ProHoster > Dienoraštis > interneto naujienos > „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

Jei norite sužinoti, kokių tipų WhatsApp kriminalistikos artefaktai egzistuoja skirtingose ​​operacinėse sistemose ir kur tiksliai juos galima rasti, tai vieta jums. Šis straipsnis yra iš Group-IB Computer Forensics Laboratory specialisto Igoris Michailovas pradeda seriją įrašų apie WhatsApp kriminalistiką ir kokią informaciją galima gauti išanalizavus įrenginį.

Iš karto atkreipkime dėmesį, kad skirtingose ​​operacinėse sistemose saugomi skirtingų tipų WhatsApp artefaktai, ir jei tyrėjas gali išgauti tam tikro tipo WhatsApp duomenis iš vieno įrenginio, tai nereiškia, kad panašaus tipo duomenis galima išgauti iš kito įrenginio. Pavyzdžiui, pašalinus sistemos bloką, kuriame veikia „Windows“ OS, „WhatsApp“ pokalbiai greičiausiai nebus rasti jo diskuose (išskyrus atsargines „iOS“ įrenginių kopijas, kurias galima rasti tuose pačiuose diskuose). Nešiojamųjų kompiuterių ir mobiliųjų įrenginių konfiskavimas turės savo ypatybes. Pakalbėkime apie tai išsamiau.

„WhatsApp“ artefaktai „Android“ įrenginyje

Norint išgauti „WhatsApp“ artefaktus iš „Android“ įrenginio, tyrėjas turi turėti supervartotojo teises („šaknis“).

Programų failai yra telefono atmintyje, skiltyje, kurioje saugomi vartotojo duomenys. Paprastai šis skyrius yra pavadintas 'vartotojo duomenys'. Pakatalogiai ir programų failai yra kelyje: '/data/data/com.whatsapp/'.

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Pagrindiniai failai, kuriuose yra „WhatsApp“ kriminalistinių artefaktų „Android“ OS, yra duomenų bazės „wa.db“ и 'msgstore.db'.

Duomenų bazėje „wa.db“ yra visas „WhatsApp“ vartotojo kontaktų sąrašas, įskaitant telefono numerį, rodomą vardą, laiko žymes ir bet kokią kitą informaciją, pateiktą registruojantis „WhatsApp“. Failas „wa.db“ esantis palei taką: „/data/data/com.whatsapp/databases/“ ir turi tokią struktūrą:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Įdomiausios lentelės duomenų bazėje „wa.db“ tyrėjui yra:

  • 'wa_contacts'
    Šioje lentelėje yra kontaktinė informacija: WhatsApp kontakto ID, būsenos informacija, vartotojo rodomas vardas, laiko žymos ir kt.

    Stalo išvaizda:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
    Lentelės struktūra

    Lauko pavadinimas Vertė
    _id įrašo eilės numeris (SQL lentelėje)
    jid WhatsApp kontaktinis ID, parašytas formatu <telefono numeris>@s.whatsapp.net
    yra_whatsapp_user yra „1“, jei kontaktas atitinka tikrąjį „WhatsApp“ vartotoją, o kitu atveju „0“.
    statusas yra tekstas, rodomas kontakto būsenoje
    status_timestamp yra laiko žyma Unix Epoch Time (ms) formatu
    skaičius telefono numeris, susietas su kontaktu
    raw_contact_id kontaktinis serijos numeris
    DISPLAY_NAME kontakto rodomas vardas
    telefono_tipas telefono tipas
    telefono_etiketė etiketė, susieta su kontaktiniu numeriu
    unseen_msg_count žinučių, kurias išsiuntė kontaktas, bet kurių gavėjas neperskaitė, skaičius
    foto_ts yra laiko žyma Unix Epoch Time formatu
    thumb_ts yra laiko žyma Unix Epoch Time formatu
    photo_id_timestamp yra laiko žyma Unix Epoch Time (ms) formatu
    duotas vardas lauko reikšmė atitinka kiekvieno kontakto „display_name“.
    wa_name WhatsApp kontakto vardas (rodomas kontakto profilyje nurodytas vardas)
    Rūšiuoti_pavadinimas rūšiavimo operacijose naudojamas kontaktinis vardas
    pravardė kontakto slapyvardis „WhatsApp“ (rodomas kontakto profilyje nurodytas slapyvardis)
    įmonė įmonė (rodoma kontakto profilyje nurodyta įmonė)
    pavadinimas titulas (ponia / ponas; rodomas kontakto profilyje sukonfigūruotas vardas)
    kompensuoti šališkumas
  • 'sqlite_sequence'
    Šioje lentelėje pateikiama informacija apie kontaktų skaičių;
  • „android_metadata“
    Šioje lentelėje pateikiama informacija apie „WhatsApp“ kalbos lokalizaciją.

