ProHoster > Blog > netfréttir > WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

Ef þú vilt vita hvaða gerðir af WhatsApp réttargripum eru til í mismunandi stýrikerfum og hvar nákvæmlega er hægt að finna þá, þá er þetta staðurinn fyrir þig. Þessi grein er frá sérfræðingi hjá Group-IB Computer Forensics Laboratory Igor Mikhailov byrjar röð af færslum um WhatsApp réttarfræði og hvaða upplýsingar er hægt að afla við að greina tækið.

Við skulum strax hafa í huga að mismunandi stýrikerfi geyma mismunandi gerðir af WhatsApp gripum og ef rannsakandi getur dregið ákveðnar gerðir af WhatsApp gögnum úr einu tæki þýðir það ekki að hægt sé að vinna svipaðar gerðir af gögnum úr öðru tæki. Til dæmis, ef kerfiseining sem keyrir Windows OS er fjarlægð, mun WhatsApp spjall líklega ekki finnast á diskum þess (að undanskildum öryggisafritum af iOS tækjum, sem er að finna á sömu drifunum). Lagt er hald á fartölvur og farsíma mun hafa sín sérkenni. Við skulum tala um þetta nánar.

WhatsApp gripir í Android tæki

Til þess að ná út WhatsApp gripum úr Android tæki verður rannsakandi að hafa ofurnotendaréttindi ('rót') á tækinu sem verið er að rannsaka eða geta á annan hátt dregið út líkamlegt minnisminni úr tækinu, eða skráarkerfi þess (til dæmis með því að nota hugbúnaðarveikleika tiltekins farsíma).

Forritaskrár eru staðsettar í minni símans í hlutanum þar sem notendagögn eru vistuð. Að jafnaði er þessi hluti nefndur 'notendagögn'. Undirmöppur og forritaskrár eru staðsettar meðfram leiðinni: '/data/data/com.whatsapp/'.

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Helstu skrárnar sem innihalda WhatsApp réttargripi í Android OS eru gagnagrunnar 'wa.db' и 'msgstore.db'.

Í gagnagrunninum 'wa.db' inniheldur allan tengiliðalista WhatsApp notanda, þar á meðal símanúmer, skjánafn, tímastimpla og allar aðrar upplýsingar sem gefnar eru upp við skráningu á WhatsApp. Skrá 'wa.db' staðsett meðfram stígnum: '/data/data/com.whatsapp/databases/' og hefur eftirfarandi uppbyggingu:

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Áhugaverðustu töflurnar í gagnagrunninum 'wa.db' fyrir rannsakanda eru:

  • 'wa_contacts'
    Þessi tafla inniheldur tengiliðaupplýsingar: WhatsApp tengiliðaauðkenni, stöðuupplýsingar, skjánafn notanda, tímastimpla osfrv.

    Útlit borðs:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
    Uppbygging borðs

    Heiti reits Gildi
    _id skrá raðnúmer (í SQL töflu)
    jid WhatsApp tengiliðaauðkenni, skrifað á sniðinu <símanúmer>@s.whatsapp.net
    er_whatsapp_notandi inniheldur „1“ ef tengiliðurinn samsvarar raunverulegum WhatsApp notanda, „0“ annars
    Staða inniheldur textann sem birtist í tengiliðastöðu
    stöðu_tímastimpill inniheldur tímastimpil á Unix Epoch Time (ms) sniði
    númer símanúmer sem tengist tengiliðnum
    raw_contact_id raðnúmer sambandsins
    DISPLAY_NAME skjánafn tengiliðar
    símagerð gerð síma
    símamerki merki sem tengist tengiliðanúmerinu
    unseen_msg_count fjöldi skilaboða sem send voru af tengilið en voru ekki lesin af viðtakandanum
    mynd_ts inniheldur tímastimpil á Unix Epoch Time sniði
    thumb_ts inniheldur tímastimpil á Unix Epoch Time sniði
    photo_id_timestamp inniheldur tímastimpil á Unix Epoch Time (ms) sniði
    skírnarnafn gildi reitsins passar við 'display_name' fyrir hvern tengilið
    wa_name WhatsApp tengiliðaheiti (nafnið sem tilgreint er í prófíl tengiliðarins birtist)
    sort_name nafn tengiliðar notað í flokkunaraðgerðum
    gælunafn gælunafn tengiliðar í WhatsApp (gælunafnið sem tilgreint er í prófíl tengiliðarins birtist)
    Félagið fyrirtæki (fyrirtækið sem tilgreint er í prófíl tengiliðarins birtist)
    titill titill (fröken/herra; titill stilltur í tengiliðasniðinu birtist)
    móti hlutdrægni
  • 'sqlite_sequence'
    Þessi tafla inniheldur upplýsingar um fjölda tengiliða;
  • 'android_lýsigögn'
    Þessi tafla inniheldur upplýsingar um WhatsApp tungumálastaðsetningu.

