ستاسو په لاس کې WhatsApp: چیرته او څنګه کولی شئ عدلي اثار ومومئ؟

که تاسو غواړئ پوه شئ چې د WhatsApp عدلي اثار کوم ډولونه په مختلف عملیاتي سیسټمونو کې شتون لري او په ریښتیا یې چیرې موندل کیدی شي ، نو دا ستاسو لپاره ځای دی. دا مقاله د ګروپ-IB کمپیوټر عدلي لابراتوار کې د متخصص څخه ده ایګور میخیلوف د WhatsApp فارنزیک په اړه د پوسټونو لړۍ پیل کوي او کوم معلومات د وسیلې له تحلیل څخه راټول کیدی شي.

راځئ سمدلاسه په یاد ولرئ چې مختلف عملیاتي سیسټمونه د WhatsApp مختلف ډوله اثار ذخیره کوي، او که چیرې یو څیړونکی کولی شي د یو وسیله څخه د WhatsApp ډیټا ځانګړي ډولونه استخراج کړي، نو دا پدې معنی ندي چې ورته ډول ډول ډیټا د بل وسیله څخه استخراج کیدی شي. د مثال په توګه ، که چیرې د وینډوز OS چلولو سیسټم واحد لرې شي ، نو د WhatsApp چیټ به شاید په ډیسکونو کې ونه موندل شي (د iOS وسیلو بیک اپ کاپيونو استثنا سره ، کوم چې په ورته ډرایو کې موندل کیدی شي). د لپ ټاپ او ګرځنده وسایلو ضبط به خپل ځانګړتیاوې ولري. راځئ چې په دې اړه نور تفصیل سره خبرې وکړو.

په Android وسیله کې د WhatsApp آثار

د Android وسیلې څخه د WhatsApp اثارو ایستلو لپاره ، څیړونکی باید د سوپر کارونکي حقونه ولري ('ریښه') په وسیله کې تر تحقیق لاندې وي یا په بل ډول د دې وړتیا ولرئ چې د وسیلې فزیکي حافظې ډمپ راوباسئ ، یا د دې فایل سیسټم (د مثال په توګه ، د ځانګړي ګرځنده وسیلې د سافټویر زیانونو کارول).

د غوښتنلیک فایلونه د تلیفون په حافظه کې په هغه برخه کې موقعیت لري چیرې چې د کارونکي ډیټا خوندي کیږي. د یوې قاعدې په توګه، دا برخه نومول شوې د کاروونکي ډاټا. فرعي لارښودونه او د برنامې فایلونه د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/'.

اصلي فایلونه چې په Android OS کې د WhatsApp عدلي اثار لري ډیټابیسونه دي 'wa.db' и 'msgstore.db'.

په ډیټابیس کې 'wa.db' د WhatsApp کارونکي د اړیکو بشپړ لیست لري، پشمول د تلیفون شمیره، د ښودلو نوم، مهال ویش، او نور کوم معلومات چې د WhatsApp لپاره د راجستر کولو پرمهال چمتو شوي. دوتنه 'wa.db' د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/databases/' او لاندې جوړښت لري:

په ډیټابیس کې ترټولو زړه پورې میزونه 'wa.db' د څیړونکي لپاره دا دي:

• 'wa_ contacts'
  دا جدول د اړیکو معلومات لري: د WhatsApp اړیکې id، د وضعیت معلومات، د کارونکي ښودلو نوم، مهال ویش، او نور.

  د میز بڼه:

  
  د میز جوړښت

  د ساحې نوم	ارزښت
  _id	د ترتیب شمیره ثبت کړئ (په SQL جدول کې)
  jid	د WhatsApp د تماس ID، په بڼه لیکل شوی <د تلیفون شمیره>@s.whatsapp.net
  د_whatsapp_user دی	'1' لري که چیرې اړیکه د اصلي WhatsApp کارونکي سره مطابقت ولري، که نه نو '0'
  حالت	د اړیکې حالت کې ښودل شوي متن لري
  status_timestamp	د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري
  شمیر	د تلیفون شمیره چې د اړیکې سره تړاو لري
  raw_contact_id	د سریال شمیره سره اړیکه ونیسئ
  نوم څرګند کړه	د تماس ښودنه نوم
  تلیفون_ډول	د تلیفون ډول
  تلیفون_لیبل	د اړیکې شمیرې سره تړلی لیبل
  نه لیدل شوی_میسګ_شمیر	د پیغامونو شمیر چې د اړیکې لخوا لیږل شوي مګر د ترلاسه کونکي لخوا لوستل شوي ندي
  انځور_ts	د یونیکس ایپوچ وخت بڼه کې د مهال ویش لري
  thumb_ts	د یونیکس ایپوچ وخت بڼه کې د مهال ویش لري
  انځور_id_timestamp	د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري
  ورکړل شوی نوم	د ساحې ارزښت د هرې اړیکې لپاره 'display_name' سره سمون لري
  wa_نوم	د WhatsApp اړیکې نوم (د اړیکې پروفایل کې مشخص شوی نوم ښودل شوی)
  sort_name	د تماس نوم په ترتیب کولو عملیاتو کې کارول کیږي
  نښې نوم	په WhatsApp کې د اړیکې مستعار نوم (د اړیکې په پروفایل کې ټاکل شوی مستعار نوم ښودل شوی)
  شرکت	شرکت (هغه شرکت چې د اړیکې پروفایل کې مشخص شوی ښودل شوی)
  سرليک	سرلیک (ښاغلی/ښاغلی؛ سرلیک د اړیکې پروفایل کې تنظیم شوی ښودل شوی)
  افشاء	تعصب

