ProHoster > Blog > internetové správy > WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

Ak chcete vedieť, aké typy forenzných artefaktov WhatsApp existujú v rôznych operačných systémoch a kde presne ich možno nájsť, potom je toto miesto pre vás. Tento článok je od špecialistu z Laboratória počítačovej forenznej analýzy Group-IB Igor Michajlov začína sériu príspevkov o forenznej analýze WhatsApp a o tom, aké informácie možno získať z analýzy zariadenia.

Okamžite si všimnime, že rôzne operačné systémy ukladajú rôzne typy artefaktov WhatsApp a ak výskumník dokáže extrahovať určité typy údajov WhatsApp z jedného zariadenia, neznamená to, že podobné typy údajov je možné extrahovať z iného zariadenia. Ak sa napríklad odstráni systémová jednotka s operačným systémom Windows, chaty WhatsApp sa na jej diskoch pravdepodobne nenájdu (s výnimkou záložných kópií zariadení so systémom iOS, ktoré sa nachádzajú na rovnakých jednotkách). Zabavenie notebookov a mobilných zariadení bude mať svoje vlastné charakteristiky. Povedzme si o tom podrobnejšie.

Artefakty WhatsApp v zariadení so systémom Android

Aby bolo možné extrahovať artefakty WhatsApp zo zariadenia Android, výskumník musí mať práva superužívateľa („koreň“) na skúmanom zariadení alebo byť schopný inak extrahovať fyzický výpis pamäte zariadenia alebo jeho súborového systému (napríklad pomocou softvérových zraniteľností konkrétneho mobilného zariadenia).

Aplikačné súbory sa nachádzajú v pamäti telefónu v časti, v ktorej sú uložené používateľské dáta. Táto sekcia je spravidla pomenovaná 'použivateľské dáta'. Podadresáre a programové súbory sú umiestnené pozdĺž cesty: '/data/data/com.whatsapp/'.

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Hlavné súbory, ktoré obsahujú forenzné artefakty WhatsApp v operačnom systéme Android, sú databázy 'wa.db' и 'msgstore.db'.

V databáze 'wa.db' obsahuje úplný zoznam kontaktov používateľa WhatsApp vrátane telefónneho čísla, zobrazovaného mena, časových pečiatok a akýchkoľvek ďalších informácií poskytnutých pri registrácii do WhatsApp. Súbor 'wa.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Najzaujímavejšie tabuľky v databáze 'wa.db' pre výskumníka sú:

  • 'wa_contacts'
    Táto tabuľka obsahuje kontaktné informácie: ID kontaktu WhatsApp, informácie o stave, zobrazované meno používateľa, časové pečiatky atď.

    Vzhľad tabuľky:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
    Štruktúra tabuľky

    Názov poľa Hodnota
    _id poradové číslo záznamu (v SQL tabuľke)
    jid ID kontaktu WhatsApp, napísané vo formáte <telefónne číslo>@s.whatsapp.net
    is_whatsapp_user obsahuje „1“, ak kontakt zodpovedá skutočnému používateľovi WhatsApp, inak „0“.
    postavenie obsahuje text zobrazený v stave kontaktu
    stavová_časová pečiatka obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms).
    číslo telefónne číslo priradené ku kontaktu
    raw_contact_id kontaktujte sériové číslo
    DISPLAY_NAME zobrazované meno kontaktu
    phone_type typ telefónu
    telefónny_štítok štítok spojený s kontaktným číslom
    unseen_msg_count počet správ, ktoré odoslal kontakt, ale príjemca ich neprečítal
    photo_ts obsahuje časovú pečiatku vo formáte Unix Epoch Time
    thumb_ts obsahuje časovú pečiatku vo formáte Unix Epoch Time
    photo_id_timestamp obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms).
    krstné meno hodnota poľa sa zhoduje s hodnotou 'zobrazované_meno' pre každý kontakt
    wa_name Meno kontaktu WhatsApp (zobrazí sa meno uvedené v profile kontaktu)
    názov_triedenia meno kontaktu používané v operáciách triedenia
    prezývka prezývka kontaktu v WhatsApp (zobrazí sa prezývka uvedená v profile kontaktu)
    spoločnosť firma (zobrazí sa firma uvedená v profile kontaktu)
    titul titul (pani/pán; zobrazuje sa titul nakonfigurovaný v profile kontaktu)
    ofset zaujatosť
  • 'sqlite_sequence'
    Táto tabuľka obsahuje informácie o počte kontaktov;
  • 'android_metadata'
    Táto tabuľka obsahuje informácie o jazykovej lokalizácii WhatsApp.

