ProHoster > blog > aħbarijiet fuq l-internet > WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

Jekk trid tkun taf liema tipi ta 'artifacts forensiċi WhatsApp jeżistu fuq sistemi operattivi differenti u fejn eżattament jistgħu jinstabu, allura dan huwa l-post għalik. Dan l-artikolu huwa minn speċjalista fil-Laboratorju tal-Forensika tal-Kompjuter tal-Grupp-IB Igor Mikhailov jibda sensiela ta’ postijiet dwar il-forensika ta’ WhatsApp u x’informazzjoni tista’ tinkiseb mill-analiżi tal-apparat.

Ejja immedjatament ninnotaw li sistemi operattivi differenti jaħżnu tipi differenti ta 'artifacts WhatsApp, u jekk riċerkatur jista' estratt ċerti tipi ta 'data WhatsApp minn apparat wieħed, dan ma jfissirx li tipi simili ta' data jistgħu jiġu estratti minn apparat ieħor. Pereżempju, jekk titneħħa unità tas-sistema li taħdem bil-Windows OS, iċ-chats ta' WhatsApp probabbilment ma jinstabux fuq id-diski tagħha (bl-eċċezzjoni ta' kopji ta' backup ta' apparati iOS, li jistgħu jinstabu fuq l-istess drives). Il-qbid ta' laptops u apparat mobbli se jkollu l-karatteristiċi tiegħu stess. Ejja nitkellmu dwar dan f'aktar dettall.

Artifatti WhatsApp f'apparat Android

Sabiex jiġu estratti l-artifatti ta' WhatsApp minn apparat Android, ir-riċerkatur għandu jkollu drittijiet ta' superutent ('għerq') fuq l-apparat li qed jiġi investigat jew ikun jista’ b’xi mod ieħor estratt dump tal-memorja fiżika tal-apparat, jew is-sistema tal-fajls tiegħu (pereżempju, bl-użu ta’ vulnerabbiltajiet tas-softwer ta’ apparat mobbli speċifiku).

Il-fajls tal-applikazzjoni jinsabu fil-memorja tat-telefon fit-taqsima li fiha tiġi ssejvjata d-dejta tal-utent. Bħala regola, din it-taqsima hija msemmija 'data tal-utent'. Is-sottodirettorji u l-fajls tal-programmi jinsabu tul il-mogħdija: '/data/data/com.whatsapp/'.

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Il-fajls ewlenin li fihom artifacts forensiċi WhatsApp fl-OS Android huma databases 'wa.db' и 'msgstore.db'.

Fid-database 'wa.db' fih il-lista sħiħa ta’ kuntatti ta’ utent ta’ WhatsApp, inkluż in-numru tat-telefon, l-isem tal-wiri, it-timbru tal-ħin, u kwalunkwe informazzjoni oħra pprovduta waqt li tirreġistra għal WhatsApp. Fajl 'wa.db' jinsab tul il-mogħdija: '/data/data/com.whatsapp/databases/' u għandu l-istruttura li ġejja:

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
L-aktar tabelli interessanti fid-database 'wa.db' għar-riċerkatur huma:

  • 'wa_contacts'
    Din it-tabella fiha informazzjoni ta' kuntatt: id-kuntatt ta' WhatsApp, informazzjoni dwar l-istatus, isem tal-wiri tal-utent, timestamps, eċċ.

    Dehra tal-mejda:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
    Struttura tal-mejda

