🥇WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

Ak chcete vedieť, aké typy forenzných artefaktov WhatsApp existujú v rôznych operačných systémoch a kde presne ich možno nájsť, potom je toto miesto pre vás. Tento článok je od špecialistu z Laboratória počítačovej forenznej analýzy Group-IB Igor Michajlov začína sériu príspevkov o forenznej analýze WhatsApp a o tom, aké informácie možno získať z analýzy zariadenia.

Je dôležité poznamenať, že rôzne operačné systémy ukladajú rôzne typy artefaktov WhatsApp a ak výskumník dokáže extrahovať určité typy údajov WhatsApp z jedného zariadenia, nemusí to nevyhnutne znamenať, že rovnaké typy údajov je možné extrahovať z iného zariadenia. Napríklad, ak sa systémová jednotka, na ktorej beží operačný systém, odstraňuje. Windows, chaty WhatsApp sa pravdepodobne nenájdu na jeho diskoch (s výnimkou záloh zariadení so systémom iOS, ktoré sa môžu nachádzať na rovnakých diskoch). Zabavenie notebookov a mobilných zariadení bude predstavovať vlastné výzvy. Poďme si to rozobrať podrobnejšie.

Artefakty WhatsApp v Android-zariadenie

Ak chcete extrahovať artefakty WhatsApp zo zariadenia s operačným systémom Android, výskumník musí mať práva superpoužívateľa („koreň“) na skúmanom zariadení alebo byť schopný inak extrahovať fyzický výpis pamäte zariadenia alebo jeho súborového systému (napríklad pomocou softvérových zraniteľností konkrétneho mobilného zariadenia).

Aplikačné súbory sa nachádzajú v pamäti telefónu v časti, v ktorej sú uložené používateľské dáta. Táto sekcia je spravidla pomenovaná 'použivateľské dáta'. Podadresáre a programové súbory sú umiestnené pozdĺž cesty: '/data/data/com.whatsapp/'.

Hlavné súbory, ktoré obsahujú forenzné artefakty WhatsApp v operačnom systéme Android sú databázy 'wa.db' и 'msgstore.db'.

V databáze 'wa.db' obsahuje úplný zoznam kontaktov používateľa WhatsApp vrátane telefónneho čísla, zobrazovaného mena, časových pečiatok a akýchkoľvek ďalších informácií poskytnutých pri registrácii do WhatsApp. Súbor 'wa.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:

Najzaujímavejšie tabuľky v databáze 'wa.db' pre výskumníka sú:

'wa_contacts'
Táto tabuľka obsahuje kontaktné informácie: ID kontaktu WhatsApp, informácie o stave, zobrazované meno používateľa, časové pečiatky atď.

Vzhľad tabuľky:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Štruktúra tabuľky

Názov poľa	Hodnota
_id	poradové číslo záznamu (v SQL tabuľke)
jid	ID kontaktu WhatsApp, napísané vo formáte <telefónne číslo>@s.whatsapp.net
is_whatsapp_user	obsahuje „1“, ak kontakt zodpovedá skutočnému používateľovi WhatsApp, inak „0“.
postavenie	obsahuje text zobrazený v stave kontaktu
stavová_časová pečiatka	obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms).
číslo	telefónne číslo priradené ku kontaktu
raw_contact_id	kontaktujte sériové číslo
DISPLAY_NAME	zobrazované meno kontaktu
phone_type	typ telefónu
telefónny_štítok	štítok spojený s kontaktným číslom
unseen_msg_count	počet správ, ktoré odoslal kontakt, ale príjemca ich neprečítal
photo_ts	obsahuje časovú pečiatku vo formáte Unix Epoch Time
thumb_ts	obsahuje časovú pečiatku vo formáte Unix Epoch Time
photo_id_timestamp	obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms).
krstné meno	hodnota poľa sa zhoduje s hodnotou 'zobrazované_meno' pre každý kontakt
wa_name	Meno kontaktu WhatsApp (zobrazí sa meno uvedené v profile kontaktu)
názov_triedenia	meno kontaktu používané v operáciách triedenia
prezývka	prezývka kontaktu v WhatsApp (zobrazí sa prezývka uvedená v profile kontaktu)
spoločnosť	firma (zobrazí sa firma uvedená v profile kontaktu)
titul	titul (pani/pán; zobrazuje sa titul nakonfigurovaný v profile kontaktu)
ofset	zaujatosť

'sqlite_sequence'
Táto tabuľka obsahuje informácie o počte kontaktov;
'android_metadata'
Táto tabuľka obsahuje informácie o jazykovej lokalizácii WhatsApp.

