع در مسیر: '/data/data/com.whatsapp/files/'. برای رمزگشایی پشتیبان‌های رمزگذاری شده WhatsApp استفاده می‌شود.
  • پرونده 'com.whatsapp_preferences.xml'. حاوی اطلاعاتی در مورد نمایه حساب واتساپ شما است. فایل در امتداد مسیر قرار دارد: '/data/data/com.whatsapp/shared_prefs/'.

    قطعه محتوای فایل

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • پرونده 'registration.RegisterPhone.xml'. حاوی اطلاعاتی درباره شماره تلفن مرتبط با حساب WhatsApp است. فایل در امتداد مسیر قرار دارد: '/data/data/com.whatsapp/shared_prefs/'.

    محتویات فایل 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • پرونده 'axolotl.db'. حاوی کلیدهای رمزنگاری و سایر داده هایی است که برای شناسایی مالک حساب ضروری است. واقع در مسیر: '/data/data/com.whatsapp/databases/'.
  • پرونده 'chatsettings.db'. حاوی اطلاعات پیکربندی برنامه است.
  • پرونده 'wa.db'. حاوی اطلاعات تماس یک پایگاه داده بسیار جالب (از جنبه پزشکی قانونی) و آموزنده. این می تواند حاوی اطلاعات دقیق در مورد مخاطبین حذف شده باشد.

همچنین باید به دایرکتوری های زیر توجه کنید:

  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Images/'. حاوی فایل های گرافیکی منتقل شده
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. حاوی پیام های صوتی در فایل های فرمت OPUS.
  • راهنمای '/data/data/com.whatsapp/cache/Profile Pictures/'. حاوی فایل های گرافیکی – تصاویر مخاطبین.
  • راهنمای '/data/data/com.whatsapp/files/Avatar/'. حاوی فایل های گرافیکی – تصاویر کوچک مخاطبین. این فایل‌ها پسوند «.j» دارند اما با این وجود فایل‌های تصویری JPEG (JPG) هستند.
  • راهنمای '/data/data/com.whatsapp/files/Avatar/'. حاوی فایل‌های گرافیکی است - یک تصویر و یک تصویر کوچک از تصویر که توسط مالک حساب به عنوان یک آواتار تنظیم شده است.
  • راهنمای '/data/data/com.whatsapp/files/Logs/'. شامل گزارش عملیات برنامه (فایل 'whatsapp.log') و نسخه‌های پشتیبان گزارش‌های عملیات برنامه (فایل‌هایی با نام‌هایی با فرمت whatsapp-yyyy-mm-dd.1.log.gz) است.

فایل های لاگ واتس اپ:

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
قطعه مجله2017/01/10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] اعلان تماس از دست رفته/تعداد اولیه: 0 مهر زمانی: 0
2017/01/10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] اعلان تماس از دست رفته/به‌روزرسانی لغو درست است
2017/01/10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] فایل رمز عبور موجود نیست یا قابل خواندن نیست
2017-01-10 09:37:09.782 LL_I D [1:main] آمار پیام‌های متنی: 59 پیام ارسال شده، 82 پیام دریافت شده / پیام رسانه: 1 ارسال شده (0 بایت)، 0 دریافت شده (9850158 بایت) / پیام آفلاین: 81 پیام دریافت شده ( میانگین تأخیر 19522 میلی‌ثانیه) / سرویس پیام: 116075 بایت ارسال شده، 211729 بایت دریافت شده / تماس Voip: 1 تماس خروجی، 0 تماس ورودی، 2492 بایت ارسال شده، 1530 بایت دریافت شده / Google Drive: 0 بایت ارسال شده، 0 بایت: 1524 بایت دریافت شده / Roam بایت ارسال شده، 1826 بایت دریافت شده / کل داده ها: 118567 بایت ارسال شده، 10063417 بایت دریافت شده
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017/01/10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017/01/10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017/01/10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017/01/10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017/01/10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017/01/10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017/01/10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017/01/10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017/01/10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017/01/10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017/01/10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017/01/10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017/01/10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/نسخه 1
2017/01/10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017/01/10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017/01/10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | زمان صرف شده: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage موجود:1,345,622,016 مجموع:5,687,922,688

