Эгерде сиз WhatsApp соттук артефакттарынын кандай түрлөрү бар экенин жана аларды кайдан тапса болорун билгиңиз келсе, анда бул сиз үчүн жер. Бул макала Group-IB компьютердик криминалистикалык лабораториясынын адисинен алынган Игорь Михайлов WhatsApp криминалистикасы жана аппаратты талдоодон кандай маалыматтарды алууга боло тургандыгы тууралуу посттордун сериясын баштайт.
Дароо белгилеп кетели, ар кандай операциялык системалар WhatsApp артефакттарынын ар кандай түрлөрүн сактайт жана эгер изилдөөчү бир түзмөктөн WhatsApp маалыматтарынын айрым түрлөрүн чыгара алса, бул окшош типтеги маалыматтарды башка түзмөктөн чыгарууга болот дегенди билдирбейт. Мисалы, Windows OS менен иштеген тутумдук блок алынып салынса, WhatsApp чаттары анын дисктеринен табылбай калышы мүмкүн (ошол эле дисктерде табылган iOS түзмөктөрүнүн резервдик көчүрмөлөрүн кошпогондо). Ноутбуктарды жана мобилдик аппараттарды басып алуу өзүнүн өзгөчөлүктөрүнө ээ болот. Бул тууралуу кененирээк сүйлөшөлү.
Android түзмөгүндөгү WhatsApp артефактылары
Android түзмөгүнөн WhatsApp артефакттарын алуу үчүн изилдөөчүнүн супер колдонуучу укуктары болушу керек ("тамыр") териштирилип жаткан түзмөктө же башка жол менен аппараттын же анын файлдык тутумунун физикалык эс тутумунун таштандысын чыгара алат (мисалы, белгилүү бир мобилдик түзүлүштүн программалык кемчиликтерин колдонуу менен).
Колдонмо файлдары телефондун эстутумунда колдонуучунун маалыматтары сакталган бөлүмдө жайгашкан. Эреже катары, бул бөлүм аталган 'колдонуучунун маалыматтары'. Субкаталогдор жана программа файлдары жолдун боюнда жайгашкан: '/data/data/com.whatsapp/'.
Android OS ичиндеги WhatsApp соттук артефакттарын камтыган негизги файлдар маалымат базалары болуп саналат 'wa.db' и 'msgstore.db'.
Маалымат базасында 'wa.db' WhatsApp колдонуучусунун толук байланыш тизмесин камтыйт, анын ичинде телефон номери, дисплей аты, убакыт белгилери жана WhatsAppка катталуу учурунда берилген башка маалыматтар. Файл 'wa.db' жолдун боюнда жайгашкан: '/data/data/com.whatsapp/databases/' жана төмөнкү түзүлүшкө ээ:
Базадагы эң кызыктуу таблицалар 'wa.db' изилдөөчү үчүн:
- 'wa_contacts'
Бул таблицада байланыш маалыматы камтылган: WhatsApp байланыш идентификатору, статус маалыматы, колдонуучунун дисплей аты, убакыт белгилери, ж.б.Столдун көрүнүшү:
Таблица структурасыТалаа аты Наркы _id жазуу ырааттуулугу номери (SQL таблицасында) жид WhatsApp байланыш ID, форматта жазылган <телефон номери>@s.whatsapp.net бул_whatsapp_колдонуучусу байланыш чыныгы WhatsApp колдонуучусуна туура келсе, '1', башка учурда '0' камтылган абал байланыш абалында көрсөтүлгөн текстти камтыйт статус_убакыт белгиси Unix Epoch Time (ms) форматындагы убакыт белгисин камтыйт сан байланыш менен байланышкан телефон номери raw_contact_id байланыш сериялык номери дисплей аты байланыштын дисплей аты телефон_түрү телефон түрү телефон_энбелгиси байланыш номери менен байланышкан энбелгиси unseen_msg_count байланыш жөнөткөн, бирок алуучу окубаган билдирүүлөрдүн саны photo_ts Unix Epoch Time форматындагы убакыт белгисин камтыйт thumb_ts Unix Epoch Time форматындагы убакыт белгисин камтыйт photo_id_timestamp Unix Epoch Time (ms) форматындагы убакыт белгисин камтыйт берилген аты талаа мааниси ар бир байланыш үчүн 'display_name' дал келет wa_name WhatsApp байланыш аты (байланыштын профилинде көрсөтүлгөн ысым көрсөтүлөт) сорттоо_аты сорттоо операцияларында колдонулган байланыш аты ылакап ат WhatsAppтагы байланыштын ылакап аты (байланыштын профилинде көрсөтүлгөн лакап ат көрсөтүлөт) компания компания (байланыштын профилинде көрсөтүлгөн компания көрсөтүлөт) наам аталышы (айым/мырза; байланыш профилинде конфигурацияланган аталыш көрсөтүлөт) ордун толтуруу калыстык - 'sqlite_sequence'
Бул таблица байланыштардын саны жөнүндө маалыматты камтыйт; - 'android_metadata'
Бул таблица WhatsApp тилинин локализациясы жөнүндө маалыматты камтыйт.
