Ak chcete vedieť, aké typy forenzných artefaktov WhatsApp existujú v rôznych operačných systémoch a kde presne ich možno nájsť, potom je toto miesto pre vás. Tento článok je od špecialistu z Laboratória počítačovej forenznej analýzy Group-IB Igor Michajlov začína sériu príspevkov o forenznej analýze WhatsApp a o tom, aké informácie možno získať z analýzy zariadenia.
Okamžite si všimnime, že rôzne operačné systémy ukladajú rôzne typy artefaktov WhatsApp a ak výskumník dokáže extrahovať určité typy údajov WhatsApp z jedného zariadenia, neznamená to, že podobné typy údajov je možné extrahovať z iného zariadenia. Ak sa napríklad odstráni systémová jednotka s operačným systémom Windows, chaty WhatsApp sa na jej diskoch pravdepodobne nenájdu (s výnimkou záložných kópií zariadení so systémom iOS, ktoré sa nachádzajú na rovnakých jednotkách). Zabavenie notebookov a mobilných zariadení bude mať svoje vlastné charakteristiky. Povedzme si o tom podrobnejšie.
Artefakty WhatsApp v zariadení so systémom Android
Aby bolo možné extrahovať artefakty WhatsApp zo zariadenia Android, výskumník musí mať práva superužívateľa („koreň“) na skúmanom zariadení alebo byť schopný inak extrahovať fyzický výpis pamäte zariadenia alebo jeho súborového systému (napríklad pomocou softvérových zraniteľností konkrétneho mobilného zariadenia).
Aplikačné súbory sa nachádzajú v pamäti telefónu v časti, v ktorej sú uložené používateľské dáta. Táto sekcia je spravidla pomenovaná 'použivateľské dáta'. Podadresáre a programové súbory sú umiestnené pozdĺž cesty: '/data/data/com.whatsapp/'.
Hlavné súbory, ktoré obsahujú forenzné artefakty WhatsApp v operačnom systéme Android, sú databázy 'wa.db' и 'msgstore.db'.
V databáze 'wa.db' obsahuje úplný zoznam kontaktov používateľa WhatsApp vrátane telefónneho čísla, zobrazovaného mena, časových pečiatok a akýchkoľvek ďalších informácií poskytnutých pri registrácii do WhatsApp. Súbor 'wa.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:
Najzaujímavejšie tabuľky v databáze 'wa.db' pre výskumníka sú:
- 'wa_contacts'
Táto tabuľka obsahuje kontaktné informácie: ID kontaktu WhatsApp, informácie o stave, zobrazované meno používateľa, časové pečiatky atď.Vzhľad tabuľky:
Štruktúra tabuľkyNázov poľa Hodnota _id poradové číslo záznamu (v SQL tabuľke) jid ID kontaktu WhatsApp, napísané vo formáte <telefónne číslo>@s.whatsapp.net is_whatsapp_user obsahuje „1“, ak kontakt zodpovedá skutočnému používateľovi WhatsApp, inak „0“. postavenie obsahuje text zobrazený v stave kontaktu stavová_časová pečiatka obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms). číslo telefónne číslo priradené ku kontaktu raw_contact_id kontaktujte sériové číslo DISPLAY_NAME zobrazované meno kontaktu phone_type typ telefónu telefónny_štítok štítok spojený s kontaktným číslom unseen_msg_count počet správ, ktoré odoslal kontakt, ale príjemca ich neprečítal photo_ts obsahuje časovú pečiatku vo formáte Unix Epoch Time thumb_ts obsahuje časovú pečiatku vo formáte Unix Epoch Time photo_id_timestamp obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms). krstné meno hodnota poľa sa zhoduje s hodnotou 'zobrazované_meno' pre každý kontakt wa_name Meno kontaktu WhatsApp (zobrazí sa meno uvedené v profile kontaktu) názov_triedenia meno kontaktu používané v operáciách triedenia prezývka prezývka kontaktu v WhatsApp (zobrazí sa prezývka uvedená v profile kontaktu) spoločnosť firma (zobrazí sa firma uvedená v profile kontaktu) titul titul (pani/pán; zobrazuje sa titul nakonfigurovaný v profile kontaktu) ofset zaujatosť - 'sqlite_sequence'
Táto tabuľka obsahuje informácie o počte kontaktov; - 'android_metadata'
Táto tabuľka obsahuje informácie o jazykovej lokalizácii WhatsApp.
