Ha tudni szeretné, hogy milyen típusú WhatsApp kriminalisztikai műtermékek léteznek különböző operációs rendszereken, és pontosan hol találhatók meg, akkor itt van. Ezzel a cikkel a Group-IB Computer Forensics Laboratory szakembere Igor Mihajlov bejegyzések sorát nyitja meg a WhatsApp törvényszéki vizsgálatáról és arról, hogy milyen információk nyerhetők az eszköz elemzéséből.
Rögtön megjegyezzük, hogy a különböző típusú WhatsApp-termékeket különböző operációs rendszerek tárolják, és ha egy kutató bizonyos típusú WhatsApp-adatokat tud kinyerni egy eszközről, az egyáltalán nem jelenti azt, hogy hasonló típusú adatokat lehet kinyerni egy másik eszközről. Például, ha egy Windows rendszert futtató rendszeregységet eltávolítanak, akkor a WhatsApp chat valószínűleg nem található meg a meghajtókon (kivételt képeznek az iOS-eszközök biztonsági másolatai, amelyek ugyanazokon a meghajtókon találhatók). A laptopok és mobileszközök lefoglalásakor előfordulhat néhány sajátosság. Beszéljünk erről részletesebben.
Whatsapp-termékek Android-eszközön
A WhatsApp műtermékek Android-eszközről való kinyeréséhez a kutatónak root jogosultságokkal kell rendelkeznie ('gyökér').
Az alkalmazásfájlok a telefon memóriájában találhatók abban a részben, ahol a felhasználói adatokat tárolják. Általában ennek a szakasznak a neve 'felhasználói adat'. A program alkönyvtárai és fájljai az elérési út mentén találhatók: '/data/data/com.whatsapp/'.
Az Android operációs rendszerben a WhatsApp kriminalisztikai műtermékeket tartalmazó fő fájlok adatbázisok "wa.db" и "msgstore.db".
Az adatbázisban "wa.db" tartalmazza a felhasználó WhatsApp névjegyeinek teljes listáját, beleértve a telefonszámot, a megjelenített nevet, az időbélyegeket és a WhatsApp-on való regisztráció során megadott egyéb információkat. Fájl "wa.db" az út mentén található: '/data/data/com.whatsapp/databases/' és a következő szerkezettel rendelkezik:
Az adatbázis legérdekesebb táblázatai "wa.db" a kutató számára a következők:
- 'wa_contacts'
Ez a táblázat a kapcsolatfelvételi adatokat tartalmazza: whatsapp kapcsolattartó azonosítója, állapotinformáció, felhasználó megjelenített neve, időbélyegek stb.A táblázat megjelenése:
Táblázat szerkezeteMező neve Érték _id rekordszám (SQL táblában) jid WhatsApp kapcsolattartó azonosítója, <telefonszám>@s.whatsapp.net formátumban is_whatsapp_user „1”-et tartalmaz, ha a kapcsolat tényleges WhatsApp-felhasználó, „0” egyébként állapot a kapcsolat állapotában megjelenő szöveget tartalmazza status_timestamp Unix Epoch Time (ms) formátumú időbélyeget tartalmaz szám a kapcsolathoz tartozó telefonszámot raw_contact_id elérhetőség DISPLAY_NAME névjegy megjelenített neve phone_type telefon típusa phone_label a kapcsolati számhoz tartozó címke unseen_msg_count a kapcsolattartó által elküldött, de a címzett által el nem olvasott üzenetek száma photo_ts Unix Epoch Time formátumú időbélyeget tartalmaz thumb_ts Unix Epoch Time formátumú időbélyeget tartalmaz photo_id_timestamp Unix Epoch Time (ms) formátumú időbélyeget tartalmaz keresztnév a mező értéke megegyezik a „megjelenítési_név” értékkel minden kapcsolatnál wa_name Whatsapp kapcsolattartó neve (megjeleníti a nevet a kapcsolattartó profiljában) rendezési_név a rendezési műveleteknél használt kapcsolattartó név becenév a kapcsolattartó WhatsApp beceneve (a kapcsolattartó profiljában megadott becenevet jeleníti meg) vállalat cég (megjeleníti a kapcsolattartó profiljában szereplő céget) cím titulus (Hölgyem/Mr.; a kapcsolattartó profiljában beállított címet jeleníti meg) eltolt Elfogultság - 'sqlite_sequence'
Ez a táblázat információkat tartalmaz a kapcsolatok számáról; - "android_metadata"
Ez a táblázat a WhatsApp nyelvi lokalizációjával kapcsolatos információkat tartalmaz.