    Isem il-qasam Valur
    _id in-numru tas-sekwenza tar-rekords (fit-tabella SQL)
    jid ID ta' kuntatt ta' WhatsApp, miktuba fil-format <numru tat-telefon>@s.whatsapp.net
    is_whatsapp_user fih '1' jekk il-kuntatt jikkorrispondi għal utent attwali ta' WhatsApp, '0' inkella
    status fih it-test muri fl-istatus tal-kuntatt
    status_timestamp fih timestamp fil-format Unix Epoch Time (ms).
    numru numru tat-telefon assoċjat mal-kuntatt
    raw_contact_id ikkuntattja numru tas-serje
    display_name ikkuntattja l-isem tal-wiri
    phone_type tip tat-telefon
    phone_label tikketta assoċjata man-numru tal-kuntatt
    unseen_msg_count numru ta’ messaġġi li ntbagħtu minn kuntatt iżda ma nqrawx mir-riċevitur
    photo_ts fih timestamp fil-format Unix Epoch Time
    thumb_ts fih timestamp fil-format Unix Epoch Time
    photo_id_timestamp fih timestamp fil-format Unix Epoch Time (ms).
    isem il-valur tal-qasam jaqbel ma' 'display_name' għal kull kuntatt
    wa_name Isem tal-kuntatt WhatsApp (jiġi muri l-isem speċifikat fil-profil tal-kuntatt)
    issortja isem isem ta' kuntatt użat f'operazzjonijiet ta' sort
    laqam il-laqam tal-kuntatt f'WhatsApp (il-laqam speċifikat fil-profil tal-kuntatt jintwera)
    kumpanija kumpanija (il-kumpanija speċifikata fil-profil tal-kuntatt hija murija)
    titolu titolu (Ms./Mr.; it-titlu kkonfigurat fil-profil tal-kuntatt jintwera)
    offset preġudizzju
  • 'sqlite_sequence'
    Din it-tabella fiha informazzjoni dwar in-numru ta' kuntatti;
  • 'android_metadata'
    Din it-tabella fiha informazzjoni dwar il-lokalizzazzjoni tal-lingwa WhatsApp.

Fid-database 'msgstore.db' fih informazzjoni dwar messaġġi mibgħuta, bħal numru tal-kuntatt, test tal-messaġġ, status tal-messaġġ, timestamps, dettalji tal-fajls trasferiti inklużi fil-messaġġi, eċċ. Fajl 'msgstore.db' jinsab tul il-mogħdija: '/data/data/com.whatsapp/databases/' u għandu l-istruttura li ġejja:

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
L-aktar tabelli interessanti fil-fajl 'msgstore.db' għar-riċerkatur huma:

  • 'sqlite_sequence'
    Din it-tabella fiha informazzjoni ġenerali dwar din id-database, bħan-numru totali ta’ messaġġi maħżuna, in-numru totali ta’ chats, eċċ.

    Dehra tal-mejda:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

  • 'message_fts_content'
    Fih it-test tal-messaġġi mibgħuta.

    Dehra tal-mejda:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

  • 'messaġġi'
    Din it-tabella fiha informazzjoni bħal numru ta' kuntatt, test tal-messaġġ, status tal-messaġġ, timestamps, informazzjoni dwar fajls trasferiti inklużi fil-messaġġi.

    Dehra tal-mejda:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
    Struttura tal-mejda

    Isem il-qasam Valur
    _id in-numru tas-sekwenza tar-rekords (fit-tabella SQL)
    key_remote_jid WhatsApp ID tas-sieħeb tal-komunikazzjoni
    key_from_me direzzjoni tal-messaġġ: '0' - deħlin, '1' - ħerġin
    key_id identifikatur uniku tal-messaġġ
    status status tal-messaġġ: '0' - ikkonsenjat, '4' - stennija fuq is-server, '5' - riċevut fid-destinazzjoni, '6' - messaġġ ta' kontroll, '13' - messaġġ miftuħ mir-riċevitur (aqra)
    bżonn_push għandu l-valur '2' jekk ikun messaġġ ta' xandir, inkella fih '0'
    data test tal-messaġġ (meta l-parametru 'media_wa_type' huwa '0')
    timestamp fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat
    media_url fih il-URL tal-fajl trasferit (meta l-parametru 'media_wa_type' huwa '1', '2', '3')
    media_mime_type Tip MIME tal-fajl trasferit (meta l-parametru 'media_wa_type' huwa ugwali għal '1', '2', '3')
    media_wa_type tip ta' messaġġ: '0' - test, '1' - fajl grafiku, '2' - fajl awdjo, '3' - fajl tal-vidjo, '4' - karta tal-kuntatt, '5' - ġeodata
    media_size daqs tal-fajl trasferit (meta l-parametru 'media_wa_type' huwa '1', '2', '3')
    isem_midja isem il-fajl trasferit (meta l-parametru 'media_wa_type' huwa '1', '2', '3')
    media_caption Fih il-kliem 'awdjo', 'video' għall-valuri korrispondenti tal-parametru 'media_wa_type' (meta l-parametru 'media_wa_type' huwa '1', '3')
    media_hash hash kodifikat base64 tal-fajl trażmess, ikkalkulat bl-użu tal-algoritmu HAS-256 (meta l-parametru 'media_wa_type' huwa ugwali għal '1', '2', '3')
    media_duration tul ta' żmien f'sekondi għall-fajl tal-midja (meta 'media_wa_type' huwa '1', '2', '3')
    oriġini għandu l-valur '2' jekk ikun messaġġ ta' xandir, inkella fih '0'
    latitudni ġeodata: latitudni (meta l-parametru 'media_wa_type' huwa '5')
    lonġitudni ġeodata: lonġitudni (meta l-parametru 'media_wa_type' huwa '5')
    thumb_image informazzjoni dwar is-servizz
    riżors_remot ID tal-mittent (għal chats tal-grupp biss)
    riċevut_timestamp ħin tar-riċevuta, fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat (meta l-parametru 'key_from_me' ikollu '0', '-1' jew valur ieħor)
    send_timestamp mhux użat, normalment ikollu l-valur '-1'
    receipt_server_timestamp ħin riċevut mis-server ċentrali, fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat (meta l-parametru 'key_from_me' ikollu '1', '-1' jew valur ieħor
    receipt_device_timestamp ħin li l-messaġġ wasal minn abbonat ieħor, fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat (meta l-parametru 'key_from_me' ikollu '1', '-1' jew valur ieħor
    read_device_timestamp ħin tal-ftuħ (qari) tal-messaġġ, fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat
    played_device_timestamp ħin tal-qari tal-messaġġ, fih timestamp fil-format Unix Epoch Time (ms), il-valur jittieħed mill-arloġġ tal-apparat
    data_prima thumbnail tal-fajl trasferit (meta l-parametru 'media_wa_type' huwa '1' jew '3')
    recipient_count numru ta' riċevituri (għall-messaġġi mxandra)
    participant_hash użat meta jittrasmettu messaġġi b'geodata
    starred mhux użat
    quoted_row_id mhux magħruf, normalment ikun fih il-valur '0'
    mentioned_jids mhux użat
    multicast_id mhux użat
    offset preġudizzju