Маалымат базасында 'msgstore.db' жөнөтүлгөн билдирүүлөр жөнүндө маалыматты камтыйт, мисалы, байланыш номери, билдирүүнүн тексти, билдирүүнүн статусу, убакыт белгилери, билдирүүлөргө киргизилген өткөрүлүп берилген файлдардын чоо-жайы ж.б. Файл 'msgstore.db' жолдун боюнда жайгашкан: '/data/data/com.whatsapp/databases/' жана төмөнкү түзүлүшкө ээ:
Файлдагы эң кызыктуу таблицалар 'msgstore.db' изилдөөчү үчүн:
- 'sqlite_sequence'
Бул таблица бул маалымат базасы жөнүндө жалпы маалыматты камтыйт, мисалы, сакталган билдирүүлөрдүн жалпы саны, баарлашуулардын жалпы саны ж.б.Столдун көрүнүшү:
- 'message_fts_content'
Жөнөтүлгөн билдирүүлөрдүн текстин камтыйт.Столдун көрүнүшү:
- 'билдирүүлөр'
Бул таблицада байланыш номери, билдирүүнүн тексти, билдирүүнүн абалы, убакыт белгилери, билдирүүлөрдөгү өткөрүлүп берилген файлдар тууралуу маалымат камтылган.Столдун көрүнүшү:
Таблица структурасыТалаа аты Наркы _id жазуу ырааттуулугу номери (SQL таблицасында) key_remote_jid Байланыш өнөктөшүнүн WhatsApp идентификатору менден_ачкыч билдирүү багыты: '0' – кирүүчү, '1' – чыгуучу key_id уникалдуу билдирүү идентификатору абал билдирүүнүн абалы: '0' – жеткирилди, '4' – серверде күтүүдө, '5' – көздөгөн жерде кабыл алынды, '6' – башкаруу билдирүүсү, '13' – алуучу тарабынан ачылган билдирүү (окуу) керек_түртүү эгер ал трансляциялык билдирүү болсо, '2' маанисине ээ, антпесе '0' маалымат билдирүү тексти ('media_wa_type' параметри '0' болгондо) убакыт белгиси Unix Epoch Time (ms) форматындагы убакыт белгисин камтыйт, маани аппараттын саатынан алынат media_url өткөрүлүп берилген файлдын URL дарегин камтыйт ('media_wa_type' параметри '1', '2', '3' болгондо) media_mime_type Өткөрүлгөн файлдын MIME түрү ('media_wa_type' параметри '1', '2', '3'ге барабар болгондо) media_wa_type билдирүү түрү: '0' - текст, '1' - графикалык файл, '2' - аудио файл, '3' - видео файл, '4' - байланыш картасы, '5' - геомаалымат медиа_өлчөмү өткөрүлүп берилген файлдын өлчөмү ('media_wa_type' параметри '1', '2', '3' болгондо) media_name өткөрүлүп берилген файлдын аталышы ('media_wa_type' параметри '1', '2', '3' болгондо) медиа_коштомо 'media_wa_type' параметринин тиешелүү маанилери үчүн "аудио", "видео" сөздөрүн камтыйт ('media_wa_type' параметри '1', '3' болгондо) media_hash HAS-64 алгоритми менен эсептелген берилүүчү файлдын base256 коддолгон хэши ('media_wa_type' параметри '1', '2', '3'ге барабар болгондо) медиа_узактыгы медиа файл үчүн секунданын узактыгы ('media_wa_type' '1', '2', '3' болгондо) башталыш эгер ал трансляциялык билдирүү болсо, '2' маанисине ээ, антпесе '0' тууралык геомаалымат: кеңдик ('media_wa_type' параметри '5' болгондо) узактык геомаалымат: узундук ('media_wa_type' параметри '5' болгондо) thumb_image кызмат маалымат алыскы_ресурс Жөнөтүүчү ID (топтук чаттар үчүн гана) алынган_убакыт белгиси алуу убактысы, Unix Epoch Time (ms) форматындагы убакыт белгисин камтыйт, маани аппараттын саатынан алынат ('key_from_me' параметри '0', '-1' же башка мааниге ээ болгондо) жөнөтүү_убакыт белгиси колдонулган эмес, адатта '-1' мааниси бар квитанциянын_серверинин_убакыт белгиси борбордук сервер тарабынан кабыл алынган убакыт Unix Epoch Time (ms) форматында убакыт