Ако желите да знате које врсте ВхатсАпп форензичких артефаката постоје на различитим оперативним системима и где се тачно могу наћи, онда је ово место за вас. Овај чланак је од специјалисте из Лабораторије за компјутерску форензику Гроуп-ИБ Игор Михајлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Одмах да приметимо да различити оперативни системи чувају различите типове ВхатсАпп артефаката, и ако истраживач може да издвоји одређене типове ВхатсАпп података са једног уређаја, то не значи да се слични типови података могу издвојити са другог уређаја. На пример, ако се уклони системска јединица која користи Виндовс ОС, ВхатсАпп ћаскања вероватно неће бити пронађена на њеним дисковима (са изузетком резервних копија иОС уређаја, које се могу наћи на истим дисковима). Заплена лаптопа и мобилних уређаја имаће своје карактеристике. Хајде да разговарамо о овоме детаљније.
ВхатсАпп артефакти на Андроид уређају
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя ('корен') на уређају који се проучава или може на други начин да издвоји физички депонију меморије уређаја или његовог система датотека (на пример, коришћењем софтверских рањивости одређеног мобилног уређаја).
Датотеке апликација се налазе у меморији телефона у одељку у којем се чувају кориснички подаци. По правилу, овај одељак је именован 'кориснички подаци'. Подкаталоги и файлы программы располагаются по пути: '/дата/дата/цом.вхатсапп/'.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных 'ва.дб' и 'мсгсторе.дб'.
У бази података 'ва.дб' садржи комплетну листу контаката корисника ВхатсАпп-а, укључујући број телефона, приказано име, временске ознаке и све друге информације које сте дали приликом регистрације за ВхатсАпп. Филе 'ва.дб' налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/' и има следећу структуру:
Најзанимљивије табеле у бази података 'ва.дб' за истраживача су:
- 'ва_цонтацтс'
Ова табела садржи контакт информације: ВхатсАпп контакт ИД, информације о статусу, корисничко име за приказ, временске ознаке итд.Изглед табеле:
Структура табелеИме поља Вредност _ид запис редног броја (у СКЛ табели) ј ИД WhatsApp ID контакта, записывается в формате <номер телефона>@s.whatsapp.net ис_вхатсапп_усер садржи '1' ако контакт одговара стварном кориснику ВхатсАпп-а, '0' у супротном статус садржи текст приказан у статусу контакта статус_тиместамп садржи временску ознаку у формату Уник Епоцх Тиме (мс). број број телефона повезан са контактом рав_цонтацт_ид контакт серијски број Показати име приказано име контакта пхоне_типе тип телефона пхоне_лабел ознака повезана са контакт бројем унсеен_мсг_цоунт количество сообщений которые были отправлены контактом но небыли прочитаны получателем пхото_тс садржи временску ознаку у формату Уник Епоцх Тиме тхумб_тс садржи временску ознаку у формату Уник Епоцх Тиме пхото_ид_тиместамп садржи временску ознаку у формату Уник Епоцх Тиме (мс). име вредност поља одговара 'дисплаи_наме' за сваки контакт ва_наме имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) сорт_наме име контакта који се користи у операцијама сортирања надимак надимак контакта у ВхатсАпп-у (приказује се надимак наведен у профилу контакта) компанија компания (отображается компания, указанная в профиле контакта) наслов наслов (госпођа/господин; приказује се наслов конфигурисан у профилу контакта) офсет склоност - 'склите_секуенце'
Ова табела садржи информације о броју контаката; - 'андроид_метадата'
Эта таблица содержит информацию о языковой локализации WhatsApp.