• 'sqlite_sequence'
  دا جدول د اړیکو شمیر په اړه معلومات لري؛
• 'android_metadata'
  دا جدول د WhatsApp ژبې ځایی کولو په اړه معلومات لري.

په ډیټابیس کې 'msgstore.db' د لیږل شوي پیغامونو په اړه معلومات لري، لکه د اړیکو شمیره، د پیغام متن، د پیغام وضعیت، مهال ویش، د لیږدول شوي فایلونو توضیحات چې په پیغامونو کې شامل دي، او نور. دوتنه 'msgstore.db' د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/databases/' او لاندې جوړښت لري:

په فایل کې ترټولو زړه پورې میزونه 'msgstore.db' د څیړونکي لپاره دا دي:

• 'sqlite_sequence'
  دا جدول د دې ډیټابیس په اړه عمومي معلومات لري، لکه د ذخیره شوي پیغامونو ټوله شمیره، د چیټونو ټول شمیر، او نور.

  د میز بڼه:

  

• 'پیغام_fts_content'
  د لیږل شوي پیغامونو متن لري.

  د میز بڼه:

  

• 'پیغامونه'
  دا جدول معلومات لري لکه د اړیکو شمیره، د پیغام متن، د پیغام حالت، مهال ویش، د لیږدول شوي فایلونو په اړه معلومات چې په پیغامونو کې شامل دي.

  د میز بڼه:

  
  د میز جوړښت

  د ساحې نوم	ارزښت
  _id	د ترتیب شمیره ثبت کړئ (په SQL جدول کې)
  key_remote_jid	د ارتباطي ملګري WhatsApp ID
  کلید_له_ما څخه	د پیغام لار: '0' - راتلونکی، '1' - وتلی
  key_id	ځانګړی پیغام پیژندونکی
  حالت	د پیغام حالت: '0' - سپارل شوی، '4' - په سرور کې انتظار، '5' - په منزل کې ترلاسه شوی، '6' - د کنټرول پیغام، '13' - پیغام د ترلاسه کونکي لخوا پرانیستل شوی (لوستل)
  اړتیا_ته	ارزښت لري '2' که دا یو نشر شوی پیغام وي، که نه نو '0' لري
  معلومات	د پیغام متن (کله چې 'media_wa_type' پیرامیټر '0' وي)
  وخت ټیم	د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري، ارزښت د آلې له ساعت څخه اخیستل کیږي
  media_url	د لیږدول شوي فایل یو آر ایل لري (کله چې د 'میډیا_وا_ټایپ' پیرامیټر '1'، '2'، '3' وي)
  media_mime_type	د لیږدول شوي فایل MIME ډول (کله چې د 'media_wa_type' پیرامیټر د '1'، '2'، '3' سره مساوي وي)
  media_wa_type	د پیغام ډول: '0' - متن، '1' - ګرافیک فایل، '2' - آډیو فایل، '3' - ویډیو فایل، '4' - د اړیکو کارت، '5' - جیوډاټا
  media_size	د لیږدول شوي فایل اندازه (کله چې د 'media_wa_type' پیرامیټر '1'، '2'، '3' وي)
  رسنۍ_نوم	د لیږدول شوي فایل نوم (کله چې د 'میډیا_وا_ ډول' پیرامیټر '1'، '2'، '3' وي)
  media_caption	د 'میډیا_وا_ټایپ' پیرامیټر د اړوندو ارزښتونو لپاره 'آډیو' ، 'ویډیو' کلمې لري (کله چې د میډیا_وا_ټایپ پیرامیټر '1' ، '3' وي)
  media_hash	د لیږد شوي فایل بیس64 کوډ شوی هش، د HAS-256 الګوریتم په کارولو سره محاسبه شوی (کله چې د 'میډیا_wa_type' پیرامیټر د '1'، '2'، '3' سره مساوي وي)
  media_duration	د میډیا فایل لپاره په ثانیو کې موده (کله چې 'media_wa_type' '1'، '2'، '3' وي)
  اصلي	ارزښت لري '2' که دا یو نشر شوی پیغام وي، که نه نو '0' لري
  طریقت	جیوډاټا: عرض البلد (کله چې 'میډیا_وا_ټایپ' پیرامیټر '5' وي)
  عرض البلد	جیوډاټا: عرض البلد (کله چې 'میډیا_وا_ټایپ' پیرامیټر '5' وي)
  thumb_image	د خدماتو معلومات
  remote_resource	د لیږونکي ID (یوازې د ګروپ چیټونو لپاره)
  ترلاسه شوی_ټایمسټمپ	د رسیدلو وخت، د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري، ارزښت د آلې له ساعت څخه اخیستل کیږي (کله چې د 'کی_from_me' پیرامیټر '0'، '-1' یا بل ارزښت ولري)
  send_timestamp	نه کارول کیږي، معمولا '-1' ارزښت لري
  رسید_سرور_ټایمسټمپ	د مرکزي سرور لخوا ترلاسه شوی وخت، د یونیکس Epoch وخت (ms) بڼه کې د مهال ویش لري، ارزښت د آلې له ساعت څخه اخیستل کیږي (کله چې د 'key_from_me' پیرامیټر '1'، '-1' یا بل ارزښت ولري
  د رسیدو_تولید_ټیم سټمپ	هغه وخت چې پیغام د بل پیرودونکي لخوا ترلاسه شوی و، د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري، ارزښت د وسیلې له ساعت څخه اخیستل کیږي (کله چې د 'key_from_me' پیرامیټر '1'، '-1' یا بل ارزښت ولري
  لوستلو_آلې_ټائمسټمپ	د پیغام د پرانستلو (لوستلو) وخت، د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري، ارزښت د آلې له ساعت څخه اخیستل کیږي
  play_device_timestamp	د پیغام پلې بیک وخت، د یونیکس ایپوچ وخت (ms) بڼه کې د مهال ویش لري، ارزښت د آلې له ساعت څخه اخیستل شوی
  خام_ډاټا	د لیږدول شوي فایل تمبنیل (کله چې د 'میډیا_وا_ټایپ' پیرامیټر '1' یا '3' وي)
  ترلاسه کوونکي_ شمېره	د ترلاسه کونکو شمیر (د پیغامونو نشرولو لپاره)
  برخه اخیستونکی_هیش	د جیوډاټا سره د پیغامونو لیږدولو پرمهال کارول کیږي
  ستوری شوی	نه کارول شوی
  quoted_row_id	نامعلوم، معمولا '0' ارزښت لري
  ذکر شوي_جدونه	نه کارول شوی
  multicast_id	نه کارول شوی
  افشاء	تعصب