белгисин камтыйт, маани аппараттын саатынан алынат ('key_from_me' параметри '1', '-1' же башка мааниге ээ болгондо алуу_түзмөк_убакыт белгиси билдирүү башка абонент тарабынан кабыл алынган убакыт, Unix Epoch Time (ms) форматында убакыт белгиси бар, маани аппараттын саатынан алынат ('key_from_me' параметринде '1', '-1' же башка маани болгондо окуу_түзмөктүн_убакыт белгиси билдирүүнү ачуу (окуу) убактысы, Unix Epoch Time (ms) форматында убакыт белгиси бар, маани аппараттын саатынан алынат ойнотулган_түзмөктүн_убакыт белгиси билдирүүнү ойнотуу убактысы, Unix Epoch Time (ms) форматында убакыт белгисин камтыйт, маани түзмөк саатынан алынат чийки_дата өткөрүлүп берилген файлдын эскизи ('media_wa_type' параметри '1' же '3' болгондо) алуучу_саны алуучулардын саны (берүү билдирүүлөрү үчүн) катышуучу_хэш геомаалыматтар менен билдирүүлөрдү өткөрүүдө колдонулат белгиленген колдонулбайт quoted_row_id белгисиз, адатта "0" маанисин камтыйт айтылган_jids колдонулбайт multicast_id колдонулбайт ордун толтуруу калыстык Бул талаалардын тизмеси толук эмес. WhatsAppтын ар кандай версиялары үчүн кээ бир талаалар бар же жок болушу мүмкүн. Мындан тышкары, талаалар болушу мүмкүн 'media_enc_hash', 'edit_version', 'төлөм_транзакциясынын_идентификатору' жана башкалар.
- 'messages_thumbnails'
Бул таблица өткөрүлүп берилген сүрөттөр жана убакыт белгилери жөнүндө маалыматты камтыйт. "Убакыт белгиси" тилкесинде убакыт Unix Epoch Time (ms) форматында көрсөтүлгөн. - 'chat_list'
Бул таблица чаттар тууралуу маалыматты камтыйт.Столдун көрүнүшү:
Ошондой эле, Android менен иштеген мобилдик түзмөктө WhatsAppты карап жатканда, төмөнкү файлдарга көңүл бурушуңуз керек:
- билэ 'msgstore.db.cryptXX' (мында XX 0дөн 12ге чейинки бир же эки цифра, мисалы, msgstore.db.crypt12). WhatsApp билдирүүлөрүнүн шифрленген камдык көчүрмөсүн камтыйт (камдык файл msgstore.db). Файл(лар) 'msgstore.db.cryptXX' жолдун боюнда жайгашкан: '/data/media/0/WhatsApp/Databases/' (виртуалдык SD карта), '/mnt/sdcard/WhatsApp/маалыматтар базалары/ (физикалык SD карта)'.
- билэ 'ачкыч'. Криптографиялык ачкычты камтыйт. Жолдун боюнда жайгашкан: '/data/data/com.whatsapp/files/'. Шифрленген WhatsApp камдык көчүрмөлөрүн чечмелөө үчүн колдонулат.
- билэ 'com.whatsapp_preferences.xml'. WhatsApp аккаунтуңуздун профили тууралуу маалыматты камтыйт. Файл жолдун боюнда жайгашкан: '/data/data/com.whatsapp/shared_prefs/'.
Файл мазмунунун фрагменти
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - билэ 'registration.RegisterPhone.xml'. WhatsApp аккаунту менен байланышкан телефон номери тууралуу маалыматты камтыйт. Файл жолдун боюнда жайгашкан: '/data/data/com.whatsapp/shared_prefs/'.
Файлдын мазмуну
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - билэ 'axolotl.db'. Каттын ээсин аныктоо үчүн зарыл болгон криптографиялык ачкычтарды жана башка маалыматтарды камтыйт. Жолдун боюнда жайгашкан: '/data/data/com.whatsapp/databases/'.
- билэ 'chatsettings.db'. Колдонмонун конфигурация маалыматын камтыйт.
- билэ 'wa.db'. Байланыш маалыматтарын камтыйт. Абдан кызыктуу (соттук-медициналык аспектиден) жана маалымат базасы. Ал жок кылынган байланыштар тууралуу толук маалыматты камтышы мүмкүн.