V databáze 'msgstore.db' obsahuje informácie o odoslaných správach, ako je kontaktné číslo, text správy, stav správy, časové pečiatky, podrobnosti o prenesených súboroch obsiahnutých v správach atď. Súbor 'msgstore.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:
Najzaujímavejšie tabuľky v súbore 'msgstore.db' pre výskumníka sú:
- 'sqlite_sequence'
Táto tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.Vzhľad tabuľky:
- 'message_fts_content'
Obsahuje text odoslaných správ.Vzhľad tabuľky:
- 'správy'
Táto tabuľka obsahuje informácie ako kontaktné číslo, text správy, stav správy, časové pečiatky, informácie o prenesených súboroch obsiahnutých v správach.Vzhľad tabuľky:
Štruktúra tabuľkyNázov poľa Hodnota _id poradové číslo záznamu (v SQL tabuľke) key_remote_jid WhatsApp ID komunikačného partnera key_from_me smer správy: '0' – prichádzajúca, '1' – odchádzajúca key_id jedinečný identifikátor správy postavenie stav správy: '0' – doručená, '4' – čaká na server, '5' – prijatá na mieste určenia, '6' – riadiaca správa, '13' – správa otvorená príjemcom (prečítaná) need_push má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“ data text správy (keď parameter „media_wa_type“ je „0“) časová značka obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia media_url obsahuje URL preneseného súboru (keď parameter 'media_wa_type' je '1', '2', '3') media_mime_type MIME typ prenášaného súboru (keď parameter 'media_wa_type' sa rovná '1', '2', '3') media_wa_type typ správy: '0' - text, '1' - grafický súbor, '2' - zvukový súbor, '3' - video súbor, '4' - karta kontaktu, '5' - geodáta media_size veľkosť prenášaného súboru (keď je parameter 'media_wa_type' '1', '2', '3') media_name názov prenášaného súboru (keď parameter 'media_wa_type' je '1', '2', '3') media_caption Obsahuje slová 'audio', 'video' pre zodpovedajúce hodnoty parametra 'media_wa_type' (keď parameter 'media_wa_type' je '1', '3') media_hash hash prenášaného súboru zakódovaný v base64, vypočítaný pomocou algoritmu HAS-256 (keď sa parameter „media_wa_type“ rovná „1“, „2“, „3“) media_duration trvanie mediálneho súboru v sekundách (keď 'media_wa_type' je '1', '2', '3') pôvod má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“ zemepisná šírka geodata: zemepisná šírka (keď parameter „media_wa_type“ je „5“) zemepisná dĺžka geoúdaje: zemepisná dĺžka (keď parameter „media_wa_type“ je „5“) thumb_image servisné informácie vzdialený_zdroj ID odosielateľa (iba pre skupinové rozhovory) prijatá_časová pečiatka čas prijatia, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '0', '-1' alebo inú hodnotu) odoslať_časovú pečiatku nepoužíva sa, zvyčajne má hodnotu „-1“ časová pečiatka_servera_potvrdenia čas prijatý centrálnym serverom, obsahuje časovú značku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '1', '-1' alebo inú hodnotu príjem_zariadenia_časová pečiatka čas prijatia správy iným účastníkom, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '1', '-1' alebo inú hodnotu read_device_timestamp čas otvorenia (prečítania) správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia prehraná_časová_značka_zariadenia čas prehrávania správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia nespracované dáta miniatúra preneseného súboru (keď parameter „media_wa_type“ je „1“ alebo „3“) recipient_count počet príjemcov (pre vysielané správy) účastník_hash používa sa pri prenose správ s geodátami hral nepoužíva sa citovaný_riadok_id neznáme, zvyčajne obsahuje hodnotu „0“ spomenuté_jids nepoužíva sa multicast_id nepoužíva sa ofset zaujatosť Tento zoznam polí nie je úplný. V rôznych verziách WhatsApp môžu byť niektoré polia prítomné alebo chýbať. Okrem toho môžu byť prítomné polia 'media_enc_hash', 'edit_version', 'payment_transaction_id' atď
- 'messages_thumbnails'
Táto tabuľka obsahuje informácie o prenesených obrázkoch a časových pečiatkach. V stĺpci 'timestamp' je čas uvedený vo formáte Unix Epoch Time (ms). - 'chat_list'
