ProHoster > Blog > nûçeyên înternetê > WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

Ger hûn dixwazin zanibin ka çi celeb hunerên dadrêsî yên WhatsApp-ê li ser pergalên xebitandinê yên cihêreng hene û bi rastî ew dikarin li ku werin dîtin, wê hingê ev cîh ji bo we ye. Ev gotar ji pisporek li Laboratoriya Dadwerî ya Komputerê ya Group-IB ye Igor Mikhailov di derbarê edlî ya WhatsAppê de rêze nivîsan dest pê dike û çi agahdarî dikare ji analîzkirina cîhazê were bidestxistin.

Ka em tavilê bala xwe bidin ku pergalên xebitandinê yên cihêreng celebên hunerên WhatsApp-ê hilînin, û heke lêkolînerek dikare hin celeb daneyên WhatsApp-ê ji yek amûrek derxîne, ev nayê vê wateyê ku celebên mîna daneyan dikarin ji cîhazek din werin derxistin. Mînakî, heke yekîneyek pergalê ya ku Windows OS-ê dixebitîne were rakirin, dê sohbetên WhatsApp-ê belkî li ser dîskên wê neyên dîtin (ji bilî kopiyên hilanînê yên cîhazên iOS-ê, ku li ser heman ajokeran têne dîtin). Desteserkirina laptop û cîhazên mobîl dê taybetmendiyên xwe hebin. Werin em li ser vê bi berfirehî biaxivin.

Artifaktên WhatsApp di cîhaza Android de

Ji bo ku hunerên WhatsApp-ê ji cîhazek Android-ê derxînin, divê lêkolîner xwediyê mafên superkarker be ('reh') li ser cîhaza ku di bin lêpirsînê de ye, an jî bikaribe bi rengek din veguhezîne bîranîna laşî ya cîhazê, an pergala pelê wê derxîne (mînakî, karanîna qelsiyên nermalava amûrek mobîl a taybetî).

Pelên serîlêdanê di bîra têlefonê de di beşa ku tê de daneyên bikarhêner têne hilanîn de cih digirin. Wekî qaîdeyek, ev beş bi navê 'bikarhêner'. Subdirectories û pelên bernameyê li ser rêyê hene: '/data/data/com.whatsapp/'.

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Pelên sereke yên ku di OS-ya Android-ê de hunerên dadrêsî yên WhatsApp-ê vedigirin databas in 'wa.db' и 'msgstore.db'.

Di databasê de 'wa.db' navnîşa pêwendiya bêkêmasî ya bikarhênerek WhatsApp-ê, di nav de jimareya têlefonê, navê xuyangê, demjimêran, û her agahdariya din ku dema qeydkirina WhatsApp-ê hatî peyda kirin, vedihewîne. Dosî 'wa.db' di rê de cih digire: '/data/data/com.whatsapp/databases/' û avahiyek jêrîn heye:

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Di databasê de tabloyên herî balkêş 'wa.db' ji bo lêkolîner ev in:

  • 'wa_contacts'
    Di vê tabloyê de agahdariya pêwendiyê heye: Nasnameya têkiliyê ya WhatsApp, agahdariya statûyê, navê xuyangkirina bikarhêner, demjimêr, hwd.

    Dîtina sifrê:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
    Struktura sifrê

    Navê zeviyê nirxê
    _id jimareya rêza tomarkirinê (di tabloya SQL de)
    jid Nasnameya têkiliya WhatsApp-ê, bi forma <hejmara têlefonê>@s.whatsapp.net hatiye nivîsandin
    is_whatsapp_user Heke têkilî bi bikarhênerek rastîn a WhatsApp-ê re têkildar be '1' heye, wekî din '0'
    nivîsa ku di rewşa têkiliyê de tê xuyang kirin dihewîne
    status_timestamp di forma Unix Epoch Time (ms) de nîşanek dem heye
    jimare jimareya têlefonê ya ku bi têkiliyê ve girêdayî ye
    raw_contact_id hejmara serial têkiliyê
    display_name navê nîşana têkiliyê
    phone_type cureyê telefonê
    phone_label etîketa ku bi hejmara têkiliyê ve girêdayî ye
    unseen_msg_count hejmara peyamên ku ji hêla têkiliyek ve hatine şandin lê ji hêla wergir ve nehatine xwendin
    photo_ts di forma Unix Epoch Time de nîşanek dem heye
    thumb_ts di forma Unix Epoch Time de nîşanek dem heye
    photo_id_timestamp di forma Unix Epoch Time (ms) de nîşanek dem heye
    herwek ku hûn dixwazin nirxa zeviyê ji bo her têkiliyê bi 'display_name' re têkildar e
    wa_name Navê têkiliyê WhatsApp (navê ku di profîla têkiliyê de hatî destnîşan kirin tê xuyang kirin)
    sort_name navê têkiliyê di operasyonên cûrbecûr de tê bikar anîn
    nickname paşnavê têkiliyê di WhatsApp de (navê ku di profîla têkiliyê de hatî destnîşan kirin tê xuyang kirin)
    şîrket pargîdanî (şîrketa ku di profîla têkiliyê de hatî destnîşan kirin tê xuyang kirin)
    nav sernav (Ms./Mr.; Sernavê ku di profîla têkiliyê de hatî mîheng kirin tê xuyang kirin)
    serketinê bias
  • 'sqlite_sequence'
    Di vê tabloyê de li ser hejmara têkiliyan agahdarî hene;
  • 'android_metadata'
    Di vê tabloyê de agahdariya li ser herêmîkirina zimanê WhatsApp-ê heye.

