ProHoster > Blogs > interneta ziņas > WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

Ja vēlaties uzzināt, kāda veida WhatsApp kriminālistikas artefakti pastāv dažādās operētājsistēmās un kur tieÅ”i tos var atrast, Ŕī ir Ä«stā vieta jums. Å is raksts ir no Group-IB Computer kriminālistikas laboratorijas speciālista Igors Mihailovs sāk virkni ziņu par WhatsApp kriminālistikas un to, kādu informāciju var iegÅ«t, analizējot ierÄ«ci.

Uzreiz atzÄ«mēsim, ka dažādās operētājsistēmās tiek glabāti dažāda veida WhatsApp artefakti, un, ja pētnieks var iegÅ«t noteikta veida WhatsApp datus no vienas ierÄ«ces, tas nenozÄ«mē, ka lÄ«dzÄ«ga veida datus var iegÅ«t no citas ierÄ«ces. Piemēram, ja tiek noņemta sistēmas vienÄ«ba, kurā darbojas operētājsistēma Windows OS, WhatsApp tērzÄ“Å”ana, visticamāk, tās diskos netiks atrasta (izņemot iOS ierīču dublējumkopijas, kuras var atrast tajos paÅ”os diskos). Klēpjdatoru un mobilo ierīču konfiskācijai bÅ«s savas Ä«patnÄ«bas. Parunāsim par to sÄ«kāk.

WhatsApp artefakti Android ierīcē

Lai izvilktu WhatsApp artefaktus no Android ierīces, pētniekam ir jābūt superlietotāja tiesībām ("sakne").

Lietojumprogrammu faili atrodas tālruņa atmiņā sadaļā, kurā tiek saglabāti lietotāja dati. Parasti Ŕī sadaļa ir nosaukta 'lietotāja dati'. ApakÅ”direktoriji un programmu faili atrodas pa ceļu: '/data/data/com.whatsapp/'.

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Galvenie faili, kas satur WhatsApp kriminālistikas artefaktus operētājsistēmā Android OS, ir datu bāzes 'wa.db' Šø 'msgstore.db'.

Datu bāzē 'wa.db' satur pilnu WhatsApp lietotāja kontaktpersonu sarakstu, tostarp tālruņa numuru, parādāmo vārdu, laika zÄ«mogus un jebkuru citu informāciju, kas sniegta, reÄ£istrējoties WhatsApp. Fails 'wa.db' atrodas gar taku: '/data/data/com.whatsapp/databases/' un tam ir Ŕāda struktÅ«ra:

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Interesantākās tabulas datubāzē 'wa.db' pētniekam ir:

  • 'wa_contacts'
    Šajā tabulā ir ietverta kontaktinformācija: WhatsApp kontaktpersonas ID, statusa informācija, lietotāja parādāmais vārds, laika zīmogi utt.

    Galda izskats:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
    Tabulas struktūra

    Lauka nosaukums Vērtība
    _id ieraksta kārtas numurs (SQL tabulā)
    jid WhatsApp kontaktpersonas ID, kas rakstīts formātā <tālruņa numurs>@s.whatsapp.net
    ir_whatsapp_user satur '1', ja kontaktpersona atbilst faktiskam WhatsApp lietotājam, pretējā gadījumā '0'
    stāvoklis satur tekstu, kas tiek parādīts kontaktpersonas statusā
    status_timestamp satur laikspiedolu Unix Epoch Time (ms) formātā
    skaits tālruņa numurs, kas saistīts ar kontaktpersonu
    raw_contact_id kontakta sērijas numurs
    DISPLAY_NAME kontaktpersonas parādāmais vārds
    tālruņa_veids tālruņa veids
    phone_label uzlīme, kas saistīta ar kontaktpersonas numuru
    unseen_msg_count to ziņojumu skaits, kurus nosūtīja kontaktpersona, bet adresāts tos nav izlasījis
    foto_ts satur laikspiedolu Unix Epoch Time formātā
    thumb_ts satur laikspiedolu Unix Epoch Time formātā
    photo_id_timestamp satur laikspiedolu Unix Epoch Time (ms) formātā
    vārds lauka vērtība atbilst 'displeja_nosaukumam' katrai kontaktpersonai
    wa_name WhatsApp kontaktpersonas vārds (tiek parādīts kontaktpersonas profilā norādītais vārds)
    ŔķiroŔanas_nosaukums kārtoŔanas operācijās izmantotais kontaktpersonas vārds
    iesauka kontaktpersonas segvārds pakalpojumā WhatsApp (tiek parādīts kontaktpersonas profilā norādītais segvārds)
    sabiedrība uzņēmums (tiek rādīts kontaktpersonas profilā norādītais uzņēmums)
    virsraksts tituls (kundze/kungs; tiek parādīts kontaktpersonas profilā konfigurētais tituls)
    kompensācija aizspriedums
  • 'sqlite_sequence'
    Šajā tabulā ir informācija par kontaktu skaitu;
  • "android_metadata"
    Šajā tabulā ir informācija par WhatsApp valodas lokalizāciju.