    Din il-lista ta' oqsma mhijiex eżawrjenti. Għal verżjonijiet differenti ta' WhatsApp, xi oqsma jistgħu jkunu preżenti jew assenti. Barra minn hekk, oqsma jistgħu jkunu preżenti 'media_enc_hash', 'edit_version', 'id_transazzjoni_pagament' eċċ

  • 'messages_thumbnails'
    Din it-tabella fiha informazzjoni dwar stampi u timestamp trasferiti. Fil-kolonna 'timestamp', il-ħin huwa indikat fil-format Unix Epoch Time (ms).
  • 'chat_list'
    Din it-tabella fiha informazzjoni dwar iċ-chats.

    Dehra tal-mejda:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

Ukoll, meta teżamina WhatsApp fuq apparat mobbli li jħaddem Android, għandek tagħti attenzjoni lill-fajls li ġejjin:

  • fajl 'msgstore.db.cryptXX' (fejn XX hija waħda jew żewġ ċifri minn 0 sa 12, pereżempju, msgstore.db.crypt12). Fih backup kriptat tal-messaġġi WhatsApp (fajl ta’ backup msgstore.db). Fajl(i) 'msgstore.db.cryptXX' jinsab tul il-mogħdija: '/data/media/0/WhatsApp/Databases/' (karta SD virtwali), '/mnt/sdcard/WhatsApp/Databases/ (karta SD fiżika)”.
  • fajl 'ċavetta'. Fih ċavetta kriptografika. Jinsabu tul il-mogħdija: '/data/data/com.whatsapp/files/'. Użat biex jiddekripta backups WhatsApp encrypted.
  • fajl 'com.whatsapp_preferences.xml'. Fih informazzjoni dwar il-profil tal-kont tiegħek WhatsApp. Il-fajl jinsab tul il-mogħdija: '/data/data/com.whatsapp/shared_prefs/'.

    Framment tal-kontenut tal-fajl

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • fajl 'reġistrazzjoni.RegisterPhone.xml'. Fih informazzjoni dwar in-numru tat-telefon assoċjat mal-kont WhatsApp. Il-fajl jinsab tul il-mogħdija: '/data/data/com.whatsapp/shared_prefs/'.

    Kontenut tal-fajl 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • fajl 'axolotl.db'. Fih ċwievet kriptografiċi u data oħra li huma meħtieġa biex jiġi identifikat is-sid tal-kont. Jinsabu tul il-mogħdija: '/data/data/com.whatsapp/databases/'.
  • fajl 'chatsettings.db'. Fih informazzjoni dwar il-konfigurazzjoni tal-applikazzjoni.
  • fajl 'wa.db'. Fih id-dettalji ta' kuntatt. Database interessanti ħafna (minn aspett forensiku) u informattiv. Jista 'jkun fih informazzjoni dettaljata dwar kuntatti mħassra.

