手のひらにある WhatsApp: 法医学的成果物はどこで、どのように見つけられるのでしょうか?

さまざまなオペレーティング システムにどのような種類の WhatsApp フォレンジック アーティファクトが存在するのか、またそれらが正確にどこで見つかるのかを知りたい場合は、ここが最適です。 この記事は、Group-IB Computer Forensics Laboratoryの専門家によるものです。 イゴール・ミハイロフ WhatsApp のフォレンジックと、デバイスの分析からどのような情報が得られるかについての一連の投稿が始まります。

オペレーティング システムが異なれば、保存される WhatsApp アーティファクトの種類も異なります。研究者が XNUMX つのデバイスから特定の種類の WhatsApp データを抽出できる場合でも、別のデバイスから同様の種類のデータを抽出できるわけではないことにすぐに注意してください。 たとえば、Windows OS を実行しているシステム ユニットが取り外された場合、WhatsApp チャットはそのディスク上に見つからなくなる可能性があります (同じドライブ上にある iOS デバイスのバックアップ コピーを除く)。 ラップトップやモバイルデバイスの押収には独自の特徴があります。 これについてさらに詳しく話しましょう。

Android デバイスの WhatsApp アーティファクト

Android デバイスから WhatsApp アーティファクトを抽出するには、研究者はスーパーユーザー権限 ('ルート') を調査対象のデバイス上で実行するか、その他の方法でデバイスまたはそのファイル システムの物理メモリ ダンプを抽出できるようにします (たとえば、特定のモバイル デバイスのソフトウェアの脆弱性を使用します)。

アプリケーション ファイルは、電話機のメモリ内のユーザー データが保存されるセクションにあります。 原則として、このセクションの名前は 「ユーザーデータ」。 サブディレクトリとプログラム ファイルはパスに沿って配置されます。 '/data/data/com.whatsapp/'.

Android OS 内の WhatsApp フォレンジック アーティファクトを含む主なファイルはデータベースです 「わ.db」 и 「msgstore.db」.

データベース内 「わ.db」 WhatsApp ユーザーの完全な連絡先リストが含まれており、電話番号、表示名、タイムスタンプ、および WhatsApp への登録時に提供されたその他の情報が含まれます。 ファイル 「わ.db」 パス沿いにあります: '/data/data/com.whatsapp/databases/' 次の構造を持っています。

データベース内で最も興味深いテーブル 「わ.db」 研究者にとっては次のとおりです。

• 「わ_連絡先」
  このテーブルには、WhatsApp 連絡先 ID、ステータス情報、ユーザー表示名、タイムスタンプなどの連絡先情報が含まれています。

  テーブルの外観:

  
  テーブル構造

  フィールド名	値
  _id	レコードのシーケンス番号 (SQL テーブル内)
  JID	WhatsApp 連絡先 ID (<電話番号>@s.whatsapp.net の形式で記述)
  is_whatsapp_user	連絡先が実際の WhatsApp ユーザーに対応する場合は「1」が含まれ、それ以外の場合は「0」が含まれます。
  status	連絡先ステータスに表示されるテキストが含まれます
  ステータスタイムスタンプ	Unix エポックタイム (ms) 形式のタイムスタンプが含まれます
  数	連絡先に関連付けられた電話番号
  raw_contact_id	連絡先のシリアル番号
  DISPLAY_NAME	連絡先の表示名
  電話番号の種類	電話の種類
  電話ラベル	連絡先番号に関連付けられたラベル
  unseen_msg_count	連絡先によって送信されたが受信者によって読まれなかったメッセージの数
  写真_ts	Unix エポックタイム形式のタイムスタンプが含まれています
  サムネ	Unix エポックタイム形式のタイムスタンプが含まれています
  photo_id_timestamp	Unix エポックタイム (ms) 形式のタイムスタンプが含まれます
  名	フィールド値は各連絡先の「display_name」と一致します
  名前	WhatsApp 連絡先名 (連絡先のプロフィールで指定された名前が表示されます)
  並べ替え名	並べ替え操作で使用される連絡先名
  ニックネーム	WhatsApp での連絡先のニックネーム (連絡先のプロフィールで指定されたニックネームが表示されます)
  会社	会社（連絡先のプロフィールで指定された会社が表示されます）
  タイトル	役職（Ms./Mr.、連絡先プロフィールで設定された役職が表示されます）
  オフセット	変位