  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. حاوی فایل های صوتی دریافتی
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. حاوی فایل های صوتی ارسالی
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Images/'. شامل فایل های گرافیکی به دست آمده است.
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. حاوی فایل های گرافیکی ارسالی
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Video/'. حاوی فایل های ویدئویی دریافتی
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. حاوی فایل های ویدئویی ارسال شده
  • راهنمای '/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/'. حاوی فایل‌های گرافیکی مرتبط با مالک حساب WhatsApp است.
  • برای صرفه جویی در فضای حافظه در تلفن هوشمند اندرویدی خود، برخی از داده های WhatsApp را می توان در کارت SD ذخیره کرد. روی کارت SD، در پوشه ریشه، یک دایرکتوری وجود دارد 'واتس اپ'، که در آن مصنوعات زیر از این برنامه یافت می شود:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

  • راهنمای '.اشتراک گذاری' ('/mnt/sdcard/WhatsApp/.Share/'). حاوی کپی از فایل هایی است که با سایر کاربران واتس اپ به اشتراک گذاشته شده است.
  • راهنمای '.زباله ها' ('/mnt/sdcard/WhatsApp/.trash/'). حاوی فایل های پاک شده
  • راهنمای "پایگاه های اطلاعاتی" ('/mnt/sdcard/WhatsApp/Databases/'). حاوی نسخه های پشتیبان رمزگذاری شده است. در صورت وجود فایل می توان آنها را رمزگشایی کرد 'کلید'، از حافظه دستگاه آنالیز شده استخراج شده است.

    فایل هایی که در یک زیر شاخه قرار دارند "پایگاه های اطلاعاتی":

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟

  • راهنمای 'نیم' ('/mnt/sdcard/WhatsApp/Media/'). شامل زیر شاخه ها "کاغذ دیواری", "واتس اپ صوتی", "تصاویر واتس اپ", "عکس های نمایه واتساپ", 'ویدیو واتس اپ', "یادداشت های صوتی واتس اپ"که حاوی فایل‌های چندرسانه‌ای دریافتی و ارسالی (فایل‌های گرافیکی، فایل‌های ویدیویی، پیام‌های صوتی، عکس‌های مرتبط با نمایه مالک حساب واتس‌اپ، تصاویر پس زمینه) است.
  • راهنمای 'عکس پروفایل' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). حاوی فایل‌های گرافیکی مرتبط با نمایه مالک حساب WhatsApp است.
  • گاهی اوقات ممکن است دایرکتوری روی کارت SD وجود داشته باشد 'فایل ها' ('/mnt/sdcard/WhatsApp/Files/'). این فهرست شامل فایل هایی است که تنظیمات برنامه و تنظیمات برگزیده کاربر را ذخیره می کند.

ویژگی های ذخیره سازی داده ها در برخی از مدل های دستگاه های تلفن همراه

برخی از مدل‌های دستگاه‌های تلفن همراه دارای سیستم عامل Android ممکن است مصنوعات WhatsApp را در مکان دیگری ذخیره کنند. این به دلیل تغییرات در فضای ذخیره سازی داده های برنامه توسط نرم افزار سیستم دستگاه تلفن همراه است. به عنوان مثال، دستگاه های تلفن همراه شیائومی عملکردی برای ایجاد یک فضای کاری دوم ("SecondSpace") دارند. هنگامی که این عملکرد فعال می شود، مکان داده ها تغییر می کند. بنابراین، اگر در یک دستگاه تلفن همراه معمولی که دارای سیستم عامل اندروید است، داده های کاربر در فهرست ذخیره می شود '/data/user/0/' (که اشاره ای به معمول است '/data/data/'، سپس در دومین فضای کاری، داده های برنامه در دایرکتوری ذخیره می شود '/data/user/10/'. یعنی با استفاده از مثال محل فایل 'wa.db':

  • در یک گوشی هوشمند معمولی با سیستم عامل اندروید: /data/user/0/com.whatsapp/databases/wa.db' (که معادل است '/data/data/com.whatsapp/databases/wa.db');
  • در دومین فضای کاری گوشی هوشمند شیائومی: '/data/user/10/com.whatsapp/databases/wa.db'.