Di databasê de 'msgstore.db' agahdariya li ser peyamên şandin, wekî nimreya têkiliyê, nivîsa peyamê, rewşa peyamê, mohra demjimêr, hûrguliyên pelên veguheztî yên di nav peyaman de, hwd. Dosî 'msgstore.db' di rê de cih digire: '/data/data/com.whatsapp/databases/' û avahiyek jêrîn heye:

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Di pelê de tabloyên herî balkêş 'msgstore.db' ji bo lêkolîner ev in:

  • 'sqlite_sequence'
    Di vê tabloyê de agahiyên giştî di derbarê vê databasê de hene, wek mînak jimara giştî ya peyamên hilanîn, jimara giştî ya sohbetan, hwd.

    Dîtina sifrê:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

  • 'message_fts_content'
    Nivîsa peyamên şandî dihewîne.

    Dîtina sifrê:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

  • 'peyam'
    Di vê tabloyê de agahdariyên wekî nimreya têkiliyê, nivîsa peyamê, rewşa peyamê, demjimêr, agahdariya pelên veguheztin ên di nav peyaman de hene.

    Dîtina sifrê:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
    Struktura sifrê

    Navê zeviyê nirxê
    _id jimareya rêza tomarkirinê (di tabloya SQL de)
    key_remote_jid Nasnameya WhatsAppê ya hevkarê ragihandinê
    key_from_me rêberiya peyamê: '0' - hatin, '1' - derketin
    key_id nasnameya peyama yekta
    statûya peyamê: '0' - hat radestkirin, '4' - li benda serverê ye, '5' - li cîhê hatî wergirtin, '6' - peyama kontrolê, '13' - peyama ku ji hêla wergir ve hatî vekirin (xwendin)
    need_push heke ew peyamek weşanê be nirxa '2' heye, wekî din '0' heye
    jimare nivîsara peyamê (gava ku parametreya 'media_wa_type' '0' be)
    timestamp di formata Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin
    media_url URL-ya pelê hatî veguheztin heye (gava ku pîvana 'media_wa_type' '1', '2', '3' be)
    media_mime_type Cureya MIME ya pelê veguhestî (gava ku pîvana 'media_wa_type' wekhev be '1', '2', '3')
    media_wa_type cureya peyamê: '0' - nivîs, '1' - pelê grafîkî, '2' - pelê deng, '3' - pelê vîdyoyê, '4' - qerta pêwendiyê, '5' - geodata
    medya_size mezinahiya pelê veguhestî (gava ku pîvana 'media_wa_type' '1', '2', '3' be)
    navî_media navê pelê hatî veguheztin (gava ku pîvana 'media_wa_type' '1', '2', '3' be)
    medya_caption Ji bo nirxên têkildar ên parametreya 'media_wa_type' peyvên 'audio', 'vîdyo' vedihewîne (gava ku pîvana 'media_wa_type' '1', '3' be)
    media_hash base64 haşa kodkirî ya pelê hatî şandin, bi karanîna algorîtmaya HAS-256 tê hesibandin (gava ku parametreya 'media_wa_type' bi '1', '2', '3' wekhev be)
    medya_duration demjimêr ji bo pelê medyayê bi çirkeyan (gava 'media_wa_type' '1', '2', '3' be)
    reh heke ew peyamek weşanê be nirxa '2' heye, wekî din '0' heye
    firehî geodata: latitude (gava ku parametreya 'media_wa_type' '5' be)
    dirêjî geodata: dirêjahî (gava ku parametreya 'media_wa_type' '5' be)
    thumb_image agahî xizmetê
    remote_resource Nasnameya şanderê (tenê ji bo sohbetên komê)
    receive_timestamp dema wergirtinê, di formata Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin (gava ku parametreya 'key_from_me' '0', '-1' an nirxek din hebe)
    send_timestamp nayê bikaranîn, bi gelemperî nirxa '-1' heye
    receipt_server_timestamp dema ku ji hêla servera navendî ve hatî wergirtin, di formata Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin (gava ku parametreya 'key_from_me' '1', '-1' an nirxek din hebe
    receipt_device_timestamp dema ku peyam ji hêla aboneyek din ve hatî wergirtin, di formata Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin (gava ku parametreya 'key_from_me' '1', '-1' an nirxek din hebe.
    read_device_timestamp dema vekirina (xwendin) peyamê, di formata Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin.
    play_device_timestamp dema lîstina peyamê, di forma Unix Epoch Time (ms) de nîşanek dem heye, nirx ji demjimêra cîhazê tê girtin
    raw_data nimûna pelê veguhestî (gava ku pîvana 'media_wa_type' '1' an '3' be)
    recipient_count hejmara wergiran (ji bo peyamên weşanê)
    participant_hash dema ku peyamên bi geodata veguhezîne tê bikar anîn
    stêr nayê bikar anîn
    quoted_row_id nenas, bi gelemperî nirxa '0' dihewîne
    behsa_jids nayê bikar anîn
    multicast_id nayê bikar anîn
    serketinê bias

