Hvis du vil vite hvilke typer WhatsApp rettsmedisinske artefakter som finnes på forskjellige operativsystemer og nøyaktig hvor de kan finnes, så er dette stedet for deg. Denne artikkelen er fra en spesialist ved Group-IB Computer Forensics Laboratory Igor Mikhailov starter en serie med innlegg om WhatsApp etterforskning og hvilken informasjon som kan fås ved å analysere enheten.
La oss umiddelbart merke oss at forskjellige operativsystemer lagrer forskjellige typer WhatsApp-artefakter, og hvis en forsker kan trekke ut visse typer WhatsApp-data fra én enhet, betyr ikke dette at lignende typer data kan trekkes ut fra en annen enhet. For eksempel, hvis en systemenhet som kjører Windows OS fjernes, vil WhatsApp-chatter sannsynligvis ikke bli funnet på diskene (med unntak av sikkerhetskopier av iOS-enheter, som kan finnes på de samme stasjonene). Beslagleggelsen av bærbare datamaskiner og mobile enheter vil ha sine egne egenskaper. La oss snakke om dette mer detaljert.
WhatsApp-artefakter på Android-enhet
For å trekke ut WhatsApp-artefakter fra en Android-enhet, må forskeren ha superbrukerrettigheter ('rot') på enheten som undersøkes eller på annen måte kunne trekke ut en fysisk minnedump av enheten eller filsystemet (for eksempel ved bruk av programvaresårbarheter til en spesifikk mobilenhet).
Applikasjonsfiler er plassert i telefonens minne i delen der brukerdata er lagret. Som regel er denne delen navngitt 'brukerdata'. Underkataloger og programfiler er plassert langs stien: '/data/data/com.whatsapp/'.
Hovedfilene som inneholder WhatsApp rettsmedisinske artefakter i Android OS er databaser 'wa.db' и 'msgstore.db'.
I databasen 'wa.db' inneholder den komplette kontaktlisten til en WhatsApp-bruker, inkludert telefonnummer, visningsnavn, tidsstempler og annen informasjon gitt mens du registrerer deg for WhatsApp. Fil 'wa.db' ligger langs stien: '/data/data/com.whatsapp/databases/' og har følgende struktur:
De mest interessante tabellene i databasen 'wa.db' for forskeren er:
- 'wa_contacts'
Denne tabellen inneholder kontaktinformasjon: WhatsApp-kontakt-ID, statusinformasjon, brukervisningsnavn, tidsstempler, etc.Bordutseende:
TabellstrukturFeltnavn Verdi _id postsekvensnummer (i SQL-tabell) jid WhatsApp-kontakt-ID, skrevet i formatet <telefonnummer>@s.whatsapp.net is_whatsapp_user inneholder '1' hvis kontakten tilsvarer en faktisk WhatsApp-bruker, ellers '0' status inneholder teksten som vises i kontaktstatusen status_tidsstempel inneholder et tidsstempel i Unix Epoch Time (ms)-format Antall telefonnummer knyttet til kontakten rå_kontakt_id kontakt serienummer DISPLAY_NAME kontaktens visningsnavn telefontype telefontype phone_label etikett knyttet til kontaktnummeret unseen_msg_count antall meldinger som ble sendt av en kontakt, men som ikke ble lest av mottakeren photo_ts inneholder et tidsstempel i Unix Epoch Time-format thumb_ts inneholder et tidsstempel i Unix Epoch Time-format photo_id_timestamp inneholder et tidsstempel i Unix Epoch Time (ms)-format fornavn feltverdien samsvarer med 'display_name' for hver kontakt wa_name WhatsApp-kontaktnavn (navnet spesifisert i kontaktens profil vises) sorteringsnavn kontaktnavn brukt i sorteringsoperasjoner kallenavn kontaktens kallenavn i WhatsApp (kallenavnet angitt i kontaktens profil vises) Selskapet selskap (selskapet spesifisert i kontaktens profil vises) tittel tittel (Ms./Mr.; tittel konfigurert i kontaktprofilen vises) offset partiskhet - 'sqlite_sequence'
Denne tabellen inneholder informasjon om antall kontakter; - 'android_metadata'
Denne tabellen inneholder informasjon om språklokalisering av WhatsApp.