V databáze 'msgstore.db' obsahuje informácie o odoslaných správach, ako je kontaktné číslo, text správy, stav správy, časové pečiatky, podrobnosti o prenesených súboroch obsiahnutých v správach atď. Súbor 'msgstore.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:

Najzaujímavejšie tabuľky v súbore 'msgstore.db' pre výskumníka sú:

'sqlite_sequence'
Táto tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.
Vzhľad tabuľky:
'message_fts_content'
Obsahuje text odoslaných správ.
Vzhľad tabuľky:

'správy'
Táto tabuľka obsahuje informácie ako kontaktné číslo, text správy, stav správy, časové pečiatky, informácie o prenesených súboroch obsiahnutých v správach.

Vzhľad tabuľky:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Štruktúra tabuľky

Názov poľa	Hodnota
_id	poradové číslo záznamu (v SQL tabuľke)
key_remote_jid	WhatsApp ID komunikačného partnera
key_from_me	smer správy: '0' – prichádzajúca, '1' – odchádzajúca
key_id	jedinečný identifikátor správy
postavenie	stav správy: „0“ – doručená, „4“ – čaká sa na server, '5' – prijaté v mieste určenia, '6' – kontrolná správa, '13' – správa otvorená príjemcom (prečítaná)
need_push	má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“
data	text správy (keď parameter „media_wa_type“ je „0“)
časová značka	obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
media_url	obsahuje URL preneseného súboru (keď parameter 'media_wa_type' je '1', '2', '3')
media_mime_type	MIME typ prenášaného súboru (keď parameter 'media_wa_type' sa rovná '1', '2', '3')
media_wa_type	typ správy: '0' - text, '1' - grafický súbor, '2' - zvukový súbor, '3' - video súbor, '4' - karta kontaktu, '5' - geodáta
media_size	veľkosť prenášaného súboru (keď je parameter 'media_wa_type' '1', '2', '3')
media_name	názov prenášaného súboru (keď parameter 'media_wa_type' je '1', '2', '3')
media_caption	Obsahuje slová 'audio', 'video' pre zodpovedajúce hodnoty parametra 'media_wa_type' (keď parameter 'media_wa_type' je '1', '3')
media_hash	hash prenášaného súboru zakódovaný v base64, vypočítaný pomocou algoritmu HAS-256 (keď sa parameter „media_wa_type“ rovná „1“, „2“, „3“)
media_duration	trvanie mediálneho súboru v sekundách (keď 'media_wa_type' je '1', '2', '3')
pôvod	má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“
zemepisná šírka	geodata: zemepisná šírka (keď parameter „media_wa_type“ je „5“)
zemepisná dĺžka	geoúdaje: zemepisná dĺžka (keď parameter „media_wa_type“ je „5“)
thumb_image	servisné informácie
vzdialený_zdroj	ID odosielateľa (iba pre skupinové rozhovory)
prijatá_časová pečiatka	čas prijatia, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '0', '-1' alebo inú hodnotu)
odoslať_časovú pečiatku	nepoužíva sa, zvyčajne má hodnotu „-1“
časová pečiatka_servera_potvrdenia	čas prijatia ústredňou server, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota sa preberá z hodín zariadenia (keď má parameter „key_from_me“ hodnotu „1“, „-1“ alebo inú
príjem_zariadenia_časová pečiatka	čas prijatia správy iným účastníkom, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '1', '-1' alebo inú hodnotu
read_device_timestamp	čas otvorenia (prečítania) správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
prehraná_časová_značka_zariadenia	čas prehrávania správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
nespracované dáta	miniatúra preneseného súboru (keď parameter „media_wa_type“ je „1“ alebo „3“)
recipient_count	počet príjemcov (pre vysielané správy)
účastník_hash	používa sa pri prenose správ s geodátami
hral	nepoužíva sa
citovaný_riadok_id	neznáme, zvyčajne obsahuje hodnotu „0“
spomenuté_jids	nepoužíva sa
multicast_id	nepoužíva sa
ofset	zaujatosť