Duomenų bazėje 'msgstore.db' yra informacija apie išsiųstas žinutes, pvz., kontaktinis numeris, žinutės tekstas, pranešimo būsena, laiko žymos, informacija apie perkeltus failus, įtrauktus į pranešimus, ir kt. Failas 'msgstore.db' esantis palei taką: „/data/data/com.whatsapp/databases/“ ir turi tokią struktūrą:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Įdomiausios failo lentelės 'msgstore.db' tyrėjui yra:

  • 'sqlite_sequence'
    Šioje lentelėje pateikiama bendra informacija apie šią duomenų bazę, pvz., bendras saugomų pranešimų skaičius, bendras pokalbių skaičius ir kt.

    Stalo išvaizda:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

  • 'message_fts_content'
    Jame yra išsiųstų pranešimų tekstas.

    Stalo išvaizda:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

  • "žinutės"
    Šioje lentelėje pateikiama tokia informacija kaip kontaktinis numeris, pranešimo tekstas, pranešimo būsena, laiko žymos, informacija apie perkeltus failus, įtrauktus į pranešimus.

    Stalo išvaizda:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
    Lentelės struktūra

    Lauko pavadinimas Vertė
    _id įrašo eilės numeris (SQL lentelėje)
    key_remote_jid Ryšio partnerio „WhatsApp“ ID
    key_from_me pranešimo kryptis: „0“ – gaunamas, „1“ – išeinantis
    rakto_id unikalus pranešimo identifikatorius
    statusas pranešimo būsena: „0“ – pristatyta, „4“ – laukiama serveryje, „5“ – gauta paskirties vietoje, „6“ – kontrolinis pranešimas, „13“ – gavėjo atidarytas pranešimas (skaitytas)
    reikia_stumti turi reikšmę „2“, jei tai yra transliuojamas pranešimas, kitu atveju yra „0“
    duomenys pranešimo tekstas (kai „media_wa_type“ parametras yra „0“)
    timestamp yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio
    media_url yra perkelto failo URL (kai parametras „media_wa_type“ yra „1“, „2“, „3“)
    media_mime_type Perkelto failo MIME tipas (kai parametras „media_wa_type“ yra lygus „1“, „2“, „3“)
    media_wa_type pranešimo tipas: „0“ – tekstas, „1“ – grafinis failas, „2“ – garso failas, „3“ – vaizdo failas, „4“ – kontaktinė kortelė, „5“ – geografiniai duomenys
    medijos_dydis perkelto failo dydis (kai parametras „media_wa_type“ yra „1“, „2“, „3“)
    medijos_pavadinimas perkelto failo pavadinimas (kai parametras „media_wa_type“ yra „1“, „2“, „3“)
    media_caption Jame yra žodžiai „garsas“, „vaizdo įrašas“, atitinkantys parametro „media_wa_type“ reikšmes (kai parametras „media_wa_type“ yra „1“, „3“)
    media_hash Base64 užkoduota persiųsto failo maiša, apskaičiuota naudojant HAS-256 algoritmą (kai parametras „media_wa_type“ yra lygus „1“, „2“, „3“)
    media_duration medijos failo trukmė sekundėmis (kai „media_wa_type“ yra „1“, „2“, „3“)
    kilmė turi reikšmę „2“, jei tai yra transliuojamas pranešimas, kitu atveju yra „0“
    platuma geoduomenys: platuma (kai „media_wa_type“ parametras yra „5“)
    ilguma geoduomenys: ilguma (kai „media_wa_type“ parametras yra „5“)
    nykščio_vaizdas paslaugų informacija
    nuotolinis_resursas Siuntėjo ID (tik grupiniams pokalbiams)
    Gauta_laiko žyma gavimo laikas, yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio (kai parametre „key_from_me“ yra „0“, „-1“ ar kita reikšmė)
    send_timestamp nenaudojamas, paprastai turi reikšmę „-1“
    kvito_serverio_laiko žyma laikas, kurį gauna centrinis serveris, yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio (kai parametre „key_from_me“ yra „1“, „-1“ ar kita reikšmė
    kvito_įrenginio_laiko žyma laikas, kai pranešimą gavo kitas abonentas, yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio (kai parametre „key_from_me“ yra „1“, „-1“ ar kita reikšmė
    read_device_timestamp pranešimo atidarymo (skaitymo) laikas, yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio
    play_device_timestamp pranešimo atkūrimo laikas, yra laiko žyma Unix Epoch Time (ms) formatu, reikšmė paimama iš įrenginio laikrodžio
    Neapdoroti duomenys perkelto failo miniatiūra (kai parametras „media_wa_type“ yra „1“ arba „3“)
    gavėjų_skaičius gavėjų skaičius (transliuojamų pranešimų atveju)
    dalyvis_hash naudojamas perduodant pranešimus su geoduomenimis
    išrinktieji nenaudojamas
    citatos_eilutės_id nežinoma, paprastai yra reikšmė "0"
    minimi_džidai nenaudojamas
    multicast_id nenaudojamas
    kompensuoti šališkumas