Í gagnagrunninum 'msgstore.db' inniheldur upplýsingar um send skilaboð, svo sem tengiliðanúmer, skilaboðatexta, skilaboðastöðu, tímastimpla, upplýsingar um fluttar skrár sem eru í skilaboðum o.s.frv. Skrá 'msgstore.db' staðsett meðfram stígnum: '/data/data/com.whatsapp/databases/' og hefur eftirfarandi uppbyggingu:

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Áhugaverðustu töflurnar í skránni 'msgstore.db' fyrir rannsakanda eru:

  • 'sqlite_sequence'
    Þessi tafla inniheldur almennar upplýsingar um þennan gagnagrunn, svo sem heildarfjölda vistuðra skeyta, heildarfjölda spjalla o.s.frv.

    Útlit borðs:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

  • 'message_fts_content'
    Inniheldur texta sendra skilaboða.

    Útlit borðs:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

  • 'skilaboð'
    Þessi tafla inniheldur upplýsingar eins og tengiliðanúmer, skilaboðatexta, skilaboðastöðu, tímastimpla, upplýsingar um fluttar skrár sem eru í skilaboðum.

    Útlit borðs:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
    Uppbygging borðs

    Heiti reits Gildi
    _id skrá raðnúmer (í SQL töflu)
    key_remote_jid WhatsApp auðkenni samskiptafélaga
    lykill_frá_mér skilaboðastefna: '0' – móttekið, '1' – á útleið
    lykilauðkenni einstakt skilaboðaauðkenni
    Staða skilaboðastaða: '0' – afhent, '4' – bíður á þjóninum, '5' – móttekið á áfangastað, '6' – stjórnskilaboð, '13' – skilaboð opnuð af viðtakanda (lesið)
    þarf_ýta hefur gildið '2' ef það er útvarpsskilaboð, annars inniheldur það '0'
    gögn skilaboðatexti (þegar 'media_wa_type' færibreytan er '0')
    timestamp inniheldur tímastimpil á Unix Epoch Time (ms) sniði, gildið er tekið úr klukku tækisins
    media_url inniheldur slóð yfirfærðu skrárinnar (þegar 'media_wa_type' færibreytan er '1', '2', '3')
    media_mime_type MIME-gerð yfirfærðu skráarinnar (þegar færibreytan 'media_wa_type' er jöfn '1', '2', '3')
    media_wa_type skilaboðategund: '0' - texti, '1' - grafísk skrá, '2' - hljóðskrá, '3' - myndbandsskrá, '4' - tengiliðaspjald, '5' - landgögn
    miðilsstærð stærð yfirfærðu skráarinnar (þegar færibreytan 'media_wa_type' er '1', '2', '3')
    media_name nafn á yfirfærðu skránni (þegar 'media_wa_type' færibreytan er '1', '2', '3')
    fjölmiðla_texti Inniheldur orðin „hljóð“, „vídeó“ fyrir samsvarandi gildi „media_wa_type“ færibreytunnar (þegar „media_wa_type“ færibreytan er „1“, „3“)
    media_hash base64 kóðað kjötkássa af sendu skránni, reiknað með HAS-256 reikniritinu (þegar 'media_wa_type' færibreytan er jöfn '1', '2', '3')
    media_duration lengd í sekúndum fyrir miðlunarskrána (þegar 'media_wa_type' er '1', '2', '3')
    uppruna hefur gildið '2' ef það er útvarpsskilaboð, annars inniheldur það '0'
    breiddargráða landgögn: breiddargráðu (þegar 'media_wa_type' færibreytan er '5')
    lengdargráðu landgögn: lengdargráðu (þegar 'media_wa_type' færibreytan er '5')
    thumb_image þjónustuupplýsingar
    fjarlæg_auðlind Auðkenni sendanda (aðeins fyrir hópspjall)
    móttekinn_tímastimpill tími móttöku, inniheldur tímastimpil á Unix Epoch Time (ms) sniði, gildið er tekið úr tækisklukkunni (þegar 'key_from_me' færibreytan hefur '0', '-1' eða annað gildi)
    send_timestamp ekki notað, hefur venjulega gildið '-1'
    kvittunar_þjónn_tímastimpill tími móttekinn af miðlara, inniheldur tímastimpil á Unix Epoch Time (ms) sniði, gildið er tekið úr tækisklukkunni (þegar 'key_from_me' færibreytan hefur '1', '-1' eða annað gildi
    kvittunar_tæki_tímastimpill þegar skilaboðin voru móttekin af öðrum áskrifanda, innihalda tímastimpil á Unix Epoch Time (ms) sniði, er gildið tekið úr tækisklukkunni (þegar 'key_from_me' færibreytan hefur '1', '-1' eða annað gildi
    read_device_timestamp tími opnunar (lestur) skilaboðanna, inniheldur tímastimpil á Unix Epoch Time (ms) sniði, gildið er tekið úr klukku tækisins
    spilað_tæki_tímastimpill spilunartími skilaboða, inniheldur tímastimpil á Unix Epoch Time (ms) sniði, gildið er tekið úr tækisklukkunni
    hrá_gögn smámynd af fluttu skránni (þegar 'media_wa_type' færibreytan er '1' eða '3')
    viðtakendatalning fjöldi viðtakenda (fyrir útvarpsskilaboð)
    þátttakanda_hash notað við sendingu skilaboða með jarðgögnum
    stjörnumerkt ónotað
    quoted_row_id óþekkt, inniheldur venjulega gildið '0'
    nefnd_jids ónotað
    multicast_id ónotað
    móti hlutdrægni