• 'sqlite_シーケンス'
  このテーブルには、連絡先の数に関する情報が含まれています。
• 「アンドロイド_メタデータ」
  この表には、WhatsApp の言語ローカリゼーションに関する情報が含まれています。

データベース内 「msgstore.db」 連絡先番号、メッセージ テキスト、メッセージ ステータス、タイムスタンプ、メッセージに含まれる転送ファイルの詳細など、送信されたメッセージに関する情報が含まれます。 ファイル 「msgstore.db」 パス沿いにあります: '/data/data/com.whatsapp/databases/' 次の構造を持っています。

ファイル内の最も興味深いテーブル 「msgstore.db」 研究者にとっては次のとおりです。

• 'sqlite_シーケンス'
  このテーブルには、保存されているメッセージの合計数、チャットの合計数など、このデータベースに関する一般情報が含まれています。

  テーブルの外観:

  

• 'message_fts_content'
  送信されたメッセージのテキストが含まれます。

  テーブルの外観:

  

• 「メッセージ」
  このテーブルには、連絡先番号、メッセージ テキスト、メッセージ ステータス、タイムスタンプ、メッセージに含まれる転送ファイルに関する情報などの情報が含まれています。

  テーブルの外観:

  
  テーブル構造

  フィールド名	値
  _id	レコードのシーケンス番号 (SQL テーブル内)
  key_remote_jid	通信相手のWhatsApp ID
  key_from_me	メッセージの方向: '0' – 受信、'1' – 送信
  key_id	一意のメッセージ識別子
  status	メッセージのステータス: '0' – 配信済み、'4' – サーバーで待機中、'5' – 宛先で受信、'6' – 制御メッセージ、'13' – 受信者によって開かれたメッセージ (読み取り)
  ニードプッシュ	ブロードキャスト メッセージの場合は値「2」があり、それ以外の場合は「0」が含まれます。
  データ	メッセージテキスト（「media_wa_type」パラメータが「0」の場合）
  タイムスタンプ	Unix エポックタイム (ms) 形式のタイムスタンプが含まれており、値はデバイスのクロックから取得されます。
  メディアURL	転送されたファイルのURLが含まれます(「media_wa_type」パラメータが「1」、「2」、「3」の場合)
  media_mime_type	転送されたファイルの MIME タイプ ('media_wa_type' パラメータが '1'、'2'、'3' の場合)
  メディアの種類	メッセージ タイプ: '0' - テキスト、'1' - グラフィック ファイル、'2' - オーディオ ファイル、'3' - ビデオ ファイル、'4' - 連絡先カード、'5' - 地理データ
  メディアサイズ	転送ファイルのサイズ（「media_wa_type」パラメータが「1」、「2」、「3」の場合）
  メディア名	転送したファイル名（「media_wa_type」パラメータが「1」、「2」、「3」の場合）
  メディアキャプション	「media_wa_type」パラメータの対応する値に対応する「audio」、「video」という単語が含まれます（「media_wa_type」パラメータが「1」、「3」の場合）
  メディアハッシュ	HAS-64 アルゴリズムを使用して計算された、送信されたファイルの Base256 エンコードされたハッシュ (「media_wa_type」パラメータが「1」、「2」、「3」に等しい場合)
  メディア期間	メディア ファイルの持続時間 (秒単位) (「media_wa_type」が「1」、「2」、「3」の場合)
  起源	ブロードキャスト メッセージの場合は値「2」があり、それ以外の場合は「0」が含まれます。
  緯度	geodata: 緯度（「media_wa_type」パラメータが「5」の場合）
  経度	geodata: 経度（「media_wa_type」パラメータが「5」の場合）
  サム画像	サービス情報
  リモートリソース	送信者ID (グループチャットのみ)
  受信したタイムスタンプ	受信時刻。Unix エポックタイム (ms) 形式のタイムスタンプが含まれます。値はデバイスのクロックから取得されます (「key_from_me」パラメータが「0」、「-1」、またはその他の値を持つ場合)
  send_timestamp	使用されず、通常は値「-1」になります。
  受信サーバーのタイムスタンプ	中央サーバーによって受信された時刻。Unix エポックタイム (ms) 形式のタイムスタンプが含まれます。値はデバイスのクロックから取得されます (「key_from_me」パラメーターが「1」、「-1」、またはその他の値を持つ場合)
  受信デバイスのタイムスタンプ	メッセージが別のサブスクライバによって受信された時刻。Unix エポックタイム (ms) 形式のタイムスタンプが含まれます。値はデバイスのクロックから取得されます (「key_from_me」パラメータが「1」、「-1」または別の値の場合)
  read_device_timestamp	メッセージを開く (読み取る) 時刻。Unix エポックタイム (ms) 形式のタイムスタンプが含まれます。値はデバイスのクロックから取得されます。
  再生されたデバイスのタイムスタンプ	メッセージの再生時間。Unix エポックタイム (ms) 形式のタイムスタンプが含まれます。値はデバイスのクロックから取得されます。
  生データ	転送されたファイルのサムネイル（「media_wa_type」パラメータが「1」または「3」の場合）
  受信者_数	受信者の数 (ブロードキャスト メッセージの場合)
  参加者_ハッシュ	地理データを含むメッセージを送信するときに使用されます
  主演	使用されていません
  quote_row_id	不明、通常は値「0」が含まれます
  言及された_jids	使用されていません
  マルチキャストID	使用されていません
  オフセット	変位

