Ja vēlaties uzzināt, kāda veida WhatsApp kriminālistikas artefakti pastāv dažādās operētājsistēmās un kur tieši tos var atrast, šī ir īstā vieta jums. Šis raksts ir no Group-IB Computer kriminālistikas laboratorijas speciālista Igors Mihailovs sāk virkni ziņu par WhatsApp kriminālistikas un to, kādu informāciju var iegūt, analizējot ierīci.
Uzreiz atzīmēsim, ka dažādās operētājsistēmās tiek glabāti dažāda veida WhatsApp artefakti, un, ja pētnieks var iegūt noteikta veida WhatsApp datus no vienas ierīces, tas nenozīmē, ka līdzīga veida datus var iegūt no citas ierīces. Piemēram, ja tiek noņemta sistēmas vienība, kurā darbojas operētājsistēma Windows OS, WhatsApp tērzēšana, visticamāk, tās diskos netiks atrasta (izņemot iOS ierīču dublējumkopijas, kuras var atrast tajos pašos diskos). Klēpjdatoru un mobilo ierīču konfiskācijai būs savas īpatnības. Parunāsim par to sīkāk.
WhatsApp artefakti Android ierīcē
Lai izvilktu WhatsApp artefaktus no Android ierīces, pētniekam ir jābūt superlietotāja tiesībām ("sakne").
Lietojumprogrammu faili atrodas tālruņa atmiņā sadaļā, kurā tiek saglabāti lietotāja dati. Parasti šī sadaļa ir nosaukta 'lietotāja dati'. Apakšdirektoriji un programmu faili atrodas pa ceļu: '/data/data/com.whatsapp/'.
Galvenie faili, kas satur WhatsApp kriminālistikas artefaktus operētājsistēmā Android OS, ir datu bāzes 'wa.db' и 'msgstore.db'.
Datu bāzē 'wa.db' satur pilnu WhatsApp lietotāja kontaktpersonu sarakstu, tostarp tālruņa numuru, parādāmo vārdu, laika zīmogus un jebkuru citu informāciju, kas sniegta, reģistrējoties WhatsApp. Fails 'wa.db' atrodas gar taku: '/data/data/com.whatsapp/databases/' un tam ir šāda struktūra:
Interesantākās tabulas datubāzē 'wa.db' pētniekam ir:
- 'wa_contacts'
Šajā tabulā ir ietverta kontaktinformācija: WhatsApp kontaktpersonas ID, statusa informācija, lietotāja parādāmais vārds, laika zīmogi utt.Galda izskats:
Tabulas struktūraLauka nosaukums Vērtība _id ieraksta kārtas numurs (SQL tabulā) jid WhatsApp kontaktpersonas ID, kas rakstīts formātā <tālruņa numurs>@s.whatsapp.net ir_whatsapp_user satur '1', ja kontaktpersona atbilst faktiskam WhatsApp lietotājam, pretējā gadījumā '0' stāvoklis satur tekstu, kas tiek parādīts kontaktpersonas statusā status_timestamp satur laikspiedolu Unix Epoch Time (ms) formātā skaits tālruņa numurs, kas saistīts ar kontaktpersonu raw_contact_id kontakta sērijas numurs DISPLAY_NAME kontaktpersonas parādāmais vārds tālruņa_veids tālruņa veids phone_label uzlīme, kas saistīta ar kontaktpersonas numuru unseen_msg_count to ziņojumu skaits, kurus nosūtīja kontaktpersona, bet adresāts tos nav izlasījis foto_ts satur laikspiedolu Unix Epoch Time formātā thumb_ts satur laikspiedolu Unix Epoch Time formātā photo_id_timestamp satur laikspiedolu Unix Epoch Time (ms) formātā vārds lauka vērtība atbilst 'displeja_nosaukumam' katrai kontaktpersonai wa_name WhatsApp kontaktpersonas vārds (tiek parādīts kontaktpersonas profilā norādītais vārds) šķirošanas_nosaukums kārtošanas operācijās izmantotais kontaktpersonas vārds iesauka kontaktpersonas segvārds pakalpojumā WhatsApp (tiek parādīts kontaktpersonas profilā norādītais segvārds) sabiedrība uzņēmums (tiek rādīts kontaktpersonas profilā norādītais uzņēmums) virsraksts tituls (kundze/kungs; tiek parādīts kontaktpersonas profilā konfigurētais tituls) kompensācija aizspriedums - 'sqlite_sequence'
Šajā tabulā ir informācija par kontaktu skaitu; - "android_metadata"
Šajā tabulā ir informācija par WhatsApp valodas lokalizāciju.
