Әртүрлі операциялық жүйелерде WhatsApp сот-медициналық артефактілерінің қандай түрлері бар екенін және оларды қайдан табуға болатынын білгіңіз келсе, бұл сізге арналған орын. Бұл мақала Group-IB компьютерлік сот сараптамасы зертханасының маманынан алынған Игорь Михайлов WhatsApp сот сараптамасы және құрылғыны талдау арқылы қандай ақпаратты алуға болатыны туралы жазбалар сериясын бастайды.
Әртүрлі операциялық жүйелер WhatsApp артефактілерінің әртүрлі түрлерін сақтайтынын бірден атап өтейік және егер зерттеуші бір құрылғыдан WhatsApp деректерінің белгілі бір түрлерін шығарып алса, бұл ұқсас деректер түрлерін басқа құрылғыдан шығаруға болады дегенді білдірмейді. Мысалы, егер Windows ОЖ жұмыс істейтін жүйелік блок жойылса, WhatsApp чаттары оның дискілерінен табылмауы мүмкін (сол дискілерден табуға болатын iOS құрылғыларының сақтық көшірмелерін қоспағанда). Ноутбуктер мен мобильді құрылғыларды басып алудың өзіндік ерекшеліктері болады. Бұл туралы толығырақ сөйлесейік.
Android құрылғысындағы WhatsApp артефактілері
Android құрылғысынан WhatsApp артефактілерін алу үшін зерттеушінің суперпайдаланушы құқықтары болуы керек ('тамыр') зерттеліп жатқан құрылғыда немесе құрылғының немесе оның файлдық жүйесінің физикалық жад демпін (мысалы, белгілі бір мобильді құрылғының бағдарламалық осал тұстарын пайдалану) басқа жолмен шығарып алу мүмкіндігі.
Қолданба файлдары телефонның жадында пайдаланушы деректері сақталатын бөлімде орналасқан. Әдетте, бұл бөлім аталды "пайдаланушы деректері". Ішкі каталогтар мен бағдарлама файлдары жол бойында орналасқан: '/data/data/com.whatsapp/'.
Android операциялық жүйесінде WhatsApp сот артефактілері бар негізгі файлдар дерекқорлар болып табылады 'wa.db' и 'msgstore.db'.
Деректер базасында 'wa.db' WhatsApp пайдаланушысының толық контактілер тізімін, соның ішінде телефон нөмірін, дисплей атауын, уақыт белгілерін және WhatsApp жүйесіне тіркелу кезінде берілген кез келген басқа ақпаратты қамтиды. Файл 'wa.db' жол бойында орналасқан: '/data/data/com.whatsapp/databases/' және келесі құрылымға ие:
Мәліметтер қорындағы ең қызықты кестелер 'wa.db' зерттеуші үшін:
- 'wa_contacts'
Бұл кестеде байланыс ақпараты бар: WhatsApp контактінің идентификаторы, күй туралы ақпарат, пайдаланушының көрсетілетін аты, уақыт белгілері және т.б.Кестенің көрінісі:
Кесте құрылымыӨріс атауы құн _id жазба реттік нөмірі (SQL кестесінде) джид <телефон нөмірі>@s.whatsapp.net форматында жазылған WhatsApp байланыс идентификаторы бұл_whatsapp_пайдаланушы егер контакт нақты WhatsApp пайдаланушысына сәйкес келсе, "1", әйтпесе "0" бар мәртебе контакт күйінде көрсетілген мәтінді қамтиды күй_уақыт белгісі Unix Epoch Time (ms) пішіміндегі уақыт белгісін қамтиды нөмір контактімен байланысты телефон нөмірі raw_contact_id байланыс сериялық нөмірі DISPLAY_NAME контактінің көрсетілетін аты телефон_түрі телефон түрі телефон_белгісі байланыс нөмірімен байланысты жапсырма көрінбейтін_хабарлар_саны контакт жіберген, бірақ алушы оқымаған хабарламалар саны фотолар Unix Epoch Time пішіміндегі уақыт белгісін қамтиды бас бармақ Unix Epoch Time пішіміндегі уақыт белгісін қамтиды photo_id_уақыт белгісі Unix Epoch Time (ms) пішіміндегі уақыт белгісін қамтиды есім өріс мәні әрбір контакт үшін "дисплей_атына" сәйкес келеді wa_name WhatsApp контактінің аты (контакт профилінде көрсетілген аты көрсетіледі) сұрыптау_атауы сұрыптау операцияларында қолданылатын контакт аты лақап аты WhatsApp-тағы контактінің лақап аты (контакт профилінде көрсетілген лақап аты көрсетіледі) компания компания (байланыстың профилінде көрсетілген компания көрсетіледі) тақырып тақырып (ханым/мырза; контакт профилінде конфигурацияланған тақырып көрсетіледі) офсет бейтараптық - 'sqlite_sequence'
Бұл кесте контактілер саны туралы ақпаратты қамтиды; - 'android_metdata'
Бұл кестеде WhatsApp тілін локализациялау туралы ақпарат бар.