Għandek bżonn ukoll tagħti attenzjoni lid-direttorji li ġejjin:

  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Fih fajls grafiċi trasferiti.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Fih messaġġi bil-vuċi f'fajls tal-format .OPUS.
  • Directory '/data/data/com.whatsapp/cache/Profile Pictures/'. Fih fajls grafiċi – immaġini ta’ kuntatti.
  • Directory '/data/data/com.whatsapp/files/Avatars/'. Fih fajls grafiċi – immaġini miniaturi tal-kuntatti. Dawn il-fajls għandhom estensjoni '.j' iżda huma madankollu fajls tal-immaġni JPEG (JPG).
  • Directory '/data/data/com.whatsapp/files/Avatars/'. Fih fajls grafiċi - immaġini u thumbnail tal-immaġni stabbiliti bħala avatar mis-sid tal-kont.
  • Directory '/data/data/com.whatsapp/files/Logs/'. Fih il-log tal-operat tal-programm (fajl 'whatsapp.log') u kopji ta' backup tar-logs tal-operat tal-programm (fajls b'ismijiet fil-format whatsapp-ssss-mm-jj.1.log.gz).

Fajls tal-Log WhatsApp:

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Framment tal-ġurnal2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] notifika tas-sejħa mitlufa/għadd ta' bidu:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] notifika/aġġornament tas-sejħa mitlufa tikkanċella veru
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] fajl tal-password nieqes jew ma jistax jinqara
2017-01-10 09:37:09.782 LL_I D [1:main] statistika Messaġġi: 59 mibgħuta, 82 riċevuti / Messaġġi tal-Midja: 1 mibgħuta (0 bytes), 0 riċevuti (9850158 bytes) / Messaġġi Offline: 81 riċevuti ( 19522 msec dewmien medju) / Servizz ta 'Messaġġi: 116075 bytes mibgħuta, 211729 bytes riċevuti / Sejħiet Voip: 1 sejħiet ħerġin, 0 sejħiet deħlin, 2492 bytes mibgħuta, 1530 bytes riċevuti / Google Drive: 0 bytes mibgħuta, 0 bytes riċevuti / Roaming: . bytes mibgħuta, 1524 bytes riċevuti / Total Data: 1826 bytes mibgħuta, 118567 bytes riċevuti
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | ħin mgħoddi:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Ħaddiem #3] media-state-manager/refresh-media-state/internal-storage disponibbli:1,345,622,016 total:5,687,922,688

  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Fih il-fajls awdjo riċevuti.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Fih fajls awdjo mibgħuta.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Fih il-fajls grafiċi li jirriżultaw.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Fih fajls grafiċi mibgħuta.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Fih fajls tal-vidjo riċevuti.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Fih fajls tal-vidjo mibgħuta.
  • Directory '/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/'. Fih fajls grafiċi assoċjati mas-sid tal-kont WhatsApp.
  • Biex tiffranka l-ispazju tal-memorja fuq l-ismartphone Android tiegħek, xi dejta ta’ WhatsApp tista’ tinħażen fuq karta SD. Fuq il-karta SD, fid-direttorju tal-għeruq, hemm direttorju 'Whatsapp', fejn jistgħu jinstabu l-artifacts li ġejjin ta 'dan il-programm:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

  • Directory '.Share' ('/mnt/sdcard/WhatsApp/.Share/'). Fih kopji ta' fajls li ġew kondiviżi ma' utenti oħra ta' WhatsApp.
  • Directory '.trash' ('/mnt/sdcard/WhatsApp/.trash/'). Fih fajls imħassra.
  • Directory 'Databases' ('/mnt/sdcard/WhatsApp/Databases/'). Fih backups encrypted. Jistgħu jiġu decrypted jekk il-fajl ikun preżenti 'ċavetta', estratt mill-memorja tal-apparat analizzat.

    Fajls li jinsabu f'subdirectory 'Databases':

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?