V databáze 'msgstore.db' obsahuje informácie o odoslaných správach, ako je kontaktné číslo, text správy, stav správy, časové pečiatky, podrobnosti o prenesených súboroch obsiahnutých v správach atď. Súbor 'msgstore.db' nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/' a má nasledujúcu štruktúru:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Najzaujímavejšie tabuľky v súbore 'msgstore.db' pre výskumníka sú:

  • 'sqlite_sequence'
    Táto tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.

    Vzhľad tabuľky:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

  • 'message_fts_content'
    Obsahuje text odoslaných správ.

    Vzhľad tabuľky:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

  • 'správy'
    Táto tabuľka obsahuje informácie ako kontaktné číslo, text správy, stav správy, časové pečiatky, informácie o prenesených súboroch obsiahnutých v správach.

    Vzhľad tabuľky:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
    Štruktúra tabuľky

    Názov poľa Hodnota
    _id poradové číslo záznamu (v SQL tabuľke)
    key_remote_jid WhatsApp ID komunikačného partnera
    key_from_me smer správy: '0' – prichádzajúca, '1' – odchádzajúca
    key_id jedinečný identifikátor správy
    postavenie stav správy: '0' – doručená, '4' – čaká na server, '5' – prijatá na mieste určenia, '6' – riadiaca správa, '13' – správa otvorená príjemcom (prečítaná)
    need_push má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“
    data text správy (keď parameter „media_wa_type“ je „0“)
    časová značka obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
    media_url obsahuje URL preneseného súboru (keď parameter 'media_wa_type' je '1', '2', '3')
    media_mime_type MIME typ prenášaného súboru (keď parameter 'media_wa_type' sa rovná '1', '2', '3')
    media_wa_type typ správy: '0' - text, '1' - grafický súbor, '2' - zvukový súbor, '3' - video súbor, '4' - karta kontaktu, '5' - geodáta
    media_size veľkosť prenášaného súboru (keď je parameter 'media_wa_type' '1', '2', '3')
    media_name názov prenášaného súboru (keď parameter 'media_wa_type' je '1', '2', '3')
    media_caption Obsahuje slová 'audio', 'video' pre zodpovedajúce hodnoty parametra 'media_wa_type' (keď parameter 'media_wa_type' je '1', '3')
    media_hash hash prenášaného súboru zakódovaný v base64, vypočítaný pomocou algoritmu HAS-256 (keď sa parameter „media_wa_type“ rovná „1“, „2“, „3“)
    media_duration trvanie mediálneho súboru v sekundách (keď 'media_wa_type' je '1', '2', '3')
    pôvod má hodnotu „2“, ak ide o vysielanú správu, inak obsahuje „0“
    zemepisná šírka geodata: zemepisná šírka (keď parameter „media_wa_type“ je „5“)
    zemepisná dĺžka geoúdaje: zemepisná dĺžka (keď parameter „media_wa_type“ je „5“)
    thumb_image servisné informácie
    vzdialený_zdroj ID odosielateľa (iba pre skupinové rozhovory)
    prijatá_časová pečiatka čas prijatia, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '0', '-1' alebo inú hodnotu)
    odoslať_časovú pečiatku nepoužíva sa, zvyčajne má hodnotu „-1“
    časová pečiatka_servera_potvrdenia čas prijatý centrálnym serverom, obsahuje časovú značku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '1', '-1' alebo inú hodnotu
    príjem_zariadenia_časová pečiatka čas prijatia správy iným účastníkom, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia (keď parameter 'key_from_me' má '1', '-1' alebo inú hodnotu
    read_device_timestamp čas otvorenia (prečítania) správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
    prehraná_časová_značka_zariadenia čas prehrávania správy, obsahuje časovú pečiatku vo formáte Unix Epoch Time (ms), hodnota je prevzatá z hodín zariadenia
    nespracované dáta miniatúra preneseného súboru (keď parameter „media_wa_type“ je „1“ alebo „3“)
    recipient_count počet príjemcov (pre vysielané správy)
    účastník_hash používa sa pri prenose správ s geodátami
    hral nepoužíva sa
    citovaný_riadok_id neznáme, zvyčajne obsahuje hodnotu „0“
    spomenuté_jids nepoužíva sa
    multicast_id nepoužíva sa
    ofset zaujatosť