I databasen 'msgstore.db' inneholder informasjon om sendte meldinger, for eksempel kontaktnummer, meldingstekst, meldingsstatus, tidsstempler, detaljer om overførte filer inkludert i meldinger, etc. Fil 'msgstore.db' ligger langs stien: '/data/data/com.whatsapp/databases/' og har følgende struktur:
De mest interessante tabellene i filen 'msgstore.db' for forskeren er:
- 'sqlite_sequence'
Denne tabellen inneholder generell informasjon om denne databasen, for eksempel totalt antall lagrede meldinger, totalt antall chatter osv.Bordutseende:
- 'message_fts_content'
Inneholder teksten til sendte meldinger.Bordutseende:
- 'meldinger'
Denne tabellen inneholder informasjon som kontaktnummer, meldingstekst, meldingsstatus, tidsstempler, informasjon om overførte filer inkludert i meldinger.Bordutseende:
TabellstrukturFeltnavn Verdi _id postsekvensnummer (i SQL-tabell) key_remote_jid WhatsApp-ID for kommunikasjonspartner nøkkel_fra_meg meldingsretning: '0' – innkommende, '1' – utgående key_id unik meldingsidentifikator status meldingsstatus: '0' – levert, '4' – venter på serveren, '5' – mottatt på destinasjon, '6' – kontrollmelding, '13' – melding åpnet av mottakeren (les) need_push har verdien '2' hvis det er en kringkastingsmelding, ellers inneholder '0' dato meldingstekst (når parameteren 'media_wa_type' er '0') tidsstempel inneholder et tidsstempel i Unix Epoch Time (ms)-format, er verdien hentet fra enhetens klokke media_url inneholder URL-en til den overførte filen (når parameteren 'media_wa_type' er '1', '2', '3') media_mime_type MIME-typen til den overførte filen (når parameteren 'media_wa_type' er lik '1', '2', '3') media_wa_type meldingstype: '0' - tekst, '1' - grafikkfil, '2' - lydfil, '3' - videofil, '4' - kontaktkort, '5' - geodata media_size størrelsen på den overførte filen (når parameteren 'media_wa_type' er '1', '2', '3') media_name navnet på den overførte filen (når parameteren 'media_wa_type' er '1', '2', '3') media_caption Inneholder ordene 'audio', 'video' for de tilsvarende verdiene for 'media_wa_type'-parameteren (når 'media_wa_type'-parameteren er '1', '3') media_hash base64-kodet hash for den overførte filen, beregnet ved hjelp av HAS-256-algoritmen (når parameteren 'media_wa_type' er lik '1', '2', '3') media_duration varighet i sekunder for mediefilen (når 'media_wa_type' er '1', '2', '3') opprinnelse har verdien '2' hvis det er en kringkastingsmelding, ellers inneholder '0' breddegrad geodata: breddegrad (når parameteren 'media_wa_type' er '5') lengdegrad geodata: lengdegrad (når parameteren 'media_wa_type' er '5') thumb_image tjenesteinformasjon ekstern_ressurs Avsender-ID (kun for gruppechatter) mottatt_tidsstempel mottakstidspunktet, inneholder et tidsstempel i Unix Epoch Time (ms)-format, verdien hentes fra enhetens klokke (når 'key_from_me'-parameteren har '0', '-1' eller annen verdi) send_tidsstempel ikke brukt, har vanligvis verdien '-1' receipt_server_timestamp tid mottatt av den sentrale serveren, inneholder et tidsstempel i Unix Epoch Time (ms)-format, verdien hentes fra enhetens klokke (når 'key_from_me'-parameteren har '1', '-1' eller annen verdi receipt_device_timestamp når meldingen ble mottatt av en annen abonnent, inneholder et tidsstempel i Unix Epoch Time (ms)-format, hentes verdien fra enhetens klokke (når 'key_from_me'-parameteren har '1', '-1' eller en annen verdi read_device_timestamp tidspunkt for åpning (lesing) av meldingen, inneholder et tidsstempel i Unix Epoch Time (ms) format, verdien er hentet fra enhetens klokke play_device_timestamp meldingsavspillingstid, inneholder et tidsstempel i Unix Epoch Time (ms) format, verdien er hentet fra enhetens klokke rådata miniatyrbilde av den overførte filen (når parameteren 'media_wa_type' er '1' eller '3') mottakerantall antall mottakere (for kringkastede meldinger) deltaker_hash brukes ved overføring av meldinger med geodata hovedrollen ikke brukt quoted_row_id ukjent, inneholder vanligvis verdien '0' nevnt_jids ikke brukt multicast_id ikke brukt offset partiskhet Denne listen over felt er ikke uttømmende. For forskjellige versjoner av WhatsApp kan noen felt være tilstede eller fraværende. I tillegg kan felt være tilstede 'media_enc_hash', 'edit_version', 'payment_transaction_id' etc.