Datu bāzē 'msgstore.db' satur informāciju par nosÅ«tÄ«tajām ziņām, piemēram, kontakta numuru, ziņojuma tekstu, ziņojuma statusu, laika zÄ«mogus, ziņas par pārsÅ«tÄ«tajiem failiem utt. Fails 'msgstore.db' atrodas gar taku: '/data/data/com.whatsapp/databases/' un tam ir Ŕāda struktÅ«ra:

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Interesantākās tabulas failā 'msgstore.db' pētniekam ir:

  • 'sqlite_sequence'
    Å ajā tabulā ir vispārÄ«ga informācija par Å”o datu bāzi, piemēram, kopējais saglabāto ziņojumu skaits, kopējais tērzÄ“Å”anas reižu skaits utt.

    Galda izskats:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

  • 'message_fts_content'
    Satur nosūtīto ziņojumu tekstu.

    Galda izskats:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

  • 'ziņas'
    Šajā tabulā ir ietverta tāda informācija kā kontakta numurs, ziņojuma teksts, ziņojuma statuss, laikspiedoli, informācija par ziņojumos iekļautajiem pārsūtītajiem failiem.

    Galda izskats:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
    Tabulas struktūra

    Lauka nosaukums Vērtība
    _id ieraksta kārtas numurs (SQL tabulā)
    key_remote_jid Saziņas partnera WhatsApp ID
    key_from_me ziņojuma virziens: '0' ā€“ ienākoÅ”ais, '1' ā€“ izejoÅ”ais
    atslēgas_id unikāls ziņojuma identifikators
    stāvoklis ziņojuma statuss: '0' ā€“ piegādāts, '4' ā€“ gaida serverÄ«, '5' ā€“ saņemts galamērÄ·Ä«, '6' ā€“ kontroles ziņojums, '13' ā€“ adresāta atvērts ziņojums (lasÄ«ts)
    need_push ir vērtÄ«ba ā€œ2ā€, ja tas ir apraides ziņojums, pretējā gadÄ«jumā satur ā€œ0ā€
    dati ziņojuma teksts (ja "media_wa_type" parametrs ir "0")
    laikspiedolu satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa
    media_url satur pārsūtītā faila URL (ja parametrs "media_wa_type" ir "1", "2", "3")
    media_mime_type Pārsūtītā faila MIME tips (ja parametrs "media_wa_type" ir vienāds ar "1", "2", "3")
    media_wa_type ziņojuma veids: "0" - teksts, "1" - grafiskais fails, "2" - audio fails, "3" - video fails, "4" - kontakta kartīte, "5" - ģeodati
    multivides_izmērs pārsūtītā faila lielums (ja parametrs "media_wa_type" ir "1", "2", "3")
    multivides_nosaukums pārsūtītā faila nosaukums (ja parametrs "media_wa_type" ir "1", "2", "3")
    media_caption Satur vārdus ā€œaudioā€, ā€œvideoā€ atbilstoŔām parametra ā€œmedia_wa_typeā€ vērtÄ«bām (ja parametrs ā€œmedia_wa_typeā€ ir ā€œ1ā€, ā€œ3ā€).
    media_hash Pārsūtītā faila base64 kodētais jaucējvārds, kas aprēķināts, izmantojot HAS-256 algoritmu (ja parametrs "media_wa_type" ir vienāds ar "1", "2", "3")
    mediju_ilgums multivides faila ilgums sekundēs (ja 'media_wa_type' ir '1', '2', '3')
    izcelÅ”anās ir vērtÄ«ba ā€œ2ā€, ja tas ir apraides ziņojums, pretējā gadÄ«jumā satur ā€œ0ā€
    platums ģeodati: platums (ja "media_wa_type" parametrs ir "5")
    garums ģeodati: garums (ja parametrs "media_wa_type" ir "5")
    thumb_image pakalpojumu informācija
    attālais_resurss SÅ«tÄ«tāja ID (tikai grupas tērzÄ“Å”anai)
    saņemts_laikspiedols saņemÅ”anas laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtÄ«ba tiek ņemta no ierÄ«ces pulksteņa (ja parametram "key_from_me" ir "0", "-1" vai cita vērtÄ«ba)
    send_timestamp netiek lietots, parasti ir vērtÄ«ba ā€œ-1ā€
    kvīts_servera_laikspiedols laiks, ko saņem centrālais serveris, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtība tiek ņemta no ierīces pulksteņa (ja parametram "key_from_me" ir "1", "-1" vai cita vērtība
    saņemÅ”anas_ierÄ«ces_laikspiedols laiks, kad ziņojumu saņēma cits abonents, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtÄ«ba tiek ņemta no ierÄ«ces pulksteņa (ja parametram "key_from_me" ir "1", "-1" vai cita vērtÄ«ba
    read_device_timestamp ziņojuma atvērÅ”anas (lasÄ«Å”anas) laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtÄ«ba tiek ņemta no ierÄ«ces pulksteņa
    play_device_timestamp ziņojuma atskaņoÅ”anas laiks, satur laikspiedolu Unix Epoch Time (ms) formātā, vērtÄ«ba tiek ņemta no ierÄ«ces pulksteņa
    raw_data pārsūtītā faila sīktēls (ja parametrs "media_wa_type" ir "1" vai "3")
    saņēmēju_skaits adresātu skaits (apraides ziņām)
    dalībnieks_jash izmanto, pārsūtot ziņojumus ar ģeodatiem
    ar zvaigznēm nokaisīts nav izmantots
    citētais_rindas_id nezināms, parasti satur vērtību "0"
    pieminētie_džidi nav izmantots
    multicast_id nav izmantots
    kompensācija aizspriedums