    Ev navnîşa qadan ne berfireh e. Ji bo guhertoyên cihêreng ên WhatsApp, dibe ku hin zevî hebin an tune bin. Wekî din, dibe ku zevî hebin 'media_enc_hash', 'guhertoya_guherînê', 'payment_transaction_id' û vî awayî.

  • 'messages_thumbnails'
    Di vê tabloyê de agahdarî li ser wêneyên hatine veguheztin û mohra demjimêran heye. Di stûna 'demjimêr' de, dem di forma Unix Epoch Time (ms) de tê destnîşan kirin.
  • 'chat_list'
    Di vê tabloyê de agahiyên li ser sohbetan hene.

    Dîtina sifrê:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

Di heman demê de, dema ku WhatsApp-ê li ser cîhaza mobîl a ku Android-ê dixebitîne vekolîn, divê hûn bala xwe bidin pelên jêrîn:

  • file 'msgstore.db.cryptXX' (ku XX ji 0 heta 12 yek an du reqem e, wek nimûne, msgstore.db.crypt12). Piştgiriyek şîfrekirî ya peyamên WhatsApp-ê (pelê hilanînê msgstore.db). Dosya(yên) 'msgstore.db.cryptXX' di rê de cih digire: '/dane/media/0/WhatsApp/Danbases/' (karta SD ya virtual), '/mnt/sdcard/WhatsApp/Daneyên daneyan/ (karta SD ya fîzîkî)'.
  • file 'qûfle'. Mifteyek krîptografîk dihewîne. Di rê de cih digire: '/data/data/com.whatsapp/files/'. Ji bo deşîfrekirina paşgirên WhatsApp-ê yên şîfrekirî tê bikar anîn.
  • file 'com.whatsapp_preferences.xml'. Agahdariya li ser profîla hesabê weya WhatsApp-ê vedihewîne. Pelê di rê de ye: '/data/data/com.whatsapp/shared_prefs/'.

    Parçeya naveroka pelê

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • file 'registration.RegisterPhone.xml'. Agahdariya li ser jimareya têlefonê ya ku bi hesabê WhatsApp-ê ve girêdayî ye vedihewîne. Pelê di rê de ye: '/data/data/com.whatsapp/shared_prefs/'.

    Naveroka pelê 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • file 'axolotl.db'. Mifteyên krîptografîk û daneyên din ên ku ji bo naskirina xwediyê hesabê hewce ne vedihewîne. Di rê de cih digire: '/data/data/com.whatsapp/databases/'.
  • file 'chatsettings.db'. Agahdariya konfigurasyona serîlêdanê dihewîne.
  • file 'wa.db'. Agahiyên têkiliyê dihewîne. Databasek pir balkêş (ji hêla dadrêsî) û agahdar. Ew dikare agahdariya berfireh li ser têkiliyên jêbirin heye.