    Tento zoznam polí nie je úplný. V rôznych verziách WhatsApp môžu byť niektoré polia prítomné alebo chýbať. Okrem toho môžu byť prítomné polia 'media_enc_hash', 'edit_version', 'payment_transaction_id' atď

  • 'messages_thumbnails'
    Táto tabuľka obsahuje informácie o prenesených obrázkoch a časových pečiatkach. V stĺpci 'timestamp' je čas uvedený vo formáte Unix Epoch Time (ms).
  • 'chat_list'
    Táto tabuľka obsahuje informácie o chatoch.

    Vzhľad tabuľky:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

Pri skúmaní WhatsApp na mobilnom zariadení so systémom Android by ste mali venovať pozornosť aj nasledujúcim súborom:

  • súbor 'msgstore.db.cryptXX' (kde XX je jedna alebo dve číslice od 0 do 12, napríklad msgstore.db.crypt12). Obsahuje šifrovanú zálohu správ WhatsApp (záložný súbor msgstore.db). Súbor(y) 'msgstore.db.cryptXX' nachádza sa pozdĺž cesty: '/data/media/0/WhatsApp/Databases/' (virtuálna SD karta), '/mnt/sdcard/WhatsApp/Databases/ (fyzická SD karta)“.
  • súbor 'kľúč'. Obsahuje kryptografický kľúč. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/files/'. Používa sa na dešifrovanie šifrovaných záloh WhatsApp.
  • súbor 'com.whatsapp_preferences.xml'. Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.

    Fragment obsahu súboru

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • súbor 'registration.RegisterPhone.xml'. Obsahuje informácie o telefónnom čísle priradenom k ​​účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/data/data/com.whatsapp/shared_prefs/'.

    Obsah súboru 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • súbor 'axolotl.db'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: '/data/data/com.whatsapp/databases/'.
  • súbor 'chatsettings.db'. Obsahuje informácie o konfigurácii aplikácie.
  • súbor 'wa.db'. Obsahuje kontaktné údaje. Veľmi zaujímavá (z forenzného hľadiska) a informačná databáza. Môže obsahovať podrobné informácie o odstránených kontaktoch.

Musíte tiež venovať pozornosť nasledujúcim adresárom:

  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje prenesené grafické súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Obsahuje hlasové správy v súboroch vo formáte .OPUS.
  • adresár '/data/data/com.whatsapp/cache/Profile Pictures/'. Obsahuje grafické súbory – obrázky kontaktov.
  • adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – miniatúry kontaktov. Tieto súbory majú príponu „.j“, no napriek tomu ide o obrazové súbory JPEG (JPG).
  • adresár '/data/data/com.whatsapp/files/Avatars/'. Obsahuje grafické súbory – obrázok a miniatúru obrázka, ktoré ako avatar nastavil vlastník účtu.
  • adresár '/data/data/com.whatsapp/files/Logs/'. Obsahuje protokol prevádzky programu (súbor „whatsapp.log“) a záložné kópie protokolov prevádzky programu (súbory s názvami vo formáte whatsapp-yyyy-mm-dd.1.log.gz).

Súbory denníka WhatsApp:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Fragment denníka2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] zmeškané oznámenie o hovore/počet inicialít:0 časová pečiatka:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] zmeškané upozornenie na hovor/zrušenie aktualizácie pravda
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] súbor hesla chýba alebo je nečitateľný
2017-01-10 09:37:09.782 LL_I D [1:main] štatistika Textové správy: 59 odoslaných, 82 prijatých / Správy pre médiá: 1 odoslaná (0 bajtov), ​​0 prijatá (9850158 bajtov) / Offline správy: 81 prijatá ( 19522 ms priemerné oneskorenie) / Služba správ: 116075 odoslaných bajtov, 211729 prijatých bajtov / VoIP hovory: 1 odchádzajúce hovory, 0 prichádzajúcich hovorov, 2492 odoslaných bajtov, 1530 prijatých bajtov / Disk Google: 0 odoslaných bajtov, 0 prijatých 1524 Roaming: odoslaných bajtov, prijatých 1826 118567 bajtov / Celkové údaje: 10063417 XNUMX odoslaných bajtov, prijatých XNUMX XNUMX XNUMX bajtov
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | strávený čas: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-store available:1,345,622,016 total:5,687,922,688