Деректер базасында 'msgstore.db' Байланыс нөмірі, хабарлама мәтіні, хабарлама күйі, уақыт белгілері, хабарларға енгізілген тасымалданатын файлдар туралы мәліметтер және т.б. сияқты жіберілген хабарламалар туралы ақпаратты қамтиды. Файл 'msgstore.db' жол бойында орналасқан: '/data/data/com.whatsapp/databases/' және келесі құрылымға ие:
Файлдағы ең қызықты кестелер 'msgstore.db' зерттеуші үшін:
- 'sqlite_sequence'
Бұл кестеде осы дерекқор туралы жалпы ақпарат бар, мысалы, сақталған хабарлардың жалпы саны, чаттардың жалпы саны және т.б.Кестенің көрінісі:
- 'message_fts_content'
Жіберілген хабарламалардың мәтінін қамтиды.Кестенің көрінісі:
- «хабарламалар»
Бұл кестеде байланыс нөмірі, хабарлама мәтіні, хабарлама күйі, уақыт белгілері, хабарларға енгізілген тасымалданатын файлдар туралы ақпарат бар.Кестенің көрінісі:
Кесте құрылымыӨріс атауы құн _id жазба реттік нөмірі (SQL кестесінде) key_remote_jid Байланыс серіктесінің WhatsApp идентификаторы меннен_кілт хабарлама бағыты: '0' – кіріс, '1' – шығыс key_id бірегей хабарлама идентификаторы мәртебе хабарлама күйі: '0' – жеткізілді, '4' – серверде күтуде, '5' – тағайындалған жерде қабылданды, '6' – бақылау хабарламасы, '13' – алушы ашқан хабарлама (оқылды) қажет_басу егер ол таратылатын хабар болса, "2" мәніне ие, әйтпесе "0" мәліметтер хабар мәтіні ('media_wa_type' параметрі '0' болғанда) уақыт белгісі Unix Epoch Time (ms) пішіміндегі уақыт белгісін қамтиды, мән құрылғы сағатынан алынады media_url тасымалданған файлдың URL мекенжайын қамтиды ('media_wa_type' параметрі '1', '2', '3' болғанда) media_mime_type Тасымалданатын файлдың MIME түрі ('media_wa_type' параметрі '1', '2', '3' мәніне тең болғанда) media_wa_түрі хабарлама түрі: '0' - мәтін, '1' - графикалық файл, '2' - аудио файл, '3' - бейне файл, '4' - контакт картасы, '5' - геодеректер медиа_өлшемі тасымалданатын файл өлшемі ('media_wa_type' параметрі '1', '2', '3' болғанда) медиа_атауы тасымалданатын файлдың атауы ('media_wa_type' параметрі '1', '2', '3' болғанда) медиа_титр Құрамында "media_wa_type" параметрінің сәйкес мәндері үшін "аудио", "бейне" сөздері бар ("media_wa_type" параметрі "1", "3" болғанда) медиа_хэш HAS-64 алгоритмі арқылы есептелетін тасымалданатын файлдың base256 кодталған хэші ('media_wa_type' параметрі '1', '2', '3' мәніне тең болғанда) медиа_ұзақтығы мультимедиа файлының ұзақтығы ('media_wa_type' '1', '2', '3' болғанда) шығу тегі егер ол таратылатын хабар болса, "2" мәніне ие, әйтпесе "0" ендік геодеректер: ендік ('media_wa_type' параметрі '5' болғанда) бойлық геодеректер: бойлық ('media_wa_type' параметрі '5' болғанда) бас бармақ_суреті қызмет туралы ақпарат қашықтағы_ресурс Жіберуші идентификаторы (тек топтық чаттар үшін) қабылданған_уақыт белгісі алу уақыты, Unix Epoch Time (ms) пішіміндегі уақыт белгісін қамтиды, мән құрылғы сағатынан алынады («key_from_me» параметрінде «0», «-1» немесе басқа мән болған кезде) жіберу_уақыт белгісі пайдаланылмайды, әдетте '-1' мәні бар түбіртек_серверінің_уақыт белгісі орталық сервер қабылдаған уақыт, Unix Epoch Time (ms) пішіміндегі уақыт белгісі бар, мән құрылғы сағатынан алынады («key_from_me» параметрінде «1», «-1» немесе басқа мән болған кезде түбіртек_құрылғы_уақыт белгісі хабарламаны басқа