Her weha hûn hewce ne ku bala xwe bidin navnîşên jêrîn:

  • directory '/dane/media/0/WhatsApp/Medya/Wêneyên WhatsApp/'. Pelên grafîkî yên veguhestî vedihewîne.
  • directory '/dane/media/0/WhatsApp/Medya/WhatsApp Notes Deng/'. Di pelên formata .OPUS de peyamên deng vedihewîne.
  • directory '/data/data/com.whatsapp/cache/Wêneyên Profîl/'. Pelên grafîkî hene - wêneyên têkiliyan.
  • directory '/data/data/com.whatsapp/files/Avatars/'. Pelên grafîkî hene - wêneyên piçûk ên têkiliyan. Van pelan pêvekek '.j' heye lê dîsa jî pelên wêneyê JPEG (JPG) ne.
  • directory '/data/data/com.whatsapp/files/Avatars/'. Pelên grafîkî dihewîne - wêneyek û piçûkek wêneyê ku ji hêla xwediyê hesabê ve wekî avatar hatî danîn.
  • directory '/data/data/com.whatsapp/files/Logs/'. Têketina xebata bernameyê (pelê 'whatsapp.log') û kopiyên paşgir ên têketinên xebata bernameyê (pelên bi navên bi formata whatsapp-yyyy-mm-dd.1.log.gz) vedihewîne.

Pelên Têketinê WhatsApp:

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Parçeya kovarê2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] ragihandina bangewaziya wenda/hejmara destpêkî:0 mohra demê:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] îxbara bangewaziya wenda/nûvekirin betal rast
2017-01-10 09:37:09.768 LL_I D [1:sereke] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1: sereke] pelê şîfreyê winda ye an nayê xwendin
2017-01-10 09:37:09.782 LL_I D [1:main] statîstîk Mesajên nivîsê: 59 şandin, 82 wergirtin / Peyamên medyayê: 1 şandin (0 bytes), 0 wergirtin (9850158 bytes) / Peyamên negirêdayî: 81 hatin wergirtin ( 19522 msec derengiya navînî) / Xizmeta Peyamê: 116075 bytes şandin, 211729 bytes hatin şandin / Bangên Voip: 1 bangên derketinê, 0 bangên hatinî, 2492 byte şandin, 1530 bytes hatin şandin / Google Drive: 0 bytes şandin, 0 bytes: 1524 bytes şandin, 1826 bytes wergirtin / Tevahiya daneyan: 118567 bytes şandin, 10063417 bytes hatin şandin
2017-01-10 09:37:09.785 LL_I D [1: serekî] gerînendeyê-dewleta medyayê/dewleta-medyayê/dewleta-medyayê/ya-nivîsbar
2017-01-10 09:37:09.806 LL_I D [1:sereke] sepan-destpêk/destpêkirin/demjimer/sekinandin: 24
2017-01-10 09:37:09.811 LL_I D [1:sereke] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:sereke] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:sereke] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:sereke] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:sereke] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:sereke] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:sereke] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:sereke] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:sereke] msgsstor/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:sereke] msgstore/canquery 517 | dema derbasbûyî: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] rêvebirê-dewleta medyayê/rewşa-medya-nûvekirin/veşartina navxweyî heye: 1,345,622,016 bi tevahî: 5,687,922,688

  • directory '/data/media/0/WhatsApp/Medya/WhatsApp Audio/'. Pelên dengî yên hatine wergirtin dihewîne.
  • directory '/dane/media/0/WhatsApp/Medya/WhatsApp Audio/Sent/'. Pelên dengî yên şandî hene.
  • directory '/dane/media/0/WhatsApp/Medya/Wêneyên WhatsApp/'. Pelên grafîkî yên encam dihewîne.
  • directory '/dane/media/0/WhatsApp/Medya/Wêneyên WhatsApp/Sent/'. Pelên grafîkî yên şandin hene.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Vîdyo/'. Pelên vîdyoyê yên wergirtî hene.
  • directory '/dane/media/0/WhatsApp/Medya/WhatsApp Vîdyo/Şandin/'. Pelên vîdyoyê yên şandin hene.
  • directory '/data/media/0/WhatsApp/Medya/Wêneyên Profîla WhatsApp/'. Pelên grafîkî yên ku bi xwediyê hesabê WhatsApp-ê re têkildar in vedihewîne.
  • Ji bo ku cîhê bîranînê li ser smartphone Android-ya xwe xilas bike, hin daneyên WhatsApp-ê dikarin li ser qerta SD-ê werin hilanîn. Li ser qerta SD, di pelrêça root de, pelrêçek heye 'WhatsApp', ku li wir berhemên jêrîn ên vê bernameyê têne dîtin:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

  • directory '.Par' ('/mnt/sdcard/WhatsApp/.Share/'). Kopiyên pelên ku bi bikarhênerên din ên WhatsApp-ê re hatine parve kirin vedihewîne.
  • directory '.zibil' ('/mnt/sdcard/WhatsApp/.trash/'). Pelên jêbirin dihewîne.
  • directory 'Daneyên daneyan' ('/mnt/sdcard/WhatsApp/Database/'). Piştgiriyên şîfrekirî dihewîne. Ger pel hebe ew dikarin werin deşîfrekirin 'qûfle', ji bîra amûra analîzkirî hatî derxistin.