Az adatbázisban "msgstore.db" információkat tartalmaz az átvitt üzenetekről, mint például a kapcsolati szám, az üzenet szövege, az üzenet állapota, az időbélyegek, az üzenetekben lévő átvitt fájlokról stb. Fájl "msgstore.db" az út mentén található: '/data/data/com.whatsapp/databases/' és a következő szerkezettel rendelkezik:
A fájl legérdekesebb táblázatai "msgstore.db" a kutató számára a következők:
- 'sqlite_sequence'
Ez a táblázat általános információkat tartalmaz az adatbázisról, például a tárolt üzenetek teljes számát, a csevegések számát stb.A táblázat megjelenése:
- "message_fts_content"
Az elküldött üzenetek szövegét tartalmazza.A táblázat megjelenése:
- 'üzenetek'
Ez a táblázat olyan információkat tartalmaz, mint a kapcsolattartó telefonszáma, az üzenet szövege, az üzenet állapota, az időbélyegek, az üzenetekben található átvitt fájlokkal kapcsolatos információk.A táblázat megjelenése:
Táblázat szerkezeteMező neve Érték _id rekordszám (SQL táblában) key_remote_jid A kommunikációs partner Whatsapp azonosítója key_from_me üzenet iránya: '0' – bejövő, '1' – kimenő kulcs_azonosító egyedi üzenetazonosító állapot üzenet állapota: '0' - kézbesítve, '4' - vár a szerveren, '5' - érkezett a rendeltetési helyre, '6' - vezérlőüzenet, '13' - az üzenetet a címzett nyitotta meg (olvasás) kell_push '2', ha üzenetszórásról van szó, '0' egyébként dátum üzenet szövege (ha a 'media_wa_type' értéke '0') időbélyeg Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az érték az eszköz órájából származik media_url tartalmazza az átvitt fájl URL-jét (ha a 'media_wa_type' paraméter '1', '2', '3') media_mime_type az átvitt fájl MIME-típusa (ha a 'media_wa_type' paraméter egyenlő '1', '2', '3'-mal) media_wa_type üzenet típusa: '0' - szöveg, '1' - grafikus fájl, '2' - hangfájl, '3' - videofájl, '4' - névjegykártya, '5' - geoadatok media_size átviteli fájlméret (ha a 'media_wa_type' értéke '1', '2', '3') média_neve átvinni kívánt fájlnév (ha a 'media_wa_type' értéke '1', '2', '3') media_caption Tartalmazza az 'audio', 'video' szavakat a 'media_wa_type' paraméter megfelelő értékeihez (ha a 'media_wa_type' paraméter értéke '1', '3') media_hash a továbbított fájl HAS-64 algoritmussal kiszámított base256 kódolású hash-je (ha a 'media_wa_type' paraméter egyenlő '1', '2', '3'-mal) media_duration a médiafájl időtartama másodpercben (ha a 'media_wa_type' értéke '1', '2', '3') származás '2', ha üzenetszórásról van szó, '0' egyébként szélesség geodata: szélesség (ha a 'media_wa_type' értéke '5') hosszúság geodata: longitude (ha a 'media_wa_type' értéke '5') hüvelykujj_kép szolgáltatási információk távoli_erőforrás Feladó azonosítója (csak csoportos csevegés esetén) fogadott_időbélyeg átvétel időpontja, Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az érték az eszköz órájából származik (ha a "key_from_me" paraméter "0", "-1" vagy más érték) send_timestamp nem használt, általában '-1'-re van állítva nyugta_szerver_időbélyeg a központi szerver által fogadott idő, Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az érték az eszköz órájából származik (ha a 'key_from_me' paraméter '1', '-1' vagy más érték nyugta_eszköz_időbélyege az