жазылушы қабылдаған уақыт, Unix Epoch Time (ms) пішіміндегі уақыт белгісі бар, мән құрылғы сағатынан алынады («key_from_me» параметрінде «1», «-1» немесе басқа мән болған кезде оқу_құрылғысының_уақыт белгісі хабарламаны ашу (оқу) уақыты, Unix Epoch Time (ms) пішіміндегі уақыт белгісі бар, мән құрылғы сағатынан алынады ойнатылған_құрылғы_уақыт белгісі хабарды ойнату уақыты, Unix Epoch Time (мс) пішіміндегі уақыт белгісін қамтиды, мән құрылғы сағатынан алынады шикі_деректер тасымалданған файлдың нобайы («media_wa_type» параметрі «1» немесе «3» болғанда) алушы_саны қабылдаушылардың саны (хабарламалар үшін) қатысушы_хэш геодеректермен хабарламаларды жіберу кезінде қолданылады жұлдызға қойылды қолданылмайды цитаталанған_жолдың_идентификаторы белгісіз, әдетте "0" мәнін қамтиды аталған_жидтер қолданылмайды multicast_id қолданылмайды офсет бейтараптық Бұл өрістер тізімі толық емес. WhatsApp қолданбасының әртүрлі нұсқалары үшін кейбір өрістер болуы немесе болмауы мүмкін. Бұған қоса, өрістер болуы мүмкін 'media_enc_hash', 'edit_версия', 'төлем_транзакциясы_идентификаторы' және т.б.
- 'messages_thumbnails'
Бұл кесте тасымалданған кескіндер мен уақыт белгілері туралы ақпаратты қамтиды. «Уақыт белгісі» бағанында уақыт Unix Epoch Time (мс) пішімінде көрсетіледі. - 'chat_list'
Бұл кестеде чаттар туралы ақпарат бар.Кестенің көрінісі:
Сондай-ақ, Android жүйесімен жұмыс істейтін мобильді құрылғыда WhatsApp-ты тексерген кезде келесі файлдарға назар аудару керек:
- файл 'msgstore.db.cryptXX' (мұндағы ХХ – 0-ден 12-ге дейінгі бір немесе екі сан, мысалы, msgstore.db.crypt12). WhatsApp хабарламаларының шифрланған сақтық көшірмесін қамтиды (сақтық көшірме файлы msgstore.db). Файл(дар) 'msgstore.db.cryptXX' жол бойында орналасқан: '/деректер/медиа/0/WhatsApp/деректер базалары/' (виртуалды SD картасы), '/mnt/sdcard/WhatsApp/Дерекқорлар/ (физикалық SD картасы)'.
- файл 'кілт'. Құрамында криптографиялық кілт бар. Жол бойында орналасқан: '/data/data/com.whatsapp/files/'. Шифрланған WhatsApp сақтық көшірмелерін ашу үшін қолданылады.
- файл 'com.whatsapp_preferences.xml'. WhatsApp тіркелгі профилі туралы ақпаратты қамтиды. Файл жол бойында орналасқан: '/data/data/com.whatsapp/shared_prefs/'.
Файл мазмұнының фрагменті
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - файл 'registration.RegisterPhone.xml'. WhatsApp тіркелгісімен байланысты телефон нөмірі туралы ақпаратты қамтиды. Файл жол бойында орналасқан: '/data/data/com.whatsapp/shared_prefs/'.
Файл мазмұны
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - файл 'axolotl.db'. Құрамында криптографиялық кілттер және тіркелгі иесін анықтауға қажетті басқа деректер бар. Жол бойында орналасқан: '/data/data/com.whatsapp/databases/'.
- файл 'chatsettings.db'. Қолданба конфигурациясы туралы ақпаратты қамтиды.
- файл 'wa.db'. Байланыс мәліметтерін қамтиды. Өте қызықты (криминалистикалық аспектіден) және ақпараттық дерекқор. Онда жойылған контактілер туралы толық ақпарат болуы мүмкін.
Сондай-ақ келесі каталогтарға назар аудару керек:
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp кескіндері/'. Берілген графикалық файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. .OPUS пішіміндегі файлдардағы дауыстық хабарларды қамтиды.