  • Directory 'Nofs' ('/mnt/sdcard/WhatsApp/Media/'). Fih subdirettorji 'WallPaper', 'Awdjo WhatsApp', 'Immaġini ta' WhatsApp', 'Ritratti tal-Profil ta' WhatsApp', 'WhatsApp Video', 'Noti tal-Vuċi WhatsApp', li fihom fajls multimedjali riċevuti u trażmessi (fajls grafiċi, fajls tal-vidjo, messaġġi bil-vuċi, ritratti assoċjati mal-profil tas-sid tal-kont WhatsApp, wallpapers).
  • Directory 'Stampi tal-Profil' ('/mnt/sdcard/WhatsApp/Stampi tal-Profil/'). Fih fajls grafiċi assoċjati mal-profil tas-sid tal-kont WhatsApp.
  • Xi drabi jista 'jkun hemm direttorju preżenti fuq il-karta SD 'fajls' ('/mnt/sdcard/WhatsApp/Files/'). Dan id-direttorju fih fajls li jaħżnu l-issettjar tal-programm u l-preferenzi tal-utent.

Karatteristiċi tal-ħażna tad-data f'xi mudelli ta 'apparat mobbli

Xi mudelli ta' tagħmir mobbli li jħaddmu Android OS jistgħu jaħżnu artifacts WhatsApp f'post differenti. Dan huwa dovut għal bidliet fl-ispazju tal-ħażna tad-dejta tal-applikazzjoni mis-softwer tas-sistema tal-apparat mobbli. Pereżempju, l-apparati mobbli Xiaomi għandhom funzjoni għall-ħolqien tat-tieni spazju tax-xogħol ("SecondSpace"). Meta din il-funzjoni tiġi attivata, il-post tad-dejta jinbidel. Għalhekk, jekk f'apparat mobbli regolari li jħaddem id-dejta tal-utent Android OS tinħażen fid-direttorju '/data/user/0/' (li hija referenza għas-soltu '/data/data/'), imbagħad fit-tieni spazju tax-xogħol id-dejta tal-applikazzjoni tinħażen fid-direttorju '/data/user/10/'. Jiġifieri, billi tuża l-eżempju tal-post tal-fajl 'wa.db':

  • fi smartphone regolari li jħaddem Android OS: /data/user/0/com.whatsapp/databases/wa.db' (li huwa ekwivalenti '/data/data/com.whatsapp/databases/wa.db');
  • fit-tieni spazju tax-xogħol tal-ismartphone Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Artifacts WhatsApp f'apparat iOS

B'differenza Android OS, fl-iOS WhatsApp data applikazzjoni hija trasferita għal kopja backup (backup iTunes). Għalhekk, l-estrazzjoni tad-dejta minn din l-applikazzjoni ma teħtieġx l-estrazzjoni tas-sistema tal-fajls jew il-ħolqien ta 'dump tal-memorja fiżika tal-apparat taħt investigazzjoni. Ħafna mill-informazzjoni rilevanti tinsab fid-database 'ChatStorage.sqlite', li tinsab tul il-mogħdija: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (f'xi programmi din it-triq tidher bħala 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Struttura 'ChatStorage.sqlite':

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
L-aktar tabelli informattivi fid-database 'ChatStorage.sqlite' huma 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Dehra tal-mejda 'ZWAMESSAGE':

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Struttura tat-tabella 'ZWAMESSAGE'

Isem il-qasam Valur
Z_PK in-numru tas-sekwenza tar-rekords (fit-tabella SQL)
Z_ENT identifikatur tat-tabella, għandu l-valur '9'
Z_OPT mhux magħruf, ġeneralment ikun fih valuri minn '1' sa '6'
ZMESSAĠĠI GĦAT-TFAL MISSOTT mhux magħruf, normalment ikun fih il-valur '0'
ZCHILDMESSAGESPLAYEDCOUNT mhux magħruf, normalment ikun fih il-valur '0'
ZCHILDMESSAGES READCOUNT mhux magħruf, normalment ikun fih il-valur '0'
ZDATAITEMVERSION mhux magħruf, normalment ikun fih il-valur '3', probabbilment indikatur ta' messaġġ ta' test
ZDOCID mhux magħruf
ZENCRETRYCOUNT mhux magħruf, normalment ikun fih il-valur '0'
ZFILTEREDRECIPIENTCOUNT mhux magħruf, ġeneralment ikun fih il-valuri '0', '2', '256'
ZISFROMME direzzjoni tal-messaġġ: '0' - deħlin, '1' - ħerġin
ZMESSAGEERRORSTATUS status tat-trażmissjoni tal-messaġġ. Jekk il-messaġġ jintbagħat/riċevut, allura għandu l-valur '0'
ZMESSAGETYPE tip ta' messaġġ li qed jiġi trażmess
ZSORT mhux magħruf
ZSPOTLIGHSTATUS mhux magħruf
ZSTARRED mhux magħruf, mhux użat
ZCHATSSESSION mhux magħruf
ZGROUPMEMBER mhux magħruf, mhux użat
ZLASTSESSION mhux magħruf
ZMEDIAITEM mhux magħruf
ZMESSAGEINFO mhux magħruf
ZPARENTMESSAGE mhux magħruf, mhux użat
ZMESSAGEDATE timestamp fil-format OS X Epoch Time
ZSENTDATE ħin li l-messaġġ intbagħat fil-format OS X Epoch Time
ZFROMJID WhatsApp Sender ID
ZMEDIASECTIONID fih is-sena u x-xahar li fih intbagħat il-fajl tal-midja
ZPHASH mhux magħruf, mhux użat
ZPUSHPAME isem il-kuntatt li bagħat il-fajl tal-midja fil-format UTF-8
ZSTANZID identifikatur uniku tal-messaġġ
ZTEXT Test tal-messaġġ
ZTOJID ID WhatsApp tar-riċevitur
JIKKUMPENSAW preġudizzju