üzenet másik előfizető általi fogadásának időpontja, Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az érték az eszköz órájából származik (ha a 'key_from_me' paraméter értéke '1', '-1' vagy más read_device_timestamp üzenet nyitási (olvasási) ideje, Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az értéket a készülék órájából veszik play_device_timestamp üzenet lejátszási ideje, Unix Epoch Time (ms) formátumú időbélyeget tartalmaz, az érték az eszköz órájából származik nyers adatok az átvitt fájl miniatűrje (ha a 'media_wa_type' paraméter '1' vagy '3') címzett_szám címzettek száma (szórt üzenetekhez) résztvevő_hash geoadatokat tartalmazó üzenetek küldésekor használatos csillagozott nem használt idézett_sor_azonosítója ismeretlen, általában '0' értéket tartalmaz említett_jids nem használt multicast_id nem használt eltolt Elfogultság A mezők listája nem teljes. A WhatsApp különböző verzióinál előfordulhat, hogy egyes mezők nem jelennek meg. További mezők lehetnek jelen "media_enc_hash", "edit_version", 'payment_transaction_id' stb
- 'messages_thumbnails'
Ez a táblázat információkat tartalmaz az átvitt képekről és időbélyegekről. Az 'időbélyeg' oszlop az időt Unix Epoch Time (ms) formátumban jelzi. - 'chat_list'
Ez a táblázat a chatekkel kapcsolatos információkat tartalmaz.A táblázat megjelenése:
Ezenkívül a WhatsApp Android mobileszközön történő vizsgálatakor a következő fájlokra kell figyelnie:
- fájl "msgstore.db.cryptXX" (ahol az XX egy vagy két számjegy 0 és 12 között, például msgstore.db.crypt12). A WhatsApp üzenetek titkosított biztonsági másolatát tartalmazza (biztonsági másolat fájl msgstore.db). Fájl (vagy fájlok) "msgstore.db.cryptXX" az út mentén található: '/data/media/0/WhatsApp/Databases/' (virtuális SD kártya), '/mnt/sdcard/WhatsApp/Databases/ (fizikai SD-kártya)”.
- fájl 'kulcs'. Titkosító kulcsot tartalmaz. Az út mentén található: '/data/data/com.whatsapp/files/'. A titkosított WhatsApp biztonsági másolatok visszafejtésére szolgál.
- fájl "com.whatsapp_preferences.xml". Információkat tartalmaz a WhatsApp-fiókprofilról. A fájl az elérési út mentén található: '/data/data/com.whatsapp/shared_prefs/'.
Fájltartalom-töredék
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - fájl "registration.RegisterPhone.xml". Információkat tartalmaz a WhatsApp-fiókhoz társított telefonszámról. A fájl az elérési út mentén található: '/data/data/com.whatsapp/shared_prefs/'.
Fájl tartalma
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - fájl "axolotl.db". Titkosító kulcsokat és egyéb adatokat tartalmaz, amelyek a fióktulajdonos azonosításához szükségesek. Az út mentén található: '/data/data/com.whatsapp/databases/'.
- fájl 'chatsettings.db'. Alkalmazáskonfigurációs információkat tartalmaz.
- fájl "wa.db". Elérhetőségi adatokat tartalmaz. Nagyon érdekes (bírósági szempontból) és informatív adatbázis. A törölt névjegyekről részletes információk találhatók benne.
A következő könyvtárakra is figyelni kell:
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Images/”. Feltöltött grafikus fájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/”. Hangüzeneteket tartalmaz .OPUS formátumú fájlokban.