- анықтамалық '/data/data/com.whatsapp/cache/Профиль суреттері/'. Графикалық файлдарды қамтиды – контактілердің кескіндері.
- анықтамалық '/data/data/com.whatsapp/files/Avatars/'. Құрамында графикалық файлдар – контактілердің нобай кескіндері бар. Бұл файлдарда '.j' кеңейтімі бар, бірақ соған қарамастан JPEG (JPG) кескін файлдары.
- анықтамалық '/data/data/com.whatsapp/files/Avatars/'. Құрамында графикалық файлдар бар - тіркелгі иесі аватар ретінде орнатқан кескін мен кескіннің нобайы.
- анықтамалық '/data/data/com.whatsapp/files/Logs/'. Бағдарламаның жұмыс журналын («whatsapp.log» файлы) және бағдарлама жұмысы журналдарының сақтық көшірмелерін (whatsapp-yyyy-mm-dd.1.log.gz пішіміндегі атаулары бар файлдар) қамтиды.
WhatsApp журналының файлдары:
Журнал үзіндісі2017-01-10 09:37:09.757 LL_I D [524:WhatsApp қызметкері №1] қабылданбаған қоңыраулар туралы хабарландыру/бастау саны:0 уақыт белгісі:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp қызметкері №1] қабылданбаған қоңырау туралы хабарландыру/жаңартудан бас тарту дұрыс
2017-01-10 09:37:09.768 LL_I D [1:негізгі] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:негізгі] құпия сөз файлы жоқ немесе оқылмайды
2017-01-10 09:37:09.782 LL_I D [1:main] statistics Мәтіндік хабарламалар: 59 жіберілді, 82 қабылданды / Медиа хабарламалар: 1 жіберілді (0 байт), 0 алынды (9850158 байт) / Офлайн хабарламалар: 81 алынды ( 19522 мсек орташа кешігу) / Хабарлама қызметі: 116075 байт жіберілді, 211729 байт алынды / Voip қоңыраулары: 1 шығыс қоңырауы, 0 кіріс қоңырауы, 2492 байт жіберілді, 1530 байт қабылданған / Google Drive: 0 байт жіберілді, 0 байт алынды / Roam1524ing байт жіберілді, 1826 байт алынды / Жалпы деректер: 118567 байт жіберілді, 10063417 байт алынды
2017-01-10 09:37:09.785 LL_I D [1:негізгі] медиа-күй-менеджер/жаңарту-медиа-күй/жазылатын-медиа
2017-01-10 09:37:09.806 LL_I D [1:негізгі] қолданбаны іске қосу/бастапқылау/таймер/тоқтату: 24
2017-01-10 09:37:09.811 LL_I D [1:негізгі] msgstore/chealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/журнал/жалған жою
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/артқа/жалған жою
2017-01-10 09:37:09.818 LL_I D [1:негізгі] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-журналы 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:негізгі] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:негізгі] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:негізгі] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:негізгі] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:негізгі] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:негізгі] msgstore/checkdb/1-нұсқа
2017-01-10 09:37:09.839 LL_I D [1:негізгі] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:негізгі] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:негізгі] msgstore/canquery/таймер/тоқтату: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | жұмсалған уақыт: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp қызметкері №3] медиа-мемлекет-менеджер/жаңарту-медиа-күй/ішкі жад қолжетімді: 1,345,622,016 барлығы: 5,687,922,688
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Қабылданған аудио файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp аудио/Жіберілген/'. Жіберілген аудио файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp кескіндері/'. Алынған графикалық файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp кескіндері/Жіберілген/'. Жіберілген графикалық файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp Бейне/'. Қабылданған бейне файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp бейне/Жіберілген/'. Жіберілген бейне файлдарды қамтиды.
- анықтамалық '/data/media/0/WhatsApp/Media/WhatsApp профилінің фотосуреттері/'. WhatsApp тіркелгісінің иесімен байланысты графикалық файлдарды қамтиды.
- Android смартфонында жад орнын сақтау үшін кейбір WhatsApp деректерін SD картасында сақтауға болады. SD картасында түбірлік каталогта каталог бар 'WhatsApp', онда осы бағдарламаның келесі артефактілерін табуға болады:
- анықтамалық '.Бөлісу' ('/mnt/sdcard/WhatsApp/.Share/'). Басқа WhatsApp пайдаланушыларымен бөлісілген файлдардың көшірмелерін қамтиды.
- анықтамалық '.қоқыс' ('/mnt/sdcard/WhatsApp/.trash/'). Жойылған файлдарды қамтиды.