    Šis lauku saraksts nav pilnīgs. Dažādām WhatsApp versijām daži lauki var būt vai nebūt. Turklāt var būt arī lauki "media_enc_hash", 'rediģēt_versiju', 'payment_transaction_id' uc

  • 'Messages_thumbnails'
    Å ajā tabulā ir informācija par pārsÅ«tÄ«tajiem attēliem un laikspiedoliem. Slejā ā€œlaikspiedolsā€ laiks ir norādÄ«ts Unix Epoch Time (ms) formātā.
  • 'chat_list'
    Å ajā tabulā ir informācija par tērzÄ“Å”anu.

    Galda izskats:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

Turklāt, pārbaudot WhatsApp mobilajā ierÄ«cē, kurā darbojas Android, jums jāpievērÅ” uzmanÄ«ba Ŕādiem failiem:

  • fails "msgstore.db.cryptXX" (kur XX ir viens vai divi cipari no 0 lÄ«dz 12, piemēram, msgstore.db.crypt12). Satur Å”ifrētu WhatsApp ziņojumu dublējumu (dublējuma fails msgstore.db). Fails(-i) "msgstore.db.cryptXX" atrodas gar taku: '/data/media/0/WhatsApp/Databases/' (virtuālā SD karte), '/mnt/sdcard/WhatsApp/Databases/ (fiziskā SD karte)ā€.
  • fails 'atslēga'. Satur kriptogrāfisko atslēgu. Atrodas gar taku: '/data/data/com.whatsapp/files/'. Izmanto, lai atÅ”ifrētu Å”ifrētus WhatsApp dublējumus.
  • fails "com.whatsapp_preferences.xml". Satur informāciju par jÅ«su WhatsApp konta profilu. Fails atrodas gar ceļu: '/data/data/com.whatsapp/shared_prefs/'.

    Faila satura fragments

    <?xml version="1.0" encoding="ISO-8859-1"?>
ā€¦
<string name="ph">9123456789</string> (Š½Š¾Š¼ŠµŃ€ тŠµŠ»ŠµŃ„Š¾Š½Š°, Š°ŃŃŠ¾Ń†ŠøŠøрŠ¾Š²Š°Š½Š½Ń‹Š¹ с Š°ŠŗŠŗŠ°ŃƒŠ½Ń‚Š¾Š¼ WhatsApp)
ā€¦
<string name="version">2.17.395</string> (Š²ŠµŃ€ŃŠøя WhatsApp)
ā€¦
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сŠ¾Š¾Š±Ń‰ŠµŠ½ŠøŠµ, Š¾Ń‚Š¾Š±Ń€Š°Š¶Š°ŠµŠ¼Š¾Šµ Š² стŠ°Ń‚ŃƒŃŠµ Š°ŠŗŠŗŠ°ŃƒŠ½Ń‚Š°)
ā€¦
<string name="push_name">Alex</string> (ŠøŠ¼Ń Š²Š»Š°Š“ŠµŠ»ŃŒŃ†Š° Š°ŠŗŠŗŠ°ŃƒŠ½Ń‚Š°)
ā€¦
  • fails "registration.RegisterPhone.xml". Satur informāciju par tālruņa numuru, kas saistÄ«ts ar WhatsApp kontu. Fails atrodas gar ceļu: '/data/data/com.whatsapp/shared_prefs/'.