    Šis laukų sąrašas nėra baigtinis. Skirtingose ​​WhatsApp versijose kai kurie laukai gali būti arba jų nebūti. Be to, gali būti laukų „media_enc_hash“, 'redaguoti_versiją', 'payment_transaction_id' ir tt

  • 'messages_thumbnails'
    Šioje lentelėje pateikiama informacija apie perkeltus vaizdus ir laiko žymas. Stulpelyje „Laiko žyma“ laikas nurodomas Unix Epoch Time (ms) formatu.
  • 'chat_list'
    Šioje lentelėje pateikiama informacija apie pokalbius.

    Stalo išvaizda:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

Be to, nagrinėdami „WhatsApp“ mobiliajame įrenginyje, kuriame veikia „Android“, turėtumėte atkreipti dėmesį į šiuos failus:

  • byla „msgstore.db.cryptXX“ (kur XX yra vienas arba du skaitmenys nuo 0 iki 12, pavyzdžiui, msgstore.db.crypt12). Yra šifruota „WhatsApp“ pranešimų atsarginė kopija (atsarginės kopijos failas msgstore.db). Failas (-ai) „msgstore.db.cryptXX“ esantis palei taką: „/data/media/0/WhatsApp/Databases/“ (virtuali SD kortelė), '/mnt/sdcard/WhatsApp/Databases/ (fizinė SD kortelė)“.
  • byla 'Raktas'. Yra kriptografinis raktas. Įsikūręs palei taką: „/data/data/com.whatsapp/files/“. Naudojamas šifruotų WhatsApp atsarginių kopijų iššifravimui.
  • byla „com.whatsapp_preferences.xml“. Pateikiama informacija apie jūsų „WhatsApp“ paskyros profilį. Failas yra palei kelią: „/data/data/com.whatsapp/shared_prefs/“.

    Failo turinio fragmentas

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • byla 'registration.RegisterPhone.xml'. Pateikiama informacija apie telefono numerį, susietą su WhatsApp paskyra. Failas yra palei kelią: „/data/data/com.whatsapp/shared_prefs/“.

    Failo turinys 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • byla „axolotl.db“. Jame yra kriptografiniai raktai ir kiti duomenys, reikalingi paskyros savininkui identifikuoti. Įsikūręs palei taką: „/data/data/com.whatsapp/databases/“.
  • byla 'chatsettings.db'. Yra programos konfigūracijos informacija.
  • byla „wa.db“. Yra kontaktiniai duomenys. Labai įdomi (kriminalistikos požiūriu) ir informatyvi duomenų bazė. Jame gali būti išsami informacija apie ištrintus kontaktus.