  このフィールドのリストはすべてを網羅しているわけではありません。 WhatsApp のバージョンが異なると、一部のフィールドが存在する場合と存在しない場合があります。 さらに、フィールドが存在する場合があります。 「メディア_enc_ハッシュ」, '編集バージョン', 'payment_transaction_id' 等

• 'メッセージ_サムネイル'
  このテーブルには、転送されたイメージとタイムスタンプに関する情報が含まれています。 「タイムスタンプ」列には、時間が Unix エポックタイム (ms) 形式で表示されます。
• 'チャットリスト'
  このテーブルにはチャットに関する情報が含まれています。

  テーブルの外観:

  

また、Android を実行しているモバイル デバイスで WhatsApp を調べる場合は、次のファイルに注意する必要があります。

• ファイル 「msgstore.db.cryptXX」 (XX は 0 ～ 12 の 12 桁または XNUMX 桁です。たとえば、msgstore.db.cryptXNUMX)。 WhatsApp メッセージの暗号化されたバックアップが含まれています (バックアップ ファイル) msgstore.db）。 ファイル 「msgstore.db.cryptXX」 パス沿いにあります: '/data/media/0/WhatsApp/データベース/' (仮想SDカード)、 '/mnt/sdcard/WhatsApp/データベース/ （物理SDカード）」。
• ファイル '鍵'。 暗号化キーが含まれています。 道沿いにあります: '/data/data/com.whatsapp/files/'。 暗号化された WhatsApp バックアップを復号化するために使用されます。
• ファイル 「com.whatsapp_preferences.xml」。 WhatsApp アカウントのプロフィールに関する情報が含まれます。 ファイルは次のパスに沿って配置されます。 '/data/data/com.whatsapp/shared_prefs/'.

  ファイルコンテンツの断片

  <?xml version="1.0" encoding="ISO-8859-1"?>
  …
  <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
  …
  <string name="version">2.17.395</string> (версия WhatsApp)
  …
  <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
  …
  <string name="push_name">Alex</string> (имя владельца аккаунта)
  … 

• ファイル 「登録.RegisterPhone.xml」。 WhatsApp アカウントに関連付けられた電話番号に関する情報が含まれます。 ファイルは次のパスに沿って配置されます。 '/data/data/com.whatsapp/shared_prefs/'.

