ProHoster > Blog > Internet Neiegkeeten > WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

Wann Dir wësse wëllt wéi eng Aarte vu WhatsApp forensesche Artefakte op verschiddene Betribssystemer existéieren a wou se genau kënne fonnt ginn, dann ass dëst d'Plaz fir Iech. Dësen Artikel ass vun engem Spezialist am Group-IB Computer Forensics Laboratory Igor Mikhailov fänkt eng Serie vu Posts iwwer WhatsApp Forensik un a wéi eng Informatioun kann aus der Analyse vum Apparat kritt ginn.

Loosst eis direkt bemierken datt verschidde Betribssystemer verschidden Aarte vu WhatsApp Artefakte späicheren, a wann e Fuerscher verschidden Aarte vu WhatsApp Daten aus engem Apparat extrahéiere kann, heescht dat net datt ähnlech Aarte vun Daten aus engem aneren Apparat extrahéiert kënne ginn. Zum Beispill, wann eng Systemunitéit déi Windows OS leeft geläscht gëtt, wäerte WhatsApp Chats wahrscheinlech net op sengen Disken fonnt ginn (mat Ausnam vu Backupkopien vun iOS Apparater, déi op deene selwechte Fuere fonnt ginn). D'Belagerung vu Laptops a mobilen Apparater wäert seng eege Charakteristiken hunn. Loosst eis iwwer dëst méi am Detail schwätzen.

WhatsApp Artefakte op Android Apparat

Fir WhatsApp Artefakte vun engem Android Apparat ze extrahieren, muss de Fuerscher Superuser Rechter hunn ('root') op den Apparat ënner der Untersuchung oder fäeg sinn soss e kierperlecht Erënnerungsdump vum Apparat ze extrahieren, oder säi Dateiesystem (zum Beispill mat Software Schwachstelle vun engem spezifesche mobilen Apparat).

Applikatiounsdateien sinn an der Erënnerung vum Telefon an der Rubrik an där d'Benotzerdaten gespäichert sinn. Als Regel, ass dës Sektioun genannt 'Benotzerdaten'. Ënnerverzeechnes a Programmdateien sinn um Wee: '/data/data/com.whatsapp/'.

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
D'Haaptdateien déi WhatsApp forensesch Artefakte am Android OS enthalen sinn Datenbanken 'wa.db' и 'msgstore.db'.

An der Datebank 'wa.db' enthält déi komplett Kontaktlëscht vun engem WhatsApp Benotzer, inklusiv Telefonsnummer, Affichage Numm, Zäitstempel, an all aner Informatioun zur Verfügung gestallt beim Aschreiwung fir WhatsApp. Fichier 'wa.db' laanscht de Wee läit: '/data/data/com.whatsapp/databases/' an huet déi folgend Struktur:

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Déi interessantst Dëscher an der Datebank 'wa.db' fir de Fuerscher sinn:

  • 'wa_contacts'
    Dës Tabell enthält Kontaktinformatioun: WhatsApp Kontakt ID, Statusinformatioun, Benotzernumm, Zäitstempel, asw.

    Dësch Erscheinung:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
    Dësch Struktur

    Feld Numm Wäert
    _id Rekord Sequenznummer (an SQL Tabell)
    jidd WhatsApp Kontakt ID, geschriwwen am Format <Telefonsnummer>@s.whatsapp.net
    is_whatsapp_user enthält '1' wann de Kontakt engem aktuellen WhatsApp Benotzer entsprécht, soss '0'
    Status enthält den Text am Kontaktstatus ugewisen
    status_timestamp enthält en Zäitstempel am Unix Epoch Time (ms) Format
    Zuel Telefonsnummer verbonne mat dem Kontakt
    raw_contact_id Kontakt Serien Zuel
    Unzeigenumm Kontakt Affichage Numm
    phone_type Telefon Typ
    phone_label Label verbonne mat der Kontakt Zuel
    unseen_msg_count Zuel vu Messagen, déi vun engem Kontakt geschéckt goufen, awer net vum Empfänger gelies goufen
    foto_ts enthält en Zäitstempel am Unix Epoch Time Format
    thumb_ts enthält en Zäitstempel am Unix Epoch Time Format
    photo_id_timestamp enthält en Zäitstempel am Unix Epoch Time (ms) Format
    Virnumm Feldwäert entsprécht 'display_name' fir all Kontakt
    wa_numm WhatsApp Kontakt Numm (den Numm uginn am Profil vum Kontakt gëtt ugewisen)
    sort_name Kontakt Numm benotzt an Zort Operatiounen
    Spëtznumm de Spëtznumm vum Kontakt op WhatsApp (de Spëtznumm, deen am Profil vum Kontakt spezifizéiert gëtt, gëtt ugewisen)
    Firma Firma (d'Firma, déi am Profil vum Kontakt spezifizéiert gëtt, gëtt ugewisen)
    Titel Titel (Madame / Här; Titel konfiguréiert am Kontaktprofil gëtt ugewisen)
    versetzt Bias
  • 'sqlite_sequence'
    Dësen Dësch enthält Informatiounen iwwert d'Zuel vun de Kontakter;
  • 'android_metadaten'
    Dës Tabell enthält Informatiounen iwwer WhatsApp Sprooch Lokalisatioun.