Taip pat turite atkreipti dėmesį į šiuos katalogus:

  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Images/“. Yra perkelti grafiniai failai.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/“. Yra balso pranešimai .OPUS formato failais.
  • katalogas „/data/data/com.whatsapp/cache/Profile Pictures/“. Sudėtyje yra grafinių failų – kontaktų vaizdų.
  • katalogas „/data/data/com.whatsapp/files/Avatars/“. Sudėtyje yra grafinių failų – kontaktų miniatiūrų. Šie failai turi „.j“ plėtinį, tačiau vis tiek yra JPEG (JPG) vaizdo failai.
  • katalogas „/data/data/com.whatsapp/files/Avatars/“. Yra grafiniai failai – vaizdas ir vaizdo miniatiūra, kurią paskyros savininkas nustatė kaip avatarą.
  • katalogas „/data/data/com.whatsapp/files/Logs/“. Yra programos operacijų žurnalas (failas „whatsapp.log“) ir atsarginės programos operacijų žurnalų kopijos (failai, kurių pavadinimai yra formatu whatsapp-yyyy-mm-dd.1.log.gz).

WhatsApp žurnalo failai:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Žurnalo fragmentas2017-01-10 09:37:09.757 LL_I D [524: WhatsApp Worker #1] praleistas skambučio pranešimas/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524: WhatsApp Worker #1] praleistas skambutis / atnaujinimas atšaukti tiesa
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] slaptažodžio failo trūksta arba jis neįskaitomas
2017-01-10 09:37:09.782 LL_I D [1:pagrindinė] statistika Teksto žinutės: 59 išsiųstos, 82 gautos / Žiniasklaidos pranešimai: 1 išsiųstas (0 baitų), 0 gautas (9850158 baitai) / neprisijungus pranešimai: gautas 81 ( 19522 msek vidutinė delsa) / Pranešimų paslauga: išsiųsta 116075 baitai, gauta 211729 baitai / VoIP skambučiai: 1 išeinantys skambučiai, 0 gaunamų skambučių, 2492 baitai išsiųsti, 1530 baitų gauta / Google diskas: 0 baitų išsiųsta, 0 baitų gauta 1524 baitai išsiųsti, 1826 baitai gauti / Iš viso duomenų: 118567 baitai išsiųsti, 10063417 baitai gauti
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:pagrindinis] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:pagrindinis] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:pagrindinis] msgstore/canquery 517 | praleistas laikas:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage pasiekiama:1,345,622,016 5,687,922,688 XNUMX XNUMX viso: XNUMX XNUMX XNUMX XNUMX

  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Audio/“. Yra gautų garso failų.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/“. Yra išsiųsti garso failai.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Images/“. Jame yra gauti grafiniai failai.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/“. Yra išsiųsti grafiniai failai.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Video/“. Yra gautų vaizdo failų.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/“. Yra išsiųsti vaizdo failai.
  • katalogas „/data/media/0/WhatsApp/Media/WhatsApp profilio nuotraukos/“. Yra grafinių failų, susijusių su WhatsApp paskyros savininku.
  • Norint sutaupyti vietos „Android“ išmaniajame telefone, kai kurie „WhatsApp“ duomenys gali būti saugomi SD kortelėje. SD kortelėje, šakniniame kataloge, yra katalogas "Whatsapp", kur galima rasti šiuos šios programos artefaktus:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

  • katalogas '.Dalintis' („/mnt/sdcard/WhatsApp/.Share/“). Yra failų, kurie buvo bendrinami su kitais WhatsApp vartotojais, kopijos.
  • katalogas ".šiukšliadėžė" („/mnt/sdcard/WhatsApp/.trash/“). Yra ištrintų failų.
  • katalogas "duomenų bazės" („/mnt/sdcard/WhatsApp/Databases/“). Sudėtyje yra užšifruotų atsarginių kopijų. Jei failas yra, juos galima iššifruoti 'Raktas', ištrauktas iš analizuojamo įrenginio atminties.

    Failai, esantys pakatalogyje "duomenų bazės":

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?

  • katalogas 'puse' („/mnt/sdcard/WhatsApp/Media/“). Sudėtyje yra pakatalogių "Tapetai", „WhatsApp Audio“, „WhatsApp vaizdai“, „WhatsApp profilio nuotraukos“, „WhatsApp“ vaizdo įrašas, „WhatsApp balso pastabos“, kuriuose yra gauti ir perduoti daugialypės terpės failai (grafikos failai, vaizdo failai, balso pranešimai, nuotraukos, susijusios su WhatsApp paskyros savininko profiliu, fono paveikslėliai).
  • katalogas 'Profilio nuotraukos' („/mnt/sdcard/WhatsApp/Profile Pictures/“). Yra grafinių failų, susijusių su WhatsApp paskyros savininko profiliu.
  • Kartais SD kortelėje gali būti katalogas 'failai' („/mnt/sdcard/WhatsApp/Files/“). Šiame kataloge yra failų, kuriuose saugomi programos parametrai ir vartotojo nuostatos.