- Каталог '/data/data/com.whatsapp/cache/Profile Pictures/'. Grafikus fájlokat tartalmaz – névjegyképeket.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Grafikus fájlokat tartalmaz – névjegyek miniatűrjeit. Ezek a fájlok „.j” kiterjesztéssel rendelkeznek, de továbbra is JPEG (JPG) képfájlok.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Grafikus fájlokat tartalmaz – egy képet és a fiók tulajdonosa által avatarként beállított kép miniatűrjét.
- Каталог '/data/data/com.whatsapp/files/Logs/'. Tartalmazza a programműveleti naplót (a „whatsapp.log” fájlt) és az alkalmazás műveleti naplóinak biztonsági másolatait (whatsapp-éééé-hh-nn.1.log.gz formátumú fájlok).
Whatsapp naplófájlok:
Egy folyóirat töredéke2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] elmulasztott hívásértesítés/frissítés visszavonása igaz
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] jelszófájl hiányzik vagy olvashatatlan
2017-01-10 09:37:09.782 LL_I D [1:main] statisztika Szöveges üzenetek: 59 elküldve, 82 fogadott / Médiaüzenetek: 1 elküldve (0 bájt), 0 fogadva (9850158 bájt) / Offline üzenetek: 81 fogadott ( 19522 msec átlagos késleltetés) / Üzenetszolgáltatás: 116075 bájt elküldve, 211729 bájt fogadott / VoIP hívások: 1 kimenő hívás, 0 bejövő hívás, 2492 bájt elküldve, 1530 bájt fogadott / Google Drive: 0 bájt elküldve, 0 bájt fogadott / Roaming bájt elküldve, 1524 bájt fogadott / Összes adat: 1826 bájt elküldve, 118567 bájt fogadott
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/inicialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/verzió 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | eltöltött idő:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage elérhető:1,345,622,016 5,687,922,688 XNUMX XNUMX összesen: XNUMX XNUMX XNUMX XNUMX
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Audio/”. Fogadott hangfájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/”. Elküldött hangfájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Images/”. Fogadott grafikus fájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/”. Feltöltött grafikus fájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Video/”. Fogadott videofájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/”. Feltöltött videofájlokat tartalmaz.
- Каталог „/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/”. A WhatsApp-fiók tulajdonosához társított képfájlokat tartalmazza.
- Az Android okostelefon helyének megtakarítása érdekében bizonyos WhatsApp-adatokat az SD-kártyán tárolhat. Az SD-kártyán a gyökérkönyvtárban van egy könyvtár "WhatsApp"ahol a program következő műtermékei találhatók:
- Каталог '.Ossza meg' ('/mnt/sdcard/WhatsApp/.Share/'). Más WhatsApp-felhasználókkal megosztott fájlok másolatait tartalmazza.
- Каталог '.szemét' ("/mnt/sdcard/WhatsApp/.trash/"). Törölt fájlokat tartalmaz.
- Каталог "adatbázisok" ('/mnt/sdcard/WhatsApp/Databases/'). Titkosított biztonsági másolatokat tartalmaz. Dekódolhatók, ha van fájl 'kulcs', kinyerjük az elemzett készülék memóriájából.
Fájlok egy alkönyvtárban "adatbázisok":
- Каталог 'Média' ('/mnt/sdcard/WhatsApp/Media/'). Alkönyvtárakat tartalmaz 'Tapéta', "WhatsApp Audio", "WhatsApp képek", "WhatsApp profilfotók", "WhatsApp videó", "WhatsApp hangjegyzetek", amelyek fogadott és átvitt multimédiás fájlokat tartalmaznak (grafikus fájlok, videofájlok, hangüzenetek, a WhatsApp fiók tulajdonosának profiljához kapcsolódó fotók, háttérképek).
- Каталог 'Profilkép' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). A WhatsApp-fiók tulajdonosának profiljához társított képfájlokat tartalmaz.
- Előfordulhat, hogy az SD-kártyán van egy könyvtár "fájlok" ('/mnt/sdcard/WhatsApp/Files/'). Ez a könyvtár olyan fájlokat tartalmaz, amelyek a programbeállításokat és a felhasználói beállításokat tárolják.