مصنوعات WhatsApp در دستگاه iOS

برخلاف سیستم عامل اندروید، در iOS برنامه واتس اپ داده ها به یک نسخه پشتیبان (پشتیبان آیتونز) منتقل می شود. بنابراین، استخراج داده از این برنامه نیازی به استخراج سیستم فایل یا ایجاد تخلیه حافظه فیزیکی دستگاه تحت بررسی ندارد. بیشتر اطلاعات مربوطه در پایگاه داده موجود است 'ChatStorage.sqlite'، که در امتداد مسیر قرار دارد: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (در برخی از برنامه ها این مسیر به صورت ظاهر می شود 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

ساختار 'ChatStorage.sqlite':

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
آموزنده ترین جداول در پایگاه داده 'ChatStorage.sqlite' هستند "ZWAMESSAGE" и "ZWAMEDIAITEM".

ظاهر میز "ZWAMESSAGE":

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
ساختار جدول 'ZWAMESSAGE'

نام زمینه ارزش
Z_PK شماره توالی رکورد (در جدول SQL)
Z_ENT شناسه جدول، دارای مقدار '9' است
Z_OPT ناشناخته، معمولا حاوی مقادیری از "1" تا "6" است
ZCHILDMESSAGESDELIVEREDCOUNT ناشناخته، معمولا حاوی مقدار '0' است
ZCHILDMESSAGESPLAYEDCOUNT ناشناخته، معمولا حاوی مقدار '0' است
ZCHILDMESSAGESREADCOUNT ناشناخته، معمولا حاوی مقدار '0' است
ZDATAITEMVERSION ناشناخته، معمولا حاوی مقدار «3» است، احتمالاً یک نشانگر پیام متنی
ZDOCID ناشناخته است
ZENCRETRYCOUNT ناشناخته، معمولا حاوی مقدار '0' است
ZFILTEREDRECIPIENTCOUNT ناشناخته، معمولا حاوی مقادیر "0"، "2"، "256" است
ZISFROMME جهت پیام: '0' - ورودی، '1' - خروجی
ZMESSAGEERRORSTATUS وضعیت انتقال پیام اگر پیام ارسال یا دریافت شود، مقدار "0" دارد.
ZMESSAGETYPE نوع پیام در حال انتقال
ZSORT ناشناخته است
ZSPOTLIGHSTATUS ناشناخته است
ZSTARED ناشناخته، استفاده نشده
ZCHATSESSION ناشناخته است
ZGROUPMEMBER ناشناخته، استفاده نشده
ZLASTSESSION ناشناخته است
ZMEDIAITEM ناشناخته است
ZMESSAGEINFO ناشناخته است
ZPARENTMESSAGE ناشناخته، استفاده نشده
ZMESSAGEDATE مهر زمانی در قالب OS X Epoch Time
ZSENTDATE زمانی که پیام در قالب OS X Epoch Time ارسال شد
ZFROMJID شناسه فرستنده واتساپ
ZMEDIASECTIONID حاوی سال و ماه ارسال فایل رسانه ای است
ZPHASH ناشناخته، استفاده نشده
ZPUSHPAME نام مخاطبی که فایل رسانه ای را با فرمت UTF-8 ارسال کرده است
ZSTANZID شناسه پیام منحصر به فرد
ZTEXT متن پیام
ZTOJID شناسه واتساپ گیرنده
انحراف جانبداری

ظاهر میز "ZWAMEDIAITEM":

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
ساختار جدول 'ZWAMEDIAITEM'