Ошондой эле төмөнкү каталогдорго көңүл буруу керек:
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Берилген графикалык файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. .OPUS форматындагы файлдарда үн билдирүүлөрүн камтыйт.
- справочник '/data/data/com.whatsapp/cache/Profile Pictures/'. Графикалык файлдарды камтыйт - байланыштардын сүрөттөрү.
- справочник '/data/data/com.whatsapp/files/Avatars/'. Графикалык файлдарды камтыйт - байланыштардын эскиз сүрөттөрү. Бул файлдардын '.j' кеңейтүүсү бар, бирок ошентсе да JPEG (JPG) сүрөт файлдары.
- справочник '/data/data/com.whatsapp/files/Avatars/'. Графикалык файлдарды камтыйт - аккаунттун ээси тарабынан аватар катары коюлган сүрөт жана сүрөттүн эскизи.
- справочник '/data/data/com.whatsapp/files/Logs/'. Программанын иштөө журналын ('whatsapp.log' файлы) жана программанын иштөө журналдарынын резервдик көчүрмөлөрүн (whatsapp-yyyy-mm-dd.1.log.gz форматындагы аттары бар файлдар) камтыйт.
WhatsApp журналынын файлдары:
Журналдын фрагменти2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] сырсөз файлы жок же окулбайт
2017-01-10 09:37:09.782 LL_I D [1:main] statistics Тексттик билдирүүлөр: 59 жөнөтүлдү, 82 кабыл алынды / Медиа билдирүүлөр: 1 жөнөтүлдү (0 байт), 0 кабыл алынды (9850158 байт) / Оффлайн билдирүүлөрү: 81 кабыл алынды ( 19522 мск орточо кечигүү) / Билдирүү кызматы: 116075 байт жөнөтүлдү, 211729 байт кабыл алынды / Voip чалуулар: 1 чыгуучу чалуулар, 0 кирүүчү чалуулар, 2492 байт жөнөтүлдү, 1530 байт кабыл алынды / Google Drive: 0 байт жөнөтүлдү, 0 байт алынды: 1524ing байт жөнөтүлдү, 1826 байт алынды / Жалпы маалымат: 118567 байт жөнөтүлдү, 10063417 байт алынды
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-meneger/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/taymer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/false жок кылуу
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/false жок кылуу
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/таймер/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | сарпталган убакыт: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] медиа-мамлекет-менеджер/жаңылоо-медиа-мамлекет/ички сактагыч жеткиликтүү:1,345,622,016 жалпы:5,687,922,688
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Алынган аудио файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Аудио/Жөнөтүлгөн/'. Жөнөтүлгөн аудио файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Алынган графикалык файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp сүрөттөрү/Жөнөтүлгөн/'. Жөнөтүлгөн графикалык файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Кабыл алынган видео файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Жөнөтүлгөн видео файлдарды камтыйт.
- справочник '/data/media/0/WhatsApp/Media/WhatsApp профилинин сүрөттөрү/'. WhatsApp аккаунтунун ээси менен байланышкан графикалык файлдарды камтыйт.
- Android смартфонуңузда эстутум мейкиндигин үнөмдөө үчүн кээ бир WhatsApp маалыматтарын SD картада сактаса болот. SD картада, түпкү каталогдо, каталог бар 'WhatsApp', бул программанын төмөнкү артефакттарын тапса болот:
- справочник '.Share' ('/mnt/sdcard/WhatsApp/.Share/'). Башка WhatsApp колдонуучулары менен бөлүшүлгөн файлдардын көчүрмөлөрүн камтыйт.
- справочник '.таштанды' ('/mnt/sdcard/WhatsApp/.trash/'). Жок кылынган файлдарды камтыйт.
- справочник 'маалымат базалары' ('/mnt/sdcard/WhatsApp/Databases/'). Шифрленген камдык көчүрмөлөрдү камтыйт. Файл бар болсо, аларды чечмелесе болот 'ачкыч', анализделген аппараттын эсинен алынган.
Файлдар подкаталогдо жайгашкан 'маалымат базалары':
- справочник 'жарым' ('/mnt/sdcard/WhatsApp/Media/'). Субкаталогдорду камтыйт 'Тушкагаз', 'WhatsApp аудио', "WhatsApp сүрөттөрү", "WhatsApp профилинин сүрөттөрү", 'WhatsApp Video', "WhatsApp үн жазуулары", анда кабыл алынган жана өткөрүлүп берилген мультимедиялык файлдар (графикалык файлдар, видео файлдар, үн билдирүүлөр, WhatsApp аккаунтунун ээсинин профилине байланышкан сүрөттөр, тушкагаздар).