    Pelên ku di binerdekrêkûpêk de cih digirin 'Daneyên daneyan':

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?

  • directory 'Nîv' ('/mnt/sdcard/WhatsApp/Media/'). Bindirectories dihewîne 'WallPaper', 'WhatsApp Audio', 'Wêneyên WhatsApp', 'Wêneyên Profîla WhatsApp', 'Vîdyoya WhatsApp', 'Notên Dengê WhatsApp', ku pelên multimedia yên hatine wergirtin û şandin (pelên grafîkî, pelên vîdyoyê, peyamên deng, wêneyên ku bi profîla xwediyê hesabê WhatsApp-ê ve girêdayî ne, dîwarên dîwaran) vedihewîne.
  • directory 'Wêneyên Profîl' ('/mnt/sdcard/WhatsApp/Wêneyên Profîl/'). Pelên grafîkî yên ku bi profîla xwediyê hesabê WhatsApp-ê ve girêdayî ne vedihewîne.
  • Carinan dibe ku pelrêçek li ser qerta SD-ê hebe 'pelan' ('/mnt/sdcard/WhatsApp/Pel/'). Ev peldank pelên ku mîhengên bernameyê û tercîhên bikarhêner hilîne dihewîne.

Taybetmendiyên hilanîna daneyê di hin modelên cîhazên mobîl de

Dibe ku hin modelên cîhazên mobîl ên ku pergala xebitandina Android-ê dimeşînin, hunerên WhatsApp-ê li cîhek cûda hilînin. Ev ji ber guheztina cîhê hilanînê ya daneyên serîlêdanê ji hêla nermalava pergalê ya cîhaza mobîl ve ye. Mînakî, cîhazên mobîl Xiaomi ji bo afirandina cîhek xebata duyemîn ("SecondSpace") fonksiyonek heye. Dema ku ev fonksiyon tê çalak kirin, cîhê daneyê diguhere. Ji ber vê yekê, heke di cîhaza desta ya birêkûpêk de daneyên bikarhênerê Android OS-ê di pelrêçê de têne hilanîn '/dane/bikarhêner/0/' (ku referansek bi gelemperî ye '/dane/dane/'), dûv re di cîhê xebatê ya duyemîn de daneyên serîlêdanê di pelrêçê de têne hilanîn '/dane/bikarhêner/10/'. Ango, mînaka cîhê pelê bikar tîne 'wa.db':

  • di smartfonek birêkûpêk de ku pergala xebitandina Android-ê dixebitîne: /data/user/0/com.whatsapp/databases/wa.db' (ku wekhev e '/data/data/com.whatsapp/database/wa.db');
  • di cîhê xebata duyemîn a smartphone Xiaomi de: '/data/user/10/com.whatsapp/databases/wa.db'.

Artifaktên WhatsApp-ê di cîhaza iOS-ê de

Berevajî OS-ya Android-ê, di iOS-ê de daneyên serîlêdana WhatsApp-ê ji kopiyek paşvekêşanê (iTunes hilanînê) tê veguheztin. Ji ber vê yekê, derxistina daneyan ji vê serîlêdanê ne hewce ye ku pergala pelê derxîne an jî çêkirina bîranînek laşî ya cîhaza ku di binê lêpirsînê de ye. Piraniya agahdariya têkildar di databasê de hene 'ChatStorage.sqlite', ku di rê de ye: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (di hin bernameyan de ev rê wiha xuya dike 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

avahiya 'ChatStorage.sqlite':

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Di databasa 'ChatStorage.sqlite' de tabloyên herî agahdar in 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Dîtina sifrê 'ZWAMESSAGE':

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Struktura tabloya 'ZWAMESSAGE'