- анықтамалық «деректер базалары» ('/mnt/sdcard/WhatsApp/Дерекқорлар/'). Шифрланған сақтық көшірмелерді қамтиды. Файл бар болса, олардың шифрын шешуге болады 'кілт', талданатын құрылғының жадынан алынған.
Ішкі каталогта орналасқан файлдар «деректер базалары»:
- анықтамалық «Жарты» ('/mnt/sdcard/WhatsApp/Media/'). Ішкі каталогтарды қамтиды 'Тұсқағаз', "WhatsApp аудиосы", «WhatsApp суреттері», «WhatsApp профилінің фотосуреттері», «WhatsApp бейне», «WhatsApp дауыстық жазбалары», құрамында қабылданған және жіберілген мультимедиялық файлдар (графикалық файлдар, бейне файлдар, дауыстық хабарламалар, WhatsApp тіркелгісі иесінің профилімен байланысты фотосуреттер, тұсқағаздар).
- анықтамалық «Профиль суреттері» ('/mnt/sdcard/WhatsApp/Профиль суреттері/'). WhatsApp тіркелгісі иесінің профилімен байланысты графикалық файлдарды қамтиды.
- Кейде SD картасында каталог болуы мүмкін 'файлдар' ('/mnt/sdcard/WhatsApp/Files/'). Бұл каталогта бағдарлама параметрлері мен пайдаланушы қалауларын сақтайтын файлдар бар.
Мобильді құрылғылардың кейбір үлгілеріндегі деректерді сақтау ерекшеліктері
Android ОЖ жұмыс істейтін мобильді құрылғылардың кейбір үлгілері WhatsApp артефактілерін басқа жерде сақтауы мүмкін. Бұл мобильді құрылғының жүйелік бағдарламалық құралының қолданбалы деректердің сақтау кеңістігін өзгертуіне байланысты. Мысалы, Xiaomi мобильді құрылғыларында екінші жұмыс кеңістігін («SecondSpace») жасау функциясы бар. Бұл функция іске қосылғанда деректердің орны өзгереді. Сонымен, егер Android ОЖ жұмыс істейтін қарапайым мобильді құрылғыда пайдаланушы деректері каталогта сақталса '/data/user/0/' (бұл әдеттегіге сілтеме '/деректер/деректер/'), содан кейін екінші жұмыс кеңістігінде қолданба деректері каталогта сақталады '/data/user/10/'. Яғни, файл орнының мысалын пайдалану 'wa.db':
- Android ОЖ жұмыс істейтін қарапайым смартфонда: /data/user/0/com.whatsapp/databases/wa.db' (бұл баламасы '/data/data/com.whatsapp/database/wa.db');
- Xiaomi смартфонының екінші жұмыс кеңістігінде: '/data/user/10/com.whatsapp/databases/wa.db'.
iOS құрылғысындағы WhatsApp артефактілері
Android операциялық жүйесінен айырмашылығы, iOS жүйесінде WhatsApp қолданбасының деректері сақтық көшірмеге (iTunes сақтық көшірмесі) тасымалданады. Сондықтан, осы қолданбадан деректерді шығару файлдық жүйені шығаруды немесе зерттелетін құрылғының физикалық жад демпін жасауды қажет етпейді. Тиісті ақпараттың көпшілігі дерекқорда қамтылған 'ChatStorage.sqlite'жол бойында орналасқан: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (кейбір бағдарламаларда бұл жол ретінде пайда болады 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
құрылым 'ChatStorage.sqlite':
'ChatStorage.sqlite' дерекқорындағы ең ақпаратты кестелер болып табылады 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Үстелдің сыртқы түрі 'ZWAMESSAGE':
'ZWAMESSAGE' кестесінің құрылымы
| Өріс атауы | құн |
|---|---|
| Z_PK | жазба реттік нөмірі (SQL кестесінде) |
| Z_ENT | кесте идентификаторы '9' мәніне ие |
| Z_OPT | белгісіз, әдетте «1» мен «6» аралығындағы мәндерді қамтиды |
| ZCHILDMESSAGESDELIVEREDCOUNT | белгісіз, әдетте "0" мәнін қамтиды |
| ZCHILDMESSAGESPLAYEDCOUNT | белгісіз, әдетте "0" мәнін қамтиды |
| ZCHILDMESSAGESREADCOUNT | белгісіз, әдетте "0" мәнін қамтиды |
| ZDATAITEMVERSION | белгісіз, әдетте "3" мәнін қамтиды, мүмкін мәтіндік хабар индикаторы |
| ZDOCID | белгісіз |