Datu bāzē 'msgstore.db' satur informāciju par nosūtītajām ziņām, piemēram, kontakta numuru, ziņojuma tekstu, ziņojuma statusu, laika zīmogus, ziņas par pārsūtītajiem failiem utt. Fails 'msgstore.db' atrodas gar taku: '/data/data/com.whatsapp/databases/' un tam ir šāda struktūra:
Interesantākās tabulas failā 'msgstore.db' pētniekam ir:
- 'sqlite_sequence'
Šajā tabulā ir vispārīga informācija par šo datu bāzi, piemēram, kopējais saglabāto ziņojumu skaits, kopējais tērzēšanas reižu skaits utt.Galda izskats:
- 'message_fts_content'
Satur nosūtīto ziņojumu tekstu.Galda izskats:
- 'ziņas'
Šajā tabulā ir ietverta tāda informācija kā kontakta numurs, ziņojuma teksts, ziņojuma statuss, laikspiedoli, informācija par ziņojumos iekļautajiem pārsūtītajiem failiem.Galda izskats:
Tabulas struktūraLauka nosaukums Vērtība _id ieraksta kārtas numurs (SQL tabulā) key_remote_jid Saziņas partnera WhatsApp ID key_from_me ziņojuma virziens: '0' – ienākošais, '1' – izejošais atslēgas_id unikāls ziņojuma identifikators stāvoklis ziņojuma statuss: '0' – piegādāts, '4' – gaida serverī, '5' – saņemts galamērķī, '6' – kontroles ziņojums, '13' – adresāta atvērts ziņojums (lasīts) need_push ir vērtība “2”, ja tas ir apraides ziņojums, pretējā gadījumā satur “0” dati ziņojuma teksts (ja "media_wa_type" parametrs ir "0") laikspiedolu satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa media_url satur pārsūtītā faila URL (ja parametrs "media_wa_type" ir "1", "2", "3") media_mime_type Pārsūtītā faila MIME tips (ja parametrs "media_wa_type" ir vienāds ar "1", "2", "3") media_wa_type ziņojuma veids: "0" - teksts, "1" - grafiskais fails, "2" - audio fails, "3" - video fails, "4" - kontakta kartīte, "5" - ģeodati multivides_izmērs pārsūtītā faila lielums (ja parametrs "media_wa_type" ir "1", "2", "3") multivides_nosaukums pārsūtītā faila nosaukums (ja parametrs "media_wa_type" ir "1", "2", "3") media_caption Satur vārdus “audio”, “video” atbilstošām parametra “media_wa_type” vērtībām (ja parametrs “media_wa_type” ir “1”, “3”). media_hash Pārsūtītā faila base64 kodētais jaucējvārds, kas aprēķināts, izmantojot HAS-256 algoritmu (ja parametrs "media_wa_type" ir vienāds ar "1", "2", "3") mediju_ilgums multivides faila ilgums sekundēs (ja 'media_wa_type' ir '1', '2', '3') izcelšanās ir vērtība “2”, ja tas ir apraides ziņojums, pretējā gadījumā satur “0” platums ģeodati: platums (ja "media_wa_type" parametrs ir "5") garums ģeodati: garums (ja parametrs "media_wa_type" ir "5") thumb_image pakalpojumu informācija attālais_resurss Sūtītāja ID (tikai grupas tērzēšanai) saņemts_laikspiedols saņemšanas laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa (ja parametram "key_from_me" ir "0", "-1" vai cita vērtība) send_timestamp netiek lietots, parasti ir vērtība “-1” kvīts_servera_laikspiedols laiks, ko saņem centrālais serveris, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa (ja parametram "key_from_me" ir "1", "-1" vai cita vērtība saņemšanas_ierīces_laikspiedols laiks, kad ziņojumu saņēma cits abonents, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa (ja parametram "key_from_me" ir "1", "-1" vai cita vērtība read_device_timestamp ziņojuma atvēršanas (lasīšanas) laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa play_device_timestamp ziņojuma atskaņošanas laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa raw_data pārsūtītā faila sīktēls (ja parametrs "media_wa_type" ir "1" vai "3") saņēmēju_skaits adresātu skaits (apraides ziņām) dalībnieks_jash izmanto, pārsūtot ziņojumus ar ģeodatiem ar zvaigznēm nokaisīts nav izmantots citētais_rindas_id nezināms, parasti satur vērtību "0" pieminētie_džidi nav izmantots multicast_id nav izmantots kompensācija aizspriedums Šis lauku saraksts nav pilnīgs. Dažādām WhatsApp versijām daži lauki var būt vai nebūt. Turklāt var būt arī lauki "media_enc_hash", 'rediģēt_versiju', 'payment_transaction_id' uc
- 'Messages_thumbnails'
Šajā tabulā ir informācija par pārsūtītajiem attēliem un laikspiedoliem. Slejā “laikspiedols” laiks ir norādīts Unix Epoch Time (ms) formātā. - 'chat_list'
Šajā tabulā ir informācija par tērzēšanu.Galda izskats:
Turklāt, pārbaudot WhatsApp mobilajā ierīcē, kurā darbojas Android, jums jāpievērš uzmanība šādiem failiem:
- fails "msgstore.db.cryptXX" (kur XX ir viens vai divi cipari no 0 līdz 12, piemēram, msgstore.db.crypt12). Satur šifrētu WhatsApp ziņojumu dublējumu (dublējuma fails msgstore.db). Fails(-i) "msgstore.db.cryptXX" atrodas gar taku: '/data/media/0/WhatsApp/Databases/' (virtuālā SD karte), '/mnt/sdcard/WhatsApp/Databases/ (fiziskā SD karte)”.
- fails 'atslēga'. Satur kriptogrāfisko atslēgu. Atrodas gar taku: '/data/data/com.whatsapp/files/'. Izmanto, lai atšifrētu šifrētus WhatsApp dublējumus.
- fails "com.whatsapp_preferences.xml". Satur informāciju par jūsu WhatsApp konta profilu. Fails atrodas gar ceļu: '/data/data/com.whatsapp/shared_prefs/'.
Faila satura fragments
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - fails "registration.RegisterPhone.xml". Satur informāciju par tālruņa numuru, kas saistīts ar WhatsApp kontu. Fails atrodas gar ceļu: '/data/data/com.whatsapp/shared_prefs/'.
Faila saturs
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - fails "axolotl.db". Satur kriptogrāfiskās atslēgas un citus datus, kas nepieciešami konta īpašnieka identificēšanai. Atrodas gar taku: '/data/data/com.whatsapp/databases/'.
- fails 'chatsettings.db'. Satur lietojumprogrammas konfigurācijas informāciju.
- fails 'wa.db'. Satur kontaktinformāciju. Ļoti interesanta (no tiesu medicīnas aspekta) un informatīva datubāze. Tajā var būt detalizēta informācija par izdzēstajām kontaktpersonām.
Jums arī jāpievērš uzmanība šādiem direktorijiem:
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Satur pārsūtītos grafiskos failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Satur balss ziņas .OPUS formāta failos.
- Katalogs '/data/data/com.whatsapp/cache/Profile Pictures/'. Satur grafiskos failus – kontaktu attēlus.
- Katalogs '/data/data/com.whatsapp/files/Avatars/'. Satur grafiskos failus – kontaktpersonu sīktēlus. Šiem failiem ir paplašinājums “.j”, taču tie tomēr ir JPEG (JPG) attēlu faili.