نام زمینه ارزش
Z_PK شماره توالی رکورد (در جدول SQL)
Z_ENT شناسه جدول، دارای مقدار '8' است
Z_OPT ناشناخته، معمولا حاوی مقادیری از "1" تا "3" است.
ZCLOUDSTATUS در صورت بارگیری فایل حاوی مقدار '4' است.
ZFILESIZE شامل طول فایل (بر حسب بایت) برای فایل های دانلود شده است
ZMEDIAORIGIN ناشناخته، معمولاً دارای مقدار '0' است
ZMOVIEDURATION مدت زمان فایل رسانه ای، برای فایل های pdf ممکن است تعداد صفحات سند را شامل شود
ZMESSAGE شامل یک شماره سریال (شماره با شماره نشان داده شده در ستون "Z_PK" متفاوت است)
ZASPECTRATIO نسبت تصویر، استفاده نشده است، معمولاً روی '0' تنظیم می شود
صحت ناشناخته، معمولاً دارای مقدار '0' است
ZLATTITUDE عرض بر حسب پیکسل
ZLONGTITUDE ارتفاع بر حسب پیکسل
ZMEDIAURLDATE مهر زمانی در قالب OS X Epoch Time
ZAUTHORNAME نویسنده (برای اسناد، ممکن است حاوی نام فایل باشد)
ZCOLLECTIONNAME استفاده نشده
ZMEDIALOCALPATH نام فایل (از جمله مسیر) در سیستم فایل دستگاه
ZMEDIAURL نشانی اینترنتی که فایل رسانه در آن قرار داشت. اگر فایلی از مشترکی به مشترک دیگر منتقل شده باشد، رمزگذاری شده است و پسوند آن به عنوان پسوند فایل منتقل شده نشان داده می شود - .enc.
ZTHUMBNAILLOCALPATH مسیر به تصویر کوچک فایل در سیستم فایل دستگاه
ZTITLE هدر فایل
ZVCARDNAME هش فایل رسانه؛ هنگام انتقال فایل به یک گروه، ممکن است حاوی شناسه فرستنده باشد
ZVCARDSTRING حاوی اطلاعاتی در مورد نوع فایل در حال انتقال (به عنوان مثال، تصویر/jpeg)؛ هنگام انتقال یک فایل به یک گروه، ممکن است حاوی شناسه گیرنده باشد.
ZXMPPTHUMBPATH مسیر به تصویر کوچک فایل در سیستم فایل دستگاه
ZMEDIAKEY ناشناخته، احتمالا حاوی کلید رمزگشایی فایل رمزگذاری شده است.
ZMETADATA فراداده پیام ارسال شده
افست جانبداری

دیگر جداول پایگاه داده جالب 'ChatStorage.sqlite' عبارتند از:

  • 'ZWAPROFILEPUSHNAME'. مطابق با ID WhatsApp با نام تماس.
  • "ZWAPROFILEPICTUREITEM". مطابق با ID WhatsApp با آواتار مخاطب؛
  • "Z_PRIMARYKEY". جدول حاوی اطلاعات کلی در مورد این پایگاه داده است، مانند تعداد کل پیام های ذخیره شده، تعداد کل چت ها و غیره.

همچنین هنگام بررسی واتس اپ در دستگاه تلفن همراه دارای iOS، باید به فایل های زیر توجه کنید:

  • پرونده 'BackedUpKeyValue.sqlite'. حاوی کلیدهای رمزنگاری و سایر داده هایی است که برای شناسایی مالک حساب ضروری است. واقع در مسیر: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • پرونده 'ContactsV2.sqlite'. حاوی اطلاعاتی در مورد مخاطبین کاربر مانند نام کامل، شماره تلفن، وضعیت تماس (به صورت متنی)، ID WhatsApp و غیره است. واقع در مسیر: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • پرونده 'consumer_version'. شامل شماره نسخه برنامه نصب شده WhatsApp است. واقع در مسیر: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • پرونده 'current_wallpaper.jpg'. حاوی تصویر زمینه پس زمینه فعلی WhatsApp است. واقع در مسیر: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. نسخه های قدیمی تر برنامه از فایل استفاده می کنند "کاغذ دیواری"که در امتداد مسیر قرار دارد: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • پرونده 'blockedcontacts.dat'. حاوی اطلاعاتی درباره مخاطبین مسدود شده است. واقع در مسیر: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • پرونده 'pw.dat'. حاوی رمز عبور رمزگذاری شده واقع در مسیر: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • پرونده "net.whatsapp.WhatsApp.plist" (یا فایل "group.net.whatsapp.WhatsApp.shared.plist"). حاوی اطلاعاتی در مورد نمایه حساب واتساپ شما است. فایل در امتداد مسیر قرار دارد: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