Tento zoznam polí nie je úplný. V rôznych verziách WhatsApp môžu byť niektoré polia prítomné alebo chýbať. Okrem toho môžu byť prítomné polia 'media_enc_hash', 'edit_version', 'payment_transaction_id' atď

'messages_thumbnails'
Táto tabuľka obsahuje informácie o prenesených obrázkoch a časových pečiatkach. V stĺpci 'timestamp' je čas uvedený vo formáte Unix Epoch Time (ms).
'chat_list'
Táto tabuľka obsahuje informácie o chatoch.
Vzhľad tabuľky:

Tiež pri skúmaní WhatsAppu na mobilnom zariadení so spusteným Android Mali by ste venovať pozornosť nasledujúcim súborom:

súbor 'msgstore.db.cryptXX' (kde XX je jedna alebo dve číslice od 0 do 12, napríklad msgstore.db.crypt12). Obsahuje šifrovanú zálohu správ WhatsApp (záložný súbor msgstore.db). Súbor(y) 'msgstore.db.cryptXX' nachádza sa pozdĺž cesty: '/data/media/0/WhatsApp/Databases/' (virtuálna SD karta), '/mnt/sdcard/WhatsApp/Databases/ (fyzická SD karta)“.
súbor 'kľúč'. Obsahuje kryptografický kľúč. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/files/'. Používa sa na dešifrovanie šifrovaných záloh WhatsApp.

súbor 'com.whatsapp_preferences.xml'. Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.

Fragment obsahu súboru

<?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…

súbor 'registration.RegisterPhone.xml'. Obsahuje informácie o telefónnom čísle priradenom k účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.

Obsah súboru

<?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>

súbor 'axolotl.db'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/'.
súbor 'chatsettings.db'. Obsahuje informácie o konfigurácii aplikácie.
súbor 'wa.db'. Obsahuje kontaktné údaje. Veľmi zaujímavá (z forenzného hľadiska) a informačná databáza. Môže obsahovať podrobné informácie o odstránených kontaktoch.

Musíte tiež venovať pozornosť nasledujúcim adresárom:

adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje prenesené grafické súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Obsahuje hlasové správy v súboroch vo formáte .OPUS.
adresár '/data/data/com.whatsapp/cache/Profile Pictures/'. Obsahuje grafické súbory – obrázky kontaktov.
adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – miniatúry kontaktov. Tieto súbory majú príponu „.j“, no napriek tomu ide o obrazové súbory JPEG (JPG).
adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – obrázok a miniatúru obrázka, ktoré ako avatar nastavil vlastník účtu.
adresár '/data/data/com.whatsapp/files/Logs/'. Obsahuje protokol prevádzky programu (súbor „whatsapp.log“) a záložné kópie protokolov prevádzky programu (súbory s názvami vo formáte whatsapp-yyyy-mm-dd.1.log.gz).

Súbory denníka WhatsApp:

Fragment denníka2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] zmeškané oznámenie o hovore/počet inicialít:0 časová pečiatka:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] zmeškané upozornenie na hovor/zrušenie aktualizácie pravda
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] súbor hesla chýba alebo je nečitateľný
2017-01-10 09:37:09.782 LL_I D [1:main] štatistika Textové správy: 59 odoslaných, 82 prijatých / Správy pre médiá: 1 odoslaná (0 bajtov), 0 prijatá (9850158 bajtov) / Offline správy: 81 prijatá ( 19522 ms priemerné oneskorenie) / Služba správ: 116075 odoslaných bajtov, 211729 prijatých bajtov / VoIP hovory: 1 odchádzajúce hovory, 0 prichádzajúcich hovorov, 2492 odoslaných bajtov, 1530 prijatých bajtov / Disk Google: 0 odoslaných bajtov, 0 prijatých 1524 Roaming: odoslaných bajtov, prijatých 1826 118567 bajtov / Celkové údaje: 10063417 XNUMX odoslaných bajtov, prijatých XNUMX XNUMX XNUMX bajtov
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | strávený čas: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-store available:1,345,622,016 total:5,687,922,688

adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Obsahuje prijaté zvukové súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Obsahuje odoslané zvukové súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje výsledné grafické súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Obsahuje odoslané grafické súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Obsahuje prijaté video súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Obsahuje odoslané video súbory.
adresár '/data/media/0/WhatsApp/Media/WhatsApp Profilové fotografie/'. Obsahuje grafické súbory spojené s vlastníkom účtu WhatsApp.
Pre úsporu miesta v pamäti Android- Niektoré údaje aplikácie WhatsApp môžu byť uložené na SD karte vášho smartfónu. Koreňový adresár SD karty obsahuje adresár s názvom „WhatsApp“, kde možno nájsť nasledujúce artefakty tohto programu:
adresár '.Zdieľam' ('/mnt/sdcard/WhatsApp/.Share/'). Obsahuje kópie súborov, ktoré boli zdieľané s ostatnými používateľmi WhatsApp.
adresár '.smeti' ('/mnt/sdcard/WhatsApp/.trash/'). Obsahuje odstránené súbory.
adresár 'databázy' ('/mnt/sdcard/WhatsApp/Databases/'). Obsahuje šifrované zálohy. Môžu byť dešifrované, ak je súbor prítomný 'kľúč', extrahované z pamäte analyzovaného zariadenia.
Súbory umiestnené v podadresári 'databázy':
adresár 'polovica' ('/mnt/sdcard/WhatsApp/Media/'). Obsahuje podadresáre 'Tapeta', „WhatsApp Audio“, 'WhatsApp Images', „Profilové fotografie WhatsApp“, 'WhatsApp Video', „Hlasové poznámky WhatsApp“, ktoré obsahujú prijaté a prenášané multimediálne súbory (grafické súbory, videosúbory, hlasové správy, fotografie spojené s profilom majiteľa účtu WhatsApp, tapety).
adresár 'Profilové fotky' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Obsahuje grafické súbory spojené s profilom vlastníka účtu WhatsApp.
Niekedy môže byť na SD karte prítomný adresár 'súbory' ('/mnt/sdcard/WhatsApp/Files/'). Tento adresár obsahuje súbory, ktoré ukladajú nastavenia programu a užívateľské preferencie.

Funkcie ukladania údajov v niektorých modeloch mobilných zariadení

V niektorých modeloch mobilných zariadení s operačným systémom Android Je možné, že artefakty WhatsApp sú uložené na inom mieste. Je to spôsobené zmenami v úložnom priestore pre dáta aplikácie systémovým softvérom mobilného zariadenia. Napríklad mobilné zariadenia Xiaomi majú funkciu s názvom „SecondSpace“. Keď je táto funkcia aktivovaná, umiestnenie dát sa zmení. Napríklad, ak typické mobilné zariadenie s operačným systémom Android používateľské údaje sú uložené v adresári '/data/user/0/' (čo je odkaz na obvyklé '/data/data/'), potom v druhom pracovnom priestore sú dáta aplikácie uložené v adresári '/data/user/10/'. Teda pomocou príkladu umiestnenia súboru 'wa.db':

v bežnom smartfóne s operačným systémom Android: /data/user/0/com.whatsapp/databases/wa.db' (čo je ekvivalentné '/data/data/com.whatsapp/databases/wa.db');
v druhom pracovnom priestore smartfónu Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Artefakty WhatsApp v zariadení so systémom iOS

Na rozdiel od Android V systéme iOS sa dáta aplikácie WhatsApp prenášajú do zálohy iTunes. Extrakcia dát tejto aplikácie preto nevyžaduje extrahovanie súborového systému ani vytvorenie fyzického výpisu pamäte skúmaného zariadenia. Väčšina relevantných informácií je obsiahnutá v databáze. 'ChatStorage.sqlite', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (v niektorých programoch sa táto cesta zobrazuje ako „AppDomainGroup-group.net.whatsapp.WhatsApp.shared“).