- Katalogs '/data/data/com.whatsapp/files/Avatars/'. Satur grafiskos failus — attēlu un attēla sīktēlu, ko konta īpašnieks iestatījis kā iemiesojumu.
- Katalogs '/data/data/com.whatsapp/files/Logs/'. Satur programmas darbības žurnālu (fails “whatsapp.log”) un programmas darbības žurnālu dublējumkopijas (faili ar nosaukumiem formātā whatsapp-gggg-mm-dd.1.log.gz).
WhatsApp žurnālfaili:
Žurnāla fragments2017-01-10 09:37:09.757 LL_I D [524: WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524: WhatsApp Worker #1] neatbildēts paziņojums/atjauninājums atcelt taisnība
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] paroles fails trūkst vai nav lasāms
2017-01-10 09:37:09.782 LL_I D [1:galvenā] statistika Īsziņas: 59 nosūtītas, 82 saņemtas / Multivides ziņas: 1 nosūtīts (0 baiti), 0 saņemts (9850158 baiti) / Bezsaistes ziņojumi: 81 saņemts ( 19522 msek vidējā aizkave) / Ziņojumu pakalpojums: nosūtīti 116075 baiti, saņemti 211729 baiti / VoIP zvani: 1 izejošais zvans, 0 ienākošo zvanu, 2492 baiti nosūtīti, 1530 baiti saņemti / Google disks: 0 baiti nosūtīti, 0 baiti saņemti 1524. nosūtīti baiti, saņemti 1826 baiti / Kopējie dati: nosūtīti 118567 baiti, saņemti 10063417 baiti
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:galvenais] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:galvenais] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:galvenais] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:galvenais] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:galvenais] msgstore/canquery/taimer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:galvenais] msgstore/canquery 517 | pavadītais laiks:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage pieejams:1,345,622,016 5,687,922,688 XNUMX XNUMX kopā: XNUMX XNUMX XNUMX XNUMX
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Satur saņemtos audio failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Satur nosūtītos audio failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Satur iegūtos grafiskos failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Satur nosūtītos grafiskos failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Satur saņemtos video failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Satur nosūtītos video failus.
- Katalogs '/data/media/0/WhatsApp/Media/WhatsApp profila fotoattēli/'. Satur grafiskos failus, kas saistīti ar WhatsApp konta īpašnieku.
- Lai ietaupītu vietu Android viedtālruņa atmiņā, dažus WhatsApp datus var saglabāt SD kartē. SD kartē saknes direktorijā ir direktorijs 'WhatsApp', kur var atrast šādus šīs programmas artefaktus:
- Katalogs '.Share' ('/mnt/sdcard/WhatsApp/.Share/'). Satur ar citiem WhatsApp lietotājiem kopīgoto failu kopijas.
- Katalogs '.atkritumi' ('/mnt/sdcard/WhatsApp/.trash/'). Satur izdzēstos failus.
- Katalogs "Datu bāzes" ('/mnt/sdcard/WhatsApp/Databases/'). Satur šifrētus dublējumus. Tos var atšifrēt, ja fails ir klāt 'atslēga', kas iegūts no analizētās ierīces atmiņas.
Faili, kas atrodas apakšdirektorijā "Datu bāzes":
- Katalogs 'puse' ('/mnt/sdcard/WhatsApp/Media/'). Satur apakšdirektorijus "Tapetes", "WhatsApp Audio", "WhatsApp attēli", WhatsApp profila fotoattēli, "WhatsApp video", WhatsApp balss piezīmes, kas satur saņemtos un pārsūtītos multivides failus (grafikas faili, video faili, balss ziņas, fotoattēli, kas saistīti ar WhatsApp konta īpašnieka profilu, fona attēli).
- Katalogs "Profila bildes" ('/mnt/sdcard/WhatsApp/Profila attēli/'). Satur grafiskos failus, kas saistīti ar WhatsApp konta īpašnieka profilu.
- Dažreiz SD kartē var būt katalogs 'faili' ('/mnt/sdcard/WhatsApp/Files/'). Šajā direktorijā ir faili, kuros tiek glabāti programmas iestatījumi un lietotāja preferences.