У бази података 'мсгсторе.дб' садржи информације о послатим порукама, као што су контакт број, текст поруке, статус поруке, временске ознаке, детаљи пренетих датотека укључених у поруке итд. Филе 'мсгсторе.дб' налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/' и има следећу структуру:
Најзанимљивије табеле у датотеци 'мсгсторе.дб' за истраживача су:
- 'склите_секуенце'
Ова табела садржи опште информације о овој бази података, као што је укупан број сачуваних порука, укупан број ћаскања итд.Изглед табеле:
- 'мессаге_фтс_цонтент'
Садржи текст послатих порука.Изглед табеле:
- 'поруке'
Ова табела садржи информације као што су број контакта, текст поруке, статус поруке, временске ознаке, информације о пренетим датотекама укљученим у поруке.Изглед табеле:
Структура табелеИме поља Вредност _ид запис редног броја (у СКЛ табели) кеи_ремоте_јид ВхатсАпп ИД комуникационог партнера кеи_фром_ме смер поруке: '0' – долазна, '1' – одлазна кеи_ид јединствени идентификатор поруке статус статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) неед_пусх имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ подаци текст поруке (када је параметар 'медиа_ва_типе' '0') Време содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства медиа_урл садржи УРЛ пренете датотеке (када је параметар 'медиа_ва_типе' '1', '2', '3') медиа_миме_типе МИМЕ тип пренете датотеке (када је параметар 'медиа_ва_типе' једнак '1', '2', '3') медиа_ва_типе тип поруке: '0' - текст, '1' - графичка датотека, '2' - аудио датотека, '3' - видео датотека, '4' - контакт картица, '5' - геоподаци медиа_сизе величина пренете датотеке (када је параметар 'медиа_ва_типе' '1', '2', '3') име_медија имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) медиа_цаптион Садржи речи 'аудио', 'видео' за одговарајуће вредности параметра 'медиа_ва_типе' (када је параметар 'медиа_ва_типе' '1', '3') медиа_хасх басе64 кодирани хеш пренете датотеке, израчунат коришћењем ХАС-256 алгоритма (када је параметар 'медиа_ва_типе' једнак '1', '2', '3') медиа_дуратион трајање у секундама за медијску датотеку (када је 'медиа_ва_типе' '1', '2', '3') порекло имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ ширина геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) дужина геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) тхумб_имаге сервисне информације удаљени_ресурс ИД пошиљаоца (само за групна ћаскања) примљена_временска ознака време пријема, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '0', '-1' или другу вредност) сенд_тиместамп се не користи, обично има вредност '-1' рецеипт_сервер_тиместамп време које је примио централни сервер, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '1', '-1' или другу вредност рецеипт_девице_тиместамп када је поруку примио други претплатник, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '1', '-1' или другу вредност реад_девице_тиместамп време отварања (читања) поруке, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја плаи_девице_тиместамп време репродукције поруке, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја сирове информације сличица пренете датотеке (када је параметар 'медиа_ва_типе' '1' или '3') реципиент_цоунт број прималаца (за емитоване поруке) партиципант_хасх користи се при преношењу порука са геоподацима са звездом не користи куотед_ров_ид непознато, обично садржи вредност '0' споменути_јидс не користи мултицаст_ид не користи офсет склоност Ова листа поља није коначна. За различите верзије ВхатсАпп-а, нека поља могу бити присутна или одсутна. Поред тога, могу бити присутна поља 'медиа_енц_хасх', 'едит_версион', 'паимент_трансацтион_ид' итд
- 'мессагес_тхумбнаилс'
Ова табела садржи информације о пренетим сликама и временским ознакама. У колони 'тиместамп', време је назначено у формату Уник Епоцх Тиме (мс). - 'цхат_лист'
Ова табела садржи информације о четовима.Изглед табеле:
Такође, када испитујете ВхатсАпп на мобилном уређају који користи Андроид, обратите пажњу на следеће датотеке:
- фајл 'мсгсторе.дб.цриптКСКС' (где је КСКС једна или две цифре од 0 до 12, на пример, мсгсторе.дб.црипт12). Садржи шифровану резервну копију ВхатсАпп порука (фајл резервне копије мсгсторе.дб). Фајлови) 'мсгсторе.дб.цриптКСКС' налази се дуж стазе: '/дата/медиа/0/ВхатсАпп/Базе података/' (виртуелна СД картица), '/мнт/сдцард/ВхатсАпп/базе података/ (физичка СД картица)'.
- фајл 'кључ'. Садржи криптографски кључ. Налази се дуж стазе: '/дата/дата/цом.вхатсапп/филес/'. Используется для расшифровки зашифрованных резервных копий WhatsApp.
- фајл 'цом.вхатсапп_преференцес.кмл'. Садржи информације о профилу вашег ВхатсАпп налога. Датотека се налази дуж путање: '/дата/дата/цом.вхатсапп/схаред_префс/'.
Фрагмент садржаја датотеке
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - фајл 'регистратион.РегистерПхоне.кмл'. Содержит информацию о номере телефона, ассоциированного с аккаунтом WhatsApp. Файл располагается по пути: '/дата/дата/цом.вхатсапп/схаред_префс/'.
Садржај датотеке
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - фајл 'аколотл.дб'. Садржи криптографске кључеве и друге податке који су неопходни за идентификацију власника налога. Налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/'.
- фајл 'цхатсеттингс.дб'. Садржи информације о конфигурацији апликације.
- фајл 'ва.дб'. Садржи контакт детаље. Веома занимљива (са форензичког аспекта) и информативна база података. Може да садржи детаљне информације о избрисаним контактима.