  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Obsahuje prijaté zvukové súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Obsahuje odoslané zvukové súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/'. Obsahuje výsledné grafické súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Obsahuje odoslané grafické súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Obsahuje prijaté video súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/'. Obsahuje odoslané video súbory.
  • adresár '/data/media/0/WhatsApp/Media/WhatsApp Profilové fotografie/'. Obsahuje grafické súbory spojené s vlastníkom účtu WhatsApp.
  • Ak chcete ušetriť miesto v pamäti smartfónu s Androidom, niektoré údaje WhatsApp možno uložiť na kartu SD. Na SD karte sa v koreňovom adresári nachádza adresár „WhatsApp“, kde možno nájsť nasledujúce artefakty tohto programu:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

  • adresár '.Zdieľam' ('/mnt/sdcard/WhatsApp/.Share/'). Obsahuje kópie súborov, ktoré boli zdieľané s ostatnými používateľmi WhatsApp.
  • adresár '.smeti' ('/mnt/sdcard/WhatsApp/.trash/'). Obsahuje odstránené súbory.
  • adresár 'databázy' ('/mnt/sdcard/WhatsApp/Databases/'). Obsahuje šifrované zálohy. Môžu byť dešifrované, ak je súbor prítomný 'kľúč', extrahované z pamäte analyzovaného zariadenia.

    Súbory umiestnené v podadresári 'databázy':

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?

  • adresár 'polovica' ('/mnt/sdcard/WhatsApp/Media/'). Obsahuje podadresáre 'Tapeta', „WhatsApp Audio“, 'WhatsApp Images', „Profilové fotografie WhatsApp“, 'WhatsApp Video', „Hlasové poznámky WhatsApp“, ktoré obsahujú prijaté a prenášané multimediálne súbory (grafické súbory, videosúbory, hlasové správy, fotografie spojené s profilom majiteľa účtu WhatsApp, tapety).
  • adresár 'Profilové fotky' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Obsahuje grafické súbory spojené s profilom vlastníka účtu WhatsApp.
  • Niekedy môže byť na SD karte prítomný adresár 'súbory' ('/mnt/sdcard/WhatsApp/Files/'). Tento adresár obsahuje súbory, ktoré ukladajú nastavenia programu a užívateľské preferencie.

Funkcie ukladania údajov v niektorých modeloch mobilných zariadení

Niektoré modely mobilných zariadení s operačným systémom Android môžu ukladať artefakty WhatsApp na inom mieste. Je to spôsobené zmenami v ukladacom priestore údajov aplikácie systémovým softvérom mobilného zariadenia. Napríklad mobilné zariadenia Xiaomi majú funkciu vytvorenia druhého pracovného priestoru („SecondSpace“). Keď je táto funkcia aktivovaná, umiestnenie údajov sa zmení. Ak sú teda v bežnom mobilnom zariadení s operačným systémom Android údaje používateľa uložené v adresári '/data/user/0/' (čo je odkaz na obvyklé '/data/data/'), potom v druhom pracovnom priestore sú dáta aplikácie uložené v adresári '/data/user/10/'. Teda pomocou príkladu umiestnenia súboru 'wa.db':

  • v bežnom smartfóne s operačným systémom Android: /data/user/0/com.whatsapp/databases/wa.db' (čo je ekvivalentné '/data/data/com.whatsapp/databases/wa.db');
  • v druhom pracovnom priestore smartfónu Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Artefakty WhatsApp v zariadení so systémom iOS

Na rozdiel od operačného systému Android sa v systéme iOS údaje aplikácie WhatsApp prenášajú do záložnej kópie (záloha iTunes). Preto extrahovanie údajov z tejto aplikácie nevyžaduje extrahovanie súborového systému alebo vytvorenie výpisu fyzickej pamäte skúmaného zariadenia. Väčšina relevantných informácií je obsiahnutá v databáze 'ChatStorage.sqlite', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (v niektorých programoch sa táto cesta zobrazuje ako „AppDomainGroup-group.net.whatsapp.WhatsApp.shared“).