  د ساحو دا لیست بشپړ ندی. د WhatsApp مختلف نسخو لپاره، ځینې ساحې ممکن موجود یا غیر حاضر وي. سربیره پردې، ساحې ممکن شتون ولري 'media_enc_hash', 'edit_version', 'د تادیاتو_تجارت_id' او داسې نور.

• 'پیغامونه_تمبنیلز'
  دا جدول د لیږدول شوي عکسونو او مهال ویش په اړه معلومات لري. د 'ټائم سټمپ' کالم کې، وخت د یونیکس ایپوچ وخت (ms) بڼه کې ښودل شوی.
• 'چټ_لست'
  دا جدول د خبرو اترو په اړه معلومات لري.

  د میز بڼه:

  

همچنان ، کله چې د Android چلونکي ګرځنده وسیله کې WhatsApp معاینه کوئ ، تاسو باید لاندې فایلونو ته پاملرنه وکړئ:

• د دوتنې 'msgstore.db.cryptXX' (چیرته چې XX له 0 څخه تر 12 پورې یو یا دوه عددونه وي، د بیلګې په توګه، msgstore.db.crypt12). د WhatsApp پیغامونو یو کوډ شوی بیک اپ لري (د بیک اپ فایل msgstore.db). دوتنه 'msgstore.db.cryptXX' د لارې په اوږدو کې موقعیت لري: '/data/media/0/WhatsApp/Databases/' (مجازی SD کارت) '/mnt/sdcard/WhatsApp/Databases/ (فزیکي SD کارت) '.
• د دوتنې کلید. یو کریپټوګرافیک کیلي لري. د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/files/'. د کوډ شوي WhatsApp بیک اپ ډیکریټ کولو لپاره کارول کیږي.
• د دوتنې 'com.whatsapp_preferences.xml'. ستاسو د WhatsApp حساب پروفایل په اړه معلومات لري. فایل د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/shared_prefs/'.

  د فایل منځپانګې ټوټه

  <?xml version="1.0" encoding="ISO-8859-1"?>
  …
  <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
  …
  <string name="version">2.17.395</string> (версия WhatsApp)
  …
  <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
  …
  <string name="push_name">Alex</string> (имя владельца аккаунта)
  … 

• د دوتنې 'registration.RegisterPhone.xml'. د WhatsApp حساب سره تړلي د تلیفون شمیرې په اړه معلومات لري. فایل د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/shared_prefs/'.

  د فایل منځپانګې

  <?xml version="1.0" encoding="ISO-8859-1"?>
  <map>
  <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
  <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
  <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
  <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
  <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
  </map>

• د دوتنې axolotl.db. د کریپټوګرافیک کیلي او نور معلومات لري چې د حساب مالک پیژندلو لپاره اړین دي. د لارې په اوږدو کې موقعیت لري: '/data/data/com.whatsapp/databases/'.
• د دوتنې 'chatsettings.db'. د غوښتنلیک ترتیب کولو معلومات لري.
• د دوتنې 'wa.db'. د اړیکو توضیحات لري. یو ډیر په زړه پوری (له عدلي اړخ څخه) او معلوماتي ډیټابیس. دا کولی شي د حذف شوي اړیکو په اړه مفصل معلومات ولري.