Navê zeviyê nirxê
Z_PK jimareya rêza tomarkirinê (di tabloya SQL de)
Z_ENT Nasnameya tabloyê, nirxa '9' heye
Z_OPT nenas, bi gelemperî nirxên ji '1' heta '6' dihewîne
ZCHILDMESSAGESDELIVEREDCOUNT nenas, bi gelemperî nirxa '0' dihewîne
ZCHILDMESSAGESPLAYEDCOUNT nenas, bi gelemperî nirxa '0' dihewîne
ZCHILDMESSAGESREADCOUNT nenas, bi gelemperî nirxa '0' dihewîne
ZDATAITEMVERSION nenas, bi gelemperî nirxa '3' dihewîne, dibe ku nîşanek peyamek nivîsê
ZDOCID nenas e
ZENCRETRYCOUNT nenas, bi gelemperî nirxa '0' dihewîne
ZFILTEREDRECIPIENTCOUNT nenas, bi gelemperî nirxên '0', '2', '256' dihewîne.
ZISFROMME rêberiya peyamê: '0' - hatin, '1' - derketin
ZMESSAGEERRORSTATUS rewşa veguhestina peyamê. Ger peyam were şandin/wergirtin, wê hingê nirxa wê '0' heye.
ZMESSAGETYPE cureyê peyama ku tê şandin
ZSORT nenas e
ZSPOTLIHSTATUS nenas e
ZSTARRED nenas, nayê bikaranîn
ZCHATSESSION nenas e
ZGROUPMEMBER nenas, nayê bikaranîn
ZLASTSESSION nenas e
ZMEDIAITEM nenas e
ZMESSAGEINFO nenas e
ZPARENTMESSAGE nenas, nayê bikaranîn
ZMESSAGEDATE mohra demjimêrê di forma OS X Epoch Time de
ZSENTDATE dema ku peyam di forma OS X Epoch Time de hate şandin
ZFROMJID Nasnameya şanderê WhatsApp
ZMEDIASECTIONID sal û meha dosyaya medyayê ya ku hatiye şandin heye
ZPHASH nenas, nayê bikaranîn
ZPUSHPAME navê têkiliya ku pelê medyayê di formata UTF-8 de şandiye
ZSTANZID nasnameya peyama yekta
ZTEXT Nivîsara peyamê
ZTOJID Nasnameya WhatsApp-ê ya wergir
BERSVAN bias

Dîtina sifrê 'ZWAMEDIAITEM':

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Struktura tabloya 'ZWAMEDIAITEM'

Navê zeviyê nirxê
Z_PK jimareya rêza tomarkirinê (di tabloya SQL de)
Z_ENT Nasnameya tabloyê, nirxa '8' heye
Z_OPT nenas, bi gelemperî nirxên ji '1' heta '3' dihewîne.
ZCLOUDSTATUS Heke pel were barkirin nirxa '4' heye.
ZFILESIZE dirêjahiya pelê (bi byte) ji bo pelên dakêşandî dihewîne
ZMEDIAORIGIN nenas, bi gelemperî nirxa '0' heye
ZMOVIEDURATION dirêjahiya pelê medyayê, ji bo pelên pdf dibe ku hejmara rûpelên belgeyê hebe
ZMESSAGE jimareyek rêzik heye (hejmar ji ya ku di stûna 'Z_PK' de hatî destnîşan kirin cûda ye)
ZASPECTRATIO rêjeya aspektê, nayê bikar anîn, bi gelemperî li '0' tê danîn
ZHACURACY nenas, bi gelemperî nirxa '0' heye
ZLATTITUDE firehî li pixel
ZLONGTITUDE bilindahî di pixelan de
ZMEDIAURLDATE mohra demjimêrê di forma OS X Epoch Time de
ZAUTHORNAME nivîskar (ji bo belgeyan, dibe ku navê pelê hebe)
ZCOLLECTIONNAME nayê bikar anîn
ZMEDIALOCALPATH navê pelê (tevî rê) di pergala pelê cîhazê de
ZMEDIAURL URL-ya ku pelê medyayê lê bû. Ger pelek ji aboneyek bo yekî din hatibe veguheztin, ew hatî şîfre kirin û dirêjkirina wê dê wekî dirêjkirina pelê veguhestî were destnîşan kirin - .enc
ZTHUMBNAILLOCALPATH di pergala pelê ya cîhazê de rêça piçûka pelê
ZTITLE sernavê pelê
ZVCARDNAME haşa pelê medyayê; dema ku pelê ji komekê re vediguhezîne, dibe ku ew nasnavê şanderê hebe
ZVCARDSTRING agahdariya li ser celebê pelê ku tê veguheztin heye (mînak, wêne / jpeg); dema ku pelek veguhezîne komek, dibe ku ew nasnavê wergir hebe.
ZXMPPTHUMBPATH di pergala pelê ya cîhazê de rêça piçûka pelê
ZMEDIAKEY nenas, belkî mifteya deşîfrekirina pelê şîfrekirî heye.
ZMETADATA metadata peyama hatî şandin
Offset bias

Tabloyên databasên balkêş ên din 'ChatStorage.sqlite' in:

  • 'ZWAPROFILEPUSHNAME'. Nasnameya WhatsApp-ê bi navê têkiliyê re têkildar dike;
  • 'ZWAPROFILEPICTUREITEM'. Nasnameya WhatsApp-ê bi avatara têkiliyê re hevber dike;
  • 'Z_PRIMARYKEY'. Tablo di derbarê vê databasê de agahdariya gelemperî vedihewîne, wek mînak jimara giştî ya peyamên hatine hilanîn, hêjmara giştî ya sohbetan, hwd.