Az adattárolás jellemzői egyes mobileszközök modellekben
Az Android mobileszközök egyes modelljei más helyen tárolhatják a WhatsApp műtermékeket. Ez annak köszönhető, hogy a mobileszköz rendszerszoftvere megváltoztatta az alkalmazásadatok tárhelyét. Így például a Xiaomi mobileszközökben van egy funkció egy második munkaterület („SecondSpace”) létrehozására. Ha ez a funkció be van kapcsolva, az adatok helye megváltozik. Tehát, ha egy Android operációs rendszert futtató normál mobileszközön, a felhasználói adatok a könyvtárban tárolódnak '/data/user/0/' (ami utalás a szokásosra '/data/data/'), akkor a második munkaterületen az alkalmazásadatok a könyvtárban tárolódnak '/data/user/10/'. Ez például a fájl helye "wa.db":
- Android OS rendszert futtató normál okostelefonon: /data/user/0/com.whatsapp/databases/wa.db' (ami egyenértékű '/data/data/com.whatsapp/databases/wa.db');
- a Xiaomi okostelefon második munkaterületén: "/data/user/10/com.whatsapp/databases/wa.db".
Whatsapp-termékek iOS-eszközön
Az Android operációs rendszertől eltérően az iOS rendszerben a WhatsApp adatok biztonsági másolatba kerülnek (iTunes biztonsági mentés). Ezért az adatok kinyeréséhez ebből az alkalmazásból nincs szükség a fájlrendszer kibontására vagy a vizsgált eszköz fizikai memóriakiíratásának létrehozására. A legtöbb releváns információ az adatbázisban található "ChatStorage.sqlite", amely az út mentén található: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (egyes programokban ez az elérési út így jelenik meg "AppDomainGroup-group.net.whatsapp.WhatsApp.shared").
Szerkezet "ChatStorage.sqlite":
A „ChatStorage.sqlite” adatbázisban a leginformatívabbak a táblázatok "ZWAMESSAGE" и "ZWAMEDIAITEM".
Asztal megjelenése "ZWAMESSAGE":
„ZWAMESSAGE” táblázatszerkezet
| Mező neve | Érték |
|---|---|
| Z_PK | rekordszám (SQL táblában) |
| Z_ENT | táblázat azonosítója, értéke '9' |
| Z_OPT | ismeretlen, általában "1" és "6" közötti értékeket tartalmaz |
| ZCHILDMESSAGESDELIVEREDCOUNT | ismeretlen, általában '0' értéket tartalmaz |
| ZCHILDMESSAGESPLAYEDCOUNT | ismeretlen, általában '0' értéket tartalmaz |
| ZCHILDMESSAGESREADCOUNT | ismeretlen, általában '0' értéket tartalmaz |
| ZDATAITEMVERSION | ismeretlen, általában '3', valószínűleg szöveges üzenet mutatója |
| ZDOCID | ismeretlen |
| ZENCRETRYCOUNT | ismeretlen, általában '0' értéket tartalmaz |
| ZFILTEREDRECIPIENTCOUNT | ismeretlen, általában a „0”, „2”, „256” értékeket tartalmazza |
| ZISFROMME | üzenet iránya: '0' – bejövő, '1' – kimenő |
| ZMESSAGEERRORSTATUS | üzenetátvitel állapota. Ha az üzenetet elküldték/fogadták, akkor az értéke "0" |
| ZMESSAGETYPE | üzenet típusa |
| ZSORT | ismeretlen |
| ZSPOTLIGHSTATUS | ismeretlen |
| ZSTARRED | ismeretlen, nem használt |
| ZCHATSESSION | ismeretlen |
| ZGROUPTAG | ismeretlen, nem használt |
| ZLASSESSION | ismeretlen |
| ZMEDIAITEM | ismeretlen |