An der Datebank 'msgstore.db' enthält Informatiounen iwwer geschéckt Messagen, wéi Kontaktnummer, Message Text, Message Status, Zäitstempel, Detailer vun transferéierte Fichieren abegraff an Messagen, etc. Fichier 'msgstore.db' laanscht de Wee läit: '/data/data/com.whatsapp/databases/' an huet déi folgend Struktur:

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Déi interessantst Dëscher am Fichier 'msgstore.db' fir de Fuerscher sinn:

  • 'sqlite_sequence'
    Dës Tabell enthält allgemeng Informatioun iwwer dës Datebank, wéi d'Gesamtzuel vun de gespäicherte Messagen, d'Gesamtzuel vun de Chats, etc.

    Dësch Erscheinung:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

  • 'message_fts_content'
    Enthält den Text vun geschéckt Messagen.

    Dësch Erscheinung:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

  • 'Messagen'
    Dësen Dësch enthält Informatiounen wéi Kontakt Zuel, Message Text, Message Status, Zäitstempel, Informatiounen iwwer transferéiert Fichieren abegraff an Messagen.

    Dësch Erscheinung:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
    Dësch Struktur

    Feld Numm Wäert
    _id Rekord Sequenznummer (an SQL Tabell)
    key_remote_jid WhatsApp ID vum Kommunikatiounspartner
    key_from_me Message Richtung: '0' - erakommen, '1' - erausginn
    key_id eenzegaarteg Message Identifizéierer
    Status Message Status: '0' - geliwwert, '4' - waart um Server, '5' - op Destinatioun kritt, '6' - Kontrollmeldung, '13' - Message opgemaach vum Empfänger (liesen)
    need_push huet de Wäert '2' wann et e Broadcast Message ass, soss enthält '0'
    Donnéeën Message Text (wann 'media_wa_type' Parameter '0' ass)
    Zäitstempel enthält en Zäitstempel am Unix Epoch Time (ms) Format, gëtt de Wäert vun der Apparat Auer geholl
    media_url enthält d'URL vun der transferéierter Datei (wann de 'media_wa_type' Parameter '1', '2', '3' ass)
    media_mime_type MIME-Typ vun der transferéierter Datei (wann de Parameter 'media_wa_type' gläich ass wéi '1', '2', '3')
    media_wa_type Message Typ: '0' - Text, '1' - Grafikdatei, '2' - Audiodatei, '3' - Videodatei, '4' - Kontaktkaart, '5' - Geodaten
    media_Gréisst Gréisst vun der transferéierter Datei (wann de 'media_wa_type' Parameter '1', '2', '3' ass)
    media_numm Numm vun der transferéierter Datei (wann de 'media_wa_type' Parameter '1', '2', '3' ass)
    media_caption Enthält d'Wierder 'Audio', 'Video' fir déi entspriechend Wäerter vum 'media_wa_type' Parameter (wann de 'media_wa_type' Parameter '1', '3' ass)
    media_hash base64 encoded Hash vun der iwwerdroener Datei, berechent mam HAS-256 Algorithmus (wann de 'media_wa_type' Parameter gläich ass wéi '1', '2', '3')
    media_duration Dauer a Sekonnen fir d'Mediendatei (wann 'media_wa_type' '1', '2', '3' ass)
    Urspronk huet de Wäert '2' wann et e Broadcast Message ass, soss enthält '0'
    Breedegrad Geodaten: Breedegrad (wann 'media_wa_type' Parameter '5' ass)
    Längt geodata: Längt (wann 'media_wa_type' Parameter '5' ass)
    thumb_bild Service Informatiounen
    remote_resource Sender ID (nëmme fir Gruppechats)
    receive_timestamp Zäit vun der Empfang, enthält en Zäitstempel am Unix Epoch Time (ms) Format, gëtt de Wäert vun der Apparat Auer geholl (wann de 'key_from_me' Parameter '0', '-1' oder anere Wäert huet)
    send_timestamp net benotzt, huet normalerweis de Wäert '-1'
    receipt_server_timestamp Zäit kritt vum zentrale Server, enthält en Zäitstempel am Unix Epoch Time (ms) Format, gëtt de Wäert vun der Apparat Auer geholl (wann de 'key_from_me' Parameter '1', '-1' oder anere Wäert huet
    receipt_device_timestamp Zäit wou de Message vun engem aneren Abonnent opgeholl gouf, enthält en Zäitstempel am Unix Epoch Time (ms) Format, gëtt de Wäert vun der Apparat Auer geholl (wann de 'key_from_me' Parameter '1', '-1' oder en anere Wäert huet
    read_device_timestamp Zäit vun der Ouverture (Liesen) de Message, enthält en Zäitstempel am Unix Epoch Time (ms) Format, de Wäert gëtt vun der Apparat Auer geholl
    gespillt_device_timestamp Message Playback Zäit, enthält en Zäitstempel am Unix Epoch Time (ms) Format, de Wäert gëtt vun der Apparat Auer geholl
    raw_daten Miniatur vun der transferéierter Datei (wann de 'media_wa_type' Parameter '1' oder '3' ass)
    Empfänger_count Unzuel vun Empfänger (fir Broadcast Messagen)
    participant_hash benotzt wann Messagen mat Geodaten iwwerdroen
    Stären net benotzt
    quoted_row_id onbekannt, enthält normalerweis de Wäert '0'
    ernimmt_jids net benotzt
    multicast_id net benotzt
    versetzt Bias