Dehra tal-mejda 'ZWAMEDIAITEM':

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Struttura tat-tabella 'ZWAMEDIAITEM'

Isem il-qasam Valur
Z_PK in-numru tas-sekwenza tar-rekords (fit-tabella SQL)
Z_ENT identifikatur tat-tabella, għandu l-valur '8'
Z_OPT mhux magħruf, ġeneralment ikun fih valuri minn '1' sa '3'.
ZCLOUDSTATUS fih il-valur '4' jekk il-fajl ikun mgħobbi.
ZFILESIZE fih it-tul tal-fajl (f'bytes) għall-fajls imniżżla
ZMEDIAORIGIN mhux magħruf, normalment ikollu l-valur '0'
ZMOVIEDURAZZJONI tul tal-fajl tal-midja, għall-fajls pdf jista 'jkun fihom in-numru ta' paġni tad-dokument
ZMESSAGE fih numru tas-serje (in-numru huwa differenti minn dak indikat fil-kolonna 'Z_PK')
ZASPECTRATIO proporzjon tal-aspett, mhux użat, normalment issettjat għal '0'
ZAKURAZ mhux magħruf, normalment ikollu l-valur '0'
ZLATTITUDNI wisa 'f'pixels
ZLONĠTITUDNI għoli f'pixels
ZMEDIAURLDATE timestamp fil-format OS X Epoch Time
ZAUTHORNAME awtur (għal dokumenti, jista' jkun fih l-isem tal-fajl)
ZCOLLECTIONNAME mhux użat
ZMEDIALOCALPATH isem tal-fajl (inkluż il-passaġġ) fis-sistema tal-fajl tal-apparat
ZMEDIAURL Il-URL fejn kien jinsab il-fajl tal-midja. Jekk fajl ġie trasferit minn abbonat għal ieħor, kien encrypted u l-estensjoni tiegħu tkun indikata bħala l-estensjoni tal-fajl trasferit - .enc
ZTHUMBNAILLOCALPATH mogħdija għall-minjatura tal-fajl fis-sistema tal-fajl tal-apparat
ZTITOLU header tal-fajl
ZVCARDNAME hash tal-fajl tal-midja meta jittrasferixxi l-fajl għal grupp, jista 'jkun fih l-identifikatur tal-mittent
ZVCARDSTRING fih informazzjoni dwar it-tip ta' fajl li qed jiġi trasferit (per eżempju, immaġni/jpeg meta jittrasferixxi fajl għal grupp, jista' jkun fih l-identifikatur tar-riċevitur);
ZXMPPTHUMBPATH mogħdija għall-minjatura tal-fajl fis-sistema tal-fajl tal-apparat
ZMEDIAKEY mhux magħruf, probabbilment fih iċ-ċavetta biex jiddeċifra l-fajl encrypted.
ZMETADATA metadata tal-messaġġ trażmess
Offset preġudizzju

Tabelli ta 'database oħra interessanti 'ChatStorage.sqlite' huma:

  • 'ZWAPROFILEPUSHNAME'. Tqabbel l-ID tal-WhatsApp mal-isem tal-kuntatt;
  • 'ZWAPROFILEPICTUREITEM'. Taqbel ma' WhatsApp ID ma' avatar ta' kuntatt;
  • 'Z_PRIMARYKEY'. It-tabella fiha informazzjoni ġenerali dwar din id-database, bħan-numru totali ta’ messaġġi maħżuna, in-numru totali ta’ chats, eċċ.