تاسو باید لاندې لارښوونو ته هم پاملرنه وکړئ:

• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp Images/'. لیږدول شوي ګرافیک فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp غږیز یادښتونه/'. په .OPUS فارمیټ فایلونو کې غږیز پیغامونه لري.
• نوملړ '/data/data/com.whatsapp/cache/Profile Pictures/'. ګرافیک فایلونه لري - د اړیکو عکسونه.
• نوملړ '/data/data/com.whatsapp/files/Avatars/'. ګرافیک فایلونه لري - د اړیکو تمبیل عکسونه. دا فایلونه د '.j' توسیع لري مګر بیا هم د JPEG (JPG) عکس فایلونه دي.
• نوملړ '/data/data/com.whatsapp/files/Avatars/'. د ګرافیک فایلونه لري - د حساب مالک لخوا د اوتار په توګه ټاکل شوي عکس او د عکس تمبیل.
• نوملړ '/data/data/com.whatsapp/files/Logs/'. د پروګرام عملیات لاګ (د 'whatsapp.log' فایل) او د پروګرام عملیاتي لاګونو بیک اپ کاپي (د نومونو سره فایلونه د whatsapp-yyyy-mm-dd.1.log.gz بڼه کې) لري.

د WhatsApp لاګ فایلونه:

د ژورنال ټوټه2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missed call notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] پټنوم فایل ورک یا د لوستلو وړ نه دی
2017-01-10 09:37:09.782 LL_I D [1:main] احصایې متن پیغامونه: 59 لیږل شوي، 82 ترلاسه شوي / د رسنیو پیغامونه: 1 لیږل شوي (0 بایټ)، 0 ترلاسه شوي (9850158 بایټ) / آفلاین پیغامونه: 81 ترلاسه شوي ( 19522 msec اوسط ځنډ) / د پیغام خدمت: 116075 بایټونه لیږل شوي، 211729 بایټس ترلاسه شوي / Voip کالونه: 1 بهر ته تلونکي زنګونه، 0 راتلونکی کالونه، 2492 بایټ لیږل شوي، 1530 بایټس ترلاسه شوي / ګوګل ډرایو: 0 بایټ لیږل شوي، 0 بایټس ترلاسه شوي / Ro1524am بایټونه لیږل شوي، 1826 بایټس ترلاسه شوي / ټول معلومات: 118567 بایټ لیږل شوي، 10063417 بایټس ترلاسه شوي
2017-01-10 09:37:09.785 LL_I D [1:main] میډیا-ریاست-منیجر/ریفریش-میډیا-ریاست/د لیکلو وړ رسنۍ
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete غلط
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete غلط
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | وخت تېر شوی: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage موجود: 1,345,622,016 مجموعه: 5,687,922,688

• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp آډیو/'. ترلاسه شوي آډیو فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. لیږل شوي آډیو فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp Images/'. په پایله کې ګرافیک فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. لیږل شوي ګرافیک فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp ویډیو/'. ترلاسه شوي ویډیو فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. لیږل شوي ویډیو فایلونه لري.
• نوملړ '/data/media/0/WhatsApp/Media/WhatsApp پروفایل عکسونه/'. د WhatsApp حساب مالک سره تړلي ګرافیک فایلونه لري.
• ستاسو په Android سمارټ فون کې د حافظې ځای خوندي کولو لپاره ، ځینې WhatsApp ډیټا په SD کارت کې زیرمه کیدی شي. په SD کارت کې، د روټ لارښود کې، یو لارښود شتون لري 'واټساپ'، چیرې چې د دې برنامې لاندې اثار موندل کیدی شي:

  

• نوملړ 'شریک' ('/mnt/sdcard/WhatsApp/.Share/'). د فایلونو کاپي لري چې د نورو WhatsApp کاروونکو سره شریک شوي.
• نوملړ '. کثافات' ('/mnt/sdcard/WhatsApp/.trash/'). حذف شوي فایلونه لري.
• نوملړ ډیټابیسونه ('/mnt/sdcard/WhatsApp/Databases/'). کوډ شوي بیک اپونه لري. که چیرې فایل شتون ولري دوی کوډ کولی شي کلید، د تحلیل شوي وسیلې له حافظې څخه استخراج شوی.