    Dës Lëscht vu Felder ass net ustrengend. Fir verschidde Versioune vu WhatsApp kënnen e puer Felder präsent sinn oder fehlen. Zousätzlech kënnen Felder präsent sinn 'media_enc_hash', 'edit_version', 'payment_transaction_id' an esou weider.

  • 'messages_thumbnails'
    Dësen Dësch enthält Informatiounen iwwer transferéiert Biller an Zäitstempel. An der Kolonn 'Zäitstempel' gëtt d'Zäit am Unix Epoch Time (ms) Format uginn.
  • 'chat_list'
    Dës Tabell enthält Informatiounen iwwer Chats.

    Dësch Erscheinung:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

Och wann Dir WhatsApp op engem mobilen Apparat mat Android ënnersicht, sollt Dir op déi folgend Dateien oppassen:

  • Fichier 'msgstore.db.cryptXX' (wou XX een oder zwee Ziffere vun 0 bis 12 ass, zum Beispill, msgstore.db.crypt12). Enthält e verschlësselte Backup vu WhatsApp Messagen (Backupdatei msgstore.db). Datei(en) 'msgstore.db.cryptXX' laanscht de Wee läit: '/data/media/0/WhatsApp/Databases/' (virtuell SD Kaart), '/mnt/sdcard/WhatsApp/Databases/ (physesch SD Kaart)'.
  • Fichier 'Schlëssel'. Enthält e kryptographesche Schlëssel. Läit laanscht de Wee: '/data/data/com.whatsapp/files/'. Benotzt fir verschlësselte WhatsApp Backups ze entschlësselen.
  • Fichier 'com.whatsapp_preferences.xml'. Enthält Informatiounen iwwer Äre WhatsApp Kont Profil. De Fichier läit laanscht de Wee: '/data/data/com.whatsapp/shared_prefs/'.

    Datei Inhalt Fragment

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • Fichier 'registration.RegisterPhone.xml'. Enthält Informatiounen iwwer d'Telefonsnummer verbonne mat dem WhatsApp Kont. De Fichier läit laanscht de Wee: '/data/data/com.whatsapp/shared_prefs/'.