| ZENCRETRYCOUNT | белгісіз, әдетте "0" мәнін қамтиды |
| ZFILTEREDRECIPIENTCOUNT | белгісіз, әдетте '0', '2', '256' мәндерін қамтиды |
| ZISFROMME | хабарлама бағыты: '0' – кіріс, '1' – шығыс |
| ZMESSAGEERRORSTATUS | хабарды жіберу күйі. Егер хабарлама жіберілсе/қабылданса, онда оның мәні «0» болады |
| ZMESSAGETYPE | жіберілетін хабарлама түрі |
| ZSORT | белгісіз |
| ZSPOTLIGHSTATUS | белгісіз |
| ZSTARRED | белгісіз, пайдаланылмаған |
| ZCHATSESSION | белгісіз |
| ZGROUPMEMBER | белгісіз, пайдаланылмаған |
| ZLASSESSION | белгісіз |
| ZMEDIAITEM | белгісіз |
| ZMESSAGEINFO | белгісіз |
| ZPARENTMESSAGE | белгісіз, пайдаланылмаған |
| ZMESSAGEDATE | OS X Epoch Time пішіміндегі уақыт белгісі |
| ZSENTDATE | хабардың OS X Epoch Time пішімінде жіберілген уақыты |
| ZFROMJID | WhatsApp жіберуші идентификаторы |
| ZMEDIASECTIONID | медиа файл жіберілген жыл мен айды қамтиды |
| ZPHASH | белгісіз, пайдаланылмаған |
| ZPUSHPAME | мультимедиа файлын UTF-8 пішімінде жіберген контактінің аты |
| ZSTANZID | бірегей хабарлама идентификаторы |
| ZTEXT | Хабарлама мәтіні |
| ZTOJID | Алушының WhatsApp идентификаторы |
| OFFSET | бейтараптық |
Үстелдің сыртқы түрі 'ZWAMEDIAITEM':
'ZWAMEDIAITEM' кестесінің құрылымы
| Өріс атауы | құн |
|---|---|
| Z_PK | жазба реттік нөмірі (SQL кестесінде) |
| Z_ENT | кесте идентификаторы '8' мәніне ие |
| Z_OPT | белгісіз, әдетте «1» пен «3» аралығындағы мәндерді қамтиды. |
| ZCLOUDSTATUS | файл жүктелген болса, '4' мәнін қамтиды. |
| ZFILESIZE | жүктеп алынған файлдар үшін файл ұзындығын (байтпен) қамтиды |
| ZMEDIAORIGIN | белгісіз, әдетте "0" мәні бар |
| ZMOVIEDURATION | мультимедиа файлының ұзақтығы, pdf файлдары үшін құжаттың беттерінің саны болуы мүмкін |
| ZMESSAGE | сериялық нөмірді қамтиды (нөмір «Z_PK» бағанында көрсетілгеннен басқа) |
| ЗАСПЕКТРАТИЯ | арақатынасы, пайдаланылмайды, әдетте "0" мәніне орнатылады |
| ЖАҚСЫЛЫҚ | белгісіз, әдетте "0" мәні бар |
| ЗАТТЫҚ | пиксельдегі ені |
| ЗОЗЫНДЫҚ | пиксельдегі биіктік |
| ZMEDIAURLDATE | OS X Epoch Time пішіміндегі уақыт белгісі |
| ZAUTHORNAME | автор (құжаттар үшін файл атауы болуы мүмкін) |
| ZCOLLECTIONNAME | қолданылмайды |
| ZMEDIALOCALPATH | құрылғының файл жүйесіндегі файл атауы (жолды қоса). |
| ZMEDIAURL | Медиа файл орналасқан URL мекенжайы. Егер файл бір жазылушыдан екіншісіне тасымалданса, ол шифрланған және оның кеңейтімі тасымалданатын файлдың кеңейтімі ретінде көрсетіледі - .enc |
| ZTHUMBNAILLOCALPATH | құрылғының файлдық жүйесіндегі файл нобайына жол |
| ZTITLE | файл тақырыбы |
| ZVCARDNAME | медиа файл хэші; файлды топқа тасымалдау кезінде оның құрамында жіберуші идентификатор болуы мүмкін |
| ZVCARDSTRING | тасымалданатын файл түрі туралы ақпаратты қамтиды (мысалы, сурет/jpeg); файлды топқа тасымалдау кезінде онда алушының идентификаторы болуы мүмкін |
| ZXMPPTHUMBPATH | құрылғының файлдық жүйесіндегі файл нобайына жол |
| ZMEDIAKEY | белгісіз, шифрланған файлды ашу үшін кілт болуы мүмкін. |
| ZMETADATA | жіберілген хабарламаның метадеректері |
| Офсет | бейтараптық |
Басқа қызықты дерекқор кестелері 'ChatStorage.sqlite' мыналар:
- 'ZWAPROFILEPUSHNAME'. WhatsApp идентификаторы контакт атымен сәйкес келеді;
- 'ZWAPROFILEPICTUREITEM'. WhatsApp идентификаторын контакт аватарымен сәйкестендіреді;
- 'Z_PRIMARYKEY'. Кестеде осы дерекқор туралы жалпы ақпарат бар, мысалы, сақталған хабарламалардың жалпы саны, сөйлесулердің жалпы саны және т.б.