  ファイルの内容

  <?xml version="1.0" encoding="ISO-8859-1"?>
  <map>
  <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
  <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
  <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
  <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
  <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
  </map>

• ファイル 「アクソロートル.db」。 アカウント所有者を識別するために必要な暗号キーとその他のデータが含まれます。 道沿いにあります: '/data/data/com.whatsapp/databases/'.
• ファイル 「チャット設定.db」。 アプリケーション構成情報が含まれます。
• ファイル 「わ.db」。 連絡先の詳細が含まれます。 (法医学的な観点から) 非常に興味深い、有益なデータベースです。 削除された連絡先に関する詳細情報が含まれる場合があります。

次のディレクトリにも注意する必要があります。

• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp 画像/'。 転送されたグラフィック ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp ボイスメモ/'。 .OPUS 形式ファイルの音声メッセージが含まれています。
• ディレクトリ '/data/data/com.whatsapp/cache/プロフィール写真/'。 グラフィック ファイル (連絡先の画像) が含まれています。
• ディレクトリ '/data/data/com.whatsapp/files/アバター/'。 グラフィック ファイル (連絡先のサムネイル画像) が含まれています。 これらのファイルには「.j」拡張子が付いていますが、JPEG (JPG) 画像ファイルです。
• ディレクトリ '/data/data/com.whatsapp/files/アバター/'。 グラフィック ファイル (アカウント所有者によってアバターとして設定された画像と画像のサムネイル) が含まれます。
• ディレクトリ '/data/data/com.whatsapp/files/Logs/'。 プログラム操作ログ (ファイル「whatsapp.log」) とプログラム操作ログのバックアップ コピー (whatsapp-yyyy-mm-dd.1.log.gz 形式の名前を持つファイル) が含まれます。

WhatsApp ログ ファイル:

日記の断片2017-01-10 09:37:09.757 LL_ID [524:WhatsApp Worker #1] 不在着信通知/初期カウント:0 タイムスタンプ:0
2017-01-10 09:37:09.758 LL_ID [524:WhatsApp Worker #1] 不在着信通知/更新キャンセル true
2017-01-10 09:37:09.768 LL_ID [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_ID [1:main] パスワード ファイルが見つからないか、読み取ることができません
2017-01-10 09:37:09.782 LL_ID [1:main] 統計 テキスト メッセージ: 送信 59、受信 82 / メディア メッセージ: 送信 1 (0 バイト)、受信 0 (9850158 バイト) / オフライン メッセージ: 受信 81 (平均遅延 19522 ミリ秒） / メッセージ サービス: 送信 116075 バイト、受信 211729 バイト / VoIP 通話: 発信 1 回、着信 0 回、送信 2492 バイト、受信 1530 バイト / Google ドライブ: 送信 0 バイト、受信 0 バイト / ローミング: 1524送信バイト数、受信バイト数 1826 バイト / データ合計: 送信バイト数 118567、受信バイト数 10063417 バイト
2017-01-10 09:37:09.785 LL_ID [1:main] メディア状態マネージャー/リフレッシュ-メディア状態/書き込み可能メディア
2017-01-10 09:37:09.806 LL_ID [1:main] アプリ初期化/初期化/タイマー/停止: 24
2017-01-10 09:37:09.811 LL_ID [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_ID [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_ID [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_ID [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_ID [1:main] msgstore/checkdb/バージョン 1
2017-01-10 09:37:09.839 LL_ID [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_ID [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | 費やした時間:8
2017-01-10 09:37:09.848 LL_ID [529:WhatsApp Worker #3] メディア状態マネージャー/リフレッシュ-メディア状態/利用可能な内部ストレージ:1,345,622,016 合計:5,687,922,688

• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp オーディオ/'。 受信した音声ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp オーディオ/送信/'。 送信された音声ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp 画像/'。 結果のグラフィック ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp 画像/送信/'。 送信されたグラフィック ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp ビデオ/'。 受信したビデオファイルが含まれています。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp ビデオ/送信/'。 送信されたビデオ ファイルが含まれます。
• ディレクトリ '/data/media/0/WhatsApp/メディア/WhatsApp プロフィール写真/'。 WhatsApp アカウントの所有者に関連付けられたグラフィック ファイルが含まれています。
• Android スマートフォンのメモリ領域を節約するために、一部の WhatsApp データを SD カードに保存できます。 SDカードのルートディレクトリにディレクトリがあります。 「ワッツアップ」ここには、このプログラムの次のアーティファクトがあります。

  