Štruktúra 'ChatStorage.sqlite':

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Najinformatívnejšie tabuľky v databáze 'ChatStorage.sqlite' sú „ZWAMESSAGE“ и „ZWAMEDIAITEM“.

Vzhľad tabuľky „ZWAMESSAGE“:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Štruktúra tabuľky 'ZWAMESSAGE'

Názov poľa Hodnota
Z_PK poradové číslo záznamu (v SQL tabuľke)
Z_ENT identifikátor tabuľky, má hodnotu '9'
Z_OPT neznáme, zvyčajne obsahuje hodnoty od „1“ do „6“
ZCHILDMESSAGES DELIVEREDCOUNT neznáme, zvyčajne obsahuje hodnotu „0“
ZCHILDMESSAGESPLAYEDCOUNT neznáme, zvyčajne obsahuje hodnotu „0“
ZCHILDMESSAGESREADCOUNT neznáme, zvyčajne obsahuje hodnotu „0“
ZDATAITEMVERSION neznáme, zvyčajne obsahuje hodnotu '3', pravdepodobne ide o indikátor textovej správy
ZDOCID nie je známy
ZENCRETRYCOUNT neznáme, zvyčajne obsahuje hodnotu „0“
ZFILTEREDRECIPIENTCOUNT neznáme, zvyčajne obsahuje hodnoty „0“, „2“, „256“
ZISFROMME smer správy: '0' – prichádzajúca, '1' – odchádzajúca
ZMESSAGEERRORSTATUS stav prenosu správy. Ak je správa odoslaná/prijatá, potom má hodnotu „0“
ZMESSAGETYPE typ prenášanej správy
ZSORT nie je známy
ZSPOTLIGHSTATUS nie je známy
ZSTARRED neznáme, nepoužívané
ZCHATSESSION nie je známy
ZGROUPMEMBER neznáme, nepoužívané
ZLASTSESSION nie je známy
ZMEDIAITEM nie je známy
ZMESSAGEINFO nie je známy
ZPARENTMESSAGE neznáme, nepoužívané
ZMESSAGEDATE časová pečiatka vo formáte OS X Epoch Time
ZSENTDATE čas odoslania správy vo formáte OS X Epoch Time
ZFROMJID ID odosielateľa WhatsApp
ZMEDIASECTIONID obsahuje rok a mesiac odoslania mediálneho súboru
ZPHASH neznáme, nepoužívané
ZPUSHPAME meno kontaktu, ktorý poslal mediálny súbor vo formáte UTF-8
ZSTANZID jedinečný identifikátor správy
ZTEXT Text správy
ZTOJID WhatsApp ID príjemcu
OFFSET zaujatosť

Vzhľad tabuľky „ZWAMEDIAITEM“:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Štruktúra tabuľky 'ZWAMEDIAITEM'

Názov poľa Hodnota
Z_PK poradové číslo záznamu (v SQL tabuľke)
Z_ENT identifikátor tabuľky, má hodnotu '8'
Z_OPT neznáme, zvyčajne obsahuje hodnoty od „1“ do „3“.
ZCLOUDSTATUS obsahuje hodnotu '4', ak je súbor načítaný.
ZFILESIZE obsahuje dĺžku súboru (v bajtoch) pre stiahnuté súbory
ZMEDIAORIGIN neznáme, zvyčajne má hodnotu „0“
ZMOVIEDURATION trvanie mediálneho súboru, pri súboroch pdf môže obsahovať počet strán dokumentu
ZMESSAGE obsahuje sériové číslo (číslo sa líši od čísla uvedeného v stĺpci „Z_PK“)
ZASPECTRATIO pomer strán, nepoužíva sa, zvyčajne nastavený na „0“
ZHACCURACY neznáme, zvyčajne má hodnotu „0“
ZLATTITUDE šírka v pixeloch
ZLONGTITUDE výška v pixeloch
ZMEDIAURLDATE časová pečiatka vo formáte OS X Epoch Time
ZAUTHORNAME autor (v prípade dokumentov môže obsahovať názov súboru)
ZCOLLECTIONNAME nepoužíva sa
ZMEDIALOCALPATH názov súboru (vrátane cesty) v súborovom systéme zariadenia
ZMEDIAURL Adresa URL, na ktorej sa nachádzal mediálny súbor. Ak bol súbor prenesený od jedného účastníka k druhému, bol zašifrovaný a jeho prípona bude označená ako prípona prenášaného súboru - .enc
ZTHUMBNAILLOCALPATH cestu k miniatúre súboru v súborovom systéme zariadenia
ZTITLE hlavička súboru
ZVCARDNAME hash mediálneho súboru; pri prenose súboru do skupiny môže obsahovať identifikátor odosielateľa
ZVCARDSTRING obsahuje informácie o type prenášaného súboru (napríklad obrázok/jpeg); pri prenose súboru do skupiny môže obsahovať identifikátor príjemcu
ZXMPPTHUMBPATH cestu k miniatúre súboru v súborovom systéme zariadenia
ZMEDIAKEY neznámy, pravdepodobne obsahuje kľúč na dešifrovanie zašifrovaného súboru.
ZMETADATA metaúdaje prenášanej správy
Ofset zaujatosť