    Datei Inhalt 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • Fichier 'axolotl.db'. Enthält kryptografesch Schlësselen an aner Donnéeën déi néideg sinn fir de Besëtzer vum Kont z'identifizéieren. Läit laanscht de Wee: '/data/data/com.whatsapp/databases/'.
  • Fichier 'chatsettings.db'. Enthält Applikatioun Configuratioun Informatiounen.
  • Fichier 'wa.db'. Enthält Kontakt Detailer. Eng ganz interessant (aus engem forenseschen Aspekt) an informativ Datebank. Et kann detailléiert Informatiounen iwwer geläscht Kontakter enthalen.

Dir musst och op déi folgend Verzeichnisser oppassen:

  • directory '/data/media/0/WhatsApp/Media/WhatsApp Biller/'. Enthält iwwerdroe Grafikdateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Enthält Stëmm Messagen an .OPUS Format Fichieren.
  • directory '/data/data/com.whatsapp/cache/Profile Pictures/'. Enthält Grafikdateien - Biller vu Kontakter.
  • directory '/data/data/com.whatsapp/files/Avatars/'. Enthält Grafikdateien - Miniaturbiller vu Kontakter. Dës Dateien hunn eng '.j' Extensioun awer sinn awer JPEG (JPG) Bilddateien.
  • directory '/data/data/com.whatsapp/files/Avatars/'. Enthält grafesch Dateien - e Bild an eng Miniatur vum Bild als Avatar vum Kontbesëtzer gesat.
  • directory '/data/data/com.whatsapp/files/Logs/'. Enthält de Programmoperatiounsprotokoll (Datei 'whatsapp.log') a Backupkopien vu Programmoperatiounsprotokoller (Dateien mat Nimm am Format whatsapp-yyyy-mm-dd.1.log.gz).

WhatsApp Log Dateien:

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Journal Fragment2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/update annuléieren richteg
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] Passwuertdatei fehlt oder onliesbar
2017-01-10 09:37:09.782 LL_I D [1:main] Statistiken Text Messagen: 59 geschéckt, 82 kritt / Media Messagen: 1 geschéckt (0 Bytes), 0 Empfang (9850158 Bytes) / Offline Messagen: 81 Empfang ( 19522 msec Duerchschnëttsverzögerung) / Message Service: 116075 Bytes geschéckt, 211729 Bytes empfaangen / Voip Uriff: 1 erausginn Uriff, 0 Entréeën Uriff, 2492 Bytes geschéckt, 1530 Bytes empfaangen / Google Drive: 0 Bytes geschéckt, 0 Bytes kritt / 1524 Roaming: Bytes geschéckt, 1826 Bytes kritt / Total Daten: 118567 Bytes geschéckt, 10063417 Bytes kritt
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | Zäit verbréngt: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/intern-storage available:1,345,622,016 total:5,687,922,688

  • directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Enthält déi kritt Audiodateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Enthält geschéckt Audiodateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Biller/'. Enthält déi resultéierend Grafikdateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Biller/Sent/'. Enthält geschéckt Grafikdateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Enthält kritt Videodateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Enthält geschéckt Videodateien.
  • directory '/data/media/0/WhatsApp/Media/WhatsApp Profilfotoen/'. Enthält Grafikdateien, déi mam Besëtzer vum WhatsApp Kont verbonne sinn.
  • Fir Erënnerungsplaz op Ärem Android Smartphone ze spueren, kënnen e puer WhatsApp Daten op enger SD Kaart gespäichert ginn. Op der SD Kaart, am Root Verzeichnis, gëtt et e Verzeechnes 'WhatsApp', wou déi folgend Artefakte vun dësem Programm kënne fonnt ginn:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

  • directory '.deelen' ('/mnt/sdcard/WhatsApp/.Share/'). Enthält Kopie vun Dateien déi mat anere WhatsApp Benotzer gedeelt goufen.
  • directory '.Trash' ('/mnt/sdcard/WhatsApp/.trash/'). Enthält geläscht Dateien.
  • directory 'Datebasen' ('/mnt/sdcard/WhatsApp/Databases/'). Enthält verschlësselte Backups. Si kënnen entschlësselt ginn wann d'Datei präsent ass 'Schlëssel', extrahéiert aus der Erënnerung vum analyséierten Apparat.