• ディレクトリ '。共有' ('/mnt/sdcard/WhatsApp/.Share/'）。 他の WhatsApp ユーザーと共有されたファイルのコピーが含まれます。
• ディレクトリ '。ごみ' ('/mnt/sdcard/WhatsApp/.trash/'）。 削除されたファイルが含まれています。
• ディレクトリ 「データベース」 ('/mnt/sdcard/WhatsApp/データベース/'）。 暗号化されたバックアップが含まれます。 ファイルが存在する場合は復号化できます '鍵'、分析されたデバイスのメモリから抽出されます。

  サブディレクトリにあるファイル 「データベース」:

  

• ディレクトリ '半分' ('/mnt/sdcard/WhatsApp/メディア/'）。 サブディレクトリを含む '壁紙', 「WhatsAppオーディオ」, 「WhatsApp画像」, 「WhatsApp プロフィール写真」, 「WhatsAppビデオ」, 「WhatsApp ボイスメモ」、受信および送信されたマルチメディア ファイル (グラフィック ファイル、ビデオ ファイル、音声メッセージ、WhatsApp アカウント所有者のプロフィールに関連付けられた写真、壁紙) が含まれています。
• ディレクトリ 「プロフィール写真」 ('/mnt/sdcard/WhatsApp/プロフィール写真/'）。 WhatsApp アカウント所有者のプロフィールに関連付けられたグラフィック ファイルが含まれています。
• SD カード上にディレクトリが存在する場合があります。 「ファイル」 ('/mnt/sdcard/WhatsApp/ファイル/'）。 このディレクトリには、プログラム設定とユーザー設定を保存するファイルが含まれています。

モバイル デバイスの一部のモデルのデータ ストレージの機能

Android OS を実行しているモバイル デバイスの一部のモデルでは、WhatsApp アーティファクトが別の場所に保存される場合があります。 これは、モバイル機器のシステムソフトウェアによるアプリケーションデータの保存容量の変更によるものです。 たとえば、Xiaomi モバイル デバイスには、XNUMX 番目のワークスペース (「SecondSpace」) を作成する機能があります。 この機能を有効にすると、データの位置が変更されます。 したがって、Android OS を実行している通常のモバイル デバイスの場合、ユーザー データはディレクトリに保存されます。 '/データ/ユーザー/0/' （これは通常のものへの参照です） '/データ/データ/')、XNUMX 番目のワークスペースでは、アプリケーション データがディレクトリに保存されます。 '/データ/ユーザー/10/'。 つまり、ファイルの場所の例を使用すると、 「わ.db」:

• Android OSを実行する通常のスマートフォンの場合: /data/user/0/com.whatsapp/databases/wa.db' (これは同等です '/data/data/com.whatsapp/databases/wa.db');
• Xiaomi スマートフォンの XNUMX 番目のワークスペース: '/data/user/10/com.whatsapp/databases/wa.db'.

iOS デバイスの WhatsApp アーティファクト

Android OS とは異なり、iOS では WhatsApp アプリケーション データはバックアップ コピー (iTunes バックアップ) に転送されます。 したがって、このアプリケーションからデータを抽出する場合、ファイル システムを抽出したり、調査対象のデバイスの物理メモリ ダンプを作成したりする必要はありません。 関連情報のほとんどはデータベースに含まれています 「ChatStorage.sqlite」、パス沿いにあります。 '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (一部のプログラムでは、このパスは次のように表示されます 「AppDomainGroup-group.net.whatsapp.WhatsApp.shared」).

構造 「ChatStorage.sqlite」:

「ChatStorage.sqlite」データベース内の最も有益なテーブルは次のとおりです。 「ズワメッセージ」 и 「ズワメディアアイテム」.

テーブルの外観 「ズワメッセージ」:

テーブル「ZWAMESSAGE」の構造

フィールド名	値
Z_PK	レコードのシーケンス番号 (SQL テーブル内)
Z_ENT	テーブル識別子、値は「9」です
Z_OPT	不明、通常は「1」から「6」までの値が含まれます
ZCHILDMESSAGESDELIVEREDCOUNT	不明、通常は値「0」が含まれます
ZCHILDMESSAGESPLAYEDCOUNT	不明、通常は値「0」が含まれます
ZCHILDMESSAGESREADCOUNT	不明、通常は値「0」が含まれます
ZDATAITEMVERSION	不明。通常は値「3」が含まれます。おそらくテキスト メッセージ インジケーターです。
ZDOCID	未知数
ZENCRETRYCOUNT	不明、通常は値「0」が含まれます
ZFILTEREDRECIPIENTCOUNT	不明、通常は値「0」、「2」、「256」が含まれます
ジフロム	メッセージの方向: '0' – 受信、'1' – 送信
ZMESSAGEエラーステータス	メッセージ送信ステータス。 メッセージが送受信されると、値は「0」になります。
ZMESSAGETYPE	送信されるメッセージの種類
ZSORT	未知数
Zスポットライトステータス	未知数
Zスターレッド	不明、使用されていない
チャットセッション	未知数
Zグループメンバー	不明、使用されていない
ZLASTセッション	未知数
ZMEDIAITEM	未知数
ZMESSAGEINFO	未知数
ZPARENTメッセージ	不明、使用されていない
ZMESSAGEDATE	OS X エポックタイム形式のタイムスタンプ
センデート	メッセージが OS X エポックタイム形式で送信された時刻
ズフロムジド	WhatsApp送信者ID
ZMEDIASECTIONID	メディア ファイルが送信された年と月が含まれます
ZPHASH	不明、使用されていない
ZPUSHPAME	UTF-8 形式のメディア ファイルを送信した連絡先の名前
ズスタンジド	一意のメッセージ識別子
ZTEXT	メッセージテキスト
ズトジド	受信者のWhatsApp ID
OFFSET	変位

テーブルの外観 「ズワメディアアイテム」:

テーブル「ZWAMEDIAITEM」の構造

フィールド名	値
Z_PK	レコードのシーケンス番号 (SQL テーブル内)
Z_ENT	テーブル識別子、値は「8」です
Z_OPT	不明。通常は「1」から「3」までの値が含まれます。
Zクラウドステータス	ファイルがロードされている場合、値「4」が含まれます。
ZFILESIZE	ダウンロードされたファイルのファイル長 (バイト単位) が含まれます
ZMEDIAORIGIN	不明、通常は値「0」を持つ
ZMOVIEDURATION	メディア ファイルの長さ (PDF ファイルの場合はドキュメントのページ数が含まれる場合があります)
Zメッセージ	シリアル番号が含まれています (番号は「Z_PK」列に示されている番号とは異なります)
ザスペクトラシオ	アスペクト比、使用されません、通常は「0」に設定されます
ザ精度	不明、通常は値「0」を持つ
ズラティチュード	ピクセル単位の幅
中緯度	ピクセル単位の高さ
ZMEDIAURLDATE	OS X エポックタイム形式のタイムスタンプ
ZAUTHORNAME	作成者 (ドキュメントの場合はファイル名が含まれる場合があります)
Zコレクション名	使用されていません
Zメディアローカルパス	デバイスファイルシステム内のファイル名(パスを含む)
ZMEDIAURL	メディア ファイルが存在する URL。 ファイルがある加入者から別の加入者に転送された場合、そのファイルは暗号化され、その拡張子は転送されたファイルの拡張子 - .enc として示されます。
ZTHUMBNAILLOCALPATH	デバイスファイルシステム内のファイルサムネイルへのパス
Zタイトル	ファイルヘッダー
ZVCARDNAME	メディア ファイルのハッシュ。ファイルをグループに転送する場合、送信者識別子が含まれる場合があります。
ZVCARDSTRING	転送されるファイルの種類に関する情報 (例: image/jpeg) が含まれます。ファイルをグループに転送する場合、受信者の識別子が含まれる場合があります。
ZXMPPTHUMBPATH	デバイスファイルシステム内のファイルサムネイルへのパス
ZMEDIAKEY	不明ですが、おそらく暗号化されたファイルを復号化するためのキーが含まれています。
ZMETADATA	送信されたメッセージのメタデータ
オフセット	変位

その他の興味深いデータベース テーブル 「ChatStorage.sqlite」 次のとおりです。

• 「ZWAPROFILEPUSHNAME」。 WhatsApp ID と連絡先名を照合します。
• 「ZWAPROFILEPICTUREITEM」。 WhatsApp ID と連絡先アバターを照合します。
• 'Z_PRIMARYKEY'。 テーブルには、保存されているメッセージの合計数、チャットの合計数など、このデータベースに関する一般情報が含まれています。