- 'messages_thumbnails'
Denne tabellen inneholder informasjon om overførte bilder og tidsstempler. I 'tidsstempel'-kolonnen er tiden angitt i Unix Epoch Time (ms)-format. - 'chat_list'
Denne tabellen inneholder informasjon om chatter.Bordutseende:
Når du undersøker WhatsApp på en mobilenhet som kjører Android, bør du også være oppmerksom på følgende filer:
- fil 'msgstore.db.cryptXX' (hvor XX er ett eller to sifre fra 0 til 12, for eksempel msgstore.db.crypt12). Inneholder en kryptert sikkerhetskopi av WhatsApp-meldinger (sikkerhetskopieringsfil msgstore.db). Fil(er) 'msgstore.db.cryptXX' ligger langs stien: '/data/media/0/WhatsApp/Databases/' (virtuelt SD-kort), '/mnt/sdcard/WhatsApp/Databaser/ (fysisk SD-kort)'.
- fil 'nøkkel'. Inneholder en kryptografisk nøkkel. Ligger langs stien: '/data/data/com.whatsapp/files/'. Brukes til å dekryptere krypterte WhatsApp-sikkerhetskopier.
- fil 'com.whatsapp_preferences.xml'. Inneholder informasjon om WhatsApp-kontoprofilen din. Filen ligger langs stien: '/data/data/com.whatsapp/shared_prefs/'.
Filinnholdsfragment
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - fil 'registration.RegisterPhone.xml'. Inneholder informasjon om telefonnummeret knyttet til WhatsApp-kontoen. Filen ligger langs stien: '/data/data/com.whatsapp/shared_prefs/'.
Filinnhold
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - fil 'axolotl.db'. Inneholder kryptografiske nøkler og andre data som er nødvendige for å identifisere kontoeieren. Ligger langs stien: '/data/data/com.whatsapp/databases/'.
- fil 'chatsettings.db'. Inneholder applikasjonskonfigurasjonsinformasjon.
- fil 'wa.db'. Inneholder kontaktinformasjon. En veldig interessant (fra et rettsmedisinsk aspekt) og informativ database. Den kan inneholde detaljert informasjon om slettede kontakter.
Du må også være oppmerksom på følgende kataloger:
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Inneholder overførte grafikkfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Inneholder talemeldinger i .OPUS-formatfiler.
- Каталог '/data/data/com.whatsapp/cache/Profile Pictures/'. Inneholder grafikkfiler – bilder av kontakter.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Inneholder grafikkfiler – miniatyrbilder av kontakter. Disse filene har filtypen '.j', men er likevel JPEG (JPG) bildefiler.
- Каталог '/data/data/com.whatsapp/files/Avatars/'. Inneholder grafikkfiler - et bilde og et miniatyrbilde av bildet satt som en avatar av kontoeieren.
- Каталог '/data/data/com.whatsapp/files/Logs/'. Inneholder programdriftsloggen (filen 'whatsapp.log') og sikkerhetskopier av programdriftsloggene (filer med navn i formatet whatsapp-åååå-mm-dd.1.log.gz).