| ZMESSAGEINFO | ismeretlen |
| ZPARENTMESSAGE | ismeretlen, nem használt |
| ZMESSAGEDATE | időbélyeg OS X Epoch Time formátumban |
| ZSENTDATE | az üzenet elküldésének időpontja OS X Epoch Time formátumban |
| ZFROMJID | whatsapp feladó azonosítója |
| ZMEDIASECTIONID | tartalmazza a médiafájl elküldésének évét és hónapját |
| ZPHASH | ismeretlen, nem használt |
| ZPUSHPAME | annak a kapcsolattartónak a neve, aki a médiafájlt UTF-8 formátumban küldte |
| ZSTANZID | egyedi üzenetazonosító |
| Ztext | Üzenet szövege |
| ZTOJID | A címzett WhatsApp azonosítója |
| OFFSET | Elfogultság |
Asztal megjelenése "ZWAMEDIAITEM":
"ZWAMEDIAITEM" táblázatszerkezet
| Mező neve | Érték |
|---|---|
| Z_PK | rekordszám (SQL táblában) |
| Z_ENT | táblázat azonosítója, értéke '8' |
| Z_OPT | ismeretlen, általában „1” és „3” közötti értékeket tartalmaz. |
| ZCLOUDSTATUS | a '4' értéket tartalmazza, ha a fájl betöltődik. |
| ZFILESIZE | tartalmazza a feltöltött fájlok fájlhosszát (byte-ban). |
| ZMEDIAORIGIN | ismeretlen, általában '0' |
| ZMOVIEDURATION | médiafájl időtartama, pdf fájlok esetén a dokumentum oldalainak számát tartalmazhatja |
| ZÜZENET | sorszámot tartalmaz (a szám eltér a „Z_PK” oszlopban megadotttól) |
| ZASPECTRATIO | képarány, nem használt, általában 0-ra van állítva |
| ZHAPONTOSSÁG | ismeretlen, általában '0' |
| ZLATTITUDE | szélessége pixelben |
| ZLONGTITUDE | magasság pixelben |
| ZMEDIAURLDATE | időbélyeg OS X Epoch Time formátumban |
| ZAUTHORNAME | szerző (dokumentumok esetén fájlnevet is tartalmazhat) |
| ZCOLLECTIONNAME | nem használt |
| ZMEDIALOCALPATH | fájlnév (útvonallal) az eszköz fájlrendszerében |
| ZMEDIAURL | Az URL, ahol a médiafájl található. Ha a fájlt egyik előfizetőtől a másikhoz vitték át, akkor titkosították, és a kiterjesztése az átvitt fájl kiterjesztéseként lesz feltüntetve - .enc |
| ZTHUMBNAILLOCALPATH | a fájl miniatűrjének elérési útja az eszköz fájlrendszerében |
| ZTITLE | fájl fejlécet |
| ZVCARDNAME | a médiafájl hash-je, amikor egy fájlt csoportba visz át, tartalmazhatja a küldő azonosítóját |
| ZVCARDSTRING | információkat tartalmaz az átvitt fájl típusáról (például kép/jpeg); ha egy fájlt csoportba visz át, tartalmazhatja a címzett azonosítóját |
| ZXMPPTHUMBPATH | a fájl miniatűrjének elérési útja az eszköz fájlrendszerében |
| ZMEDIAKEY | ismeretlen, valószínűleg tartalmazza a titkosított fájl visszafejtéséhez szükséges kulcsot. |
| ZMETADATA | üzenet metaadatai |
| Eltolt | Elfogultság |
További érdekes adatbázistáblák "ChatStorage.sqlite" a következők:
- "ZWAPROFILEPUSHNAME". Megfelel a WhatsApp azonosítónak a kapcsolattartó nevével;
- "ZWAPROFILEPICTUREITEM". Megfelel a WhatsApp azonosítónak a kapcsolattartó avatarjával;
- "Z_PRIMARYKEY". A táblázat általános információkat tartalmaz erről az adatbázisról, például a tárolt üzenetek teljes számát, a csevegések számát stb.