Štruktúra 'ChatStorage.sqlite':

Najinformatívnejšie tabuľky v databáze 'ChatStorage.sqlite' sú „ZWAMESSAGE“ и „ZWAMEDIAITEM“.

Vzhľad tabuľky „ZWAMESSAGE“:

Štruktúra tabuľky 'ZWAMESSAGE'

Názov poľa	Hodnota
Z_PK	poradové číslo záznamu (v SQL tabuľke)
Z_ENT	identifikátor tabuľky, má hodnotu '9'
Z_OPT	neznáme, zvyčajne obsahuje hodnoty od „1“ do „6“
ZCHILDMESSAGES DELIVEREDCOUNT	neznáme, zvyčajne obsahuje hodnotu „0“
ZCHILDMESSAGESPLAYEDCOUNT	neznáme, zvyčajne obsahuje hodnotu „0“
ZCHILDMESSAGESREADCOUNT	neznáme, zvyčajne obsahuje hodnotu „0“
ZDATAITEMVERSION	neznáme, zvyčajne obsahuje hodnotu '3', pravdepodobne ide o indikátor textovej správy
ZDOCID	nie je známy
ZENCRETRYCOUNT	neznáme, zvyčajne obsahuje hodnotu „0“
ZFILTEREDRECIPIENTCOUNT	neznáme, zvyčajne obsahuje hodnoty „0“, „2“, „256“
ZISFROMME	smer správy: '0' – prichádzajúca, '1' – odchádzajúca
ZMESSAGEERRORSTATUS	stav prenosu správy. Ak je správa odoslaná/prijatá, potom má hodnotu „0“
ZMESSAGETYPE	typ prenášanej správy
ZSORT	nie je známy
ZSPOTLIGHSTATUS	nie je známy
ZSTARRED	neznáme, nepoužívané
ZCHATSESSION	nie je známy
ZGROUPMEMBER	neznáme, nepoužívané
ZLASTSESSION	nie je známy
ZMEDIAITEM	nie je známy
ZMESSAGEINFO	nie je známy
ZPARENTMESSAGE	neznáme, nepoužívané
ZMESSAGEDATE	časová pečiatka vo formáte OS X Epoch Time
ZSENTDATE	čas odoslania správy vo formáte OS X Epoch Time
ZFROMJID	ID odosielateľa WhatsApp
ZMEDIASECTIONID	obsahuje rok a mesiac odoslania mediálneho súboru
ZPHASH	neznáme, nepoužívané
ZPUSHPAME	meno kontaktu, ktorý poslal mediálny súbor vo formáte UTF-8
ZSTANZID	jedinečný identifikátor správy
ZTEXT	Text správy
ZTOJID	WhatsApp ID príjemcu
OFFSET	zaujatosť

Vzhľad tabuľky „ZWAMEDIAITEM“:

Štruktúra tabuľky 'ZWAMEDIAITEM'