- справочник "Профиль сүрөттөрү" ('/mnt/sdcard/WhatsApp/Профиль сүрөттөрү/'). WhatsApp аккаунтунун ээсинин профили менен байланышкан графикалык файлдарды камтыйт.
- Кээде SD картада каталог болушу мүмкүн 'файлдар' ('/mnt/sdcard/WhatsApp/Files/'). Бул каталог программанын жөндөөлөрүн жана колдонуучунун каалоолорун сактаган файлдарды камтыйт.
Мобилдик түзүлүштөрдүн айрым моделдеринде маалыматтарды сактоонун өзгөчөлүктөрү
Android OS менен иштеген мобилдик түзүлүштөрдүн кээ бир моделдери WhatsApp артефакттарын башка жерде сакташы мүмкүн. Бул мобилдик түзүлүштүн тутумдук программалык камсыздоосу тарабынан тиркеме маалыматтарын сактоо мейкиндигинин өзгөрүшүнө байланыштуу. Мисалы, Xiaomi мобилдик түзүлүштөрүндө экинчи жумушчу мейкиндигин түзүү функциясы бар («SecondSpace»). Бул функция иштетилгенде, маалыматтардын жайгашкан жери өзгөрөт. Ошентип, эгерде Android OS иштеткен кадимки мобилдик түзмөктө колдонуучунун маалыматтары каталогдо сакталат '/data/user/0/' (бул адаттагыга шилтеме '/дата/дата/'), анда экинчи жумушчу мейкиндигинде колдонмонун маалыматтары каталогдо сакталат '/data/user/10/'. Башкача айтканда, файл жайгашкан мисалды колдонуу 'wa.db':
- Android OS менен иштеген кадимки смартфондо: /data/user/0/com.whatsapp/databases/wa.db' (бул эквиваленттүү '/data/data/com.whatsapp/database/wa.db');
- Xiaomi смартфонунун экинчи жумушчу мейкиндигинде: '/data/user/10/com.whatsapp/databases/wa.db'.
iOS түзмөгүндөгү WhatsApp артефактылары
Android OSтен айырмаланып, iOSто WhatsApp тиркемесинин маалыматтары камдык көчүрмөгө (iTunes резервдик көчүрмөсү) өткөрүлүп берилет. Ошондуктан, бул тиркемеден маалыматтарды алуу файл тутумун чыгарууну же териштирилип жаткан аппараттын физикалык эс тутумунун таштандысын түзүүнү талап кылбайт. Тиешелүү маалыматтардын көбү маалымат базасында камтылган 'ChatStorage.sqlite'жолдун боюнда жайгашкан: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (айрым программаларда бул жол катары көрүнөт 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
түзүлүш 'ChatStorage.sqlite':
'ChatStorage.sqlite' маалымат базасындагы эң маалыматтуу таблицалар болуп саналат 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Столдун көрүнүшү 'ZWAMESSAGE':
'ZWAMESSAGE' таблицасынын түзүлүшү
| Талаа аты | Наркы |
|---|---|
| Z_PK | жазуу ырааттуулугу номери (SQL таблицасында) |
| Z_ENT | таблица идентификаторунун мааниси '9' |
| Z_OPT | белгисиз, адатта '1'ден '6'га чейинки маанилерди камтыйт |
| ZCHILDMESSAGESDELIVEREDCOUNT | белгисиз, адатта "0" маанисин камтыйт |
| ZCHILDMESSAGESPLAYEDCOUNT | белгисиз, адатта "0" маанисин камтыйт |
| ZCHILDMESSAGESREADCOUNT | белгисиз, адатта "0" маанисин камтыйт |
| ZDATAITEMVERSION | белгисиз, адатта "3" маанисин камтыйт, сыягы, текст кабарынын индикатору |
| ZDOCID | белгисиз |
| ZENCRETRYCOUNT | белгисиз, адатта "0" маанисин камтыйт |
| ZFILTEREDRECIPIENTCOUNT | белгисиз, адатта '0', '2', '256' маанилерин камтыйт |
| ZISFROMME | билдирүү багыты: '0' – кирүүчү, '1' – чыгуучу |
| ZMESSAGEERRORSTATUS | билдирүү жөнөтүү абалы. Эгерде билдирүү жөнөтүлсө/кабыл алынса, анда анын '0' мааниси бар |
| ZMESSAGETYPE | жөнөтүлүүчү кабардын түрү |