محتویات فایل "group.net.whatsapp.WhatsApp.shared.plist" واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
همچنین باید به دایرکتوری های زیر توجه کنید:

  • راهنمای '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. حاوی تصاویر کوچک مخاطبین، گروه ها (فایل های با پسوند .شست، آواتارهای تماس، آواتار مالک حساب واتساپ (فایل "Photo.jpg").
  • راهنمای '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. حاوی فایل های چندرسانه ای و تصاویر کوچک آنهاست
  • راهنمای '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. شامل گزارش عملیات برنامه (فایل 'calls.log') و کپی های پشتیبان از گزارش های عملیات برنامه (فایل 'calls.backup.log').
  • راهنمای '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. حاوی برچسب (فایل هایی با فرمت ".webp").
  • راهنمای '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. شامل گزارش عملیات برنامه است.

مصنوعات واتس اپ در ویندوز

مصنوعات واتس اپ در ویندوز را می توان در چندین مکان یافت. اول از همه، این ها دایرکتوری های حاوی فایل های برنامه اجرایی و کمکی (برای ویندوز 8/10) هستند:

  • 'C: فایل های برنامه (x86) واتس اپ'
  • 'C:کاربران%نمایه کاربر% AppDataLocalWhatsApp'
  • 'C:Users%User Profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

در کاتالوگ 'C:کاربران%نمایه کاربر% AppDataLocalWhatsApp' فایل log قرار دارد 'SquirrelSetup.log'، که حاوی اطلاعاتی در مورد بررسی به روز رسانی و نصب برنامه است.

در کاتالوگ 'C:کاربران%نمایه کاربر% AppDataRoamingWhatsApp' چندین زیرشاخه وجود دارد:

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
پرونده 'main-process.log' حاوی اطلاعاتی در مورد عملکرد برنامه WhatsApp است.

دایرکتوری فرعی "پایگاه های اطلاعاتی" حاوی یک فایل "Databases.db"، اما این فایل حاوی هیچ اطلاعاتی در مورد چت یا مخاطبین نیست.

از نظر پزشکی قانونی جالب ترین فایل های موجود در فهرست هستند "کش". اینها در اصل فایل هایی هستند که نام دارند 'f_*******' (که در آن * عددی از 0 تا 9 است) حاوی فایل ها و اسناد چندرسانه ای رمزگذاری شده است، اما فایل های رمزگذاری نشده نیز در بین آنها وجود دارد. فایل های مورد علاقه خاص هستند 'data_0', 'data_1', 'data_2', 'data_3'، در همان زیر شاخه قرار دارد. فایل ها 'data_0', 'data_1', 'data_3' حاوی پیوندهای خارجی به فایل ها و اسناد چندرسانه ای رمزگذاری شده ارسال شده است.

نمونه ای از اطلاعات موجود در فایل 'data_1'واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
همچنین فایل 'data_3' ممکن است حاوی فایل های گرافیکی باشد.

پرونده 'data_2' شامل آواتارهای مخاطب (با جستجو بر اساس سرفصل های فایل قابل بازیابی است).

آواتارهای موجود در فایل 'data_2':

واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
بنابراین، خود چت ها را نمی توان در حافظه رایانه پیدا کرد، اما می توانید پیدا کنید:

  • فایل های چند رسانه ای؛
  • اسناد ارسال شده از طریق واتس اپ؛
  • اطلاعات مربوط به مخاطبین مالک حساب

مصنوعات WhatsApp در MacOS

در MacOS می توانید انواع مصنوعات واتس اپ را مشابه آنچه در سیستم عامل ویندوز یافت می شود بیابید.