Datu glabāšanas iespējas dažos mobilo ierīču modeļos
Daži mobilo ierīču modeļi, kuros darbojas operētājsistēma Android OS, var glabāt WhatsApp artefaktus citā vietā. Tas ir saistīts ar izmaiņām lietojumprogrammu datu uzglabāšanas vietā, ko veic mobilās ierīces sistēmas programmatūra. Piemēram, Xiaomi mobilajām ierīcēm ir funkcija, lai izveidotu otru darbvietu (“SecondSpace”). Kad šī funkcija ir aktivizēta, datu atrašanās vieta mainās. Tātad, ja parastajā mobilajā ierīcē, kurā darbojas Android OS, lietotāja dati tiek glabāti direktorijā '/data/user/0/' (kas ir atsauce uz parasto '/data/data/'), tad otrajā darbvietā lietojumprogrammas dati tiek saglabāti direktorijā '/data/user/10/'. Tas ir, izmantojot faila atrašanās vietas piemēru 'wa.db':
- parastajā viedtālrunī, kurā darbojas operētājsistēma Android OS: /data/user/0/com.whatsapp/databases/wa.db' (kas ir līdzvērtīgs '/data/data/com.whatsapp/databases/wa.db');
- Xiaomi viedtālruņa otrajā darbvietā: '/data/user/10/com.whatsapp/databases/wa.db'.
WhatsApp artefakti iOS ierīcē
Atšķirībā no Android OS, iOS WhatsApp lietojumprogrammā dati tiek pārsūtīti uz rezerves kopiju (iTunes dublējumu). Tāpēc, lai iegūtu datus no šīs lietojumprogrammas, nav jāizņem failu sistēma vai jāizveido izmeklējamās ierīces fiziska atmiņas izgāztuve. Lielākā daļa atbilstošās informācijas ir ietverta datubāzē "ChatStorage.sqlite", kas atrodas gar taku: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (dažās programmās šis ceļš parādās kā "AppDomainGroup-group.net.whatsapp.WhatsApp.shared").
Struktūra "ChatStorage.sqlite":
Visinformatīvākās tabulas 'ChatStorage.sqlite' datubāzē ir "ZWAMESSAGE" и “ZWAMEDIAITEM”.
Galda izskats "ZWAMESSAGE":
Tabulas 'ZWAMESSAGE' struktūra
| Lauka nosaukums | Vērtība |
|---|---|
| Z_PK | ieraksta kārtas numurs (SQL tabulā) |
| Z_ENT | tabulas identifikators, ir vērtība "9" |
| Z_OPT | nezināms, parasti satur vērtības no '1' līdz '6' |
| ZCHILDMESSAGESDELIVEREDCOUNT | nezināms, parasti satur vērtību "0" |
| ZCHILDMESSAGESPLAYEDCOUNT | nezināms, parasti satur vērtību "0" |
| ZCHILDMESSAGESREADCOUNT | nezināms, parasti satur vērtību "0" |
| ZDATAITEMVERSION | nezināms, parasti satur vērtību “3”, iespējams, īsziņas indikators |
| ZDOCID | nav zināms |
| ZENCRETRYCOUNT | nezināms, parasti satur vērtību "0" |
| ZFILTEREDRECIPIENTCOUNT | nezināms, parasti satur vērtības '0', '2', '256' |
| ZISFROMME | ziņojuma virziens: '0' – ienākošais, '1' – izejošais |
| ZMESSAGEERRORSTATUS | ziņojuma pārraides statuss. Ja ziņojums ir nosūtīts/saņemts, tad tā vērtība ir “0” |
| ZMESSAGETYPE | pārsūtāmā ziņojuma veids |
| ZSORT | nav zināms |
| ZSPOTLIGHSTATUS | nav zināms |
| ZSTARRED | nav zināms, nav lietots |
| ZCHATSESSION | nav zināms |
| ZGRUPAS biedrs | nav zināms, nav lietots |
| ZLASTSESIJA | nav zināms |