Ukoll, meta teżamina WhatsApp fuq apparat mobbli li jħaddem iOS, għandek tagħti attenzjoni lill-fajls li ġejjin:

  • fajl 'BackedUpKeyValue.sqlite'. Fih ċwievet kriptografiċi u data oħra li huma meħtieġa biex jiġi identifikat is-sid tal-kont. Jinsabu tul il-mogħdija: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fajl 'ContactsV2.sqlite'. Fih informazzjoni dwar il-kuntatti tal-utent, bħall-isem sħiħ, in-numru tat-telefon, l-istatus tal-kuntatt (f'forma ta' test), ID WhatsApp, eċċ. Jinsabu tul il-mogħdija: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fajl 'consumer_version'. Fih in-numru tal-verżjoni tal-applikazzjoni WhatsApp installata. Jinsabu tul il-mogħdija: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • fajl 'current_wallpaper.jpg'. Fih il-wallpaper tal-isfond attwali tal-WhatsApp. Jinsabu tul il-mogħdija: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Verżjonijiet eqdem tal-applikazzjoni jużaw il-fajl 'wallpaper', li tinsab tul il-mogħdija: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • fajl 'blockedcontacts.dat'. Fih informazzjoni dwar kuntatti imblukkati. Jinsabu tul il-mogħdija: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • fajl 'pw.dat'. Fih password encrypted. Jinsabu tul il-mogħdija: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • fajl 'net.whatsapp.WhatsApp.plist' (jew fajl 'group.net.whatsapp.WhatsApp.shared.plist'). Fih informazzjoni dwar il-profil tal-kont tiegħek WhatsApp. Il-fajl jinsab tul il-mogħdija: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Kontenut tal-fajl 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Għandek bżonn ukoll tagħti attenzjoni lid-direttorji li ġejjin:

  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Fih thumbnails ta' kuntatti, gruppi (fajls bl-estensjoni .il-kbir), ikkuntattja l-avatars, l-avatar tas-sid tal-kont WhatsApp (fajl 'Photo.jpg').
  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Fih fajls multimedjali u t-thumbnails tagħhom
  • Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Fih ir-reġistru tal-operat tal-programm (fajl 'calls.log') u kopji ta' backup tar-reġistri tal-operat tal-programm (fajl 'calls.backup.log').
  • Directory '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Fih stikers (fajls fil-format '.webp').
  • Directory '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Fih zkuk tal-operat tal-programm.

Artifacts WhatsApp fuq Windows

Artifacts WhatsApp fuq Windows jistgħu jinstabu f'diversi postijiet. L-ewwelnett, dawn huma direttorji li fihom fajls tal-programmi eżekutibbli u awżiljarji (għall-Windows 8/10):

  • 'C:Fajls tal-Programm (x86)WhatsApp'
  • 'C:Utenti% Profil tal-Utent% AppDataLocalWhatsApp'
  • 'C:Utenti% Profil tal-Utent% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

Fil-katalgu 'C:Utenti% Profil tal-Utent% AppDataLocalWhatsApp' il-log file jinsab 'SquirrelSetup.log', li fiha informazzjoni dwar l-iċċekkjar għall-aġġornamenti u l-installazzjoni tal-programm.

Fil-katalgu 'C:Utenti%Profil tal-Utent% AppDataRoamingWhatsApp' Hemm diversi sottodirettorji:

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
fajl 'main-process.log' fih informazzjoni dwar l-operat tal-programm WhatsApp.

Subdirettorju 'databases' fih fajl 'Databases.db', iżda dan il-fajl ma fih ebda informazzjoni dwar chats jew kuntatti.

L-aktar interessanti mil-lat forensiku huma l-fajls li jinsabu fid-direttorju 'Cache'. Dawn huma bażikament fajls msemmija 'f_*******' (fejn * huwa numru minn 0 sa 9) li fih fajls u dokumenti multimedjali kkodifikati, iżda hemm ukoll fajls mhux kriptati fosthom. Ta' interess partikolari huma l-fajls 'data_0', 'data_1', 'data_2', 'data_3', li tinsab fl-istess subdirettorju. Fajls 'data_0', 'data_1', 'data_3' fihom links esterni għal fajls u dokumenti multimedjali kkodifikati trażmessi.