    Þessi listi yfir reiti er ekki tæmandi. Fyrir mismunandi útgáfur af WhatsApp gætu sumir reitir verið til staðar eða ekki. Að auki geta reitir verið til staðar 'media_enc_hash', 'edit_version', 'payment_transaction_id' o.fl.

  • 'skilaboð_smámyndir'
    Þessi tafla inniheldur upplýsingar um fluttar myndir og tímastimpil. Í dálknum 'tímastimpill' er tíminn sýndur á Unix Epoch Time (ms) sniði.
  • 'spjall_listi'
    Þessi tafla inniheldur upplýsingar um spjall.

    Útlit borðs:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

Einnig, þegar þú skoðar WhatsApp á farsíma sem keyrir Android, ættir þú að fylgjast með eftirfarandi skrám:

  • skrá 'msgstore.db.cryptXX' (þar sem XX er einn eða tveir tölustafir frá 0 til 12, til dæmis msgstore.db.crypt12). Inniheldur dulkóðað öryggisafrit af WhatsApp skilaboðum (afrit skrá msgstore.db). Skrá(r) 'msgstore.db.cryptXX' staðsett meðfram stígnum: '/data/media/0/WhatsApp/Databases/' (sýndar SD kort), '/mnt/sdcard/WhatsApp/Databases/ (líkamlegt SD kort)'.
  • skrá 'lykill'. Inniheldur dulmálslykil. Staðsett meðfram stígnum: '/data/data/com.whatsapp/files/'. Notað til að afkóða dulkóðuð WhatsApp öryggisafrit.
  • skrá 'com.whatsapp_preferences.xml'. Inniheldur upplýsingar um WhatsApp reikningssniðið þitt. Skráin er staðsett meðfram slóðinni: '/data/data/com.whatsapp/shared_prefs/'.

    Skráarefnisbrot

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • skrá 'skráning.RegisterPhone.xml'. Inniheldur upplýsingar um símanúmerið sem tengist WhatsApp reikningnum. Skráin er staðsett meðfram slóðinni: '/data/data/com.whatsapp/shared_prefs/'.