WhatsApp-loggfiler:
Journalfragment2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcall notification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcall notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] passordfil mangler eller er uleselig
2017-01-10 09:37:09.782 LL_I D [1:main] statistikk Tekstmeldinger: 59 sendt, 82 mottatt / Mediemeldinger: 1 sendt (0 bytes), 0 mottatt (9850158 bytes) / Offline meldinger: 81 mottatt ( 19522 msek gjennomsnittlig forsinkelse) / Meldingstjeneste: 116075 byte sendt, 211729 byte mottatt / Voip-anrop: 1 utgående anrop, 0 innkommende anrop, 2492 byte sendt, 1530 byte mottatt / Google Disk: 0 byte sendt, 0 byte mottatt / 1524 roaming: byte sendt, 1826 byte mottatt / Totalt data: 118567 byte sendt, 10063417 byte mottatt
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stopp: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/versjon 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stopp: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | tidsbruk: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/intern-lagring tilgjengelig:1,345,622,016 totalt:5,687,922,688
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Inneholder de mottatte lydfilene.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Inneholder sendte lydfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Inneholder de resulterende grafikkfilene.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Inneholder sendte grafikkfiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Inneholder mottatte videofiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Inneholder sendte videofiler.
- Каталог '/data/media/0/WhatsApp/Media/WhatsApp-profilbilder/'. Inneholder grafikkfiler knyttet til eieren av WhatsApp-kontoen.
- For å spare minneplass på Android-smarttelefonen din, kan noen WhatsApp-data lagres på et SD-kort. På SD-kortet, i rotkatalogen, er det en katalog 'Hva skjer', hvor følgende artefakter av dette programmet kan bli funnet:
- Каталог '.Dele' ('/mnt/sdcard/WhatsApp/.Share/'). Inneholder kopier av filer som har blitt delt med andre WhatsApp-brukere.
- Каталог '.søppel' ('/mnt/sdcard/WhatsApp/.trash/'). Inneholder slettede filer.
- Каталог 'Databaser' ('/mnt/sdcard/WhatsApp/Databases/'). Inneholder krypterte sikkerhetskopier. De kan dekrypteres hvis filen er til stede 'nøkkel', hentet fra minnet til den analyserte enheten.
Filer som ligger i en underkatalog 'Databaser':
- Каталог 'Media' ('/mnt/sdcard/WhatsApp/Media/'). Inneholder underkataloger 'Bakgrunn', «WhatsApp-lyd», «WhatsApp-bilder», «WhatsApp-profilbilder», «WhatsApp-video», "WhatsApp-talenotater", som inneholder mottatte og overførte multimediefiler (grafikkfiler, videofiler, talemeldinger, bilder knyttet til profilen til WhatsApp-kontoeieren, bakgrunnsbilder).
- Каталог 'Profil bilder' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Inneholder grafikkfiler knyttet til profilen til WhatsApp-kontoeieren.
- Noen ganger kan det være en katalog på SD-kortet 'filer' ('/mnt/sdcard/WhatsApp/Files/'). Denne katalogen inneholder filer som lagrer programinnstillinger og brukerpreferanser.
Funksjoner for datalagring i enkelte modeller av mobile enheter
Noen modeller av mobile enheter som kjører Android OS kan lagre WhatsApp-artefakter på et annet sted. Dette skyldes endringer i lagringsplassen for applikasjonsdata av systemprogramvaren til den mobile enheten. For eksempel har Xiaomi-mobilenheter en funksjon for å lage et ekstra arbeidsområde ("SecondSpace"). Når denne funksjonen er aktivert, endres plasseringen av dataene. Så hvis i en vanlig mobil enhet som kjører Android OS lagres brukerdata i katalogen '/data/bruker/0/' (som er en referanse til det vanlige '/data/data/'), så lagres applikasjonsdata i det andre arbeidsområdet i katalogen '/data/bruker/10/'. Det vil si å bruke eksempelet på filplasseringen 'wa.db':
- i en vanlig smarttelefon som kjører Android OS: /data/user/0/com.whatsapp/databases/wa.db' (som tilsvarer '/data/data/com.whatsapp/databases/wa.db');
- i det andre arbeidsområdet til Xiaomi-smarttelefonen: '/data/user/10/com.whatsapp/databases/wa.db'.