また、iOS を実行しているモバイル デバイスで WhatsApp を調べる場合は、次のファイルに注意する必要があります。

• ファイル 「BackedUpKeyValue.sqlite」。 アカウント所有者を識別するために必要な暗号キーとその他のデータが含まれます。 道沿いにあります: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• ファイル 「ContactsV2.sqlite」。 ユーザーの連絡先に関する情報 (氏名、電話番号、連絡先ステータス (テキスト形式)、WhatsApp ID など) が含まれます。 道沿いにあります: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• ファイル 'コンシューマ_バージョン'。 インストールされている WhatsApp アプリケーションのバージョン番号が含まれます。 道沿いにあります: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• ファイル '現在の壁紙.jpg'。 現在の WhatsApp の背景壁紙が含まれています。 道沿いにあります: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/。 古いバージョンのアプリケーションはこのファイルを使用します '壁紙'、パス沿いにあります。 '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
• ファイル 「ブロックされた連絡先.dat」。 ブロックされた連絡先に関する情報が含まれます。 道沿いにあります: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
• ファイル 「pw.dat」。 暗号化されたパスワードが含まれています。 道沿いにあります: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
• ファイル 「net.whatsapp.WhatsApp.plist」 (またはファイル 「グループ.net.whatsapp.WhatsApp.shared.plist」）。 WhatsApp アカウントのプロフィールに関する情報が含まれます。 ファイルは次のパスに沿って配置されます。 '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

ファイル「group.net.whatsapp.WhatsApp.shared.plist」の内容
次のディレクトリにも注意する必要があります。

• ディレクトリ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'。 連絡先、グループのサムネイルが含まれます (拡張子が のファイル) 。親指)、連絡先アバター、WhatsApp アカウント所有者のアバター (ファイル 「写真.jpg」).
• ディレクトリ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'。 マルチメディア ファイルとそのサムネイルが含まれます
• ディレクトリ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'。 プログラムの動作ログ（ファイル）が含まれます。 「通話ログ」) およびプログラム動作ログのバックアップ コピー (ファイル 「calls.backup.log」).
• ディレクトリ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'。 ステッカーが含まれています (ファイル形式は 「.webp」).
• ディレクトリ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'。 プログラムの動作ログが含まれます。

Windows 上の WhatsApp アーティファクト

Windows 上の WhatsApp アーティファクトはいくつかの場所で見つかります。 まず、これらは実行可能ファイルと補助プログラム ファイルを含むディレクトリです (Windows 8/10 の場合)。

• 「C:プログラム ファイル (x86)WhatsApp」
• 'C:Users%ユーザープロファイル%AppDataLocalWhatsApp'
• 'C:Users%ユーザー プロファイル% AppDataLocalVirtualStore プログラム ファイル (x86)WhatsApp'

カタログで 'C:Users%ユーザープロファイル%AppDataLocalWhatsApp' ログファイルはあります 「SquirrelSetup.log」には、更新の確認とプログラムのインストールに関する情報が含まれています。

カタログで 'C:Users%ユーザープロファイル%AppDataRoamingWhatsApp' いくつかのサブディレクトリがあります。

ファイル 「メインプロセス.ログ」 WhatsApp プログラムの操作に関する情報が含まれています。

サブディレクトリ 「データベース」 ファイルが含まれています 「データベース.db」, ただし、このファイルにはチャットや連絡先に関する情報は含まれていません。

フォレンジックの観点から最も興味深いのは、ディレクトリにあるファイルです。 'キャッシュ'。 これらは基本的に次の名前のファイルです 「f_*******」 (* は 0 ～ 9 の数字) には暗号化されたマルチメディア ファイルとドキュメントが含まれていますが、その中には暗号化されていないファイルも含まれています。 特に興味深いのは、次のファイルです。 「データ_0」, 「データ_1」, 「データ_2」, 「データ_3」、同じサブディレクトリにあります。 ファイル 「データ_0」, 「データ_1」, 「データ_3」 送信される暗号化されたマルチメディア ファイルおよびドキュメントへの外部リンクが含まれます。