    Innihald skráar 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • skrá 'axolotl.db'. Inniheldur dulmálslykla og önnur gögn sem eru nauðsynleg til að bera kennsl á eiganda reikningsins. Staðsett meðfram stígnum: '/data/data/com.whatsapp/databases/'.
  • skrá 'chatsettings.db'. Inniheldur upplýsingar um stillingar forrits.
  • skrá 'wa.db'. Inniheldur tengiliðaupplýsingar. Mjög áhugaverður (frá réttarfræðilegum hlið) og fræðandi gagnagrunnur. Það getur innihaldið nákvæmar upplýsingar um eytt tengiliðum.

Þú þarft einnig að fylgjast með eftirfarandi möppum:

  • Directory '/data/media/0/WhatsApp/Media/WhatsApp myndir/'. Inniheldur fluttar grafískar skrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp raddglósur/'. Inniheldur raddskilaboð á .OPUS sniði.
  • Directory '/data/data/com.whatsapp/cache/Profile Pictures/'. Inniheldur grafískar skrár - myndir af tengiliðum.
  • Directory '/data/data/com.whatsapp/files/Avatars/'. Inniheldur grafískar skrár – smámyndir af tengiliðum. Þessar skrár hafa '.j' endinguna en eru engu að síður JPEG (JPG) myndaskrár.
  • Directory '/data/data/com.whatsapp/files/Avatars/'. Inniheldur grafískar skrár - mynd og smámynd af myndinni sem eiganda reikningsins hefur sett sem avatar.
  • Directory '/data/data/com.whatsapp/files/Logs/'. Inniheldur aðgerðaskrá forritsins (skráin 'whatsapp.log') og öryggisafrit af aðgerðaskrám forritsins (skrár með nöfnum á sniðinu whatsapp-áááá-mm-dd.1.log.gz).

WhatsApp skrár:

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Dagbókarbrot2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missed call notification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missed call notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] lykilorðsskrá vantar eða er ólæsileg
2017-01-10 09:37:09.782 LL_I D [1:main] tölfræði Textaskeyti: 59 send, 82 móttekin / Fjölmiðlaskilaboð: 1 send (0 bæti), 0 móttekin (9850158 bæti) / Ótengdur skilaboð: 81 móttekin ( 19522 msek meðaltöf) / Skilaboðaþjónusta: 116075 bæti send, 211729 bæti móttekin / Voip símtöl: 1 úthringing, 0 móttekin símtöl, 2492 bæti send, 1530 bæti móttekin / Google Drive: 0 bæti send, 0 bæti móttekin / 1524 reiki: send bæti, 1826 bæti móttekin / Heildargögn: 118567 send bæti, 10063417 bæti móttekin
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | tími varið:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/innri-geymsla í boði:1,345,622,016 alls:5,687,922,688

  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Inniheldur mótteknar hljóðskrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Inniheldur sendar hljóðskrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp myndir/'. Inniheldur grafíkskrárnar sem myndast.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Inniheldur sendar grafískar skrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Inniheldur mótteknar myndbandsskrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Inniheldur sendar myndbandsskrár.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp prófílmyndir/'. Inniheldur grafískar skrár sem tengjast eiganda WhatsApp reikningsins.
  • Til að spara minnisrými á Android snjallsímanum þínum er hægt að geyma nokkur WhatsApp gögn á SD korti. Á SD kortinu, í rótarskránni, er skrá 'WhatsApp', þar sem eftirfarandi gripi þessa forrits er að finna:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

  • Directory '.Deila' ('/mnt/sdcard/WhatsApp/.Share/'). Inniheldur afrit af skrám sem hefur verið deilt með öðrum WhatsApp notendum.
  • Directory '.trash' ('/mnt/sdcard/WhatsApp/.trash/'). Inniheldur eyddar skrár.
  • Directory 'gagnagrunnar' ('/mnt/sdcard/WhatsApp/Databases/'). Inniheldur dulkóðuð afrit. Hægt er að afkóða þær ef skráin er til staðar 'lykill', dregin út úr minni greindu tækisins.

    Skrár staðsettar í undirmöppu 'gagnagrunnar':

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?