Táto tabuľka obsahuje informácie o chatoch.Vzhľad tabuľky:
Pri skúmaní WhatsApp na mobilnom zariadení so systémom Android by ste mali venovať pozornosť aj nasledujúcim súborom:
- súbor 'msgstore.db.cryptXX' (kde XX je jedna alebo dve číslice od 0 do 12, napríklad msgstore.db.crypt12). Obsahuje šifrovanú zálohu správ WhatsApp (záložný súbor msgstore.db). Súbor(y) 'msgstore.db.cryptXX' nachádza sa pozdĺž cesty: '/data/media/0/WhatsApp/Databases/' (virtuálna SD karta), '/mnt/sdcard/WhatsApp/Databases/ (fyzická SD karta)“.
- súbor 'kľúč'. Obsahuje kryptografický kľúč. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/files/'. Používa sa na dešifrovanie šifrovaných záloh WhatsApp.
- súbor 'com.whatsapp_preferences.xml'. Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.
Fragment obsahu súboru
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) …
- súbor 'registration.RegisterPhone.xml'. Obsahuje informácie o telefónnom čísle priradenom k účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.
Obsah súboru
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- súbor 'axolotl.db'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/'.
- súbor 'chatsettings.db'. Obsahuje informácie o konfigurácii aplikácie.
- súbor 'wa.db'. Obsahuje kontaktné údaje. Veľmi zaujímavá (z forenzného hľadiska) a informačná databáza. Môže obsahovať podrobné informácie o odstránených kontaktoch.
Musíte tiež venovať pozornosť nasledujúcim adresárom:
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje prenesené grafické súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Obsahuje hlasové správy v súboroch vo formáte .OPUS.
- adresár '/data/data/com.whatsapp/cache/Profile Pictures/'. Obsahuje grafické súbory – obrázky kontaktov.
- adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – miniatúry kontaktov. Tieto súbory majú príponu „.j“, no napriek tomu ide o obrazové súbory JPEG (JPG).
- adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – obrázok a miniatúru obrázka, ktoré ako avatar nastavil vlastník účtu.
- adresár '/data/data/com.whatsapp/files/Logs/'. Obsahuje protokol prevádzky programu (súbor „whatsapp.log“) a záložné kópie protokolov prevádzky programu (súbory s názvami vo formáte whatsapp-yyyy-mm-dd.1.log.gz).
Súbory denníka WhatsApp:
Fragment denníka2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] zmeškané oznámenie o hovore/počet inicialít:0 časová pečiatka:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] zmeškané upozornenie na hovor/zrušenie aktualizácie pravda
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] súbor hesla chýba alebo je nečitateľný
2017-01-10 09:37:09.782 LL_I D [1:main] štatistika Textové správy: 59 odoslaných, 82 prijatých / Správy pre médiá: 1 odoslaná (0 bajtov), 0 prijatá (9850158 bajtov) / Offline správy: 81 prijatá ( 19522 ms priemerné oneskorenie) / Služba správ: 116075 odoslaných bajtov, 211729 prijatých bajtov / VoIP hovory: 1 odchádzajúce hovory, 0 prichádzajúcich hovorov, 2492 odoslaných bajtov, 1530 prijatých bajtov / Disk Google: 0 odoslaných bajtov, 0 prijatých 1524 Roaming: odoslaných bajtov, prijatých 1826 118567 bajtov / Celkové údaje: 10063417 XNUMX odoslaných bajtov, prijatých XNUMX XNUMX XNUMX bajtov
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | strávený čas: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-store available:1,345,622,016 total:5,687,922,688
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Obsahuje prijaté zvukové súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Obsahuje odoslané zvukové súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje výsledné grafické súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Obsahuje odoslané grafické súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Obsahuje prijaté video súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Obsahuje odoslané video súbory.