Ďalšie zaujímavé databázové tabuľky 'ChatStorage.sqlite' Sú to:

  • „ZWAPROFILEPUSHNAME“. Zhoduje sa ID WhatsApp s menom kontaktu;
  • „ZWAPROFILEPICTUREITEM“. Zhoduje sa s WhatsApp ID s kontaktným avatarom;
  • 'Z_PRIMARYKEY'. Tabuľka obsahuje všeobecné informácie o tejto databáze, ako je celkový počet uložených správ, celkový počet chatov atď.

Pri skúmaní WhatsApp na mobilnom zariadení so systémom iOS by ste mali venovať pozornosť aj nasledujúcim súborom:

  • súbor 'BackedUpKeyValue.sqlite'. Obsahuje kryptografické kľúče a ďalšie údaje, ktoré sú potrebné na identifikáciu vlastníka účtu. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • súbor 'ContactsV2.sqlite'. Obsahuje informácie o kontaktoch používateľa, ako je celé meno, telefónne číslo, stav kontaktu (v textovej forme), WhatsApp ID atď. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • súbor 'consumer_version'. Obsahuje číslo verzie nainštalovanej aplikácie WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • súbor 'current_wallpaper.jpg'. Obsahuje aktuálnu tapetu na pozadí WhatsApp. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Staršie verzie aplikácie používajú súbor 'tapeta', ktorý sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • súbor 'blockedcontacts.dat'. Obsahuje informácie o zablokovaných kontaktoch. Nachádza sa pozdĺž cesty: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • súbor 'pw.dat'. Obsahuje zašifrované heslo. Nachádza sa pozdĺž cesty: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • súbor 'net.whatsapp.WhatsApp.plist' (alebo súbor 'group.net.whatsapp.WhatsApp.shared.plist'). Obsahuje informácie o vašom profile účtu WhatsApp. Súbor sa nachádza pozdĺž cesty: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Obsah súboru 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Musíte tiež venovať pozornosť nasledujúcim adresárom:

  • adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Obsahuje miniatúry kontaktov, skupín (súbory s príponou .palec), kontaktujte avatarov, avatara vlastníka účtu WhatsApp (súbor 'Photo.jpg').
  • adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Obsahuje multimediálne súbory a ich miniatúry
  • adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Obsahuje protokol činnosti programu (súbor 'calls.log') a záložné kópie protokolov prevádzky programu (súbor 'calls.backup.log').
  • adresár '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Obsahuje nálepky (súbory vo formáte '.webp').
  • adresár '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Obsahuje denníky prevádzky programu.

Artefakty WhatsApp v systéme Windows

Artefakty WhatsApp v systéme Windows možno nájsť na niekoľkých miestach. V prvom rade sú to adresáre obsahujúce spustiteľné a pomocné súbory programu (pre Windows 8/10):

  • „C: Program Files (x86) WhatsApp“
  • 'C:Users%User profile% AppDataLocalWhatsApp'
  • 'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

V katalógu 'C:Users%User profile% AppDataLocalWhatsApp' nachádza sa log súbor 'SquirrelSetup.log', ktorý obsahuje informácie o kontrole aktualizácií a inštalácii programu.