  • Directory 'Hálft' ('/mnt/sdcard/WhatsApp/Media/'). Inniheldur undirskrár 'Veggfóður', 'WhatsApp hljóð', 'WhatsApp myndir', 'WhatsApp prófílmyndir', 'WhatsApp myndband', 'WhatsApp raddglósur', sem innihalda mótteknar og sendar margmiðlunarskrár (grafíkskrár, myndbandsskrár, talskilaboð, myndir sem tengjast prófíl eiganda WhatsApp reikningsins, veggfóður).
  • Directory 'Prófílmyndir' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Inniheldur grafískar skrár sem tengjast prófíl eiganda WhatsApp reikningsins.
  • Stundum gæti verið skráasafn á SD kortinu 'skrár' ('/mnt/sdcard/WhatsApp/Files/'). Þessi mappa inniheldur skrár sem geyma forritastillingar og notendastillingar.

Eiginleikar gagnageymslu í sumum gerðum farsíma

Sumar gerðir fartækja sem keyra Android OS kunna að geyma WhatsApp gripi á öðrum stað. Þetta er vegna breytinga á geymsluplássi forritagagna í kerfishugbúnaði farsímans. Til dæmis hafa Xiaomi fartæki aðgerð til að búa til annað vinnusvæði ("SecondSpace"). Þegar þessi aðgerð er virkjuð breytist staðsetning gagnanna. Svo, ef í venjulegu fartæki sem keyrir Android OS eru notendagögn geymd í möppunni '/gögn/notandi/0/' (sem er tilvísun í venjulega '/gögn/gögn/'), síðan í öðru vinnusvæðinu eru forritsgögn geymd í möppunni '/gögn/notandi/10/'. Það er að nota dæmið um staðsetningu skráarinnar 'wa.db':

  • í venjulegum snjallsíma sem keyrir Android OS: /data/user/0/com.whatsapp/databases/wa.db' (sem er jafngilt '/data/data/com.whatsapp/databases/wa.db');
  • í öðru vinnurými Xiaomi snjallsímans: '/data/user/10/com.whatsapp/databases/wa.db'.

WhatsApp artifacts í iOS tæki

Ólíkt Android OS, í iOS WhatsApp forritinu eru gögn flutt í öryggisafrit (iTunes öryggisafrit). Þess vegna þarf ekki að draga út skráarkerfið eða búa til líkamlegt minnisminni af tækinu sem verið er að rannsaka til að vinna úr þessu forriti. Flestar viðeigandi upplýsingar eru í gagnagrunninum 'ChatStorage.sqlite', sem er staðsett meðfram stígnum: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (í sumum forritum birtist þessi leið sem 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Uppbygging 'ChatStorage.sqlite':

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Upplýsandi töflurnar í 'ChatStorage.sqlite' gagnagrunninum eru 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Útlit borðs 'ZWAMESSAGE':

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Uppbygging töflu 'ZWAMESSAGE'

Heiti reits Gildi
Z_PK skrá raðnúmer (í SQL töflu)
Z_ENT töfluauðkenni, hefur gildið '9'
Z_OPT óþekkt, inniheldur venjulega gildi frá '1' til '6'
ZCHILDMESSAGES DELIVEREDCOUNT óþekkt, inniheldur venjulega gildið '0'
ZCHILDMESSAGESPLAYEDCOUNT óþekkt, inniheldur venjulega gildið '0'
ZCHILDMESSAGESREADCOUNT óþekkt, inniheldur venjulega gildið '0'
ZDATAITEM VERSION óþekkt, inniheldur venjulega gildið '3', líklega textaskilaboðavísir
ZDOCID er óþekkt
ZENCRETRYCOUNT óþekkt, inniheldur venjulega gildið '0'
ZFILTEREDRECIPIENTCOUNT óþekkt, inniheldur venjulega gildin '0', '2', '256'
ZISFROMME skilaboðastefna: '0' – móttekið, '1' – á útleið
ZMESSAGEERRORSTATUS stöðu skilaboðasendingar. Ef skilaboðin eru send/móttekin hafa þau gildið '0'
ZMESSAGETYPE tegund skilaboða sem verið er að senda
ZSORT er óþekkt
ZSPOTLIGHSTATUS er óþekkt
ZSTARRED óþekkt, ekki notað
ZCHATSESSION er óþekkt
ZGROUPMETHEMBER óþekkt, ekki notað
ZLASTSESSION er óþekkt
ZMEDIAITEM er óþekkt
ZMESSAGEINFO er óþekkt
ZPARENTMESSAGE óþekkt, ekki notað
ZMESSAGEDATE tímastimpill í OS X Epoch Time sniði
ZSENTDATE þegar skilaboðin voru send á OS X Epoch Time sniði
ZFROMJID WhatsApp sendanda auðkenni
ZMEDIASECTIONID inniheldur ár og mánuð sem miðlunarskráin var send
ZPHASH óþekkt, ekki notað
ZPUSHPAME nafn tengiliðsins sem sendi miðlunarskrána á UTF-8 sniði
ZSTANZID einstakt skilaboðaauðkenni
ZTEXT Skilaboðatexti
ZTOJID WhatsApp auðkenni viðtakanda
OFFSET hlutdrægni