    Faila saturs 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • fails "axolotl.db". Satur kriptogrāfiskās atslēgas un citus datus, kas nepiecieÅ”ami konta Ä«paÅ”nieka identificÄ“Å”anai. Atrodas gar taku: '/data/data/com.whatsapp/databases/'.
  • fails 'chatsettings.db'. Satur lietojumprogrammas konfigurācijas informāciju.
  • fails 'wa.db'. Satur kontaktinformāciju. Ä»oti interesanta (no tiesu medicÄ«nas aspekta) un informatÄ«va datubāze. Tajā var bÅ«t detalizēta informācija par izdzēstajām kontaktpersonām.

Jums arÄ« jāpievērÅ” uzmanÄ«ba Ŕādiem direktorijiem:

  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Satur pārsÅ«tÄ«tos grafiskos failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Satur balss ziņas .OPUS formāta failos.
  • Katalogs '/data/data/com.whatsapp/cache/Profile Pictures/'. Satur grafiskos failus ā€“ kontaktu attēlus.
  • Katalogs '/data/data/com.whatsapp/files/Avatars/'. Satur grafiskos failus ā€“ kontaktpersonu sÄ«ktēlus. Å iem failiem ir paplaÅ”inājums ā€œ.jā€, taču tie tomēr ir JPEG (JPG) attēlu faili.
  • Katalogs '/data/data/com.whatsapp/files/Avatars/'. Satur grafiskos failus ā€” attēlu un attēla sÄ«ktēlu, ko konta Ä«paÅ”nieks iestatÄ«jis kā iemiesojumu.
  • Katalogs '/data/data/com.whatsapp/files/Logs/'. Satur programmas darbÄ«bas žurnālu (fails ā€œwhatsapp.logā€) un programmas darbÄ«bas žurnālu dublējumkopijas (faili ar nosaukumiem formātā whatsapp-gggg-mm-dd.1.log.gz).

WhatsApp žurnālfaili:

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Žurnāla fragments2017-01-10 09:37:09.757 LL_I D [524: WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524: WhatsApp Worker #1] neatbildēts paziņojums/atjauninājums atcelt taisnība
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] paroles fails trūkst vai nav lasāms
2017-01-10 09:37:09.782 LL_I D [1:galvenā] statistika ÄŖsziņas: 59 nosÅ«tÄ«tas, 82 saņemtas / Multivides ziņas: 1 nosÅ«tÄ«ts (0 baiti), 0 saņemts (9850158 baiti) / Bezsaistes ziņojumi: 81 saņemts ( 19522 msek vidējā aizkave) / Ziņojumu pakalpojums: nosÅ«tÄ«ti 116075 baiti, saņemti 211729 baiti / VoIP zvani: 1 izejoÅ”ais zvans, 0 ienākoÅ”o zvanu, 2492 baiti nosÅ«tÄ«ti, 1530 baiti saņemti / Google disks: 0 baiti nosÅ«tÄ«ti, 0 baiti saņemti 1524. nosÅ«tÄ«ti baiti, saņemti 1826 baiti / Kopējie dati: nosÅ«tÄ«ti 118567 baiti, saņemti 10063417 baiti
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:galvenais] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:galvenais] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:galvenais] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:galvenais] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:galvenais] msgstore/canquery/taimer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:galvenais] msgstore/canquery 517 | pavadītais laiks:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage pieejams:1,345,622,016 5,687,922,688 XNUMX XNUMX kopā: XNUMX XNUMX XNUMX XNUMX

  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Satur saņemtos audio failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Satur nosÅ«tÄ«tos audio failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Satur iegÅ«tos grafiskos failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Satur nosÅ«tÄ«tos grafiskos failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Satur saņemtos video failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Satur nosÅ«tÄ«tos video failus.
  • Katalogs '/data/media/0/WhatsApp/Media/WhatsApp profila fotoattēli/'. Satur grafiskos failus, kas saistÄ«ti ar WhatsApp konta Ä«paÅ”nieku.
  • Lai ietaupÄ«tu vietu Android viedtālruņa atmiņā, dažus WhatsApp datus var saglabāt SD kartē. SD kartē saknes direktorijā ir direktorijs 'WhatsApp', kur var atrast Ŕādus Ŕīs programmas artefaktus:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

  • Katalogs '.Share' ('/mnt/sdcard/WhatsApp/.Share/'). Satur ar citiem WhatsApp lietotājiem kopÄ«goto failu kopijas.
  • Katalogs '.atkritumi' ('/mnt/sdcard/WhatsApp/.trash/'). Satur izdzēstos failus.
  • Katalogs "Datu bāzes" ('/mnt/sdcard/WhatsApp/Databases/'). Satur Å”ifrētus dublējumus. Tos var atÅ”ifrēt, ja fails ir klāt 'atslēga', kas iegÅ«ts no analizētās ierÄ«ces atmiņas.