  فایلونه په فرعي لارښود کې موقعیت لري ډیټابیسونه:

  

• نوملړ نیمه ('/mnt/sdcard/WhatsApp/Media/'). فرعي لارښودونه لري 'وال پیپر', 'واټس اپ آډیو', د واټس اپ عکسونه, د واټس اپ پروفایل عکسونه, 'واټس اپ ویډیو', 'WhatsApp غږیز یادښتونه'، کوم چې ترلاسه شوي او لیږدول شوي ملټي میډیا فایلونه لري (ګرافیک فایلونه ، ویډیو فایلونه ، غږیز پیغامونه ، عکسونه چې د WhatsApp اکاونټ مالک پروفایل سره تړاو لري ، وال پیپرونه).
• نوملړ د پروفایل عکسونه ('/mnt/sdcard/WhatsApp/د پروفایل عکسونه/'). د WhatsApp حساب مالک پروفایل سره تړلي ګرافیک فایلونه لري.
• ځینې ​​​​وختونه ممکن په SD کارت کې لارښود شتون ولري 'دوتنه' ('/mnt/sdcard/WhatsApp/Files/'). دا لارښود هغه فایلونه لري چې د برنامه تنظیمات او د کارونکي غوره توبونه ذخیره کوي.

د ګرځنده وسیلو په ځینو ماډلونو کې د معلوماتو ذخیره کولو ځانګړتیاوې

د ګرځنده وسیلو ځینې ماډلونه چې د Android OS چلوي ممکن د WhatsApp آثار په بل ځای کې ذخیره کړي. دا د ګرځنده وسیلې سیسټم سافټویر لخوا د غوښتنلیک ډیټا ذخیره کولو ځای کې د بدلونونو له امله دی. د مثال په توګه، د Xiaomi ګرځنده وسیلې د دویم کاري ځای ("دوهم ځای") جوړولو لپاره فعالیت لري. کله چې دا فعالیت فعال شي، د معلوماتو موقعیت بدلیږي. نو، که چیرې په منظم ګرځنده وسیله کې د Android OS کاروونکي ډاټا په لارښود کې زیرمه شي '/data/user/0/' (کوم چې معمول ته اشاره ده '/data/data/')، بیا په دویم کاري ځای کې د غوښتنلیک ډاټا په ډایرکټر کې زیرمه کیږي '/data/user/10/'. دا د فایل موقعیت مثال په کارولو سره 'wa.db':

• په منظم سمارټ فون کې چې د Android OS چلوي: /data/user/0/com.whatsapp/databases/wa.db' (کوم چې برابر دی '/data/data/com.whatsapp/databases/wa.db');
• د Xiaomi سمارټ فون دوهم کاري ځای کې: '/data/user/10/com.whatsapp/databases/wa.db'.

په iOS وسیله کې د WhatsApp آثار

د Android OS برعکس، په iOS کې د WhatsApp غوښتنلیک ډیټا د بیک اپ کاپي (iTunes بیک اپ) ته لیږدول کیږي. له همدې امله ، د دې غوښتنلیک څخه ډیټا ایستل د فایل سیسټم استخراج یا د تفتیش لاندې وسیلې فزیکي حافظې ډمپ رامینځته کولو ته اړتیا نلري. ډیری اړونده معلومات په ډیټابیس کې شتون لري 'ChatStorage.sqlite'، کوم چې د لارې په اوږدو کې موقعیت لري: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (په ځینو برنامو کې دا لاره داسې ښکاري 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

جوړښت 'ChatStorage.sqlite':

په 'ChatStorage.sqlite' ډیټابیس کې خورا معلوماتي میزونه دي 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

د میز بڼه 'ZWAMESSAGE':

د جدول جوړښت 'ZWAMESSAGE'

د ساحې نوم	ارزښت
Z_PK	د ترتیب شمیره ثبت کړئ (په SQL جدول کې)
Z_ENT	د میز پیژندونکی، ارزښت '9' لري
Z_OPT	نامعلوم، معمولا له '1' څخه تر '6' پورې ارزښتونه لري
ZCHILDMESSAGESDELIVEREDCOUNT	نامعلوم، معمولا '0' ارزښت لري
ZCHILDMESSAGESPLAYEDCOUNT	نامعلوم، معمولا '0' ارزښت لري
ZCHILDMESSAGESREADCOUNT	نامعلوم، معمولا '0' ارزښت لري
ZDATAITEMVERSION	نامعلوم، معمولا '3' ارزښت لري، شاید د متن پیغام شاخص
ZDOCID	ناپېژندل شوی
ZENCRETRYCOUNT	نامعلوم، معمولا '0' ارزښت لري
ZFILTEREDRECIPIENTCOUNT	نامعلوم، معمولا د '0'، '2'، '256' ارزښتونه لري
ZISFROMME	د پیغام لار: '0' - راتلونکی، '1' - وتلی
ZMESSAGEERRORSTATUS	د پیغام لیږد حالت. که پیغام لیږل / ترلاسه شوی وي، نو دا ارزښت '0' لري
ZMESSAGETYPE	د لیږل شوي پیغام ډول
ZSORT	ناپېژندل شوی
ZSPOTLIGHSTATUS	ناپېژندل شوی
ZSTARRED	نامعلوم، نه کارول شوی
ZCHATSESSION	ناپېژندل شوی
ZGROUPMEMBER	نامعلوم، نه کارول شوی
ZLASTSESSION	ناپېژندل شوی
ZMEDIAITEM	ناپېژندل شوی
ZMESSAGEINFO	ناپېژندل شوی
ZPARENTMESSAGE	نامعلوم، نه کارول شوی
ZMESSAGEDATE	د OS X Epoch وخت بڼه کې د مهال ویش
ZSENTDATE	هغه وخت چې پیغام د OS X Epoch Time بڼه کې لیږل شوی و
ZFROMJID	د WhatsApp لیږونکي ID
ZMEDIASECTIONID	د میډیا فایل لیږل شوی کال او میاشت لري
ZPHASH	نامعلوم، نه کارول شوی
ZPUSHPAME	د هغه تماس نوم چې د میډیا فایل یې په UTF-8 بڼه لیږلی
ZTANZID	ځانګړی پیغام پیژندونکی
ZTEXT	د پیغام متن
ZTOJID	د ترلاسه کونکي WhatsApp ID
آفس	تعصب