    Dateien an engem Ënnerverzeechnes 'Datebasen':

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?

  • directory 'Halschent' ('/mnt/sdcard/WhatsApp/Media/'). Enthält Ënnerverzeechnes 'Wallpaper', 'WhatsApp Audio', 'WhatsApp Biller', 'WhatsApp Profilfotoen', 'WhatsApp Video', 'WhatsApp Voice Notes', déi kritt an iwwerdroe Multimedia Dateien enthalen (Grafikdateien, Videodateien, Stëmmmeldungen, Fotoen verbonne mat dem Profil vum WhatsApp Kont Besëtzer, Tapeten).
  • directory 'Profil Biller' ('/mnt/sdcard/WhatsApp/Profile Biller/'). Enthält Grafikdateien, déi mam Profil vum WhatsApp Kont Besëtzer verbonne sinn.
  • Heiansdo kann et e Verzeechnes op der SD Kaart sinn 'Dateien' ('/mnt/sdcard/WhatsApp/Files/'). Dëse Verzeechnes enthält Dateien déi Programmastellungen a Benotzervirléiften späicheren.

Fonctiounen vun Daten Stockage an e puer Modeller vun mobilen Apparater

E puer Modeller vu mobilen Apparater mat Android OS kënnen WhatsApp Artefakte op enger anerer Plaz späicheren. Dëst ass wéinst Ännerungen am Späicherplatz vun Uwendungsdaten vun der Systemsoftware vum mobilen Apparat. Zum Beispill, Xiaomi mobilen Apparater hunn eng Funktioun fir en zweeten Aarbechtsberäich ze kreéieren ("SecondSpace"). Wann dës Funktioun aktivéiert ass, ännert d'Plaz vun den Donnéeën. Also, wann an engem normale mobilen Apparat Lafen Android OS Benotzer Daten am Verzeechnes gespäichert '/data/user/0/' (wat eng Referenz op déi üblech ass '/Daten/Daten/'), dann am zweeten Aarbechtsberäich Applikatioun Daten am Verzeechnes gespäichert '/data/user/10/'. Dat ass, d'Beispill vun der Dateiplaz ze benotzen 'wa.db':

  • an engem normale Smartphone mat Android OS: /data/user/0/com.whatsapp/databases/wa.db' (wat gläichwäerteg ass '/data/data/com.whatsapp/databases/wa.db');
  • am zweeten Aarbechtsberäich vum Xiaomi Smartphone: '/data/user/10/com.whatsapp/databases/wa.db'.

WhatsApp Artefakte am iOS Apparat

Am Géigesaz zu Android OS, an iOS WhatsApp Applikatioun Daten ginn op eng Backupsatellit (iTunes Backup) transferéiert. Dofir erfuerdert d'Extraktioun vun Daten aus dëser Applikatioun net de Dateiesystem extrahéieren oder e physikalesche Gedächtnisdump vum Apparat dat ënnersicht gëtt. Déi meescht relevant Informatioun ass an der Datebank enthale 'ChatStorage.sqlite', déi laanscht de Wee läit: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (a verschiddene Programmer erschéngt dëse Wee als 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Struktur 'ChatStorage.sqlite':

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Déi informativst Dëscher an der 'ChatStorage.sqlite' Datebank sinn 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Dësch Erscheinung 'ZWAMESSAGE':

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Struktur vun der Tabell 'ZWAMESSAGE'