    Faili, kas atrodas apakŔdirektorijā "Datu bāzes":

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?

  • Katalogs 'puse' ('/mnt/sdcard/WhatsApp/Media/'). Satur apakÅ”direktorijus "Tapetes", "WhatsApp Audio", "WhatsApp attēli", WhatsApp profila fotoattēli, "WhatsApp video", WhatsApp balss piezÄ«mes, kas satur saņemtos un pārsÅ«tÄ«tos multivides failus (grafikas faili, video faili, balss ziņas, fotoattēli, kas saistÄ«ti ar WhatsApp konta Ä«paÅ”nieka profilu, fona attēli).
  • Katalogs "Profila bildes" ('/mnt/sdcard/WhatsApp/Profila attēli/'). Satur grafiskos failus, kas saistÄ«ti ar WhatsApp konta Ä«paÅ”nieka profilu.
  • Dažreiz SD kartē var bÅ«t katalogs 'faili' ('/mnt/sdcard/WhatsApp/Files/'). Å ajā direktorijā ir faili, kuros tiek glabāti programmas iestatÄ«jumi un lietotāja preferences.

Datu glabāŔanas iespējas dažos mobilo ierīču modeļos

Daži mobilo ierīču modeļi, kuros darbojas operētājsistēma Android OS, var glabāt WhatsApp artefaktus citā vietā. Tas ir saistÄ«ts ar izmaiņām lietojumprogrammu datu uzglabāŔanas vietā, ko veic mobilās ierÄ«ces sistēmas programmatÅ«ra. Piemēram, Xiaomi mobilajām ierÄ«cēm ir funkcija, lai izveidotu otru darbvietu (ā€œSecondSpaceā€). Kad Ŕī funkcija ir aktivizēta, datu atraÅ”anās vieta mainās. Tātad, ja parastajā mobilajā ierÄ«cē, kurā darbojas Android OS, lietotāja dati tiek glabāti direktorijā '/data/user/0/' (kas ir atsauce uz parasto '/data/data/'), tad otrajā darbvietā lietojumprogrammas dati tiek saglabāti direktorijā '/data/user/10/'. Tas ir, izmantojot faila atraÅ”anās vietas piemēru 'wa.db':

  • parastajā viedtālrunÄ«, kurā darbojas operētājsistēma Android OS: /data/user/0/com.whatsapp/databases/wa.db' (kas ir lÄ«dzvērtÄ«gs '/data/data/com.whatsapp/databases/wa.db');
  • Xiaomi viedtālruņa otrajā darbvietā: '/data/user/10/com.whatsapp/databases/wa.db'.

WhatsApp artefakti iOS ierīcē

AtŔķirÄ«bā no Android OS, iOS WhatsApp lietojumprogrammā dati tiek pārsÅ«tÄ«ti uz rezerves kopiju (iTunes dublējumu). Tāpēc, lai iegÅ«tu datus no Ŕīs lietojumprogrammas, nav jāizņem failu sistēma vai jāizveido izmeklējamās ierÄ«ces fiziska atmiņas izgāztuve. Lielākā daļa atbilstoŔās informācijas ir ietverta datubāzē "ChatStorage.sqlite", kas atrodas gar taku: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (dažās programmās Å”is ceļŔ parādās kā "AppDomainGroup-group.net.whatsapp.WhatsApp.shared").

Struktūra "ChatStorage.sqlite":

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
VisinformatÄ«vākās tabulas 'ChatStorage.sqlite' datubāzē ir "ZWAMESSAGE" Šø ā€œZWAMEDIAITEMā€.

Galda izskats "ZWAMESSAGE":

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Tabulas 'ZWAMESSAGE' struktūra