Duomenų saugojimo ypatybės kai kuriuose mobiliųjų įrenginių modeliuose

Kai kuriuose mobiliųjų įrenginių modeliuose, kuriuose veikia „Android“ OS, „WhatsApp“ artefaktai gali būti saugomi kitoje vietoje. Taip yra dėl mobiliojo įrenginio sisteminės programinės įrangos pakeistų programų duomenų saugojimo vietos. Pavyzdžiui, „Xiaomi“ mobilieji įrenginiai turi funkciją sukurti antrą darbo sritį („SecondSpace“). Įjungus šią funkciją, pasikeičia duomenų vieta. Taigi, jei įprastame mobiliajame įrenginyje, kuriame veikia Android OS, vartotojo duomenys yra saugomi kataloge '/data/user/0/' (tai yra nuoroda į įprastą '/duomenys/duomenys/'), tada antroje darbo srityje programos duomenys saugomi kataloge '/data/user/10/'. Tai yra, naudojant failo vietos pavyzdį „wa.db“:

  • įprastame išmaniajame telefone, kuriame veikia „Android“ OS: /data/user/0/com.whatsapp/databases/wa.db' (kas yra lygiavertis „/data/data/com.whatsapp/databases/wa.db“);
  • antroje „Xiaomi“ išmaniojo telefono darbo srityje: „/data/user/10/com.whatsapp/databases/wa.db“.

„WhatsApp“ artefaktai „iOS“ įrenginyje

Skirtingai nuo Android OS, iOS WhatsApp programos duomenys perkeliami į atsarginę kopiją (iTunes atsarginę kopiją). Todėl norint išgauti duomenis iš šios programos, nereikia išskleisti failų sistemos ar sukurti tiriamo įrenginio fizinės atminties išklotinės. Dauguma svarbios informacijos yra duomenų bazėje „ChatStorage.sqlite“, kuris yra palei taką: „/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/“ (kai kuriose programose šis kelias atrodo kaip „AppDomainGroup-group.net.whatsapp.WhatsApp.shared“).

Struktūra „ChatStorage.sqlite“:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Informatyviausios lentelės 'ChatStorage.sqlite' duomenų bazėje yra „ZWAMESSAGE“ и „ZWAMEDIAITEM“.

Stalo išvaizda „ZWAMESSAGE“:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Lentelės 'ZWAMESSAGE' struktūra

Lauko pavadinimas Vertė
Z_PK įrašo eilės numeris (SQL lentelėje)
Z_ENT lentelės identifikatorius, turi reikšmę „9“
Z_OPT nežinoma, paprastai yra reikšmės nuo '1' iki '6'
ZCHILDMESSAGESDELIVEREDCOUNT nežinoma, paprastai yra reikšmė "0"
ZCHILDMESSAGESPLAYEDCOUNT nežinoma, paprastai yra reikšmė "0"
ZCHILDMESSAGESREADCOUNT nežinoma, paprastai yra reikšmė "0"
ZDATAITEMVERSION nežinomas, paprastai yra reikšmė „3“, tikriausiai teksto pranešimo indikatorius
ZDOCID nežinoma
ZENCRETRYCOUNT nežinoma, paprastai yra reikšmė "0"
ZFILTEREDRECIPIENTCOUNT nežinomas, paprastai yra reikšmės „0“, „2“, „256“
ZISFROMME pranešimo kryptis: „0“ – gaunamas, „1“ – išeinantis
ZMESSAGEERRORSTATUS pranešimo perdavimo būsena. Jei pranešimas išsiųstas / gautas, jo reikšmė yra „0“
ZMESSAGETYPE siunčiamo pranešimo tipas
ZSORT nežinoma
ZSPOTLIGHSTATUS nežinoma
ZSTARRED nežinomas, nenaudotas
ZCHATSESSION nežinoma
ZGRUPĖS NARYS nežinomas, nenaudotas
ZLASTSESSION nežinoma
ZMEDIAITEM nežinoma
ZMESSAGEINFO nežinoma
ZPARENTMESSAGE nežinomas, nenaudotas
ZMESSAGEDATE laiko žyma OS X Epoch Time formatu
ZSENTDATE laikas, kai pranešimas buvo išsiųstas OS X Epoch Time formatu
ZFROMJID WhatsApp siuntėjo ID
ZMEDIASECTIONID yra medijos failo išsiuntimo metai ir mėnuo
ZPHASH nežinomas, nenaudotas
ZPUSHPAME adresato, atsiuntusio medijos failą UTF-8 formatu, vardas
ZSTANZIDAS unikalus pranešimo identifikatorius
ZTEXT Pranešimo tekstas
ZTOJID Gavėjo WhatsApp ID
Ofsetinė šališkumas