Feld Numm Wäert
Z_PK Rekord Sequenznummer (an SQL Tabell)
Z_ENT Dësch Identifizéierer, huet de Wäert '9'
Z_OPT onbekannt, enthält normalerweis Wäerter vun '1' bis '6'
ZCHILDMESSAGESDELIVEREDCOUNT onbekannt, enthält normalerweis de Wäert '0'
ZCHILDMESSAGESPLAYEDCOUNT onbekannt, enthält normalerweis de Wäert '0'
ZCHILDMESSAGESREADCOUNT onbekannt, enthält normalerweis de Wäert '0'
ZDATAITEMVERSION onbekannt, enthält normalerweis de Wäert '3', wahrscheinlech en SMS-Indikator
ZDOCID ass onbekannt
ZENCRETRYCOUNT onbekannt, enthält normalerweis de Wäert '0'
ZFILTEREDRECIPIENTCOUNT onbekannt, enthält normalerweis d'Wäerter '0', '2', '256'
ZISFROMME Message Richtung: '0' - erakommen, '1' - erausginn
ZMESSAGEERRORSTATUS Message Transmissioun Status. Wann de Message geschéckt/empfaang ass, dann huet et de Wäert '0'
ZMESSAGETYPE Aart vu Message dat iwwerdroe gëtt
ZSORT ass onbekannt
ZSPOTLIGHSTATUS ass onbekannt
ZSTARRED onbekannt, net benotzt
ZCHATSESSION ass onbekannt
ZGROUPMEMBER onbekannt, net benotzt
ZLASTSESSION ass onbekannt
ZMEDIAITEM ass onbekannt
ZMESSAGEINFO ass onbekannt
ZPARENTMESSAGE onbekannt, net benotzt
ZMESSAGEDATE Zäitstempel am OS X Epoch Time Format
ZSENTDATE Zäit wou de Message am OS X Epoch Time Format geschéckt gouf
ZFROMJID WhatsApp Sender ID
ZMEDIASECTIONID enthält d'Joer an de Mount wou d'Mediendatei geschéckt gouf
ZPHASH onbekannt, net benotzt
ZPUSHPAME Numm vum Kontakt deen d'Mediendatei am UTF-8 Format geschéckt huet
ZSTANZID eenzegaarteg Message Identifizéierer
ZTEXT Message Text
ZTOJID WhatsApp ID vum Empfänger
OFFSET Bias

Dësch Erscheinung 'ZWAMEDIAITEM':

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Struktur vun der Tabell 'ZWAMEDIAITEM'

Feld Numm Wäert
Z_PK Rekord Sequenznummer (an SQL Tabell)
Z_ENT Dësch Identifizéierer, huet de Wäert '8'
Z_OPT onbekannt, enthält normalerweis Wäerter vun '1' bis '3'.
ZCLOUDSTATUS enthält de Wäert '4' wann d'Datei gelueden ass.
ZFILESIZE enthält d'Dateilängt (a Bytes) fir erofgeluede Dateien
ZMEDIAORIGIN onbekannt, huet normalerweis de Wäert '0'
ZMOVIEDURATION Dauer vun der Mediendatei, fir pdf Dateien kënnen d'Zuel vun de Säiten vum Dokument enthalen
ZMESSAGE enthält eng Seriennummer (d'Zuel ass anescht wéi déi an der Kolonn 'Z_PK' uginn)
ZASPECTRATIO Aspekt Verhältnis, net benotzt, normalerweis op '0' gesat
ZHACCURACY onbekannt, huet normalerweis de Wäert '0'
ZLATTITUDE Breet an Pixel
ZLONGTITUDE Héicht an Pixel
ZMEDIAURLDATE Zäitstempel am OS X Epoch Time Format
ZAUTHORNAME Auteur (fir Dokumenter, kann den Dateinumm enthalen)
ZCOLLECTIONNAME net benotzt
ZMEDIALOCALPATH Dateinumm (inklusive Wee) am Apparat Dateisystem
ZMEDIAURL D'URL wou d'Mediendatei läit. Wann e Fichier vun engem Abonnent op en aneren transferéiert gouf, gouf se verschlësselt a seng Extensioun gëtt als Extensioun vun der transferéierter Datei uginn - .enc
ZTHUMBNAILLOCALPATH Wee op d'Datei Miniatur am Apparat Dateisystem
ZTITLE Datei Header
ZVCARDNAME Hash vun der Mediendatei; wann Dir d'Datei an eng Grupp transferéiert, kann et de Sender Identifizéierer enthalen
ZVCARD STRING enthält Informatiounen iwwer d'Aart vun der Datei déi transferéiert gëtt (zum Beispill Bild / jpeg); wann Dir e Fichier an eng Grupp transferéiert, kann et den Identifizéierer vum Empfänger enthalen
ZXMPPTHUMBPATH Wee op d'Datei Miniatur am Apparat Dateisystem
ZMEDIAKEY onbekannt, enthält wahrscheinlech de Schlëssel fir déi verschlësselte Datei ze entschlësselen.
ZMETADATA Metadaten vum iwwerdroene Message
Offset Bias

Aner interessant Datebank Dëscher 'ChatStorage.sqlite' sinn:

  • 'ZWAPROFILEPUSHNAME'. Passt WhatsApp ID mam Kontaktnumm;
  • 'ZWAPROFILEPICTUREITEM'. Passt WhatsApp ID mat Kontakt Avatar;
  • 'Z_PRIMARYKEY'. D'Tabell enthält allgemeng Informatioun iwwer dës Datebank, wéi d'Gesamtzuel vun de gespäicherten Messagen, d'Gesamtzuel vun de Chats, asw.