Lauka nosaukums Vērtība
Z_PK ieraksta kārtas numurs (SQL tabulā)
Z_ENT tabulas identifikators, ir vērtība "9"
Z_OPT nezināms, parasti satur vērtības no '1' līdz '6'
ZCHILDMESSAGESDELIVEREDCOUNT nezināms, parasti satur vērtību "0"
ZCHILDMESSAGESPLAYEDCOUNT nezināms, parasti satur vērtību "0"
ZCHILDMESSAGESREADCOUNT nezināms, parasti satur vērtību "0"
ZDATAITEMVERSION nezināms, parasti satur vērtÄ«bu ā€œ3ā€, iespējams, Ä«sziņas indikators
ZDOCID nav zināms
ZENCRETRYCOUNT nezināms, parasti satur vērtību "0"
ZFILTEREDRECIPIENTCOUNT nezināms, parasti satur vērtības '0', '2', '256'
ZISFROMME ziņojuma virziens: '0' ā€“ ienākoÅ”ais, '1' ā€“ izejoÅ”ais
ZMESSAGEERRORSTATUS ziņojuma pārraides statuss. Ja ziņojums ir nosÅ«tÄ«ts/saņemts, tad tā vērtÄ«ba ir ā€œ0ā€
ZMESSAGETYPE pārsūtāmā ziņojuma veids
ZSORT nav zināms
ZSPOTLIGHSTATUS nav zināms
ZSTARRED nav zināms, nav lietots
ZCHATSESSION nav zināms
ZGRUPAS biedrs nav zināms, nav lietots
ZLASTSESIJA nav zināms
ZMEDIAITEM nav zināms
ZMESSAGEINFO nav zināms
ZPARENTZIŅOJUMS nav zināms, nav lietots
ZMESSAGEDATE laika zīmogs OS X Epoch Time formātā
ZSENTDATE laiks, kad ziņojums tika nosūtīts OS X Epoch Time formātā
ZFROMJID WhatsApp sūtītāja ID
ZMEDIASECTIONID satur multivides faila nosÅ«tÄ«Å”anas gadu un mēnesi
ZPHASH nav zināms, nav lietots
ZPUSHPAME tās kontaktpersonas vārds, kura nosūtīja multivides failu UTF-8 formātā
ZSTANZID unikāls ziņojuma identifikators
ZTEXT Ziņas teksts
ZTOJID Saņēmēja WhatsApp ID
OFFSET aizspriedums

Galda izskats ā€œZWAMEDIAITEMā€:

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Tabulas 'ZWAMEDIAITEM' struktūra

Lauka nosaukums Vērtība
Z_PK ieraksta kārtas numurs (SQL tabulā)
Z_ENT tabulas identifikators, ir vērtība "8"
Z_OPT nezināms, parasti satur vērtÄ«bas no ā€œ1ā€ lÄ«dz ā€œ3ā€.
ZCLOUDSTATUS satur vērtÄ«bu ā€œ4ā€, ja fails ir ielādēts.
ZFILESIZE satur lejupielādēto failu faila garumu (baitos).
ZMEDIAORIGIN nezināms, parasti ir vērtÄ«ba ā€œ0ā€
ZMOVIEDURATION multivides faila ilgums, pdf failiem var būt dokumenta lappuŔu skaits
ZZIŅA satur sērijas numuru (numurs atŔķiras no ailē ā€œZ_PKā€ norādÄ«tā)
ZASPECTRATIO malu attiecÄ«ba, netiek izmantota, parasti iestatÄ«ta uz ā€œ0ā€
ZHAPRECIZITĀTE nezināms, parasti ir vērtÄ«ba ā€œ0ā€
ZLATTITUDE platums pikseļos
ZLONGTITUDE augstums pikseļos
ZMEDIAURLDATE laika zīmogs OS X Epoch Time formātā
ZAUTORNAME autors (dokumentiem var būt faila nosaukums)
ZCOLLECTIONNAME nav izmantots
ZMEDIALOCALPATH faila nosaukums (ieskaitot ceļu) ierīces failu sistēmā
ZMEDIAURL URL, kurā atradās multivides fails. Ja fails tika pārsÅ«tÄ«ts no viena abonenta citam, tas tika Å”ifrēts un tā paplaÅ”inājums tiks norādÄ«ts kā pārsÅ«tÄ«tā faila paplaÅ”inājums - .enc
ZTHUMBNAILLOCALPATH ceļŔ uz faila sÄ«ktēlu ierÄ«ces failu sistēmā
ZTITLE faila galvene
ZVCARDNAME multivides faila hash; pārsūtot failu uz grupu, tajā var būt ietverts sūtītāja identifikators
ZVCARDSTRING satur informāciju par pārsūtāmā faila veidu (piemēram, attēls/jpeg); pārsūtot failu grupai, tajā var būt adresāta identifikators
ZXMPPTHUMBPATH ceļŔ uz faila sÄ«ktēlu ierÄ«ces failu sistēmā
ZMEDIAKEY nezināms, iespējams, satur atslēgu Å”ifrētā faila atÅ”ifrÄ“Å”anai.
ZMETADATA pārsūtītā ziņojuma metadati
Kompensācija aizspriedums

Citas interesantas datu bāzes tabulas "ChatStorage.sqlite" ir:

  • "ZWAPROFILEPUSHNAME". Atbilst WhatsApp ID kontaktpersonas vārdam;
  • "ZWAPROFILEPICTUREITEM". Atbilst WhatsApp ID kontaktpersonas iemiesojumam;
  • "Z_PRIMARYKEY". Tabulā ir vispārÄ«ga informācija par Å”o datu bāzi, piemēram, kopējais saglabāto ziņojumu skaits, kopējais tērzÄ“Å”anas sarunu skaits utt.