د میز بڼه 'ZWAMEDIAITEM':

د جدول جوړښت 'ZWAMEDIAITEM'

د ساحې نوم	ارزښت
Z_PK	د ترتیب شمیره ثبت کړئ (په SQL جدول کې)
Z_ENT	د میز پیژندونکی، ارزښت '8' لري
Z_OPT	نامعلوم، معمولا له '1' څخه تر '3' پورې ارزښتونه لري.
ZCLOUDSTATUS	که فایل پورته شوی وي نو '4' ارزښت لري.
ZFILESIZE	د ډاونلوډ شوي فایلونو لپاره د فایل اوږدوالی (بایټ کې) لري
ZMEDIAORIGIN	نامعلوم، معمولا '0' ارزښت لري
ZMOVIEDURATION	د میډیا فایل موده ، د pdf فایلونو لپاره ممکن د سند د پاڼو شمیر ولري
ZMESSAGE	یو سریال نمبر لري (دا شمیره له هغه څخه توپیر لري چې په 'Z_PK' کالم کې ښودل شوي)
ZASPECTRATIO	د اړخ تناسب، نه کارول کیږي، معمولا '0' ته ټاکل کیږي
ZHACCURACY	نامعلوم، معمولا '0' ارزښت لري
ZLATTITUDE	په پکسل کې عرض
ZLONGTITUDE	لوړوالی په پکسل کې
ZMEDIAURLDATE	د OS X Epoch وخت بڼه کې د مهال ویش
ZAUTHORNAME	لیکوال (د اسنادو لپاره، ممکن د فایل نوم ولري)
ZCOLLECTIONNAME	نه کارول شوی
ZMEDIALOCALPATH	د آلې فایل سیسټم کې د فایل نوم (د لارې په شمول).
ZMEDIAURL	URL چیرې چې د میډیا فایل موقعیت درلود. که یو فایل له یو پیرودونکي څخه بل ته لیږدول شوی وي، دا کوډ شوی و او د هغې توسیع به د لیږدول شوي فایل د توسیع په توګه په ګوته شي - .enc
ZTHUMBNAILLOCALPATH	د وسیلې فایل سیسټم کې د فایل تمبیل ته لاره
ZTITLE	د فایل سرلیک
ZVCARDNAME	د میډیا فایل هش؛ کله چې یوې ډلې ته فایل لیږدئ ، دا ممکن د لیږونکي پیژندونکی ولري
ZVCARDSTRING	د فایل د لیږدولو ډول په اړه معلومات لري (د بیلګې په توګه، انځور/jpeg)؛ کله چې یوې ډلې ته د فایل لیږد، دا ممکن د ترلاسه کونکي پیژندونکی ولري
ZXMPPTHUMBPATH	د وسیلې فایل سیسټم کې د فایل تمبیل ته لاره
ZMEDIAKEY	نامعلوم، شاید د کوډ شوي فایل د کوډ کولو کیلي ولري.
ZMETADATA	د لیږدول شوي پیغام میټاډاټا
ناسته	تعصب

نور په زړه پوري ډیټابیس میزونه 'ChatStorage.sqlite' دي:

• 'ZWAPROFILEPUSHNAME'. د اړیکو نوم سره د WhatsApp ID سره سمون لري؛
• 'ZWAPROFILEPICTUREITEM'. د WhatsApp ID د تماس اوتار سره سمون لري؛
• 'Z_PRIMARYKEY'. جدول د دې ډیټابیس په اړه عمومي معلومات لري، لکه د ذخیره شوي پیغامونو ټول شمیر، د چیټونو ټول شمیر، او نور.