| ZSORT | белгисиз |
| ZSPOTLIGHSTATUS | белгисиз |
| ZSTARRED | белгисиз, колдонулган эмес |
| ZCHATSESSION | белгисиз |
| ZGROUPMEMBER | белгисиз, колдонулган эмес |
| ZLASTESSION | белгисиз |
| ZMEDIAITEM | белгисиз |
| ZMESSAGEINFO | белгисиз |
| ZPARENTMESSAGE | белгисиз, колдонулган эмес |
| ZMESSAGEDATE | OS X Epoch Time форматындагы убакыт белгиси |
| ZSENTDATE | билдирүү OS X Epoch Time форматында жөнөтүлгөн убакыт |
| ZFROMJID | WhatsApp жөнөтүүчү ID |
| ZMEDIASECTIONID | медиа файл жөнөтүлгөн жыл жана айды камтыйт |
| ZPHASH | белгисиз, колдонулган эмес |
| ZPUSHPAME | UTF-8 форматында медиа файлды жөнөткөн байланыштын аты |
| ЗСТАНЗИД | уникалдуу билдирүү идентификатору |
| ZTEXT | Билдирүү тексти |
| ЗТОЖИД | Алуучунун WhatsApp идентификатору |
| OFFSET | калыстык |
Столдун көрүнүшү 'ZWAMEDIAITEM':
'ZWAMEDIAITEM' таблицасынын түзүлүшү
| Талаа аты | Наркы |
|---|---|
| Z_PK | жазуу ырааттуулугу номери (SQL таблицасында) |
| Z_ENT | таблица идентификаторунун мааниси '8' |
| Z_OPT | белгисиз, адатта '1'ден '3'ге чейинки маанилерди камтыйт. |
| ZCLOUDSTATUS | файл жүктөлгөн болсо, анда "4" мааниси бар. |
| ZFILESIZE | жүктөлүп алынган файлдар үчүн файлдын узундугун (байт менен) камтыйт |
| ZMEDIAORIGIN | белгисиз, адатта "0" мааниси бар |
| ZMOVIEDURATION | медиа файлдын узактыгы, pdf файлдары үчүн документтин барактарынын санын камтышы мүмкүн |
| ZMESSAGE | сериялык номерди камтыйт (номер "Z_PK" тилкесинде көрсөтүлгөндөн башкача) |
| ZASSPECTRATIO | тараптын катышы, колдонулбайт, адатта "0" |
| ZHACCURACY | белгисиз, адатта "0" мааниси бар |
| ZLATTITUDE | пиксел менен туурасы |
| ZLONGTITUDE | пиксел менен бийик |
| ZMEDIAURLDATE | OS X Epoch Time форматындагы убакыт белгиси |
| ZAUTHORNAME | автор (документтер үчүн, файлдын атын камтышы мүмкүн) |
| ZCOLLECTIONNAME | колдонулбайт |
| ZMEDIALOCALPATH | файлдын аталышы (анын ичинде жол) аппараттын файл тутумунда |
| ZMEDIAURL | Медиа файл жайгашкан URL. Эгер файл бир абоненттен экинчисине өткөрүлүп берилген болсо, ал шифрленген жана анын кеңейтилиши өткөрүлүп берилген файлдын кеңейтилиши катары көрсөтүлөт - .enc |
| ZTHUMBNAILLOCALPATH | аппараттын файл тутумундагы файлдын эскизине жол |
| ZTITLE | файлдын аталышы |
| ZVCARDNAME | медиа файлдын хэштери; файлды топко өткөрүп жатканда, анда жөнөтүүчүнүн идентификатору болушу мүмкүн |
| ZVCARDSTRING | өткөрүлүп жаткан файлдын түрү жөнүндө маалыматты камтыйт (мисалы, сүрөт/jpeg); файлды топко өткөрүп жатканда, ал алуучунун идентификаторун камтышы мүмкүн |
| ZXMPPTHUMBPATH | аппараттын файл тутумундагы файлдын эскизине жол |
| ZMEDIAKEY | белгисиз, балким, шифрленген файлды чечмелөө ачкычы бар. |
| ZMETADATA | жөнөтүлгөн билдирүүнүн метадайындары |
| Юбилейлик | калыстык |
Башка кызыктуу маалыматтар базасынын таблицалары 'ChatStorage.sqlite' Алар төмөнкүлөр:
- 'ZWAPROFILEPUSHNAME'. Байланыш аты менен WhatsApp ID дал келет;
- 'ZWAPROFILEPICTUREITEM'. Байланыш аватары менен WhatsApp ID дал келет;
- 'Z_PRIMARYKEY'. Таблица бул маалымат базасы жөнүндө жалпы маалыматты камтыйт, мисалы, сакталган билдирүүлөрдүн жалпы саны, баарлашуулардын жалпы саны ж.б.