- adresár '/data/media/0/WhatsApp/Media/WhatsApp Profilové fotografie/'. Obsahuje grafické súbory spojené s vlastníkom účtu WhatsApp.
- Ak chcete ušetriť miesto v pamäti smartfónu s Androidom, niektoré údaje WhatsApp možno uložiť na kartu SD. Na SD karte sa v koreňovom adresári nachádza adresár „WhatsApp“, kde možno nájsť nasledujúce artefakty tohto programu:
- adresár '.Zdieľam' ('/mnt/sdcard/WhatsApp/.Share/'). Obsahuje kópie súborov, ktoré boli zdieľané s ostatnými používateľmi WhatsApp.
- adresár '.smeti' ('/mnt/sdcard/WhatsApp/.trash/'). Obsahuje odstránené súbory.
- adresár 'databázy' ('/mnt/sdcard/WhatsApp/Databases/'). Obsahuje šifrované zálohy. Môžu byť dešifrované, ak je súbor prítomný 'kľúč', extrahované z pamäte analyzovaného zariadenia.
Súbory umiestnené v podadresári 'databázy':
- adresár 'polovica' ('/mnt/sdcard/WhatsApp/Media/'). Obsahuje podadresáre 'Tapeta', „WhatsApp Audio“, 'WhatsApp Images', „Profilové fotografie WhatsApp“, 'WhatsApp Video', „Hlasové poznámky WhatsApp“, ktoré obsahujú prijaté a prenášané multimediálne súbory (grafické súbory, videosúbory, hlasové správy, fotografie spojené s profilom majiteľa účtu WhatsApp, tapety).
- adresár 'Profilové fotky' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Obsahuje grafické súbory spojené s profilom vlastníka účtu WhatsApp.
- Niekedy môže byť na SD karte prítomný adresár 'súbory' ('/mnt/sdcard/WhatsApp/Files/'). Tento adresár obsahuje súbory, ktoré ukladajú nastavenia programu a užívateľské preferencie.
Funkcie ukladania údajov v niektorých modeloch mobilných zariadení
Niektoré modely mobilných zariadení s operačným systémom Android môžu ukladať artefakty WhatsApp na inom mieste. Je to spôsobené zmenami v ukladacom priestore údajov aplikácie systémovým softvérom mobilného zariadenia. Napríklad mobilné zariadenia Xiaomi majú funkciu vytvorenia druhého pracovného priestoru („SecondSpace“). Keď je táto funkcia aktivovaná, umiestnenie údajov sa zmení. Ak sú teda v bežnom mobilnom zariadení s operačným systémom Android údaje používateľa uložené v adresári '/data/user/0/' (čo je odkaz na obvyklé '/data/data/'), potom v druhom pracovnom priestore sú dáta aplikácie uložené v adresári '/data/user/10/'. Teda pomocou príkladu umiestnenia súboru 'wa.db':
- v bežnom smartfóne s operačným systémom Android: /data/user/0/com.whatsapp/databases/wa.db' (čo je ekvivalentné '/data/data/com.whatsapp/databases/wa.db');
- v druhom pracovnom priestore smartfónu Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.
Artefakty WhatsApp v zariadení so systémom iOS
Na rozdiel od operačného systému Android sa v systéme iOS údaje aplikácie WhatsApp prenášajú do záložnej kópie (záloha iTunes). Preto extrahovanie údajov z tejto aplikácie nevyžaduje extrahovanie súborového systému alebo vytvorenie výpisu fyzickej pamäte skúmaného zariadenia. Väčšina relevantných informácií je obsiahnutá v databáze 'ChatStorage.sqlite', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (v niektorých programoch sa táto cesta zobrazuje ako „AppDomainGroup-group.net.whatsapp.WhatsApp.shared“).