Turklāt, pārbaudot WhatsApp mobilajā ierÄ«cē, kurā darbojas iOS, jums jāpievērÅ” uzmanÄ«ba Ŕādiem failiem:

  • fails "BackedUpKeyValue.sqlite". Satur kriptogrāfiskās atslēgas un citus datus, kas nepiecieÅ”ami konta Ä«paÅ”nieka identificÄ“Å”anai. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fails "ContactsV2.sqlite". Satur informāciju par lietotāja kontaktpersonām, piemēram, pilnu vārdu, tālruņa numuru, kontaktpersonas statusu (teksta formā), WhatsApp ID utt. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fails 'consumer_version'. Satur instalētās WhatsApp lietojumprogrammas versijas numuru. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fails 'current_wallpaper.jpg'. Satur paÅ”reizējo WhatsApp fona tapeti. Atrodas gar taku: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Vecākās lietojumprogrammas versijās tiek izmantots fails 'tapetes', kas atrodas gar taku: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • fails 'blockedcontacts.dat'. Satur informāciju par bloķētajiem kontaktiem. Atrodas gar taku: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • fails 'pw.dat'. Satur Å”ifrētu paroli. Atrodas gar taku: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • fails "net.whatsapp.WhatsApp.plist" (vai failu "group.net.whatsapp.WhatsApp.shared.plist"). Satur informāciju par jÅ«su WhatsApp konta profilu. Fails atrodas gar ceļu: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Faila ā€œgroup.net.whatsapp.WhatsApp.shared.plistā€ saturs WhatsApp jÅ«su plaukstā: kur un kā atrast kriminālistikas artefaktus?
Jums arÄ« jāpievērÅ” uzmanÄ«ba Ŕādiem direktorijiem:

  • Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Satur kontaktpersonu, grupu sÄ«ktēlus (failus ar paplaÅ”inājumu .Ä«kŔķis), sazinieties ar iemiesojumiem, WhatsApp konta Ä«paÅ”nieka iemiesojumu (fails "Foto.jpg").
  • Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Satur multivides failus un to sÄ«ktēlus
  • Katalogs '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Satur programmas darbÄ«bas žurnālu (fails 'calls.log') un programmas darbÄ«bas žurnālu rezerves kopijas (fails "calls.backup.log").
  • Katalogs '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Satur uzlÄ«mes (failus formātā ".webp").
  • Katalogs '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Satur programmas darbÄ«bas žurnālus.

WhatsApp artefakti operētājsistēmā Windows

WhatsApp artefaktus operētājsistēmā Windows var atrast vairākās vietās. Pirmkārt, tie ir direktoriji, kuros ir izpildāmie un palīgprogrammu faili (operētājsistēmai Windows 8/10):

  • "C:Program Files (x86)WhatsApp"
  • "C:Users%Lietotāja profils% AppDataLocalWhatsApp"
  • "C:Users%Lietotāja profils% AppDataLocalVirtualStore programmas faili (x86)WhatsApp"

Katalogā "C:Users%Lietotāja profils% AppDataLocalWhatsApp" atrodas žurnālfails "SquirrelSetup.log", kurā ir informācija par atjauninājumu pārbaudi un programmas instalÄ“Å”anu.

Katalogā "C:Users%Lietotāja profils% AppDataRoamingWhatsApp" Ir vairāki apakŔdirektoriji:

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
fails "main-process.log" satur informāciju par WhatsApp programmas darbību.

ApakÅ”direktorijs "datu bāzes" satur failu 'Databases.db', taču Å”ajā failā nav informācijas par tērzÄ“Å”anu vai kontaktpersonām.

Visinteresantākie no kriminālistikas viedokļa ir faili, kas atrodas direktorijā "keÅ”atmiņa". Tie bÅ«tÄ«bā ir faili ar nosaukumiem 'f_********' (kur * ir skaitlis no 0 lÄ«dz 9), kas satur Å”ifrētus multivides failus un dokumentus, taču starp tiem ir arÄ« neÅ”ifrēti faili. ÄŖpaÅ”i interesanti ir faili 'data_0', 'data_1', 'data_2', 'data_3', kas atrodas tajā paŔā apakÅ”direktorijā. Faili 'data_0', 'data_1', 'data_3' satur ārējās saites uz pārsÅ«tÄ«tajiem Å”ifrētajiem multivides failiem un dokumentiem.

Informācijas piemērs failā "data_1"WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Arī fails 'data_3' var saturēt grafiskos failus.

fails 'data_2' satur kontaktpersonu iemiesojumus (var atjaunot, meklējot pēc failu galvenēm).