WhatsApp-artefakter i iOS-enhet
I motsetning til Android OS, i iOS overføres WhatsApp-applikasjonsdata til en sikkerhetskopi (iTunes-sikkerhetskopi). Utpakking av data fra denne applikasjonen krever derfor ikke utpakking av filsystemet eller opprettelse av en fysisk minnedump av enheten som undersøkes. Det meste av relevant informasjon finnes i databasen 'ChatStorage.sqlite', som ligger langs stien: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (i noen programmer vises denne banen som 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Struktur 'ChatStorage.sqlite':
De mest informative tabellene i 'ChatStorage.sqlite'-databasen er 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Bordets utseende 'ZWAMESSAGE':
Struktur av tabellen 'ZWAMESSAGE'
| Feltnavn | Verdi |
|---|---|
| Z_PK | postsekvensnummer (i SQL-tabell) |
| Z_ENT | tabellidentifikator, har verdien '9' |
| Z_OPT | ukjent, inneholder vanligvis verdier fra '1' til '6' |
| ZCHILDMESSAGESDELIVEREDCOUNT | ukjent, inneholder vanligvis verdien '0' |
| ZCHILDMESSAGESPLAYEDCOUNT | ukjent, inneholder vanligvis verdien '0' |
| ZCHILDMESSAGESREADCOUNT | ukjent, inneholder vanligvis verdien '0' |
| ZDATAITEMVERSION | ukjent, inneholder vanligvis verdien '3', sannsynligvis en tekstmeldingsindikator |
| ZDOCID | ukjent |
| ZENCRETRYCOUNT | ukjent, inneholder vanligvis verdien '0' |
| ZFILTEREDRECIPIENTCOUNT | ukjent, inneholder vanligvis verdiene '0', '2', '256' |
| ZISFROMME | meldingsretning: '0' – innkommende, '1' – utgående |
| ZMESSAGEERRORSTATUS | status for meldingsoverføring. Hvis meldingen er sendt/mottatt, har den verdien '0' |
| ZMESSAGETYPE | type melding som sendes |
| ZSORT | ukjent |
| ZSPOTLIGHSTATUS | ukjent |
| ZSTARRED | ukjent, ikke brukt |
| ZCHATSESSION | ukjent |
| ZGROUPEMEMBER | ukjent, ikke brukt |
| ZLASTSESSION | ukjent |
| ZMEDIAITEM | ukjent |
| ZMESSAGEINFO | ukjent |
| ZPARENTMESSAGE | ukjent, ikke brukt |
| ZMESSAGEDATE | tidsstempel i OS X Epoch Time-format |
| ZSENTDATE | gang meldingen ble sendt i OS X Epoch Time-format |
| ZFROMJID | WhatsApp avsender-ID |
| ZMEDIASECTIONID | inneholder året og måneden mediefilen ble sendt |
| ZPHASH | ukjent, ikke brukt |
| ZPUSHPAME | navnet på kontakten som sendte mediefilen i UTF-8-format |
| ZSTANZID | unik meldingsidentifikator |
| ZTEXT | Meldingstekst |
| ZTOJID | Mottakerens WhatsApp ID |
| OFFSET | partiskhet |
Bordets utseende 'ZWAMEDIAITEM':
Strukturen til tabellen 'ZWAMEDIAITEM'
| Feltnavn | Verdi |
|---|---|
| Z_PK | postsekvensnummer (i SQL-tabell) |
| Z_ENT | tabellidentifikator, har verdien '8' |
| Z_OPT | ukjent, inneholder vanligvis verdier fra '1' til '3'. |
| ZCLOUDSTATUS | inneholder verdien '4' hvis filen er lastet. |
| ZFILESIZE | inneholder fillengden (i byte) for nedlastede filer |
| ZMEDIAORIGIN | ukjent, har vanligvis verdien '0' |
| ZMOVIEDURATION | varighet av mediefilen, for pdf-filer kan inneholde antall sider i dokumentet |
| ZMESSAGE | inneholder et serienummer (nummeret er forskjellig fra det som er angitt i 'Z_PK'-kolonnen) |
| ZASPECTRATIO | sideforhold, ikke brukt, vanligvis satt til '0' |
| NØYAKTIGHET | ukjent, har vanligvis verdien '0' |
| ZLATTITUDE | bredde i piksler |
| ZLONGTITUDE | høyde i piksler |
| ZMEDIAURLDATE | tidsstempel i OS X Epoch Time-format |
| ZAUTHORNAME | forfatter (for dokumenter, kan inneholde filnavnet) |
| ZCOLLECTIONNAME | ikke brukt |
| ZMEDIALOCALPATH | filnavn (inkludert bane) i enhetens filsystem |