Štruktúra 'ChatStorage.sqlite':
Najinformatívnejšie tabuľky v databáze 'ChatStorage.sqlite' sú „ZWAMESSAGE“ и „ZWAMEDIAITEM“.
Vzhľad tabuľky „ZWAMESSAGE“:
Štruktúra tabuľky 'ZWAMESSAGE'
Názov poľa | Hodnota |
---|---|
Z_PK | poradové číslo záznamu (v SQL tabuľke) |
Z_ENT | identifikátor tabuľky, má hodnotu '9' |
Z_OPT | neznáme, zvyčajne obsahuje hodnoty od „1“ do „6“ |
ZCHILDMESSAGES DELIVEREDCOUNT | neznáme, zvyčajne obsahuje hodnotu „0“ |
ZCHILDMESSAGESPLAYEDCOUNT | neznáme, zvyčajne obsahuje hodnotu „0“ |
ZCHILDMESSAGESREADCOUNT | neznáme, zvyčajne obsahuje hodnotu „0“ |
ZDATAITEMVERSION | neznáme, zvyčajne obsahuje hodnotu '3', pravdepodobne ide o indikátor textovej správy |
ZDOCID | nie je známy |
ZENCRETRYCOUNT | neznáme, zvyčajne obsahuje hodnotu „0“ |
ZFILTEREDRECIPIENTCOUNT | neznáme, zvyčajne obsahuje hodnoty „0“, „2“, „256“ |
ZISFROMME | smer správy: '0' – prichádzajúca, '1' – odchádzajúca |
ZMESSAGEERRORSTATUS | stav prenosu správy. Ak je správa odoslaná/prijatá, potom má hodnotu „0“ |
ZMESSAGETYPE | typ prenášanej správy |
ZSORT | nie je známy |
ZSPOTLIGHSTATUS | nie je známy |
ZSTARRED | neznáme, nepoužívané |
ZCHATSESSION | nie je známy |
ZGROUPMEMBER | neznáme, nepoužívané |
ZLASTSESSION | nie je známy |
ZMEDIAITEM | nie je známy |
ZMESSAGEINFO | nie je známy |
ZPARENTMESSAGE | neznáme, nepoužívané |
ZMESSAGEDATE | časová pečiatka vo formáte OS X Epoch Time |
ZSENTDATE | čas odoslania správy vo formáte OS X Epoch Time |
ZFROMJID | ID odosielateľa WhatsApp |
ZMEDIASECTIONID | obsahuje rok a mesiac odoslania mediálneho súboru |
ZPHASH | neznáme, nepoužívané |
ZPUSHPAME | meno kontaktu, ktorý poslal mediálny súbor vo formáte UTF-8 |
ZSTANZID | jedinečný identifikátor správy |
ZTEXT | Text správy |
ZTOJID | WhatsApp ID príjemcu |
OFFSET | zaujatosť |
Vzhľad tabuľky „ZWAMEDIAITEM“:
Štruktúra tabuľky 'ZWAMEDIAITEM'
Názov poľa | Hodnota |
---|---|
Z_PK | poradové číslo záznamu (v SQL tabuľke) |
Z_ENT | identifikátor tabuľky, má hodnotu '8' |
Z_OPT | neznáme, zvyčajne obsahuje hodnoty od „1“ do „3“. |
ZCLOUDSTATUS | obsahuje hodnotu '4', ak je súbor načítaný. |
ZFILESIZE | obsahuje dĺžku súboru (v bajtoch) pre stiahnuté súbory |
ZMEDIAORIGIN | neznáme, zvyčajne má hodnotu „0“ |
ZMOVIEDURATION | trvanie mediálneho súboru, pri súboroch pdf môže obsahovať počet strán dokumentu |
ZMESSAGE | obsahuje sériové číslo (číslo sa líši od čísla uvedeného v stĺpci „Z_PK“) |
ZASPECTRATIO | pomer strán, nepoužíva sa, zvyčajne nastavený na „0“ |
ZHACCURACY | neznáme, zvyčajne má hodnotu „0“ |
ZLATTITUDE | šírka v pixeloch |
ZLONGTITUDE | výška v pixeloch |
ZMEDIAURLDATE | časová pečiatka vo formáte OS X Epoch Time |
ZAUTHORNAME | autor (v prípade dokumentov môže obsahovať názov súboru) |
ZCOLLECTIONNAME | nepoužíva sa |
ZMEDIALOCALPATH | názov súboru (vrátane cesty) v súborovom systéme zariadenia |