Di heman demê de, dema ku WhatsApp-ê li ser cîhaza mobîl a ku iOS-ê dixebitîne, divê hûn bala xwe bidin pelên jêrîn:

  • file 'BackedUpKeyValue.sqlite'. Mifteyên krîptografîk û daneyên din ên ku ji bo naskirina xwediyê hesabê hewce ne vedihewîne. Di rê de cih digire: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'ContactsV2.sqlite'. Agahdariya li ser têkiliyên bikarhêner, wekî navê tevahî, jimareya têlefonê, rewşa têkiliyê (bi forma nivîsê), ID WhatsApp, hwd vedihewîne. Di rê de cih digire: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'serfkaran_guherto'. Hejmara guhertoya serîlêdana WhatsApp-ê ya sazkirî vedihewîne. Di rê de cih digire: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'current_wallpaper.jpg'. Dîwarê paşîn a WhatsApp-ê ya heyî vedihewîne. Di rê de cih digire: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Guhertoyên kevntir ên serîlêdanê pelê bikar tînin 'paper', ku di rê de ye: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • file 'blockedcontacts.dat'. Agahiyên li ser têkiliyên astengkirî vedihewîne. Di rê de cih digire: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • file 'pw.dat'. Şîfreyek şîfrekirî dihewîne. Di rê de cih digire: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • file 'net.whatsapp.WhatsApp.plist' (an jî pel 'group.net.whatsapp.WhatsApp.shared.plist'). Agahdariya li ser profîla hesabê weya WhatsApp-ê vedihewîne. Pelê di rê de ye: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Naveroka pelê 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Her weha hûn hewce ne ku bala xwe bidin navnîşên jêrîn:

  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Pêlên pêwendiyan, koman (pelên bi dirêjkirinê) vedihewîne .tilîya meyin), bi avatarên têkiliyê, avatarê xwediyê hesabê WhatsAppê (pel 'Photo.jpg').
  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Pelên multimedia û piçûkên wan vedihewîne
  • directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Têketina xebata bernameyê (pel 'calls.log') û kopiyên hilanînê yên têketinên xebata bernameyê (pel 'calls.backup.log').
  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Stîkeran (pelên bi qalibê) vedihewîne '.webp').
  • directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Têketinên xebata bernameyê dihewîne.

Berhemên WhatsApp-ê li ser Windows-ê

Berhemên WhatsApp-ê yên li ser Windows-ê li gelek deveran têne dîtin. Berî her tiştî, ev pelrêçan in ku pelên bernameyê yên îcrakar û alîkar hene (ji bo Windows 8/10):

  • 'C: Pelên Bernameyê (x86) WhatsApp'
  • 'C:Bikarhêner%Profîla Bikarhêner% AppDataLocalWhatsApp'
  • 'C:Bikarhêner%Profîla Bikarhêner% Pelên Bernameyê AppDataLocalVirtualStore (x86)WhatsApp'

Di katalogê de 'C:Bikarhêner%Profîla Bikarhêner% AppDataLocalWhatsApp' pelê têketinê heye 'SquirrelSetup.log', ku di derbarê kontrolkirina nûvekirin û sazkirina bernameyê de agahdarî vedihewîne.

Di katalogê de 'C:Bikarhêner%Profîla Bikarhêner% AppDataRoamingWhatsApp' Gelek binkrektor hene:

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
file 'main-process.log' di derbarê xebata bernameya WhatsApp de agahdarî hene.

Subdirectory 'base daneyan' pelek heye 'Databases.db', lê di vê dosyayê de tu agahî li ser sohbet û têkiliyan nîne.

Ji hêla dadrêsî ve ya herî balkêş pelên ku di pelrêçê de ne 'Cache'. Ev bi bingehîn pelên bi navê ne 'f_*******' (ku * jimareyek ji 0 heta 9-ê ye) pel û belgeyên multimedia yên şîfrekirî hene, lê di nav wan de pelên neşîfrekirî jî hene. Eleqeyek taybetî pelan in 'data_0', 'data_1', 'data_2', 'data_3', di heman binerxetê de cih digire. Pelên 'data_0', 'data_1', 'data_3' girêdanên derve yên pel û belgeyên multimedia yên şîfrekirî yên hatine veguheztin hene.

Nimûneya agahdariya ku di pelê 'data_1' de heyeWhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Her weha pelê 'data_3' dibe ku pelên grafîkî hene.

file 'data_2' avatarên pêwendiyê dihewîne (bi lêgerîna sernavên pelan dikare were sererast kirin).