| ZMEDIAITEM | nav zināms |
| ZMESSAGEINFO | nav zināms |
| ZPARENTZIŅOJUMS | nav zināms, nav lietots |
| ZMESSAGEDATE | laika zīmogs OS X Epoch Time formātā |
| ZSENTDATE | laiks, kad ziņojums tika nosūtīts OS X Epoch Time formātā |
| ZFROMJID | WhatsApp sūtītāja ID |
| ZMEDIASECTIONID | satur multivides faila nosūtīšanas gadu un mēnesi |
| ZPHASH | nav zināms, nav lietots |
| ZPUSHPAME | tās kontaktpersonas vārds, kura nosūtīja multivides failu UTF-8 formātā |
| ZSTANZID | unikāls ziņojuma identifikators |
| ZTEXT | Ziņas teksts |
| ZTOJID | Saņēmēja WhatsApp ID |
| OFFSET | aizspriedums |
Galda izskats “ZWAMEDIAITEM”:
Tabulas 'ZWAMEDIAITEM' struktūra
| Lauka nosaukums | Vērtība |
|---|---|
| Z_PK | ieraksta kārtas numurs (SQL tabulā) |
| Z_ENT | tabulas identifikators, ir vērtība "8" |
| Z_OPT | nezināms, parasti satur vērtības no “1” līdz “3”. |
| ZCLOUDSTATUS | satur vērtību “4”, ja fails ir ielādēts. |
| ZFILESIZE | satur lejupielādēto failu faila garumu (baitos). |
| ZMEDIAORIGIN | nezināms, parasti ir vērtība “0” |
| ZMOVIEDURATION | multivides faila ilgums, pdf failiem var būt dokumenta lappušu skaits |
| ZZIŅA | satur sērijas numuru (numurs atšķiras no ailē “Z_PK” norādītā) |
| ZASPECTRATIO | malu attiecība, netiek izmantota, parasti iestatīta uz “0” |
| ZHAPRECIZITĀTE | nezināms, parasti ir vērtība “0” |
| ZLATTITUDE | platums pikseļos |
| ZLONGTITUDE | augstums pikseļos |
| ZMEDIAURLDATE | laika zīmogs OS X Epoch Time formātā |
| ZAUTORNAME | autors (dokumentiem var būt faila nosaukums) |
| ZCOLLECTIONNAME | nav izmantots |
| ZMEDIALOCALPATH | faila nosaukums (ieskaitot ceļu) ierīces failu sistēmā |
| ZMEDIAURL | URL, kurā atradās multivides fails. Ja fails tika pārsūtīts no viena abonenta citam, tas tika šifrēts un tā paplašinājums tiks norādīts kā pārsūtītā faila paplašinājums - .enc |
| ZTHUMBNAILLOCALPATH | ceļš uz faila sīktēlu ierīces failu sistēmā |
| ZTITLE | faila galvene |
| ZVCARDNAME | multivides faila hash; pārsūtot failu uz grupu, tajā var būt ietverts sūtītāja identifikators |
| ZVCARDSTRING | satur informāciju par pārsūtāmā faila veidu (piemēram, attēls/jpeg); pārsūtot failu grupai, tajā var būt adresāta identifikators |
| ZXMPPTHUMBPATH | ceļš uz faila sīktēlu ierīces failu sistēmā |
| ZMEDIAKEY | nezināms, iespējams, satur atslēgu šifrētā faila atšifrēšanai. |
| ZMETADATA | pārsūtītā ziņojuma metadati |
| Kompensācija | aizspriedums |
Citas interesantas datu bāzes tabulas "ChatStorage.sqlite" ir:
- "ZWAPROFILEPUSHNAME". Atbilst WhatsApp ID kontaktpersonas vārdam;
- "ZWAPROFILEPICTUREITEM". Atbilst WhatsApp ID kontaktpersonas iemiesojumam;
- "Z_PRIMARYKEY". Tabulā ir vispārīga informācija par šo datu bāzi, piemēram, kopējais saglabāto ziņojumu skaits, kopējais tērzēšanas sarunu skaits utt.