ZMEDIAURL | Adresa URL, na ktorej sa nachádzal mediálny súbor. Ak bol súbor prenesený od jedného účastníka k druhému, bol zašifrovaný a jeho prípona bude označená ako prípona prenášaného súboru - .enc |
ZTHUMBNAILLOCALPATH | cestu k miniatúre súboru v súborovom systéme zariadenia |
ZTITLE | hlavička súboru |
ZVCARDNAME | hash mediálneho súboru; pri prenose súboru do skupiny môže obsahovať identifikátor odosielateľa |
ZVCARDSTRING | obsahuje informácie o type prenášaného súboru (napríklad obrázok/jpeg); pri prenose súboru do skupiny môže obsahovať identifikátor príjemcu |
ZXMPPTHUMBPATH | cestu k miniatúre súboru v súborovom systéme zariadenia |
ZMEDIAKEY | neznámy, pravdepodobne obsahuje kľúč na dešifrovanie zašifrovaného súboru. |
ZMETADATA | metaúdaje prenášanej správy |
Ofset | zaujatosť |
Ďalšie zaujímavé databázové tabuľky 'ChatStorage.sqlite' Sú to:
- „ZWAPROFILEPUSHNAME“. Zhoduje sa ID WhatsApp s menom kontaktu;
- „ZWAPROFILEPICTUREITEM“. Zhoduje sa s WhatsApp ID s kontaktným avatarom;
- 'Z_PRIMARYKEY'. Tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.
Pri skúmaní WhatsApp na mobilnom zariadení so systémom iOS by ste mali venovať pozornosť aj nasledujúcim súborom:
- súbor 'BackedUpKeyValue.sqlite'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- súbor 'ContactsV2.sqlite'. Obsahuje informácie o kontaktoch používateľa, ako je celé meno, telefónne číslo, stav kontaktu (v textovej forme), WhatsApp ID atď. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- súbor 'consumer_version'. Obsahuje číslo verzie nainštalovanej aplikácie WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- súbor 'current_wallpaper.jpg'. Obsahuje aktuálnu tapetu na pozadí WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Staršie verzie aplikácie používajú súbor 'tapeta', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- súbor 'blockedcontacts.dat'. Obsahuje informácie o zablokovaných kontaktoch. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- súbor 'pw.dat'. Obsahuje zašifrované heslo. Nachádza sa pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- súbor 'net.whatsapp.WhatsApp.plist' (alebo súbor 'group.net.whatsapp.WhatsApp.shared.plist'). Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Obsah súboru 'group.net.whatsapp.WhatsApp.shared.plist'
Musíte tiež venovať pozornosť nasledujúcim adresárom:
- adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Obsahuje miniatúry kontaktov, skupín (súbory s príponou .palec), kontaktujte avatarov, avatara vlastníka účtu WhatsApp (súbor 'Photo.jpg').
- adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Obsahuje multimediálne súbory a ich miniatúry
- adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Obsahuje protokol činnosti programu (súbor 'calls.log') a záložné kópie protokolov prevádzky programu (súbor 'calls.backup.log').
- adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Obsahuje nálepky (súbory vo formáte '.webp').
- adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Obsahuje denníky prevádzky programu.