Avatarên ku di pelê de hene 'data_2':

WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
Bi vî rengî, sohbet bixwe di bîra komputerê de nayên dîtin, lê hûn dikarin bibînin:

  • pelên multimedia;
  • belgeyên ku bi rêya WhatsApp ve têne şandin;
  • agahdariya li ser têkiliyên xwediyê hesabê.

Artifactên WhatsApp li MacOS

Di MacOS-ê de hûn dikarin celebên hunerên WhatsApp-ê yên mîna yên ku di Windows OS-ê de têne dîtin bibînin.

Pelên bernameyê di pelrêçên jêrîn de cih digirin:

  • 'C:ApplicationsWhatsApp.app'
  • 'C: Serlêdan._WhatsApp.app'
  • 'C:Bikarhêner%Profîla Bikarhêner%PirtûkxanePreferences'
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryLogsWhatsApp'
  • 'C:Bikarhêner%Profîla Bikarhêner%LibrarySaved Application StateWhatsApp.savedState'
  • 'C:Bikarhêner%Profîla Bikarhêner%Skrîptên PirtûkxaneyaApplication'
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryApplication SupportCloudDocs'
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Bikarhêner%Profîla Bikarhêner% Pirtûkxane Belgeyên Mobîl <Guherbara nivîsê> Hesabên WhatsApp'
    Di vê pelrêça jêrîn de navnîşên ku navên wan hejmarên têlefonê yên bi xwediyê hesabê WhatsApp-ê ve girêdayî ne hene.
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryCachesWhatsApp.ShipIt'
    Di vê pelrêçê de agahdariya li ser sazkirina bernameyê heye.
  • 'C:Bikarhêner%Profîla Bikarhêner%PicturesiPhoto Library.photolibraryMasters', 'C:Bikarhêner%Profîla Bikarhêner%PicturesiPhoto Library.photolibraryThumbnails'
    Van peldankan pelên karûbarê bernameyê, di nav de wêne û piçûkên têkiliyên WhatsApp-ê jî hene.
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryCachesWhatsApp'
    Di vê pelrêçê de gelek databasên SQLite hene ku ji bo cachkirina daneyê têne bikar anîn.
  • 'C:Bikarhêner%Profîla Bikarhêner%LibraryApplication SupportWhatsApp'
    Ev pelrêça çend binkrektor hene:

    WhatsApp di kefa destê we de ye: hûn li ku û çawa dikarin hunerên dadrêsî bibînin?
    Di katalogê de 'C:Bikarhêner%Profîla Bikarhêner%LibraryApplication SupportWhatsAppCache' pel hene 'data_0', 'data_1', 'data_2', 'data_3' û pelên bi navan 'f_*******' (ku * jimareyek ji 0 heta 9 e). Ji bo agahdariya di derheqê van pelan de çi agahdarî hene, li WhatsApp Artifacts li ser Windows-ê bibînin.

    Di katalogê de 'C:Bikarhêner%Profîla Bikarhêner%LibraryApplication SupportWhatsAppIndexedDB' dibe ku pelên multimedia hene (pelên pêvek tune).

    file 'main-process.log' di derbarê xebata bernameya WhatsApp de agahdarî hene.

Çavkaniyên

  1. Analîza dadrêsî ya WhatsApp Messenger li ser têlefonên Android, ji hêla Cosimo Anglano, 2014 ve.
  2. Whatsapp Forensics: Ji hêla Ahmad Pratama ve, 2014, pergala bingehîn a daneyên bingehîn ji bo Android-ê û iOS-ê ve girêdayî ye.

Di gotarên jêrîn ên vê rêzê de:

Deşîfrekirina databasên şîfrekirî yên WhatsAppGotarek ku dê agahdarî li ser ka çawa mifteya şîfrekirinê ya WhatsApp-ê tê hilberandin û mînakên pratîkî yên ku destnîşan dikin ka meriv çawa databasên şîfrekirî yên vê serîlêdanê deşîfre dike peyda dike.
Derxistina daneyên WhatsApp-ê ji hilanîna ewrGotarek ku tê de em ê ji we re vebêjin ka çi daneyên WhatsApp-ê di nav ewran de têne hilanîn û rêbazên ji bo wergirtina van daneyan ji depoyên ewr vedibêjin.
Derxistina Daneyên WhatsApp: Nimûneyên PraktîkîGotarek ku dê gav bi gav diyar bike ka kîjan bername û meriv çawa daneyên WhatsApp ji cîhazên cihêreng derdixe.

Source: www.habr.com

Add a comment