Failā ietvertie iemiesojumi 'data_2':

WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
Tādējādi paÅ”as tērzÄ“Å”anas sarunas nevar atrast datora atmiņā, taču varat atrast:

  • multivides faili;
  • dokumenti, kas pārsÅ«tÄ«ti caur WhatsApp;
  • informācija par konta Ä«paÅ”nieka kontaktpersonām.

WhatsApp artefakti operētājsistēmā MacOS

Operētājsistēmā MacOS varat atrast WhatsApp artefaktu veidus, kas ir līdzīgi tiem, kas atrodami operētājsistēmā Windows OS.

Programmas faili atrodas Ŕādos direktorijos:

  • "C:ApplicationsWhatsApp.app"
  • "C:Applications._WhatsApp.app"
  • "C:Users%Lietotāja profils%LibraryPreferences"
  • "C:Users%Lietotāja profils%LibraryLogsWhatsApp"
  • "C:Users%Lietotāja profils%LibrarySaved Application StateWhatsApp.savedState"
  • "C:Users%Lietotāja profils%Bibliotēkas lietojumprogrammu skripti"
  • "C:Users%Lietotāja profils%LibraryApplication SupportCloudDocs"
  • "C:Users%Lietotāja profils%LibraryApplication SupportWhatsApp.ShipIt"
  • "C:Users%Lietotāja profils%LibraryContainerscom.rockysandstudio.app-for-whatsapp"
  • "C:Users%Lietotāja profils% Bibliotēka Mobilie dokumenti <teksta mainÄ«gais> WhatsApp konti"
    Å ajā direktorijā ir apakÅ”direktoriji, kuru nosaukumi ir tālruņa numuri, kas saistÄ«ti ar WhatsApp konta Ä«paÅ”nieku.
  • "C:Users%Lietotāja profils%LibraryCachesWhatsApp.ShipIt"
    Å ajā direktorijā ir informācija par programmas instalÄ“Å”anu.
  • "C:Users%Lietotāja profils%PicturesiPhoto Library.photolibraryMasters", "C:Users%Lietotāja profils%PicturesiPhoto Library.photolibraryThumbnails"
    Šajos direktorijos ir ietverti programmas pakalpojumu faili, tostarp WhatsApp kontaktpersonu fotoattēli un sīktēli.
  • "C:Users%Lietotāja profils%LibraryCachesWhatsApp"
    Å ajā direktorijā ir vairākas SQLite datu bāzes, kas tiek izmantotas datu saglabāŔanai keÅ”atmiņā.
  • "C:Users%Lietotāja profils%LibraryApplication SupportWhatsApp"
    Šajā direktorijā ir vairāki apakŔdirektoriji:

    WhatsApp jūsu plaukstā: kur un kā atrast kriminālistikas artefaktus?
    Katalogā "C:Users%Lietotāja profils%LibraryApplication SupportWhatsAppCache" ir faili 'data_0', 'data_1', 'data_2', 'data_3' un faili ar nosaukumiem 'f_********' (kur * ir skaitlis no 0 lÄ«dz 9). Lai iegÅ«tu informāciju par to, kāda informācija ir Å”ajos failos, skatiet sadaļu WhatsApp artefakti operētājsistēmā Windows.

    Katalogā "C:Users%Lietotāja profils%LibraryApplication SupportWhatsAppIndexedDB" var saturēt multivides failus (failiem nav paplaÅ”inājumu).

    fails "main-process.log" satur informāciju par WhatsApp programmas darbību.

avoti

  1. WhatsApp Messenger kriminālistikas analīze Android viedtālruņos, kosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistēmas berkas un bāzes dati Android un iOS aplikācijā, ko izveidoja Ahmads Pratama, 2014. gads.

Å ajos Ŕīs sērijas rakstos:

Å ifrētu WhatsApp datu bāzu atÅ”ifrÄ“Å”anaRaksts, kas sniegs informāciju par to, kā tiek Ä£enerēta WhatsApp Å”ifrÄ“Å”anas atslēga, un praktiski piemēri, kas parāda, kā atÅ”ifrēt Ŕīs lietojumprogrammas Å”ifrētās datu bāzes.
WhatsApp datu iegÅ«Å”ana no mākoņa krātuvesRaksts, kurā mēs jums pateiksim, kādi WhatsApp dati tiek glabāti mākoņos, un aprakstÄ«sim metodes Å”o datu izgÅ«Å”anai no mākoņkrātuvēm.
WhatsApp datu ieguve: praktiski piemēriRaksts, kurā soli pa solim tiks aprakstīts, kādas programmas un kā iegūt WhatsApp datus no dažādām ierīcēm.

Avots: www.habr.com

Pievieno komentāru