Stalo išvaizda „ZWAMEDIAITEM“:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Lentelės „ZWAMEDIAITEM“ struktūra

Lauko pavadinimas Vertė
Z_PK įrašo eilės numeris (SQL lentelėje)
Z_ENT lentelės identifikatorius, turi reikšmę „8“
Z_OPT nežinomas, paprastai yra reikšmės nuo „1“ iki „3“.
ZCLOUDSTATUS yra reikšmė „4“, jei failas įkeltas.
ZFILESIZE yra atsisiųstų failų failo ilgis (baitais).
ZMEDIAORIGIN nežinoma, paprastai turi reikšmę „0“
ZMOVIEDURATION laikmenos failo trukmė, pdf failuose gali būti dokumento puslapių skaičius
ZMESSAGE yra serijos numeris (numeris skiriasi nuo nurodyto stulpelyje „Z_PK“)
ZASPECTRATIO kraštinių santykis, nenaudojamas, paprastai nustatytas į „0“
TAIKLUMAS nežinoma, paprastai turi reikšmę „0“
ZLATTITUDE plotis pikseliais
ZILGUMAS aukštis pikseliais
ZMEDIAURLDATE laiko žyma OS X Epoch Time formatu
ZAUTHORNAME autorius (dokumentams gali būti failo pavadinimas)
ZCOLLECTIONNAME nenaudojamas
ZMEDIALOCALPATH failo pavadinimą (įskaitant kelią) įrenginio failų sistemoje
ZMEDIAURL URL, kuriame buvo medijos failas. Jei failas buvo perkeltas iš vieno abonento kitam, jis buvo užšifruotas ir jo plėtinys bus nurodytas kaip perkelto failo plėtinys - .enc
ZTHUMBNAILLOCALPATH kelias į failo miniatiūrą įrenginio failų sistemoje
ZTITLE failo antraštė
ZVCARDNAME medijos failo maiša, kai failas perduodamas grupei, jame gali būti siuntėjo identifikatorius
ZVCARDSTRING yra informacija apie perduodamo failo tipą (pavyzdžiui, vaizdas/jpeg, kai failas perkeliamas į grupę, jame gali būti gavėjo identifikatorius).
ZXMPPTHUMBPATH kelias į failo miniatiūrą įrenginio failų sistemoje
ZMEDIAKEY nežinomas, tikriausiai yra raktas užšifruotam failui iššifruoti.
ZMETADATAS perduodamo pranešimo metaduomenys
Kompensuoti šališkumas

Kitos įdomios duomenų bazių lentelės „ChatStorage.sqlite“ yra:

  • „ZWAPROFILEPUSHNAME“. Atitinka WhatsApp ID su kontakto vardu;
  • „ZWAPROFILEPICTUREITEM“. Atitinka WhatsApp ID su kontakto avataru;
  • „Z_PRIMARYKEY“. Lentelėje pateikiama bendra informacija apie šią duomenų bazę, pvz., bendras saugomų pranešimų skaičius, bendras pokalbių skaičius ir kt.