Сондай-ақ, iOS операциялық жүйесінде жұмыс істейтін мобильді құрылғыда WhatsApp-ты тексерген кезде келесі файлдарға назар аудару керек:
- файл 'BackedUpKeyValue.sqlite'. Құрамында криптографиялық кілттер және тіркелгі иесін анықтауға қажетті басқа деректер бар. Жол бойында орналасқан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- файл 'ContactsV2.sqlite'. Пайдаланушының контактілері туралы ақпаратты, мысалы, толық аты-жөні, телефон нөмірі, байланыс күйі (мәтін түрінде), WhatsApp идентификаторы және т.б. Жол бойында орналасқан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- файл 'consumer_версия'. Орнатылған WhatsApp қолданбасының нұсқа нөмірін қамтиды. Жол бойында орналасқан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- файл 'current_wallpaper.jpg'. Ағымдағы WhatsApp фондық тұсқағазды қамтиды. Жол бойында орналасқан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Қолданбаның ескі нұсқалары файлды пайдаланады «тұсқағаз»жол бойында орналасқан: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- файл 'blockedcontacts.dat'. Бұғатталған контактілер туралы ақпаратты қамтиды. Жол бойында орналасқан: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- файл 'pw.dat'. Құрамында шифрланған құпия сөз бар. Жол бойында орналасқан: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- файл 'net.whatsapp.WhatsApp.plist' (немесе файл 'group.net.whatsapp.WhatsApp.shared.plist'). WhatsApp тіркелгі профилі туралы ақпаратты қамтиды. Файл жол бойында орналасқан: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
"group.net.whatsapp.WhatsApp.shared.plist" файлының мазмұны
Сондай-ақ келесі каталогтарға назар аудару керек:
- анықтамалық '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Құрамында контактілердің, топтардың (кеңейтімі бар файлдар) нобайлары бар .бас бармақ), байланыс аватарлары, WhatsApp тіркелгісінің иесі аватары (файл 'Photo.jpg').
- анықтамалық '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Мультимедиялық файлдар мен олардың нобайлары бар
- анықтамалық '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Бағдарламаның жұмыс журналын (файл 'calls.log') және бағдарлама жұмысының журналдарының сақтық көшірмелері (файл 'calls.backup.log').
- анықтамалық '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Құрамында стикерлер (форматтағы файлдар '.webp').
- анықтамалық '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Бағдарлама жұмысының журналдарын қамтиды.
Windows жүйесіндегі WhatsApp артефактілері
Windows жүйесіндегі WhatsApp артефактілерін бірнеше жерден табуға болады. Ең алдымен, бұл орындалатын және көмекші бағдарлама файлдары бар каталогтар (Windows 8/10 үшін):
- 'C: Program Files (x86)WhatsApp'
- 'C:Пайдаланушылар%Пайдаланушы профилі% AppDataLocalWhatsApp'
- 'C:Users%Пайдаланушы профилі% AppDataLocalVirtualStore бағдарламасы файлдары (x86)WhatsApp'
Каталогта 'C:Пайдаланушылар%Пайдаланушы профилі% AppDataLocalWhatsApp' журнал файлы орналасқан 'SquirrelSetup.log', ол жаңартуларды тексеру және бағдарламаны орнату туралы ақпаратты қамтиды.
Каталогта 'C:Пайдаланушылар%Пайдаланушы профилі% AppDataRoamingWhatsApp' Бірнеше ішкі каталогтар бар:
файл 'main-process.log' WhatsApp бағдарламасының жұмысы туралы ақпаратты қамтиды.
Ішкі каталог «деректер базалары» файлды қамтиды 'Databases.db', бірақ бұл файлда чаттар немесе контактілер туралы ешқандай ақпарат жоқ.