| ZMEDIAURL | URLen der mediefilen var plassert. Hvis en fil ble overført fra en abonnent til en annen, ble den kryptert og filtypen vil bli indikert som utvidelsen av den overførte filen - .enc |
| ZTHUMBNAILLOCALPATH | banen til filminiatyrbildet i enhetens filsystem |
| ZTITLE | filoverskrift |
| ZVCARDNAME | hash av mediefilen; når du overfører filen til en gruppe, kan den inneholde avsenderidentifikatoren |
| ZVCARDSTRING | inneholder informasjon om typen fil som overføres (for eksempel bilde/jpeg); når en fil overføres til en gruppe, kan den inneholde mottakerens identifikator |
| ZXMPPTHUMBPATH | banen til filminiatyrbildet i enhetens filsystem |
| ZMEDIAKEY | ukjent, inneholder sannsynligvis nøkkelen for å dekryptere den krypterte filen. |
| ZMETADATA | metadata for den overførte meldingen |
| Offset | partiskhet |
Andre interessante databasetabeller 'ChatStorage.sqlite' De er:
- 'ZWAPROFILEPUSHNAME'. Matcher WhatsApp ID med kontaktnavn;
- 'ZWAPROFILEPICTUREITEM'. Matcher WhatsApp ID med kontaktavatar;
- 'Z_PRIMARYKEY'. Tabellen inneholder generell informasjon om denne databasen, for eksempel totalt antall lagrede meldinger, totalt antall chatter osv.
Når du undersøker WhatsApp på en mobilenhet som kjører iOS, bør du også være oppmerksom på følgende filer:
- fil 'BackedUpKeyValue.sqlite'. Inneholder kryptografiske nøkler og andre data som er nødvendige for å identifisere kontoeieren. Ligger langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'ContactsV2.sqlite'. Inneholder informasjon om brukerens kontakter, for eksempel fullt navn, telefonnummer, kontaktstatus (i tekstform), WhatsApp ID, etc. Ligger langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'consumer_version'. Inneholder versjonsnummeret til den installerte WhatsApp-applikasjonen. Ligger langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'current_wallpaper.jpg'. Inneholder gjeldende WhatsApp bakgrunnsbilde. Ligger langs stien: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Eldre versjoner av programmet bruker filen 'tapet', som ligger langs stien: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fil 'blockedcontacts.dat'. Inneholder informasjon om blokkerte kontakter. Ligger langs stien: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fil 'pw.dat'. Inneholder et kryptert passord. Ligger langs stien: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fil 'net.whatsapp.WhatsApp.plist' (eller fil 'group.net.whatsapp.WhatsApp.shared.plist'). Inneholder informasjon om WhatsApp-kontoprofilen din. Filen ligger langs stien: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Innholdet i filen 'group.net.whatsapp.WhatsApp.shared.plist'
Du må også være oppmerksom på følgende kataloger:
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Inneholder miniatyrbilder av kontakter, grupper (filer med utvidelsen .tommel), kontaktavatarer, WhatsApp-kontoeierens avatar (fil 'Photo.jpg').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Inneholder multimediefiler og deres miniatyrbilder
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Inneholder programoperasjonsloggen (fil 'calls.log') og sikkerhetskopier av programdriftslogger (fil 'calls.backup.log').
- Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Inneholder klistremerker (filer i formatet '.webp').
- Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Inneholder programdriftslogger.