Ezenkívül, ha iOS-t futtató mobileszközön vizsgálja a WhatsApp-ot, ügyeljen a következő fájlokra:
- fájl "BackedUpKeyValue.sqlite". Titkosító kulcsokat és egyéb adatokat tartalmaz, amelyek a fióktulajdonos azonosításához szükségesek. Az út mentén található: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fájl "ContactsV2.sqlite". Információkat tartalmaz a felhasználó névjegyeiről, például teljes név, telefonszám, kapcsolati állapot (szövegként), WhatsApp azonosító stb. Az út mentén található: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fájl 'consumer_version'. Tartalmazza a telepített WhatsApp alkalmazás verziószámát. Az út mentén található: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fájl "current_wallpaper.jpg". Az aktuális WhatsApp háttérképet tartalmazza. Az út mentén található: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Az alkalmazás régi verziói használják a fájlt 'tapéta', amely az út mentén található: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fájl 'blockedcontacts.dat'. Információkat tartalmaz a letiltott névjegyekről. Az út mentén található: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fájl "pw.dat". Titkosított jelszót tartalmaz. Az út mentén található: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fájl "net.whatsapp.whatsapp.plist" (vagy fájl "group.net.whatsapp.whatsapp.shared.plist"). Információkat tartalmaz a WhatsApp-fiókprofilról. A fájl az elérési út mentén található: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
A „group.net.whatsapp.WhatsApp.shared.plist” fájl tartalma
A következő könyvtárakra is figyelni kell:
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Névjegyek, csoportok miniatűrjeit tartalmazza (kiterjesztésű fájlok .hüvelykujj), kapcsolatfelvételi avatarok, WhatsApp-fiók tulajdonosának avatarja (fájl "Fotó.jpg").
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Multimédiás fájlokat és azok miniatűrjeit tartalmazza
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Tartalmazza a program működési naplóját (fájl "hívások.napló") és a program működési naplóinak biztonsági másolatai (fájl "calls.backup.log").
- Каталог "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/". Matricákat tartalmaz (fájlok be ".webp").
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Programnaplókat tartalmaz.
Whatsapp-termékek a Windows rendszeren
A Windows rendszeren futó WhatsApp-termékek több helyen is megtalálhatók. Először is, ezek a program végrehajtható és segédfájljait tartalmazó könyvtárak (Windows 8/10 esetén):
- "C:Program Files (x86)Whatsapp"
- "C:Users%Felhasználói profil%AppDataLocalWhatsApp"
- "C:Users%Felhasználói profil% AppDataLocalVirtualStore Program Files (x86)WhatsApp"
A katalógusban "C:Users%Felhasználói profil%AppDataLocalWhatsApp" naplófájl található "SquirrelSetup.log", amely információkat tartalmaz a frissítések kereséséről és a program telepítéséről.
A katalógusban "C:Users%Felhasználói profil%AppDataRoamingWhatsApp" több alkönyvtár van:
fájl "main-process.log" információkat tartalmaz a WhatsApp működéséről.
Alkönyvtár "adatbázisok" fájlt tartalmaz 'databases.db', de ez a fájl nem tartalmaz információt a csevegésekről vagy a kapcsolatokról.
Törvényszéki szempontból a legérdekesebbek a könyvtárban található fájlok "Gyorsítótár". Alapvetően ezek névvel ellátott fájlok "f_********" (ahol a * egy 0 és 9 közötti szám), amelyek titkosított médiafájlokat és dokumentumokat tartalmaznak, de vannak köztük titkosítatlan fájlok is. Különösen érdekes fájlok 'data_0', 'data_1', 'data_2', 'data_3'ugyanabban az alkönyvtárban található. Fájlok 'data_0', 'data_1', 'data_3' külső hivatkozásokat tartalmaznak a továbbított titkosított multimédiás fájlokhoz és dokumentumokhoz.
Példa a „data_1” fájlban található információkra
Szintén fájl 'data_3' grafikus fájlokat tartalmazhat.
fájl 'data_2' névjegy-avatarokat tartalmaz (a fájlcímek közötti kereséssel visszaállítható).
A fájlban található avatárok 'data_2':
Így maguk a csevegések nem találhatók a számítógép memóriájában, de megtalálhatók:
- multimédiás fájlok;
- WhatsApp-on keresztül továbbított dokumentumok;
- számlatulajdonos elérhetőségei.