Криминалистикалық тұрғыдан ең қызықтысы каталогта орналасқан файлдар 'Кэш'. Бұл негізінен аталған файлдар 'f_********' (мұндағы * — 0-ден 9-ға дейінгі сан) құрамында шифрланған мультимедиялық файлдар мен құжаттар бар, бірақ олардың арасында шифрланбаған файлдар да бар. Файлдар ерекше қызығушылық тудырады 'data_0', 'data_1', 'data_2', 'data_3', сол ішкі каталогта орналасқан. Файлдар 'data_0', 'data_1', 'data_3' тасымалданатын шифрланған мультимедиялық файлдар мен құжаттарға сыртқы сілтемелерді қамтиды.
"data_1" файлындағы ақпараттың мысалы
Сондай-ақ файл 'data_3' графикалық файлдарды қамтуы мүмкін.
файл 'data_2' контакт аватарларын қамтиды (файл тақырыптары бойынша іздеу арқылы қалпына келтіруге болады).
Файлдағы аватарлар 'data_2':
Осылайша, чаттардың өзін компьютер жадынан табу мүмкін емес, бірақ сіз мыналарды таба аласыз:
- мультимедиялық файлдар;
- WhatsApp арқылы жіберілген құжаттар;
- тіркелгі иесінің контактілері туралы ақпарат.
MacOS жүйесіндегі WhatsApp артефактілері
MacOS жүйесінде Windows операциялық жүйесінде табылғандарға ұқсас WhatsApp артефактілерінің түрлерін таба аласыз.
Бағдарлама файлдары келесі каталогтарда орналасқан:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryPreferences'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryLogsWhatsApp'
- 'C:Пайдаланушылар%Пайдаланушы профилі%КітапханаСақталған Қолданба күйіWhatsApp.savedState'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication Scripts'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication SupportCloudDocs'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp тіркелгілері'
Бұл каталогта атаулары WhatsApp тіркелгісінің иесімен байланысты телефон нөмірлері болатын ішкі каталогтар бар. - 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryCachesWhatsApp.ShipIt'
Бұл каталогта бағдарламаны орнату туралы ақпарат бар. - 'C:Пайдаланушылар%Пайдаланушы профилі%PicturesiPhoto Library.photolibraryMasters', 'C:Пайдаланушылар%Пайдаланушы профилі%PicturesiPhoto Library.photolibraryThumbnails'
Бұл каталогтарда бағдарламаның қызметтік файлдары, соның ішінде WhatsApp контактілерінің фотосуреттері мен нобайлары бар. - 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryCachesWhatsApp'
Бұл каталогта деректерді кэштеу үшін пайдаланылатын бірнеше SQLite дерекқорлары бар. - 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication SupportWhatsApp'
Бұл каталогта бірнеше ішкі каталогтар бар:
Каталогта 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication SupportWhatsAppCache' файлдар бар 'data_0', 'data_1', 'data_2', 'data_3' және атаулары бар файлдар 'f_********' (мұндағы * - 0-ден 9-ға дейінгі сан). Бұл файлдарда қандай ақпарат бар екендігі туралы ақпаратты Windows жүйесіндегі WhatsApp артефактілері бөлімінен қараңыз.Каталогта 'C:Пайдаланушылар%Пайдаланушы профилі%LibraryApplication SupportWhatsAppIndexedDB' мультимедиалық файлдар болуы мүмкін (файлдардың кеңейтімі жоқ).
файл 'main-process.log' WhatsApp бағдарламасының жұмысы туралы ақпаратты қамтиды.
Ақпарат көздері
- Android смартфондарындағы WhatsApp мессенджерінің сот сараптамасы, Cosimo Anglano, 2014 ж.
- Whatsapp сот сараптамасы: Ахмад Пратама, 2014 ж.
Осы сериядағы келесі мақалаларда:
Шифрланған WhatsApp дерекқорларының шифрын шешуWhatsApp шифрлау кілті қалай жасалатыны туралы ақпаратты және осы қолданбаның шифрланған дерекқорларының шифрын шешу жолын көрсететін практикалық мысалдарды беретін мақала.
WhatsApp деректерін бұлттық қоймадан шығаруМақалада біз WhatsApp деректерінің бұлттарда сақталатынын айтып береміз және бұл деректерді бұлттық қоймалардан алу әдістерін сипаттаймыз.
WhatsApp деректерін алу: практикалық мысалдарҚандай бағдарламаларды және WhatsApp деректерін әртүрлі құрылғылардан қалай шығару керектігін кезең-кезеңімен сипаттайтын мақала.
Ақпарат көзі: www.habr.com