همچنان ، کله چې د iOS چلونکي ګرځنده وسیله کې WhatsApp معاینه کوئ ، تاسو باید لاندې فایلونو ته پاملرنه وکړئ:

• د دوتنې 'BackedUpKeyValue.sqlite'. د کریپټوګرافیک کیلي او نور معلومات لري چې د حساب مالک پیژندلو لپاره اړین دي. د لارې په اوږدو کې موقعیت لري: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• د دوتنې 'ContactsV2.sqlite'. د کارونکي د اړیکو په اړه معلومات لري، لکه بشپړ نوم، د تلیفون شمیره، د اړیکو حالت (د متن په بڼه)، WhatsApp ID، او نور. د لارې په اوږدو کې موقعیت لري: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• د دوتنې 'مصرف_نسخه'. د نصب شوي WhatsApp غوښتنلیک نسخه شمیره لري. د لارې په اوږدو کې موقعیت لري: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• د دوتنې 'current_wallpaper.jpg'. د اوسني WhatsApp شالید وال پیپر لري. د لارې په اوږدو کې موقعیت لري: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. د غوښتنلیک زاړه نسخې فایل کاروي 'وال پیپر'، کوم چې د لارې په اوږدو کې موقعیت لري: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
• د دوتنې 'blockedcontacts.dat'. د بند شوي اړیکو په اړه معلومات لري. د لارې په اوږدو کې موقعیت لري: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
• د دوتنې 'pw.dat'. یو کوډ شوی پاسورډ لري. د لارې په اوږدو کې موقعیت لري: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
• د دوتنې 'net.whatsapp.WhatsApp.plist' (یا فایل 'group.net.whatsapp.WhatsApp.shared.plist'). ستاسو د WhatsApp حساب پروفایل په اړه معلومات لري. فایل د لارې په اوږدو کې موقعیت لري: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

د دوتنې منځپانګې 'group.net.whatsapp.WhatsApp.shared.plist'
تاسو باید لاندې لارښوونو ته هم پاملرنه وکړئ:

• نوملړ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. د تماسونو تمبیلونه، ګروپونه لري (د توسیع سره فایلونه ګوتې)، د تماس اوتارونه، د WhatsApp حساب مالک اوتار (دوتنه 'Photo.jpg').
• نوملړ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. ملټي میډیا فایلونه او د دوی تمبیلونه لري
• نوملړ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. د برنامه عملیات لاګ لري (دوتنه 'calls.log') او د پروګرام عملیاتي لاګونو بیک اپ کاپي (دوتنه 'calls.backup.log').
• نوملړ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. سټیکرونه لري (په شکل کې فایلونه '.webp').
• نوملړ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. د پروګرام عملیاتي لاګونه لري.

په وینډوز کې د WhatsApp آثار

په وینډوز کې د WhatsApp آثار په څو ځایونو کې موندل کیدی شي. تر ټولو لومړی، دا هغه لارښودونه دي چې د اجرا وړ او مرستندویه پروګرام فایلونه لري (د وینډوز 8/10 لپاره):

• 'C: د پروګرام فایلونه (x86) WhatsApp'
• 'ج: کارونکي٪ کارونکي پروفایل٪ AppDataLocalWhatsApp'
• 'C: کاروونکي٪ د کارونکي پروفایل٪ AppDataLocalVirtualStore پروګرام فایلونه (x86) WhatsApp'

په کتالګ کې 'ج: کارونکي٪ کارونکي پروفایل٪ AppDataLocalWhatsApp' د لاګ فایل موقعیت لري 'SquirrelSetup.log'، کوم چې د تازه معلوماتو چک کولو او د برنامه نصبولو په اړه معلومات لري.

په کتالګ کې 'ج: کارونکي٪ کارونکي پروفایل٪ AppDataRoamingWhatsApp' ډیری فرعي لارښودونه شتون لري:

د دوتنې 'main-process.log' د WhatsApp پروګرام د عملیاتو په اړه معلومات لري.

فرعي لارښود ډیټابیسونه یو فایل لري 'Databases.db'، مګر دا فایل د چیټونو یا اړیکو په اړه هیڅ معلومات نلري.

د عدلي نظر څخه خورا په زړه پوري هغه فایلونه دي چې په لارښود کې موقعیت لري 'کیچ'. دا اساسا نومول شوي فایلونه دي 'f_*******' (چیرته چې * د 0 څخه تر 9 پورې شمیره ده) د کوډ شوي ملټي میډیا فایلونه او اسناد لري ، مګر د دوی په مینځ کې غیر کوډ شوي فایلونه هم شتون لري. د ځانګړي ګټو فایلونه دي 'ډاټا_0', 'ډاټا_1', 'ډاټا_2', 'ډاټا_3'په ورته فرعي لارښود کې موقعیت لري. فایلونه 'ډاټا_0', 'ډاټا_1', 'ډاټا_3' د لیږد شوي کوډ شوي ملټي میډیا فایلونو او اسنادو لپاره بهرني لینکونه لري.

د معلوماتو بیلګه چې په فایل 'data_1' کې شامل دي
هم فایل 'ډاټا_3' کیدای شي ګرافیک فایلونه ولري.

د دوتنې 'ډاټا_2' د تماس اوتارونه لري (د فایل سرلیکونو په لټون کولو سره بحال کیدی شي).

اوتارونه په فایل کې شامل دي 'ډاټا_2':

په دې توګه، چیټونه پخپله د کمپیوټر په حافظه کې نشي موندل کیدی، مګر تاسو موندلی شئ:

• ملټي میډیا فایلونه؛
• د WhatsApp له لارې لیږدول شوي اسناد؛
• د حساب مالک د اړیکو په اړه معلومات.