Be to, nagrinėdami WhatsApp mobiliajame įrenginyje, kuriame veikia iOS, turėtumėte atkreipti dėmesį į šiuos failus:

  • byla „BackedUpKeyValue.sqlite“. Jame yra kriptografiniai raktai ir kiti duomenys, reikalingi paskyros savininkui identifikuoti. Įsikūręs palei taką: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • byla „ContactsV2.sqlite“. Pateikiama informacija apie vartotojo kontaktus, pvz., visas vardas, telefono numeris, kontakto būsena (teksto forma), WhatsApp ID ir kt. Įsikūręs palei taką: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • byla „vartotojo_versija“. Yra įdiegtos WhatsApp programos versijos numeris. Įsikūręs palei taką: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • byla 'current_wallpaper.jpg'. Yra dabartinis WhatsApp fono fonas. Įsikūręs palei taką: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Senesnėse programos versijose naudojamas failas "tapetai", kuris yra palei taką: „/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/“.
  • byla „blockedcontacts.dat“. Pateikiama informacija apie užblokuotus kontaktus. Įsikūręs palei taką: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • byla „pw.dat“. Yra užšifruotas slaptažodis. Įsikūręs palei taką: „/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/“.
  • byla „net.whatsapp.WhatsApp.plist“ (arba failą „group.net.whatsapp.WhatsApp.shared.plist“). Pateikiama informacija apie jūsų „WhatsApp“ paskyros profilį. Failas yra palei kelią: „/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/“.

Failo „group.net.whatsapp.WhatsApp.shared.plist“ turinys „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Taip pat turite atkreipti dėmesį į šiuos katalogus:

  • katalogas „/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/“. Yra kontaktų, grupių miniatiūros (failai su plėtiniu .nykštys), kontaktiniai pseudoportretai, „WhatsApp“ paskyros savininko avataras (failas „Nuotrauka.jpg“).
  • katalogas „/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/“. Yra daugialypės terpės failai ir jų miniatiūros
  • katalogas „/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/“. Yra programos operacijų žurnalas (failas „calls.log“) ir atsargines programos operacijų žurnalų kopijas (failą „calls.backup.log“).
  • katalogas „/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/“. Yra lipdukų (failų formatu „.webp“).
  • katalogas „/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/“. Yra programos veikimo žurnalai.

WhatsApp artefaktai sistemoje Windows

„WhatsApp“ artefaktus sistemoje „Windows“ galima rasti keliose vietose. Visų pirma, tai yra katalogai, kuriuose yra vykdomųjų ir pagalbinių programų failų („Windows 8/10“):

  • „C:Programų failai (x86) WhatsApp“
  • „C:Users%Vartotojo profilis% AppDataLocalWhatsApp“
  • „C:Users%Vartotojo profilis% AppDataLocalVirtualStore Program Files (x86)WhatsApp“

Kataloge „C:Users%Vartotojo profilis% AppDataLocalWhatsApp“ yra žurnalo failas „SquirrelSetup.log“, kuriame pateikiama informacija apie naujinimų tikrinimą ir programos diegimą.

Kataloge „C:Users%Vartotojo profilis% AppDataRoamingWhatsApp“ Yra keli pakatalogiai:

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
byla „main-process.log“ yra informacijos apie WhatsApp programos veikimą.

Pakatalogis "duomenų bazės" yra failas „Duomenų bazės.db“, tačiau šiame faile nėra jokios informacijos apie pokalbius ar kontaktus.

Įdomiausi kriminalistikos požiūriu yra kataloge esantys failai "talpykla". Iš esmės tai yra failai, pavadinti 'f_********' (kur * yra skaičius nuo 0 iki 9), kuriuose yra užšifruotų daugialypės terpės failų ir dokumentų, tačiau tarp jų yra ir nešifruotų failų. Ypač domina failai 'data_0', 'data_1', 'data_2', 'data_3', esančiame tame pačiame pakatalogyje. Failai 'data_0', 'data_1', 'data_3' yra išorinių nuorodų į perduodamus šifruotus daugialypės terpės failus ir dokumentus.

Informacijos, esančios faile „data_1“, pavyzdys„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Taip pat failas 'data_3' gali būti grafinių failų.

byla 'data_2' yra kontaktinių avatarų (gali būti atkurti ieškant pagal failų antraštes).

Failo avatarai 'data_2':

„WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
Taigi pačių pokalbių negalima rasti kompiuterio atmintyje, tačiau galite rasti:

  • daugialypės terpės failai;
  • per WhatsApp perduotus dokumentus;
  • informacija apie paskyros savininko kontaktus.