V katalógu 'C:Users%User profile% AppDataRoamingWhatsApp' Existuje niekoľko podadresárov:

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.

Podadresár 'databázy' obsahuje súbor 'Databases.db', ale tento súbor neobsahuje žiadne informácie o chatoch ani kontaktoch.

Z forenzného hľadiska sú najzaujímavejšie súbory umiestnené v adresári 'vyrovnávacia pamäť'. V podstate ide o súbory s názvom 'f_********' (kde * je číslo od 0 do 9) obsahujúce zašifrované multimediálne súbory a dokumenty, ale sú medzi nimi aj nezašifrované súbory. Obzvlášť zaujímavé sú súbory 'data_0', 'data_1', 'data_2', 'data_3', ktorý sa nachádza v rovnakom podadresári. Súbory 'data_0', 'data_1', 'data_3' obsahujú externé odkazy na prenášané šifrované multimediálne súbory a dokumenty.

Príklad informácií obsiahnutých v súbore 'data_1'WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Tiež súbor 'data_3' môže obsahovať grafické súbory.

súbor 'data_2' obsahuje avatary kontaktov (dá sa obnoviť vyhľadávaním podľa hlavičiek súborov).

Avatary obsiahnuté v súbore 'data_2':

WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
Samotné rozhovory teda nemožno nájsť v pamäti počítača, ale môžete nájsť:

  • multimediálne súbory;
  • dokumenty prenášané cez WhatsApp;
  • informácie o kontaktoch majiteľa účtu.

Artefakty WhatsApp na MacOS

V systéme MacOS môžete nájsť typy artefaktov WhatsApp podobné tým, ktoré sa nachádzajú v OS Windows.

Programové súbory sú umiestnené v nasledujúcich adresároch:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Users%User profile%LibraryPreferences'
  • 'C:Users%User profile%LibraryLogsWhatsApp'
  • 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
  • 'C:Users%User profile%LibraryApplication Scripts'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp Accounts'
    Tento adresár obsahuje podadresáre, ktorých názvy sú telefónne čísla spojené s vlastníkom účtu WhatsApp.
  • 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
    Tento adresár obsahuje informácie o inštalácii programu.
  • 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
    Tieto adresáre obsahujú servisné súbory programu vrátane fotografií a miniatúr kontaktov WhatsApp.
  • 'C:Users%User profile%LibraryCachesWhatsApp'
    Tento adresár obsahuje niekoľko databáz SQLite, ktoré sa používajú na ukladanie údajov do vyrovnávacej pamäte.
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp'
    Tento adresár obsahuje niekoľko podadresárov:

    WhatsApp na dlani: kde a ako môžete nájsť forenzné artefakty?
    V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' existujú súbory 'data_0', 'data_1', 'data_2', 'data_3' a súbory s menami 'f_********' (kde * je číslo od 0 do 9). Informácie o tom, aké informácie tieto súbory obsahujú, nájdete v časti Artefakty WhatsApp v systéme Windows.

    V katalógu 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' môže obsahovať multimediálne súbory (súbory nemajú žiadne prípony).

    súbor 'main-process.log' obsahuje informácie o fungovaní programu WhatsApp.

zdroje

  1. Forenzná analýza WhatsApp Messenger na smartfónoch s Androidom, Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Systémový systém a základné údaje pre aplikácie Android a iOS od Ahmada Pratamu, 2014.

V nasledujúcich článkoch tejto série:

Dešifrovanie šifrovaných databáz WhatsAppČlánok, ktorý poskytne informácie o tom, ako sa generuje šifrovací kľúč WhatsApp a praktické príklady ukazujúce, ako dešifrovať šifrované databázy tejto aplikácie.
Extrahovanie údajov WhatsApp z cloudového úložiskaČlánok, v ktorom vám povieme, aké údaje WhatsApp sú uložené v cloude a popíšeme spôsoby získavania týchto údajov z cloudových úložísk.
Extrakcia údajov WhatsApp: Praktické príkladyČlánok, ktorý krok za krokom popíše, aké programy a ako extrahovať údaje WhatsApp z rôznych zariadení.

Zdroj: hab.com

Pridať komentár