Turklāt, pārbaudot WhatsApp mobilajā ierīcē, kurā darbojas iOS, jums jāpievērš uzmanība šādiem failiem:
- fails "BackedUpKeyValue.sqlite". Satur kriptogrāfiskās atslēgas un citus datus, kas nepieciešami konta īpašnieka identificēšanai. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fails "ContactsV2.sqlite". Satur informāciju par lietotāja kontaktpersonām, piemēram, pilnu vārdu, tālruņa numuru, kontaktpersonas statusu (teksta formā), WhatsApp ID utt. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fails 'consumer_version'. Satur instalētās WhatsApp lietojumprogrammas versijas numuru. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fails 'current_wallpaper.jpg'. Satur pašreizējo WhatsApp fona tapeti. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Vecākās lietojumprogrammas versijās tiek izmantots fails 'tapetes', kas atrodas gar taku: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fails 'blockedcontacts.dat'. Satur informāciju par bloķētajiem kontaktiem. Atrodas gar taku: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fails 'pw.dat'. Satur šifrētu paroli. Atrodas gar taku: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fails "net.whatsapp.WhatsApp.plist" (vai failu "group.net.whatsapp.WhatsApp.shared.plist"). Satur informāciju par jūsu WhatsApp konta profilu. Fails atrodas gar ceļu: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Faila “group.net.whatsapp.WhatsApp.shared.plist” saturs
Jums arī jāpievērš uzmanība šādiem direktorijiem:
- Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Satur kontaktpersonu, grupu sīktēlus (failus ar paplašinājumu .īkšķis), sazinieties ar iemiesojumiem, WhatsApp konta īpašnieka iemiesojumu (fails "Foto.jpg").
- Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Satur multivides failus un to sīktēlus
- Katalogs '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Satur programmas darbības žurnālu (fails 'calls.log') un programmas darbības žurnālu rezerves kopijas (fails "calls.backup.log").
- Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Satur uzlīmes (failus formātā ".webp").
- Katalogs '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Satur programmas darbības žurnālus.
WhatsApp artefakti operētājsistēmā Windows
WhatsApp artefaktus operētājsistēmā Windows var atrast vairākās vietās. Pirmkārt, tie ir direktoriji, kuros ir izpildāmie un palīgprogrammu faili (operētājsistēmai Windows 8/10):
- "C:Program Files (x86)WhatsApp"
- "C:Users%Lietotāja profils% AppDataLocalWhatsApp"
- "C:Users%Lietotāja profils% AppDataLocalVirtualStore programmas faili (x86)WhatsApp"
Katalogā "C:Users%Lietotāja profils% AppDataLocalWhatsApp" atrodas žurnālfails "SquirrelSetup.log", kurā ir informācija par atjauninājumu pārbaudi un programmas instalēšanu.
Katalogā "C:Users%Lietotāja profils% AppDataRoamingWhatsApp" Ir vairāki apakšdirektoriji:
fails "main-process.log" satur informāciju par WhatsApp programmas darbību.
Apakšdirektorijs "datu bāzes" satur failu 'Databases.db', taču šajā failā nav informācijas par tērzēšanu vai kontaktpersonām.
Visinteresantākie no kriminālistikas viedokļa ir faili, kas atrodas direktorijā "kešatmiņa". Tie būtībā ir faili ar nosaukumiem 'f_********' (kur * ir skaitlis no 0 līdz 9), kas satur šifrētus multivides failus un dokumentus, taču starp tiem ir arī nešifrēti faili. Īpaši interesanti ir faili 'data_0', 'data_1', 'data_2', 'data_3', kas atrodas tajā pašā apakšdirektorijā. Faili 'data_0', 'data_1', 'data_3' satur ārējās saites uz pārsūtītajiem šifrētajiem multivides failiem un dokumentiem.
Informācijas piemērs failā "data_1"
Arī fails 'data_3' var saturēt grafiskos failus.
fails 'data_2' satur kontaktpersonu iemiesojumus (var atjaunot, meklējot pēc failu galvenēm).