ファイル「data_1」に含まれる情報の例
ファイルも 「データ_3」 グラフィック ファイルが含まれる場合があります。

ファイル 「データ_2」 連絡先のアバターが含まれています (ファイル ヘッダーで検索することで復元できます)。

ファイルに含まれるアバター 「データ_2」:

したがって、チャット自体はコンピュータのメモリ内で見つけることができませんが、次のものを見つけることができます。

• マルチメディア ファイル。
• WhatsApp経由で送信される文書。
• アカウント所有者の連絡先に関する情報。

MacOS 上の WhatsApp アーティファクト

MacOS では、Windows OS で見られるものと同様の種類の WhatsApp アーティファクトを見つけることができます。

プログラム ファイルは次のディレクトリにあります。

• 「C:アプリケーションWhatsApp.app」
• 「C:アプリケーション._WhatsApp.app」
• 'C:ユーザー%ユーザー プロファイル%ライブラリ設定'
• 'C:Users%ユーザープロファイル%LibraryLogsWhatsApp'
• 'C:Users%ユーザー プロファイル%ライブラリ保存されたアプリケーションの状態WhatsApp.savedState'
• 'C:ユーザー%ユーザー プロファイル%ライブラリアプリケーション スクリプト'
• 'C:Users%ユーザー プロファイル%LibraryApplication SupportCloudDocs'
• 'C:Users%ユーザー プロファイル%LibraryApplication SupportWhatsApp.ShipIt'
• 'C:Users%ユーザー プロファイル%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
• 'C:Users%ユーザー プロファイル% ライブラリ モバイル ドキュメント <テキスト変数> WhatsApp アカウント'
  このディレクトリには、WhatsApp アカウントの所有者に関連付けられた電話番号を名前とするサブディレクトリが含まれています。
• 'C:Users%ユーザープロファイル%LibraryCachesWhatsApp.ShipIt'
  このディレクトリには、プログラムのインストールに関する情報が含まれています。
• 'C:Users%ユーザープロフィール%PicturesiPhoto Library.photolibraryMasters', 'C:Users%ユーザープロフィール%Picturesiフォトライブラリ.photolibraryThumbnails'
  これらのディレクトリには、WhatsApp 連絡先の写真やサムネイルなど、プログラムのサービス ファイルが含まれています。
• 'C:Users%ユーザープロファイル%LibraryCachesWhatsApp'
  このディレクトリには、データ キャッシュに使用されるいくつかの SQLite データベースが含まれています。
• 'C:Users%ユーザープロファイル%LibraryApplication SupportWhatsApp'
  このディレクトリにはいくつかのサブディレクトリが含まれています。

  
  カタログで 'C:Users%ユーザープロファイル%LibraryApplication SupportWhatsAppCache' ファイルがあります 「データ_0」, 「データ_1」, 「データ_2」, 「データ_3」 および名前付きのファイル 「f_*******」 (* は 0 ～ 9 の数字です)。 これらのファイルにどのような情報が含まれているかについては、「Windows の WhatsApp アーティファクト」を参照してください。

  カタログで 'C:Users%ユーザー プロファイル%LibraryApplication SupportWhatsAppIndexedDB' マルチメディア ファイルが含まれる場合があります (ファイルには拡張子がありません)。

  ファイル 「メインプロセス.ログ」 WhatsApp プログラムの操作に関する情報が含まれています。

ソース

1. Android スマートフォン上の WhatsApp Messenger のフォレンジック分析、Cosimo Anglano 著、2014 年。
2. Whatsapp フォレンジック: Ahmad Pratama 著、2014 年、Android と iOS の基本データとアプリケーションのシステムの詳細。

このシリーズの次の記事で:

暗号化されたWhatsAppデータベースの復号化WhatsApp 暗号化キーの生成方法に関する情報と、このアプリケーションの暗号化されたデータベースを復号化する方法を示す実践的な例を提供する記事です。
クラウドストレージからWhatsAppデータを抽出するこの記事では、クラウドにどのような WhatsApp データが保存されているかを説明し、このデータをクラウド ストレージから取得する方法について説明します。
WhatsApp データ抽出: 実用的な例この記事では、さまざまなデバイスから WhatsApp データを抽出するプログラムと方法を段階的に説明します。

出所： habr.com