Názov poľa	Hodnota
Z_PK	poradové číslo záznamu (v SQL tabuľke)
Z_ENT	identifikátor tabuľky, má hodnotu '8'
Z_OPT	neznáme, zvyčajne obsahuje hodnoty od „1“ do „3“.
ZCLOUDSTATUS	obsahuje hodnotu '4', ak je súbor načítaný.
ZFILESIZE	obsahuje dĺžku súboru (v bajtoch) pre stiahnuté súbory
ZMEDIAORIGIN	neznáme, zvyčajne má hodnotu „0“
ZMOVIEDURATION	trvanie mediálneho súboru, pri súboroch pdf môže obsahovať počet strán dokumentu
ZMESSAGE	obsahuje sériové číslo (číslo sa líši od čísla uvedeného v stĺpci „Z_PK“)
ZASPECTRATIO	pomer strán, nepoužíva sa, zvyčajne nastavený na „0“
ZHACCURACY	neznáme, zvyčajne má hodnotu „0“
ZLATTITUDE	šírka v pixeloch
ZLONGTITUDE	výška v pixeloch
ZMEDIAURLDATE	časová pečiatka vo formáte OS X Epoch Time
ZAUTHORNAME	autor (v prípade dokumentov môže obsahovať názov súboru)
ZCOLLECTIONNAME	nepoužíva sa
ZMEDIALOCALPATH	názov súboru (vrátane cesty) v súborovom systéme zariadenia
ZMEDIAURL	Adresa URL, na ktorej sa nachádzal mediálny súbor. Ak bol súbor prenesený od jedného účastníka k druhému, bol zašifrovaný a jeho prípona bude označená ako prípona prenášaného súboru - .enc
ZTHUMBNAILLOCALPATH	cestu k miniatúre súboru v súborovom systéme zariadenia
ZTITLE	hlavička súboru
ZVCARDNAME	hash mediálneho súboru; pri prenose súboru do skupiny môže obsahovať identifikátor odosielateľa
ZVCARDSTRING	obsahuje informácie o type prenášaného súboru (napríklad obrázok/jpeg); pri prenose súboru do skupiny môže obsahovať identifikátor príjemcu
ZXMPPTHUMBPATH	cestu k miniatúre súboru v súborovom systéme zariadenia
ZMEDIAKEY	neznámy, pravdepodobne obsahuje kľúč na dešifrovanie zašifrovaného súboru.
ZMETADATA	metaúdaje prenášanej správy
Ofset	zaujatosť

Ďalšie zaujímavé databázové tabuľky 'ChatStorage.sqlite' Sú to:

„ZWAPROFILEPUSHNAME“. Zhoduje sa ID WhatsApp s menom kontaktu;
„ZWAPROFILEPICTUREITEM“. Zhoduje sa s WhatsApp ID s kontaktným avatarom;
'Z_PRIMARYKEY'. Tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.

Pri skúmaní WhatsApp na mobilnom zariadení so systémom iOS by ste mali venovať pozornosť aj nasledujúcim súborom:

súbor 'BackedUpKeyValue.sqlite'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
súbor 'ContactsV2.sqlite'. Obsahuje informácie o kontaktoch používateľa, ako je celé meno, telefónne číslo, stav kontaktu (v textovej forme), WhatsApp ID atď. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
súbor 'consumer_version'. Obsahuje číslo verzie nainštalovanej aplikácie WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
súbor 'current_wallpaper.jpg'. Obsahuje aktuálnu tapetu na pozadí WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Staršie verzie aplikácie používajú súbor 'tapeta', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
súbor 'blockedcontacts.dat'. Obsahuje informácie o zablokovaných kontaktoch. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
súbor 'pw.dat'. Obsahuje zašifrované heslo. Nachádza sa pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
súbor 'net.whatsapp.WhatsApp.plist' (alebo súbor 'group.net.whatsapp.WhatsApp.shared.plist'). Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Obsah súboru 'group.net.whatsapp.WhatsApp.shared.plist'
Musíte tiež venovať pozornosť nasledujúcim adresárom:

adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Obsahuje miniatúry kontaktov, skupín (súbory s príponou .palec), kontaktujte avatarov, avatara vlastníka účtu WhatsApp (súbor 'Photo.jpg').
adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Obsahuje multimediálne súbory a ich miniatúry
adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Obsahuje protokol činnosti programu (súbor 'calls.log') a záložné kópie protokolov prevádzky programu (súbor 'calls.backup.log').
adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Obsahuje nálepky (súbory vo formáte '.webp').
adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Obsahuje denníky prevádzky programu.

Artefakty WhatsApp v Windows

Artefakty WhatsApp v Windows možno nájsť na viacerých miestach. V prvom rade ide o adresáre obsahujúce spustiteľné a pomocné súbory programu (napríklad Windows 8/10):

„C: Program Files (x86) WhatsApp“
'C:Users%User profile% AppDataLocalWhatsApp'
'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

V katalógu 'C:Users%User profile% AppDataLocalWhatsApp' nachádza sa log súbor 'SquirrelSetup.log', ktorý obsahuje informácie o kontrole aktualizácií a inštalácii programu.