Och wann Dir WhatsApp op engem mobilen Apparat mat iOS ënnersicht, sollt Dir op déi folgend Dateien oppassen:

  • Fichier 'BackedUpKeyValue.sqlite'. Enthält kryptografesch Schlësselen an aner Donnéeën déi néideg sinn fir de Besëtzer vum Kont z'identifizéieren. Läit laanscht de Wee: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Fichier 'ContactsV2.sqlite'. Enthält Informatioun iwwer d'Kontakter vum Benotzer, sou wéi vollen Numm, Telefonsnummer, Kontaktstatus (am Textform), WhatsApp ID, etc. Läit laanscht de Wee: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Fichier 'consumer_version'. Enthält d'Versiounsnummer vun der installéierter WhatsApp Applikatioun. Läit laanscht de Wee: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Fichier 'current_wallpaper.jpg'. Enthält déi aktuell WhatsApp Hannergrond Wallpaper. Läit laanscht de Wee: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Eeler Versioune vun der Applikatioun benotzen d'Datei 'wallpaper', déi laanscht de Wee läit: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • Fichier 'blockedcontacts.dat'. Enthält Informatiounen iwwer blockéiert Kontakter. Läit laanscht de Wee: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • Fichier 'pw.dat'. Enthält e verschlësselte Passwuert. Läit laanscht de Wee: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • Fichier 'net.whatsapp.WhatsApp.plist' (oder Datei 'group.net.whatsapp.WhatsApp.shared.plist'). Enthält Informatiounen iwwer Äre WhatsApp Kont Profil. De Fichier läit laanscht de Wee: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Inhalt vun der Datei 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Dir musst och op déi folgend Verzeichnisser oppassen:

  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Enthält Thumbnails vu Kontakter, Gruppen (Dateien mat der Extensioun .Daumen), Kontakt Avataren, WhatsApp Kont Besëtzer Avatar (Datei 'Photo.jpg').
  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Enthält Multimedia Dateien an hir Thumbnails
  • directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Enthält de Programmoperatiounsprotokoll (Datei 'calls.log') a Backupkopien vu Programmoperatiounsprotokoller (Datei 'calls.backup.log').
  • directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Enthält Stickeren (Dateien am Format '.webp').
  • directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Enthält Programm Operatioun Logbicher.

WhatsApp Artefakte op Windows

WhatsApp Artefakte op Windows kënnen op verschiddene Plazen fonnt ginn. Als éischt sinn dës Verzeichnisser mat ausführbaren an Hëllefsprogrammdateien (fir Windows 8/10):

  • 'C:Programmdateien (x86)WhatsApp'
  • 'C:Users%User profile% AppDataLocalWhatsApp'
  • 'C:Users%User profile% AppDataLocalVirtualStore Programmdateien (x86)WhatsApp'

Am Katalog 'C:Users%User profile% AppDataLocalWhatsApp' de Log Datei läit 'SquirrelSetup.log', déi Informatiounen iwwer d'Sich no Updates an d'Installatioun vum Programm enthält.

Am Katalog 'C:Users%User profile% AppDataRoamingWhatsApp' Et gi verschidde Ënnerverzeechnes:

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Fichier 'main-process.log' enthält Informatiounen iwwer d'Operatioun vum WhatsApp Programm.

Ënnerverzeechnes 'Datenbanken' enthält eng Datei 'Databases.db', awer dëse Fichier enthält keng Informatioun iwwer Chats oder Kontakter.

Déi interessantst aus enger forensescher Siicht sinn d'Dateien, déi am Verzeechnes sinn 'Cache'. Dëst si meeschtens Dateien genannt 'f*******' (wou * eng Zuel vun 0 bis 9 ass) mat verschlësselte Multimedia Dateien an Dokumenter, awer et ginn och onverschlësselte Dateien dorënner. Besonnesch interessant sinn d'Dateien 'Daten_0', 'Daten_1', 'Daten_2', 'Daten_3', läit am selwechten Ënnerverzeechnes. Fichieren 'Daten_0', 'Daten_1', 'Daten_3' enthalen extern Linken op iwwerdroe verschlësselte Multimedia Dateien an Dokumenter.