Ошондой эле, iOS менен иштеген мобилдик түзмөктө WhatsAppты карап жатканда, төмөнкү файлдарга көңүл бурушуңуз керек:
- билэ 'BackedUpKeyValue.sqlite'. Каттын ээсин аныктоо үчүн зарыл болгон криптографиялык ачкычтарды жана башка маалыматтарды камтыйт. Жолдун боюнда жайгашкан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- билэ 'ContactsV2.sqlite'. Колдонуучунун толук аты-жөнү, телефон номери, байланыш статусу (текст түрүндө), WhatsApp ID ж.б. Жолдун боюнда жайгашкан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- билэ 'consumer_version'. Орнотулган WhatsApp тиркемесинин версия номерин камтыйт. Жолдун боюнда жайгашкан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- билэ 'current_wallpaper.jpg'. Учурдагы WhatsApp фондунун тушкагазын камтыйт. Жолдун боюнда жайгашкан: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Колдонмонун эски версиялары файлды колдонушат "тушкагаз"жолдун боюнда жайгашкан: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- билэ 'blockedcontacts.dat'. Бөгөттөлгөн байланыштар тууралуу маалыматты камтыйт. Жолдун боюнда жайгашкан: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- билэ 'pw.dat'. Шифрленген сырсөздү камтыйт. Жолдун боюнда жайгашкан: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- билэ 'net.whatsapp.WhatsApp.plist' (же файл 'group.net.whatsapp.WhatsApp.shared.plist'). WhatsApp аккаунтуңуздун профили тууралуу маалыматты камтыйт. Файл жолдун боюнда жайгашкан: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
"group.net.whatsapp.WhatsApp.shared.plist" файлынын мазмуну
Ошондой эле төмөнкү каталогдорго көңүл буруу керек:
- справочник '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Байланыштардын, топтордун эскиздерин камтыйт (кеңейтүү менен файлдар .бармак), байланыш аватарлары, WhatsApp аккаунтунун ээсинин аватары (файл 'Photo.jpg').
- справочник '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Мультимедиа файлдарын жана алардын эскиздерин камтыйт
- справочник '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Программанын иштөө журналын камтыйт (файл 'calls.log') жана программанын иштөө журналдарынын резервдик көчүрмөлөрү (файл 'calls.backup.log').
- справочник '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Чаптамаларды камтыйт (форматтагы файлдар '.webp').
- справочник '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Программанын иштөө журналдарын камтыйт.
Windows'догу WhatsApp артефактылары
Windows'догу WhatsApp артефакттарын бир нече жерден тапса болот. Биринчиден, бул аткарылуучу жана көмөкчү программалык файлдарды камтыган каталогдор (Windows 8/10 үчүн):
- 'C:Program Files (x86)WhatsApp'
- 'C: Колдонуучулар% Колдонуучу профили% AppDataLocalWhatsApp'
- 'C: Users% User profile% AppDataLocalVirtualStore Программа файлдары (x86)WhatsApp'
Каталогдо 'C: Колдонуучулар% Колдонуучу профили% AppDataLocalWhatsApp' журнал файлы жайгашкан 'SquirrelSetup.log', анда жаңыртууларды текшерүү жана программаны орнотуу жөнүндө маалымат камтылган.
Каталогдо 'C: Колдонуучулар% Колдонуучу профили% AppDataRoamingWhatsApp' Бир нече подкаталогдор бар:
билэ 'main-process.log' WhatsApp программасынын иштеши тууралуу маалыматты камтыйт.
Субкаталог 'маалымат базалары' файлды камтыйт 'Databases.db', бирок бул файлда чаттар же байланыштар тууралуу эч кандай маалымат жок.
Криминалистикалык жактан эң кызыктуусу каталогдо жайгашкан файлдар 'Кэш'. Булар негизинен аталган файлдар 'f_********' (бул жерде * - 0дөн 9га чейинки сан) шифрленген мультимедиялык файлдарды жана документтерди камтыйт, бирок алардын арасында шифрленбеген файлдар да бар. Файлдар өзгөчө кызыгууну туудурат 'data_0', 'data_1', 'data_2', 'data_3', ошол эле подкаталогдо жайгашкан. Файлдар 'data_0', 'data_1', 'data_3' өткөрүлүп берилген шифрленген мультимедиялык файлдарга жана документтерге тышкы шилтемелерди камтыйт.
'data_1' файлында камтылган маалыматтын мисалы
Ошондой эле файл 'data_3' графикалык файлдарды камтышы мүмкүн.