„WhatsApp“ artefaktai „MacOS“.

„MacOS“ galite rasti „WhatsApp“ artefaktų tipų, panašių į tuos, kurie yra „Windows“ OS.

Programos failai yra šiuose kataloguose:

  • „C:ApplicationsWhatsApp.app“
  • „C:Applications._WhatsApp.app“
  • „C:Users%Vartotojo profilis%LibraryPreferences“
  • „C:Users%Vartotojo profilis%LibraryLogsWhatsApp“
  • „C:Users%Vartotojo profilis%LibrarySaved Application StateWhatsApp.savedState“
  • „C:Users%Vartotojo profilis%LibraryApplication Scripts“
  • „C:Users%Vartotojo profilis%LibraryApplication SupportCloudDocs“
  • „C:Users%Vartotojo profilis%LibraryApplication SupportWhatsApp.ShipIt“
  • „C:Users%Vartotojo profilis%LibraryContainerscom.rockysandstudio.app-for-whatsapp“
  • „C:Users%Vartotojo profilis% Bibliotekos mobilieji dokumentai <teksto kintamasis> WhatsApp paskyros“
    Šiame kataloge yra pakatalogių, kurių pavadinimai yra telefono numeriai, susieti su WhatsApp paskyros savininku.
  • „C:Users%Vartotojo profilis%LibraryCachesWhatsApp.ShipIt“
    Šiame kataloge yra informacijos apie programos diegimą.
  • „C:Users%Vartotojo profilis%PicturesiPhoto Library.photolibraryMasters“, „C:Users%Vartotojo profilis%PicturesiPhoto Library.photolibraryThumbnails“
    Šiuose kataloguose yra programos paslaugų failų, įskaitant WhatsApp kontaktų nuotraukas ir miniatiūras.
  • „C:Users%Vartotojo profilis%LibraryCachesWhatsApp“
    Šiame kataloge yra kelios SQLite duomenų bazės, naudojamos duomenų kaupimui talpykloje.
  • „C:Users%Vartotojo profilis%LibraryApplication SupportWhatsApp“
    Šiame kataloge yra keli pakatalogiai:

    „WhatsApp“ jūsų delne: kur ir kaip galite rasti teismo ekspertizės artefaktų?
    Kataloge „C:Users%Vartotojo profilis%LibraryApplication SupportWhatsAppCache“ yra failai 'data_0', 'data_1', 'data_2', 'data_3' ir failus su pavadinimais 'f_********' (kur * yra skaičius nuo 0 iki 9). Norėdami gauti informacijos apie tai, kokia informacija yra šiuose failuose, žr. WhatsApp artefaktus sistemoje Windows.

    Kataloge „C:Users%Vartotojo profilis%LibraryApplication SupportWhatsAppIndexedDB“ gali būti daugialypės terpės failų (failai neturi plėtinių).

    byla „main-process.log“ yra informacijos apie WhatsApp programos veikimą.

Informacijos šaltiniai

  1. „WhatsApp Messenger“ „Android“ išmaniuosiuose telefonuose teismo ekspertizė, Cosimo Anglano, 2014 m.
  2. „Whatsapp Forensics“: „Eksplorasi sistem berkas“ ir „Ahmad Pratama“ „Android“ ir „iOS“ duomenų bazės duomenys, 2014 m.

Šiuose šios serijos straipsniuose:

Šifruotų WhatsApp duomenų bazių iššifravimasStraipsnis, kuriame bus pateikta informacija apie tai, kaip generuojamas WhatsApp šifravimo raktas ir praktiniai pavyzdžiai, rodantys, kaip iššifruoti šifruotas šios programos duomenų bazes.
WhatsApp duomenų ištraukimas iš debesies saugyklosStraipsnis, kuriame mes jums pasakysime, kokie „WhatsApp“ duomenys yra saugomi debesyse, ir aprašome šių duomenų gavimo iš debesies saugyklų būdus.
„WhatsApp“ duomenų ištraukimas: praktiniai pavyzdžiaiStraipsnis, kuriame žingsnis po žingsnio bus aprašyta, kokios programos ir kaip išgauti WhatsApp duomenis iš įvairių įrenginių.

Šaltinis: www.habr.com

Добавить комментарий