Útlit borðs 'ZWAMEDIAITEM':

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Uppbygging töflu 'ZWAMEDIAITEM'

Heiti reits Gildi
Z_PK skrá raðnúmer (í SQL töflu)
Z_ENT töfluauðkenni, hefur gildið '8'
Z_OPT óþekkt, inniheldur venjulega gildi frá '1' til '3'.
ZCLOUDSTATUS inniheldur gildið '4' ef skráin er hlaðin.
ZFILESIZE inniheldur skráarlengd (í bætum) fyrir niðurhalaðar skrár
ZMEDIAORIGIN óþekkt, hefur venjulega gildið '0'
ZMOVIEDIDATION lengd miðlunarskrárinnar, fyrir pdf skrár geta innihaldið fjölda blaðsíðna skjalsins
ZMESSAGE inniheldur raðnúmer (númerið er annað en tilgreint er í 'Z_PK' dálknum)
ZASPECTRATIO stærðarhlutfall, ekki notað, venjulega stillt á '0'
ZHÁNÁKVÆÐI óþekkt, hefur venjulega gildið '0'
LATTITUDE breidd í pixlum
ZLONGTITUDE hæð í punktum
ZMEDIAURLDATE tímastimpill í OS X Epoch Time sniði
ZAUTHORNAME höfundur (fyrir skjöl, getur innihaldið skráarnafnið)
ZCOLLECTIONNAME ónotað
ZMEDIALOCALPATH skráarheiti (þar á meðal slóð) í skráarkerfi tækisins
ZMEDIAURL Slóðin þar sem miðlunarskráin var staðsett. Ef skrá var flutt frá einum áskrifanda til annars var hún dulkóðuð og framlenging hennar verður tilgreind sem framlenging á fluttu skránni - .enc
ZTHUMBNAILLOCALPATH slóð að smámynd skráar í skráarkerfi tækisins
ZTITLE skráarhaus
ZVCARDNAME hash fyrir miðlunarskrár; þegar skrá er flutt í hóp getur hún innihaldið auðkenni sendanda
ZVCARDSTRING inniheldur upplýsingar um gerð skráar sem verið er að flytja (til dæmis mynd/jpeg); þegar skrá er flutt í hóp getur hún innihaldið auðkenni viðtakanda
ZXMPPTHUMBPATH slóð að smámynd skráar í skráarkerfi tækisins
ZMEDIAKEY óþekkt, inniheldur líklega lykilinn til að afkóða dulkóðuðu skrána.
ZMETADATA lýsigögn um send skilaboð
Offset hlutdrægni

Aðrar áhugaverðar gagnagrunnstöflur 'ChatStorage.sqlite' eru:

  • 'ZWAPROFILEPUSHNAME'. Passar WhatsApp auðkenni við nafn tengiliðar;
  • 'ZWAPROFILEPICTUREITEM'. Passar WhatsApp auðkenni við tengiliðamynd;
  • 'Z_PRIMARYKEY'. Taflan inniheldur almennar upplýsingar um þennan gagnagrunn, svo sem heildarfjölda vistuðra skeyta, heildarfjölda spjalla o.s.frv.