V katalógu 'C:Users%User profile% AppDataRoamingWhatsApp' Existuje niekoľko podadresárov:

súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.

Podadresár 'databázy' obsahuje súbor 'Databases.db', ale tento súbor neobsahuje žiadne informácie o chatoch ani kontaktoch.

Z forenzného hľadiska sú najzaujímavejšie súbory umiestnené v adresári 'vyrovnávacia pamäť'. V podstate ide o súbory s názvom 'f_********' (kde * je číslo od 0 do 9) obsahujúce zašifrované multimediálne súbory a dokumenty, ale sú medzi nimi aj nezašifrované súbory. Obzvlášť zaujímavé sú súbory 'data_0', 'data_1', 'data_2', 'data_3', ktorý sa nachádza v rovnakom podadresári. Súbory 'data_0', 'data_1', 'data_3' obsahujú externé odkazy na prenášané šifrované multimediálne súbory a dokumenty.

Príklad informácií obsiahnutých v súbore 'data_1'
Tiež súbor 'data_3' môže obsahovať grafické súbory.

súbor 'data_2' obsahuje avatary kontaktov (dá sa obnoviť vyhľadávaním podľa hlavičiek súborov).

Avatary obsiahnuté v súbore 'data_2':

Samotné rozhovory teda nemožno nájsť v pamäti počítača, ale môžete nájsť:

multimediálne súbory;
dokumenty prenášané cez WhatsApp;
informácie o kontaktoch majiteľa účtu.

Artefakty WhatsApp na MacOS

V systéme MacOS nájdete typy artefaktov WhatsApp podobné tým, ktoré sa nachádzajú v operačnom systéme Windows.

Programové súbory sú umiestnené v nasledujúcich adresároch:

'C:ApplicationsWhatsApp.app'
'C:Applications._WhatsApp.app'
'C:Users%User profile%LibraryPreferences'
'C:Users%User profile%LibraryLogsWhatsApp'
'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
'C:Users%User profile%LibraryApplication Scripts'
'C:Users%User profile%LibraryApplication SupportCloudDocs'
'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp Accounts'
Tento adresár obsahuje podadresáre, ktorých názvy sú telefónne čísla spojené s vlastníkom účtu WhatsApp.
'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Tento adresár obsahuje informácie o inštalácii programu.
'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
Tieto adresáre obsahujú servisné súbory programu vrátane fotografií a miniatúr kontaktov WhatsApp.
'C:Users%User profile%LibraryCachesWhatsApp'
Tento adresár obsahuje niekoľko databáz SQLite, ktoré sa používajú na ukladanie údajov do vyrovnávacej pamäte.
'C:Users%User profile%LibraryApplication SupportWhatsApp'
Tento adresár obsahuje niekoľko podadresárov:

V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' existujú súbory 'data_0', 'data_1', 'data_2', 'data_3' a súbory s menami 'f_********' (kde * je číslo od 0 do 9). Informácie o tom, aké informácie tieto súbory obsahujú, sú popísané v časti „Artefakty WhatsApp v Windows".
V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' môže obsahovať multimediálne súbory (súbory nemajú žiadne prípony).
súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.

zdroje

Forenzná analýza aplikácie WhatsApp Messenger Android smartfóny, Cosimo Anglano, 2014.
Whatsapp Forensics: Systémový systém a základné údaje pre aplikácie Android pre iOS od Ahmada Pratamu, 2014.

V nasledujúcich článkoch tejto série:

Dešifrovanie šifrovaných databáz WhatsAppČlánok, ktorý poskytne informácie o tom, ako sa generuje šifrovací kľúč WhatsApp a praktické príklady ukazujúce, ako dešifrovať šifrované databázy tejto aplikácie.
Extrahovanie údajov WhatsApp z cloudového úložiskaČlánok, v ktorom vám povieme, aké údaje WhatsApp sú uložené v cloude a popíšeme spôsoby získavania týchto údajov z cloudových úložísk.
Extrakcia údajov WhatsApp: Praktické príkladyČlánok, ktorý krok za krokom popíše, aké programy a ako extrahovať údaje WhatsApp z rôznych zariadení.

Zdroj: hab.com