билэ 'data_2' байланыш аватарларын камтыйт (файлдын аталыштары боюнча издөө аркылуу калыбына келтирүүгө болот).
Файлда камтылган аватарлар 'data_2':
Ошентип, чаттарды компьютердин эс тутумунан табууга болбойт, бирок сиз таба аласыз:
- мультимедиа файлдары;
- WhatsApp аркылуу берилген документтер;
- эсеп ээсинин байланыштары жөнүндө маалымат.
MacOSдогу WhatsApp артефактылары
MacOSто сиз WhatsApp артефакттарынын Windows OSто табылган түрлөрүнө окшош түрлөрүн таба аласыз.
Программа файлдары төмөнкү каталогдордо жайгашкан:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Колдонуучулар%Колдонуучу профили%LibraryPreferences'
- 'C:Колдонуучулар%Колдонуучу профили%LibraryLogsWhatsApp'
- 'C:Колдонуучулар%Колдонуучунун профили%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Колдонуучулар%Колдонуучу профили%LibraryApplication Scripts'
- 'C:Колдонуучулар%Колдонуучу профили%LibraryApplication SupportCloudDocs'
- 'C:Колдонуучулар%Колдонуучунун профили%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Колдонуучулар%Колдонуучунун профили%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C: Колдонуучулар% Колдонуучунун профили% Китепкана Мобилдик Документтери <тексттин өзгөрмөлүүлүгү> WhatsApp Каттоо эсептери'
Бул каталогдо WhatsApp аккаунтунун ээси менен байланышкан телефон номерлери болгон подкаталогдор бар. - 'C:Колдонуучулар%Колдонуучунун профили%LibraryCachesWhatsApp.ShipIt'
Бул каталог программаны орнотуу жөнүндө маалыматты камтыйт. - 'C:Колдонуучулар%Колдонуучунун профили%PicturesiPhoto Library.photolibraryMasters', 'C:Колдонуучулар%Колдонуучунун профили%PicturesiPhoto Library.photolibraryThumbnails'
Бул каталогдор программанын кызматтык файлдарын, анын ичинде WhatsApp байланыштарынын сүрөттөрүн жана эскиздерин камтыйт. - 'C:Колдонуучулар%Колдонуучу профили%LibraryCachesWhatsApp'
Бул каталог маалыматтарды кэштөө үчүн колдонулган бир нече SQLite маалымат базасын камтыйт. - 'C:Колдонуучулар%Колдонуучу профили%LibraryApplication SupportWhatsApp'
Бул каталог бир нече подкаталогдорду камтыйт:
Каталогдо 'C:Колдонуучулар%Колдонуучу профили%LibraryApplication SupportWhatsAppCache' файлдар бар 'data_0', 'data_1', 'data_2', 'data_3' жана аттары бар файлдар 'f_********' (бул жерде * - 0дөн 9га чейинки сан). Бул файлдарда кандай маалымат камтылганы жөнүндө маалымат алуу үчүн Windows'тагы WhatsApp Артефакттерин караңыз.Каталогдо 'C:Колдонуучулар%Колдонуучунун профили%LibraryApplication SupportWhatsAppIndexedDB' мультимедиалык файлдарды камтышы мүмкүн (файлдарда кеңейтүүлөр жок).
билэ 'main-process.log' WhatsApp программасынын иштеши тууралуу маалыматты камтыйт.
булактар
- Android смартфондорундагы WhatsApp мессенджеринин соттук анализи, Cosimo Anglano, 2014-ж.
- Whatsapp Криминалистика: Эксплораз системасы Берк жана маалыматтар негизинде Android жана iOS колдонмолору Ахмад Пратама, 2014-ж.
Бул сериядагы төмөнкү макалаларда:
Шифрленген WhatsApp маалымат базаларын чечмелөөБул макалада WhatsApp шифрлөө ачкычы кантип түзүлөт жана бул колдонмонун шифрленген маалымат базаларын кантип чечмелөө керектигин көрсөткөн практикалык мисалдар жөнүндө маалымат берилет.
Булут сактагычынан WhatsApp маалыматтарын алууБулуттарда кандай WhatsApp маалыматтары сакталаарын айтып бере турган макалада жана булут сактагычтарынан бул маалыматтарды алуу ыкмаларын сүрөттөп беребиз.
WhatsApp маалыматтарын алуу: Практикалык мисалдарЭтап-этабы менен кандай программаларды жана WhatsApp маалыматтарын ар кандай түзмөктөрдөн кантип чыгарууну сүрөттөгөн макала.
Source: www.habr.com