Einnig, þegar þú skoðar WhatsApp á farsíma sem keyrir iOS, ættirðu að fylgjast með eftirfarandi skrám:

  • skrá 'BackedUpKeyValue.sqlite'. Inniheldur dulmálslykla og önnur gögn sem eru nauðsynleg til að bera kennsl á eiganda reikningsins. Staðsett meðfram stígnum: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • skrá 'ContactsV2.sqlite'. Inniheldur upplýsingar um tengiliði notandans, svo sem fullt nafn, símanúmer, tengiliðastöðu (í textaformi), WhatsApp auðkenni o.s.frv. Staðsett meðfram stígnum: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • skrá 'consumer_version'. Inniheldur útgáfunúmer uppsetts WhatsApp forritsins. Staðsett meðfram stígnum: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • skrá 'current_wallpaper.jpg'. Inniheldur núverandi WhatsApp bakgrunns veggfóður. Staðsett meðfram stígnum: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Eldri útgáfur af forritinu nota skrána 'veggfóður', sem er staðsett meðfram stígnum: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • skrá 'blockedcontacts.dat'. Inniheldur upplýsingar um lokaða tengiliði. Staðsett meðfram stígnum: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • skrá 'pw.dat'. Inniheldur dulkóðað lykilorð. Staðsett meðfram stígnum: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • skrá 'net.whatsapp.WhatsApp.plist' (eða skrá 'group.net.whatsapp.WhatsApp.shared.plist'). Inniheldur upplýsingar um WhatsApp reikningssniðið þitt. Skráin er staðsett meðfram slóðinni: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Innihald skráarinnar 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Þú þarft einnig að fylgjast með eftirfarandi möppum:

  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Inniheldur smámyndir af tengiliðum, hópum (skrár með viðbótinni .þumall), hafðu samband við avatar, WhatsApp reikning eiganda avatar (skrá 'Photo.jpg').
  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Inniheldur margmiðlunarskrár og smámyndir þeirra
  • Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Inniheldur aðgerðaskrá forritsins (skrá 'calls.log') og öryggisafrit af aðgerðaskrám forrita (skrá 'calls.backup.log').
  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Inniheldur límmiða (skrár á formi '.webp').
  • Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Inniheldur aðgerðaskrár forrita.

WhatsApp artifacts á Windows

WhatsApp artifacts á Windows má finna á nokkrum stöðum. Í fyrsta lagi eru þetta möppur sem innihalda keyrslu- og aukaforritaskrár (fyrir Windows 8/10):

  • 'C:Program Files (x86)WhatsApp'
  • 'C:Users%User profile% AppDataLocalWhatsApp'
  • 'C:Users%User profile% AppDataLocalVirtualStore forritaskrár (x86)WhatsApp'

Í verslun 'C:Users%User profile% AppDataLocalWhatsApp' log skráin er staðsett 'SquirrelSetup.log', sem inniheldur upplýsingar um að leita að uppfærslum og setja upp forritið.

Í verslun 'C:Users%User profile% AppDataRoamingWhatsApp' Það eru nokkrar undirmöppur:

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
skrá 'main-process.log' inniheldur upplýsingar um rekstur WhatsApp forritsins.

Undirskrá 'gagnagrunnar' inniheldur skrá 'Databases.db', en þessi skrá inniheldur engar upplýsingar um spjall eða tengiliði.

Það áhugaverðasta frá réttarfræðilegu sjónarmiði eru skrárnar sem eru staðsettar í möppunni 'skyndiminni'. Þetta eru í grundvallaratriðum skrár sem heita 'f*******' (þar sem * er tala frá 0 til 9) sem inniheldur dulkóðaðar margmiðlunarskrár og skjöl, en það eru líka ódulkóðaðar skrár meðal þeirra. Sérstaklega áhugaverðar eru skrárnar 'gögn_0', 'gögn_1', 'gögn_2', 'gögn_3', staðsett í sömu undirskrá. Skrár 'gögn_0', 'gögn_1', 'gögn_3' innihalda ytri tengla á sendar dulkóðaðar margmiðlunarskrár og skjöl.