WhatsApp-artefakter på Windows
WhatsApp-artefakter på Windows finnes flere steder. Først av alt er dette kataloger som inneholder kjørbare og hjelpeprogramfiler (for Windows 8/10):
- 'C:Program Files (x86)WhatsApp'
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User profile% AppDataLocalVirtualStore-programfiler (x86)WhatsApp'
I katalogen 'C:Users%User profile% AppDataLocalWhatsApp' loggfilen er lokalisert 'SquirrelSetup.log', som inneholder informasjon om å se etter oppdateringer og installere programmet.
I katalogen 'C:Users%User profile% AppDataRoamingWhatsApp' Det er flere underkataloger:
fil 'main-process.log' inneholder informasjon om driften av WhatsApp-programmet.
Underkatalog 'databaser' inneholder en fil 'Databaser.db', men denne filen inneholder ingen informasjon om chatter eller kontakter.
Det mest interessante fra et rettsmedisinsk synspunkt er filene som ligger i katalogen "Cache". Dette er i utgangspunktet filer med navn 'f*******' (der * er et tall fra 0 til 9) som inneholder krypterte multimediefiler og dokumenter, men det er også ukrypterte filer blant dem. Av spesiell interesse er filene 'data_0', 'data_1', 'data_2', 'data_3', som ligger i samme underkatalog. Filer 'data_0', 'data_1', 'data_3' inneholder eksterne lenker til overførte krypterte multimediefiler og dokumenter.
Eksempel på informasjon i filen 'data_1'
Fil også 'data_3' kan inneholde grafikkfiler.
fil 'data_2' inneholder kontaktavatarer (kan gjenopprettes ved å søke etter filoverskrifter).
Avatarer i filen 'data_2':
Dermed kan ikke chattene i seg selv bli funnet i datamaskinens minne, men du kan finne:
- multimediefiler;
- dokumenter overført via WhatsApp;
- informasjon om kontoeierens kontakter.
WhatsApp-artefakter på MacOS
I MacOS kan du finne typer WhatsApp-artefakter som ligner på de som finnes i Windows OS.
Programfilene ligger i følgende kataloger:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Brukere%Brukerprofil% Bibliotek Mobildokumenter <tekstvariabel> WhatsApp-kontoer'
Denne katalogen inneholder underkataloger hvis navn er telefonnumre knyttet til eieren av WhatsApp-kontoen. - 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Denne katalogen inneholder informasjon om installasjon av programmet. - 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
Disse katalogene inneholder tjenestefiler for programmet, inkludert bilder og miniatyrbilder av WhatsApp-kontakter. - 'C:Users%User profile%LibraryCachesWhatsApp'
Denne katalogen inneholder flere SQLite-databaser som brukes til databufring. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Denne katalogen inneholder flere underkataloger:
I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' det er filer 'data_0', 'data_1', 'data_2', 'data_3' og filer med navn 'f*******' (hvor * er et tall fra 0 til 9). For informasjon om hvilken informasjon disse filene inneholder, se WhatsApp Artifacts på Windows.I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' kan inneholde multimediefiler (filer har ingen utvidelser).
fil 'main-process.log' inneholder informasjon om driften av WhatsApp-programmet.
kilder
- Rettsmedisinsk analyse av WhatsApp Messenger på Android-smarttelefoner, av Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasjonssystemet og basisdataene for Android og iOS av Ahmad Pratama, 2014.
I følgende artikler i denne serien:
Dekryptering av krypterte WhatsApp-databaserEn artikkel som vil gi informasjon om hvordan WhatsApp-krypteringsnøkkelen genereres og praktiske eksempler som viser hvordan du dekrypterer de krypterte databasene til denne applikasjonen.
Trekker ut WhatsApp-data fra skylagringEn artikkel der vi vil fortelle deg hvilke WhatsApp-data som er lagret i skyene og beskriver metoder for å hente disse dataene fra skylagringer.
WhatsApp-datautvinning: praktiske eksemplerEn artikkel som vil beskrive trinn for trinn hvilke programmer og hvordan du trekker ut WhatsApp-data fra ulike enheter.
Kilde: www.habr.com