Artefakty WhatsApp v systéme Windows
Artefakty WhatsApp v systéme Windows možno nájsť na niekoľkých miestach. V prvom rade sú to adresáre obsahujúce spustiteľné a pomocné súbory programu (pre Windows 8/10):
- „C: Program Files (x86) WhatsApp“
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'
V katalógu 'C:Users%User profile% AppDataLocalWhatsApp' nachádza sa log súbor 'SquirrelSetup.log', ktorý obsahuje informácie o kontrole aktualizácií a inštalácii programu.
V katalógu 'C:Users%User profile% AppDataRoamingWhatsApp' Existuje niekoľko podadresárov:
súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.
Podadresár 'databázy' obsahuje súbor 'Databases.db', ale tento súbor neobsahuje žiadne informácie o chatoch ani kontaktoch.
Z forenzného hľadiska sú najzaujímavejšie súbory umiestnené v adresári 'vyrovnávacia pamäť'. V podstate ide o súbory s názvom 'f_********' (kde * je číslo od 0 do 9) obsahujúce zašifrované multimediálne súbory a dokumenty, ale sú medzi nimi aj nezašifrované súbory. Obzvlášť zaujímavé sú súbory 'data_0', 'data_1', 'data_2', 'data_3', ktorý sa nachádza v rovnakom podadresári. Súbory 'data_0', 'data_1', 'data_3' obsahujú externé odkazy na prenášané šifrované multimediálne súbory a dokumenty.
Príklad informácií obsiahnutých v súbore 'data_1'
Tiež súbor 'data_3' môže obsahovať grafické súbory.
súbor 'data_2' obsahuje avatary kontaktov (dá sa obnoviť vyhľadávaním podľa hlavičiek súborov).
Avatary obsiahnuté v súbore 'data_2':
Samotné rozhovory teda nemožno nájsť v pamäti počítača, ale môžete nájsť:
- multimediálne súbory;
- dokumenty prenášané cez WhatsApp;
- informácie o kontaktoch majiteľa účtu.
Artefakty WhatsApp na MacOS
V systéme MacOS môžete nájsť typy artefaktov WhatsApp podobné tým, ktoré sa nachádzajú v OS Windows.
Programové súbory sú umiestnené v nasledujúcich adresároch:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp Accounts'
Tento adresár obsahuje podadresáre, ktorých názvy sú telefónne čísla spojené s vlastníkom účtu WhatsApp. - 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Tento adresár obsahuje informácie o inštalácii programu. - 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
Tieto adresáre obsahujú servisné súbory programu vrátane fotografií a miniatúr kontaktov WhatsApp. - 'C:Users%User profile%LibraryCachesWhatsApp'
Tento adresár obsahuje niekoľko databáz SQLite, ktoré sa používajú na ukladanie údajov do vyrovnávacej pamäte. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Tento adresár obsahuje niekoľko podadresárov:
V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' existujú súbory 'data_0', 'data_1', 'data_2', 'data_3' a súbory s menami 'f_********' (kde * je číslo od 0 do 9). Informácie o tom, aké informácie tieto súbory obsahujú, nájdete v časti Artefakty WhatsApp v systéme Windows.V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' môže obsahovať multimediálne súbory (súbory nemajú žiadne prípony).
súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.
zdroje
- Forenzná analýza WhatsApp Messenger na smartfónoch s Androidom, Cosimo Anglano, 2014.
- Whatsapp Forensics: Systémový systém a základné údaje pre aplikácie Android a iOS od Ahmada Pratamu, 2014.
V nasledujúcich článkoch tejto série:
Dešifrovanie šifrovaných databáz WhatsAppČlánok, ktorý poskytne informácie o tom, ako sa generuje šifrovací kľúč WhatsApp a praktické príklady ukazujúce, ako dešifrovať šifrované databázy tejto aplikácie.
Extrahovanie údajov WhatsApp z cloudového úložiskaČlánok, v ktorom vám povieme, aké údaje WhatsApp sú uložené v cloude a popíšeme spôsoby získavania týchto údajov z cloudových úložísk.
Extrakcia údajov WhatsApp: Praktické príkladyČlánok, ktorý krok za krokom popíše, aké programy a ako extrahovať údaje WhatsApp z rôznych zariadení.
Zdroj: hab.com