Dæmi um upplýsingar í skránni 'data_1'WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Einnig skrá 'gögn_3' geta innihaldið grafískar skrár.

skrá 'gögn_2' inniheldur tengiliðamyndir (hægt að endurheimta með því að leita eftir skráarhausum).

Avatars sem eru í skránni 'gögn_2':

WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
Þannig er ekki hægt að finna spjallin sjálf í minni tölvunnar, en þú getur fundið:

  • margmiðlunarskrár;
  • skjöl send með WhatsApp;
  • upplýsingar um tengiliði reikningseiganda.

WhatsApp artifacts á MacOS

Í MacOS er hægt að finna tegundir af WhatsApp artifacts svipað þeim sem finnast í Windows OS.

Forritsskrárnar eru staðsettar í eftirfarandi möppum:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Notendur%Notendasnið%LibraryPreferences'
  • 'C:Notendur%Notendasnið%LibraryLogsWhatsApp'
  • 'C:Notendur%Notendaprófíll%LibraryVistað umsóknarstaðaWhatsApp.savedState'
  • 'C:Users%User profile%LibraryApplication Scripts'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Notendur%Notendasnið%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%User profile% Library Farsímaskjöl <textabreyta> WhatsApp reikningar'
    Þessi skrá inniheldur undirmöppur þar sem nöfnin eru símanúmer sem tengjast eiganda WhatsApp reikningsins.
  • 'C:Notendur%Notendasnið%LibraryCachesWhatsApp.ShipIt'
    Þessi mappa inniheldur upplýsingar um uppsetningu forritsins.
  • 'C:Notendur%Notendasnið%PicturesiPhoto Library.photolibraryMasters', 'C:Notendur%Notendasnið%PicturesiPhoto Library.photolibraryThumbnails'
    Þessar möppur innihalda þjónustuskrár af forritinu, þar á meðal myndir og smámyndir af WhatsApp tengiliðum.
  • 'C:Notendur%Notendasnið%LibraryCachesWhatsApp'
    Þessi mappa inniheldur nokkra SQLite gagnagrunna sem eru notaðir fyrir skyndiminni gagna.
  • 'C:Notendur%Notendasnið%LibraryApplication SupportWhatsApp'
    Þessi mappa inniheldur nokkrar undirmöppur:

    WhatsApp í lófa þínum: hvar og hvernig geturðu fundið réttargripi?
    Í verslun 'C:Notendur%Notendasnið%LibraryApplication SupportWhatsAppCache' það eru skrár 'gögn_0', 'gögn_1', 'gögn_2', 'gögn_3' og skrár með nöfnum 'f*******' (þar sem * er tala frá 0 til 9). Fyrir upplýsingar um hvaða upplýsingar þessar skrár innihalda, sjá WhatsApp Artifacts á Windows.

    Í verslun 'C:Notendur%Notendasnið%LibraryApplication SupportWhatsAppIndexedDB' geta innihaldið margmiðlunarskrár (skrár hafa engar viðbætur).

    skrá 'main-process.log' inniheldur upplýsingar um rekstur WhatsApp forritsins.

Heimildir

  1. Réttarfræðileg greining á WhatsApp Messenger á Android snjallsímum, eftir Cosimo Anglano, 2014.
  2. Whatsapp réttarfræði: Nákvæm kerfi og grunngögn fyrir Android og iOS eftir Ahmad Pratama, 2014.

Í eftirfarandi greinum í þessari röð:

Afkóðun dulkóðaðra WhatsApp gagnagrunnaGrein sem mun veita upplýsingar um hvernig WhatsApp dulkóðunarlykillinn er búinn til og hagnýt dæmi sem sýna hvernig á að afkóða dulkóðaða gagnagrunna þessa forrits.
Að draga WhatsApp gögn úr skýgeymsluGrein þar sem við munum segja þér hvaða WhatsApp gögn eru geymd í skýjunum og lýsa aðferðum til að sækja þessi gögn úr skýjageymslum.
WhatsApp Gagnaútdráttur: Hagnýt dæmiGrein sem mun lýsa skref fyrir skref hvaða forrit og hvernig á að vinna WhatsApp gögn úr ýmsum tækjum.

Heimild: www.habr.com

Bæta við athugasemd