فایل های برنامه در دایرکتوری های زیر قرار دارند:

  • "C:ApplicationsWhatsApp.app"
  • 'C:Applications._WhatsApp.app'
  • "C:Users%User نمایه%LibraryPreferences"
  • 'C:کاربران%نمایه کاربر%LibraryLogsWhatsApp'
  • 'C:کاربران%نمایه کاربر%LibrarySaved Application StateWhatsApp.savedState'
  • "C:کاربران%نمایه کاربر%اسکریپت های LibraryApplication"
  • "C:Users%User User%LibraryApplication SupportCloudDocs"
  • 'C:کاربران%نمایه کاربر%LibraryApplication SupportWhatsApp.ShipIt'
  • "C:کاربران%نمایه کاربر%LibraryContainerscom.rockysandstudio.app-for-whatsapp"
  • 'C:Users%User User Profile% Library Documents Mobile <متغیر متن> حساب های WhatsApp'
    این فهرست شامل زیردایرکتوری هایی است که نام آنها شماره تلفن های مرتبط با صاحب حساب واتس اپ است.
  • 'C:کاربران%نمایه کاربر%LibraryCachesWhatsApp.ShipIt'
    این فهرست حاوی اطلاعاتی در مورد نصب برنامه است.
  • 'C:کاربران%نمایه کاربر%PicturesiPhoto Library.photolibraryMasters', 'C:کاربران%نمایه کاربر%PicturesiPhoto Library.photolibraryThumbnails'
    این دایرکتوری ها حاوی فایل های سرویس برنامه، از جمله عکس ها و تصاویر کوچک مخاطبین واتس اپ هستند.
  • "C:کاربران%نمایه کاربر%LibraryCachesWhatsApp"
    این فهرست شامل چندین پایگاه داده SQLite است که برای ذخیره سازی داده ها استفاده می شود.
  • 'C:کاربران%نمایه کاربر%پشتیبانی اپلیکیشن کتابخانه واتساپ
    این دایرکتوری شامل چندین زیر شاخه است:

    واتس اپ در کف دست شما: از کجا و چگونه می توانید مصنوعات پزشکی قانونی را پیدا کنید؟
    در کاتالوگ 'C:کاربران%نمایه کاربر%پشتیبانی اپلیکیشن کتابخانهWhatsAppCache' فایل ها وجود دارد 'data_0', 'data_1', 'data_2', 'data_3' و فایل هایی با نام 'f_*******' (که در آن * عددی از 0 تا 9 است). برای اطلاع از اطلاعاتی که این فایل‌ها حاوی چه اطلاعاتی هستند، به مصنوعات WhatsApp در ویندوز مراجعه کنید.

    در کاتالوگ 'C:Users% User Profile% LibraryApplication SupportWhatsAppIndexedDB' ممکن است حاوی فایل های چند رسانه ای باشد (فایل ها پسوند ندارند).

    پرونده 'main-process.log' حاوی اطلاعاتی در مورد عملکرد برنامه WhatsApp است.

منابع

  1. تجزیه و تحلیل قانونی پیام رسان واتس اپ در گوشی های هوشمند اندروید، توسط Cosimo Anglano، 2014.
  2. Whatsapp Forensics: Eksplorasi system berkas and based data pada appasi Android and iOS by Ahmad Pratama, 2014.

در مقالات زیر در این مجموعه:

رمزگشایی پایگاه داده های رمزگذاری شده WhatsAppمقاله ای که اطلاعاتی در مورد نحوه تولید کلید رمزگذاری واتس اپ و نمونه های عملی نشان می دهد که چگونه پایگاه های داده رمزگذاری شده این برنامه را رمزگشایی کنید.
استخراج داده های WhatsApp از فضای ذخیره سازی ابریمقاله ای که در آن به شما می گوییم چه داده های واتس اپ در فضای ابری ذخیره می شود و روش های بازیابی این داده ها از فضای ذخیره سازی ابری را شرح می دهیم.
استخراج داده های واتساپ: مثال های عملیمقاله ای که قدم به قدم توضیح می دهد که چه برنامه هایی و چگونه داده های WhatsApp را از دستگاه های مختلف استخراج کنیم.

منبع: www.habr.com

اضافه کردن نظر