Failā ietvertie iemiesojumi 'data_2':
Tādējādi pašas tērzēšanas sarunas nevar atrast datora atmiņā, taču varat atrast:
- multivides faili;
- dokumenti, kas pārsūtīti caur WhatsApp;
- informācija par konta īpašnieka kontaktpersonām.
WhatsApp artefakti operētājsistēmā MacOS
Operētājsistēmā MacOS varat atrast WhatsApp artefaktu veidus, kas ir līdzīgi tiem, kas atrodami operētājsistēmā Windows OS.
Programmas faili atrodas šādos direktorijos:
- "C:ApplicationsWhatsApp.app"
- "C:Applications._WhatsApp.app"
- "C:Users%Lietotāja profils%LibraryPreferences"
- "C:Users%Lietotāja profils%LibraryLogsWhatsApp"
- "C:Users%Lietotāja profils%LibrarySaved Application StateWhatsApp.savedState"
- "C:Users%Lietotāja profils%Bibliotēkas lietojumprogrammu skripti"
- "C:Users%Lietotāja profils%LibraryApplication SupportCloudDocs"
- "C:Users%Lietotāja profils%LibraryApplication SupportWhatsApp.ShipIt"
- "C:Users%Lietotāja profils%LibraryContainerscom.rockysandstudio.app-for-whatsapp"
- "C:Users%Lietotāja profils% Bibliotēka Mobilie dokumenti <teksta mainīgais> WhatsApp konti"
Šajā direktorijā ir apakšdirektoriji, kuru nosaukumi ir tālruņa numuri, kas saistīti ar WhatsApp konta īpašnieku. - "C:Users%Lietotāja profils%LibraryCachesWhatsApp.ShipIt"
Šajā direktorijā ir informācija par programmas instalēšanu. - "C:Users%Lietotāja profils%PicturesiPhoto Library.photolibraryMasters", "C:Users%Lietotāja profils%PicturesiPhoto Library.photolibraryThumbnails"
Šajos direktorijos ir ietverti programmas pakalpojumu faili, tostarp WhatsApp kontaktpersonu fotoattēli un sīktēli. - "C:Users%Lietotāja profils%LibraryCachesWhatsApp"
Šajā direktorijā ir vairākas SQLite datu bāzes, kas tiek izmantotas datu saglabāšanai kešatmiņā. - "C:Users%Lietotāja profils%LibraryApplication SupportWhatsApp"
Šajā direktorijā ir vairāki apakšdirektoriji:
Katalogā "C:Users%Lietotāja profils%LibraryApplication SupportWhatsAppCache" ir faili 'data_0', 'data_1', 'data_2', 'data_3' un faili ar nosaukumiem 'f_********' (kur * ir skaitlis no 0 līdz 9). Lai iegūtu informāciju par to, kāda informācija ir šajos failos, skatiet sadaļu WhatsApp artefakti operētājsistēmā Windows.Katalogā "C:Users%Lietotāja profils%LibraryApplication SupportWhatsAppIndexedDB" var saturēt multivides failus (failiem nav paplašinājumu).
fails "main-process.log" satur informāciju par WhatsApp programmas darbību.
avoti
- WhatsApp Messenger kriminālistikas analīze Android viedtālruņos, kosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi sistēmas berkas un bāzes dati Android un iOS aplikācijā, ko izveidoja Ahmads Pratama, 2014. gads.
Šajos šīs sērijas rakstos:
Šifrētu WhatsApp datu bāzu atšifrēšanaRaksts, kas sniegs informāciju par to, kā tiek ģenerēta WhatsApp šifrēšanas atslēga, un praktiski piemēri, kas parāda, kā atšifrēt šīs lietojumprogrammas šifrētās datu bāzes.
WhatsApp datu iegūšana no mākoņa krātuvesRaksts, kurā mēs jums pateiksim, kādi WhatsApp dati tiek glabāti mākoņos, un aprakstīsim metodes šo datu izgūšanai no mākoņkrātuvēm.
WhatsApp datu ieguve: praktiski piemēriRaksts, kurā soli pa solim tiks aprakstīts, kādas programmas un kā iegūt WhatsApp datus no dažādām ierīcēm.
Avots: www.habr.com