Whatsapp-termékek MacOS-on
MacOS rendszeren a Windows rendszeren találhatókhoz hasonló típusú WhatsApp-termékek találhatók.
A programfájlok a következő könyvtárakban találhatók:
- "C:ApplicationsWhatsApp.app"
- "C:Applications._WhatsApp.app"
- "C:Users%Felhasználói profil%LibraryPreferences"
- "C:Users%Felhasználói profil%LibraryLogsWhatsApp"
- "C:Users%Felhasználói profil%LibrarySaved Application StateWhatsApp.savedState"
- "C:Users%Felhasználói profil%LibraryApplicationScripts"
- "C:Users%Felhasználói profil%LibraryApplication SupportCloudDocs"
- "C:Users%Felhasználói profil%LibraryApplication SupportWhatsApp.ShipIt"
- "C:Users%Felhasználói profil%LibraryContainerscom.rockysandstudio.app-for-whatsapp"
- "C:Users%Felhasználói profil% Library Mobile Documents <text változó> WhatsApp-fiókok"
Ez a könyvtár olyan alkönyvtárakat tartalmaz, amelyek neve a WhatsApp-fiók tulajdonosához társított telefonszámok. - "C:Users%Felhasználói profil%LibraryCachesWhatsApp.ShipIt"
Ez a könyvtár a program telepítésével kapcsolatos információkat tartalmaz. - 'C:Users%Felhasználói profil%Pictures iPhoto Library.photolibraryMasters', 'C:Users%Felhasználói profil%Pictures iPhoto Library.photolibraryThumbnails'
Ezek a könyvtárak tartalmazzák a program szolgáltatásfájljait, beleértve a WhatsApp-névjegyek fényképeit és miniatűrjeit. - "C:Users%Felhasználói profil%LibraryCachesWhatsApp"
Ez a könyvtár több SQLite adatbázist tartalmaz, amelyeket az adatok gyorsítótárazására használnak. - "C:Users%Felhasználói profil%LibraryApplication SupportWhatsApp"
Ez a könyvtár több alkönyvtárat tartalmaz:
A katalógusban "C:Users%Felhasználói profil%LibraryApplication SupportWhatsAppCache" vannak fájlok 'data_0', 'data_1', 'data_2', 'data_3' és elnevezett fájlok "f_********" (ahol a * egy 0 és 9 közötti szám). Ha további információt szeretne arról, hogy ezek a fájlok milyen információkat tartalmaznak, tekintse meg a WhatsApp-termékek Windows rendszeren című részt.A katalógusban "C:Users%Felhasználói profil%LibraryApplication SupportWhatsAppIndexedDB" multimédiás fájlokat tartalmazhatnak (a fájlok nem rendelkeznek kiterjesztéssel).
fájl "main-process.log" információkat tartalmaz a WhatsApp működéséről.
forrás
- A WhatsApp Messenger kriminalisztikai elemzése Android okostelefonokon, Cosimo Anglano, 2014.
- Whatsapp Forensics: Ahmad Pratama által készített Eksplorasi rendszer és alapadatok Android és iOS alkalmazásokhoz, 2014.
A sorozat következő cikkeiben:
Titkosított WhatsApp adatbázisok visszafejtéseEgy cikk, amely tájékoztatást nyújt a WhatsApp titkosítási kulcs létrehozásáról, és gyakorlati példákat mutat be az alkalmazás titkosított alapjainak visszafejtésére.
A WhatsApp adatok kinyerése a felhőalapú tárhelyrőlEgy cikk, amelyben elmagyarázzuk, hogy milyen WhatsApp-adatokat tárolnak a felhők, és leírjuk az adatok felhőalapú tárolóból való kinyerésének módszereit.
WhatsApp adatkinyerés: gyakorlati példákEgy cikk, amely lépésről lépésre leírja, milyen programokat és hogyan lehet kinyerni a WhatsApp-adatokat különböző eszközökről.
Forrás: will.com