Eżempju ta' informazzjoni li tinsab fil-fajl 'data_1'WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Wkoll fajl 'data_3' jista' jkun fih fajls grafiċi.

fajl 'data_2' fih avatars ta' kuntatt (jistgħu jiġu rrestawrati billi jfittxu mill-headers tal-fajls).

Avatars li jinsabu fil-fajl 'data_2':

WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
Għalhekk, iċ-chats infushom ma jistgħux jinstabu fil-memorja tal-kompjuter, iżda tista 'ssib:

  • Fajls multimedjali;
  • dokumenti trażmessi permezz ta' WhatsApp;
  • informazzjoni dwar il-kuntatti tas-sid tal-kont.

Artifatti WhatsApp fuq MacOS

Fil-MacOS tista 'ssib tipi ta' artifacts WhatsApp simili għal dawk misjuba fil-Windows OS.

Il-fajls tal-programm jinsabu fid-direttorji li ġejjin:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Utenti%User profile%LibraryPreferences'
  • 'C:Utenti%Profil tal-Utent%LibraryLogsWhatsApp'
  • 'C:Utenti%Profil tal-Utent%LibrarySaved Applikazzjoni StateWhatsApp.savedState'
  • 'C:Utenti%User profile%LibraryApplication Scripts'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Utenti%Profil tal-Utent%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Utenti%Profil tal-Utent%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Utenti%Profil tal-Utent% Librerija Dokumenti Mobbli <test varjabbli> Kontijiet WhatsApp'
    Dan id-direttorju fih sottodirettorji li l-ismijiet tagħhom huma numri tat-telefon assoċjati mas-sid tal-kont WhatsApp.
  • 'C:Utenti%Profil tal-Utent%LibraryCachesWhatsApp.ShipIt'
    Dan id-direttorju fih informazzjoni dwar l-installazzjoni tal-programm.
  • 'C:Utenti%Profil tal-Utent%PicturesiPhoto Library.photolibraryMasters', 'C:Utenti%Profil tal-Utent%PicturesiPhoto Library.photolibraryThumbnails'
    Dawn id-direttorji fihom fajls tas-servizz tal-programm, inklużi ritratti u thumbnails tal-kuntatti WhatsApp.
  • 'C:Utenti%Profil tal-Utent%LibraryCachesWhatsApp'
    Dan id-direttorju fih diversi databases SQLite li jintużaw għall-caching tad-dejta.
  • 'C:Utenti%Profil tal-Utent%LibraryApplication SupportWhatsApp'
    Dan id-direttorju fih diversi sottodirettorji:

    WhatsApp fil-keffa ta' idejk: fejn u kif tista' ssib artifatti forensiċi?
    Fil-katalgu 'C:Utenti%Profil tal-Utent%LibraryApplication SupportWhatsAppCache' hemm fajls 'data_0', 'data_1', 'data_2', 'data_3' u fajls bl-ismijiet 'f_*******' (fejn * huwa numru minn 0 sa 9). Għal informazzjoni dwar liema informazzjoni fihom dawn il-fajls, ara WhatsApp Artifacts fuq Windows.

    Fil-katalgu 'C:Utenti%Profil tal-Utent%LibraryApplication SupportWhatsAppIndexedDB' jista' jkun fih fajls multimedjali (fajls m'għandhomx estensjonijiet).

    fajl 'main-process.log' fih informazzjoni dwar l-operat tal-programm WhatsApp.

Sorsi

  1. Analiżi forensika ta' WhatsApp Messenger fuq smartphones Android, minn Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Esperti ta' sistema u data bażika għall-applikazzjoni ta' Android u iOS minn Ahmad Pratama, 2014.

Fl-artikoli li ġejjin f'din is-serje:

Id-deċifrar ta' databases ta' WhatsApp encryptedArtiklu li se jipprovdi informazzjoni dwar kif tiġi ġġenerata ċ-ċavetta ta’ encryption WhatsApp u eżempji prattiċi li juru kif jiġu dekriptjati d-databases encrypted ta’ din l-applikazzjoni.
L-estrazzjoni tad-data ta' WhatsApp mill-ħażna tas-sħabArtiklu li fih se ngħidulek x'dejta ta' WhatsApp hija maħżuna fis-sħab u niddeskrivu metodi biex tiġi rkuprata din id-dejta mill-ħażniet tas-sħab.
Estrazzjoni tad-Data WhatsApp: Eżempji PrattiċiArtiklu li se jiddeskrivi pass pass liema programmi u kif estratt data WhatsApp minn diversi apparati.

Sors: www.habr.com

Żid kumment