Beispill vun Informatioun am Fichier 'data_1'WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Och Fichier 'Daten_3' kann Grafikdateien enthalen.

Fichier 'Daten_2' enthält Kontakt Avataren (kann restauréiert ginn andeems Dir duerch Dateiheader sicht).

Avataren an der Datei enthalen 'Daten_2':

WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
Also kënnen d'Chats selwer net am Computer Erënnerung fonnt ginn, awer Dir kënnt fannen:

  • Multimedia Dateien;
  • Dokumenter iwwer WhatsApp iwwerdroen;
  • Informatiounen iwwert d'Kontakter vum Kont Besëtzer.

WhatsApp Artefakte op MacOS

A MacOS kënnt Dir Aarte vu WhatsApp Artefakte fannen ähnlech wéi déi, déi am Windows OS fonnt ginn.

D'Programmdateien sinn an de folgende Verzeichnisser:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Users%Benotzerprofil%LibraryPreferences'
  • 'C:Users%Benotzerprofil%LibraryLogsWhatsApp'
  • 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
  • 'C:Users%User profile%LibraryApplication Scripts'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%User profile% Library Mobile Documents <textvariabel> WhatsApp Accounts'
    Dëse Verzeechnes enthält Ënnerverzeechnungen deenen hir Nimm Telefonsnummeren sinn, déi mam Besëtzer vum WhatsApp Kont verbonne sinn.
  • 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
    Dëse Verzeechnes enthält Informatiounen iwwer d'Installatioun vum Programm.
  • 'C:Users%Benotzerprofil%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
    Dës Verzeechnes enthalen Servicedateien vum Programm, dorënner Fotoen a Miniaturbiller vu WhatsApp Kontakter.
  • 'C:Users%Benotzerprofil%LibraryCachesWhatsApp'
    Dëse Verzeechnes enthält verschidde SQLite-Datebanken, déi fir Datekaching benotzt ginn.
  • 'C:Users%Benotzerprofil%LibraryApplication SupportWhatsApp'
    Dëse Verzeechnes enthält e puer Ënnerverzeechnes:

    WhatsApp an der Handfläch: wou a wéi fannt Dir forensesch Artefakte?
    Am Katalog 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' et gi Fichieren 'Daten_0', 'Daten_1', 'Daten_2', 'Daten_3' an Dateie mat Nimm 'f*******' (wou * eng Zuel vun 0 bis 9 ass). Fir Informatiounen iwwer wéi eng Informatioun dës Dateien enthalen, kuckt WhatsApp Artifacts op Windows.

    Am Katalog 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' kënnen Multimedia Dateien enthalen (Dateien hu keng Extensiounen).

    Fichier 'main-process.log' enthält Informatiounen iwwer d'Operatioun vum WhatsApp Programm.

Quellen vun Informatiounen

  1. Forensesch Analyse vu WhatsApp Messenger op Android Smartphones, vum Cosimo Anglano, 2014.
  2. Whatsapp Forensics: D'Exploratioun vum System baséiert op Basisdaten op Android an iOS vum Ahmad Pratama, 2014.

An de folgenden Artikelen an dëser Serie:

Entschlësselung vu verschlësselte WhatsApp DatenbankenEn Artikel deen Informatioun gëtt iwwer wéi de WhatsApp Verschlësselungsschlëssel generéiert gëtt a praktesch Beispiller déi weisen wéi een déi verschlësselte Datenbanken vun dëser Applikatioun entschlësselt.
Extrait WhatsApp Daten aus Cloud StorageEn Artikel an deem mir Iech soen wat WhatsApp Daten an de Wolleke gespäichert sinn a Methoden beschreiwen fir dës Donnéeën aus Cloud Storage ze recuperéieren.
WhatsApp Dateextraktioun: Praktesch BeispillerEn Artikel dee Schrëtt fir Schrëtt beschreift wéi eng Programmer a wéi WhatsApp Daten aus verschiddenen Apparater extrahéiert ginn.

Source: will.com

Setzt e Commentaire