په MacOS کې د WhatsApp آثار

په MacOS کې تاسو کولی شئ د وینډوز OS کې موندل شوي ورته ورته د WhatsApp آثارو ډولونه ومومئ.

د پروګرام فایلونه په لاندې لارښودونو کې موقعیت لري:

• C:ApplicationsWhatsApp.app
• 'C:Applications._WhatsApp.app'
• 'ج: کارونکي٪ کارونکي پروفایل٪ د کتابتون غوره توبونه'
• 'ج: کارونکي٪ کارونکي پروفایل٪ کتابتون لاګس واټس اپ'
• 'ج: کاروونکي٪ د کارونکي پروفایل٪ کتابتون خوندي شوی غوښتنلیک ریاست د WhatsApp.savedState'
• 'ج: کارونکي٪ کارونکي پروفایل٪ کتابتون د غوښتنلیک سکریپټونه'
• 'C: کاروونکي٪ د کارونکي پروفایل٪ کتابتون د اپلیکیشن ملاتړ کلاوډ ډاکس'
• 'C: کاروونکي٪ د کارونکي پروفایل٪ کتابتون د اپلیکیشن ملاتړ واټس اپ.ShipIt'
• 'C: کاروونکي٪ د کارونکي پروفایل٪ LibraryContainerscom.rockysandstudio.app-for-whatsapp'
• C:Users% User profile% Library Mobile Documents <text variable> WhatsApp حسابونه
  دا لارښود فرعي لارښودونه لري چې نومونه یې د تلیفون شمیرې دي چې د WhatsApp حساب مالک سره تړاو لري.
• 'C: کاروونکي٪ د کارونکي پروفایل٪ کتابتون کیچونه واټس اپ شپیټ'
  دا لارښود د برنامه نصبولو په اړه معلومات لري.
• 'ج: کارونکي٪ کارونکي پروفایل٪ عکسونه د عکس کتابتون. فوتو لیبرري ماسټرز', 'ج: کارونکي٪ د کارونکي پروفایل٪ عکسونه د عکس کتابتون. عکس کتابتون تمبنیلز'
  دا لارښودونه د برنامه خدماتو فایلونه لري ، پشمول د WhatsApp اړیکو عکسونه او تمبیلونه.
• 'ج: کارونکي٪ کارونکي پروفایل٪ کتابتون کیچ واټس اپ'
  دا ډایرکټر ډیری SQLite ډیټابیسونه لري چې د ډیټا کیشینګ لپاره کارول کیږي.
• 'ج: کارونکي٪ کارونکي پروفایل٪ کتابتون د غوښتنلیک ملاتړ واټس اپ'
  دا لارښود څو فرعي لارښودونه لري:

  
  په کتالګ کې 'C: کاروونکي٪ د کارونکي پروفایل٪ د کتابتون غوښتنلیک ملاتړ د واټس اپ کیچ' فایلونه شتون لري 'ډاټا_0', 'ډاټا_1', 'ډاټا_2', 'ډاټا_3' او د نومونو سره فایلونه 'f_*******' ( چیرته چې * د 0 څخه تر 9 پورې شمیره ده). د معلوماتو لپاره چې دا فایلونه کوم معلومات لري، په وینډوز کې د WhatsApp آثارو وګورئ.

  په کتالګ کې 'C: کاروونکي٪ د کارونکي پروفایل٪ د کتابتون غوښتنلیک ملاتړ د واټس اپ انډیکس شوی ډی بی کیدای شي ملټي میډیا فایلونه ولري (فایلونه هیڅ توسیع نلري).

  د دوتنې 'main-process.log' د WhatsApp پروګرام د عملیاتو په اړه معلومات لري.

سرچینې

1. په Android سمارټ فونونو کې د WhatsApp میسنجر عدلي تحلیل، د کوسیمو انګلاانو لخوا، 2014.
2. د Whatsapp Forensics: Eksplorasi system berkas dan based on data pada aplikasi Android and iOS د احمد پریتاما لخوا، 2014.

د دې لړۍ په لاندې مقالو کې:

د کوډ شوي WhatsApp ډیټابیس ډیکریپشنیوه مقاله چې د دې په اړه معلومات چمتو کوي چې څنګه د WhatsApp کوډ کولو کیلي رامینځته کیږي او عملي مثالونه ښیې چې څنګه د دې غوښتنلیک کوډ شوي ډیټابیسونه کوډ کړئ.
د کلاوډ ذخیره کولو څخه د WhatsApp ډیټا ایستلیوه مقاله په کوم کې چې موږ به تاسو ته ووایو چې په بادل کې د WhatsApp ډیټا څه ذخیره کیږي او د کلاوډ ذخیره کولو څخه د دې ډیټا بیرته ترلاسه کولو میتودونه تشریح کوو.
د WhatsApp ډیټا استخراج: عملي مثالونهیوه مقاله چې به ګام په ګام تشریح کړي کوم برنامې او څنګه د مختلف وسیلو څخه د WhatsApp ډیټا ایستل کیږي.

سرچینه: www.habr.com