Также нужно обращать внимание на следующие каталоги:
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Слике/'. Садржи пренете графичке датотеке.
- Директоријум ‘/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/’. Садржи гласовне поруке у датотекама у формату .ОПУС.
- Директоријум '/дата/дата/цом.вхатсапп/цацхе/Слике профила/'. Садржи графичке датотеке – слике контаката.
- Директоријум '/дата/дата/цом.вхатсапп/филес/Аватарс/'. Садржи графичке датотеке – сличице контаката. Ове датотеке имају екстензију „.ј“, али су ипак ЈПЕГ (ЈПГ) сликовне датотеке.
- Директоријум '/дата/дата/цом.вхатсапп/филес/Аватарс/'. Содержит графические файлы – изображение и миниатюру изображения, установленного как аватар владельцем аккаунта.
- Директоријум '/дата/дата/цом.вхатсапп/филес/Логс/'. Садржи дневник рада програма (датотека 'вхатсапп.лог') и резервне копије дневника рада програма (датотеке са именима у формату вхатсапп-ииии-мм-дд.1.лог.гз).
ВхатсАпп датотеке евиденције:
Фрагмент часописа2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/update cancel true
2017-01-10 09:37:09.768 ЛЛ_И Д [1:маин] апп-инит/лоад-ме
2017-01-10 09:37:09.772 ЛЛ_И Д [1:маин] датотека лозинке недостаје или је нечитљива
2017-01-10 09:37:09.782 ЛЛ_И Д [1:маин] статистика Текстуалне поруке: 59 послато, 82 примљено / Медијске поруке: 1 послата (0 бајтова), 0 примљена (9850158 бајтова) / Ванмрежне поруке: 81 примљена ( Просечно кашњење 19522 мсец) / Услуга порука: послато 116075 бајтова, примљено 211729 бајтова / Воип позиви: 1 одлазни позив, 0 долазних позива, послато 2492 бајтова, примљено 1530 бајтова / Гоогле диск: послато 0 бајтова, примљено 0 бајтова / Роаминг послато бајтова, примљено 1524 бајтова / Укупни подаци: послато 1826 бајтова, примљено 118567 бајтова
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх
2017-01-10 09:37:09.817 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх/јоурнал/делете фалсе
2017-01-10 09:37:09.818 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх/бацк/делете фалсе
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист _јобкуеуе-ВхатсАппЈобМанагер-јоурнал 21032 дрв=011
2017-01-10 09:37:09.820 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб 184320 дрв=011
2017-01-10 09:37:09.821 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб-вал 436752 дрв=011
2017-01-10 09:37:09.821 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб-схм 32768 дрв=011
2017-01-10 09:37:09.822 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб 540672 дрв=011
2017-01-10 09:37:09.823 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб-вал 0 дрв=011
2017-01-10 09:37:09.823 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб-схм 32768 дрв=011
2017-01-10 09:37:09.824 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб 69632 дрв=011
2017-01-10 09:37:09.825 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб-вал 428512 дрв=011
2017-01-10 09:37:09.825 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб-схм 32768 дрв=011
2017-01-10 09:37:09.826 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист цхатсеттингс.дб 4096 дрв=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 ЛЛ_И Д [1:маин] мсгсторе/цанкуери
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 ЛЛ_И Д [1:маин] мсгсторе/цанкуери 517 | утрошено време:8
2017-01-10 09:37:09.848 ЛЛ_И Д [529:ВхатсАпп Воркер #3] медиа-стате-манагер/рефресх-медиа-стате/интернал-стораге доступно:1,345,622,016 укупно:5,687,922,688
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Аудио/'. Садржи примљене аудио датотеке.
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Аудио/Сент/'. Садржи послате аудио датотеке.
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Слике/'. Садржи резултујуће графичке датотеке.
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Имагес/Сент/'. Садржи послате графичке датотеке.
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Видео/'. Садржи примљене видео датотеке.
- Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Видео/Сент/'. Садржи послате видео датотеке.
- Директоријум ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Да бисте уштедели меморијски простор на вашем Андроид паметном телефону, неки ВхатсАпп подаци се могу ускладиштити на СД картици. На СД картици, у основном директоријуму, налази се директоријум 'ВхатсАпп', где се могу наћи следећи артефакти овог програма:
- Директоријум '.Објави' ('/мнт/сдцард/ВхатсАпп/.Схаре/'). Садржи копије датотека које су дељене са другим корисницима ВхатсАпп-а.
- Директоријум '.смеће' ('/мнт/сдцард/ВхатсАпп/.трасх/'). Садржи избрисане датотеке.
- Директоријум 'базе података' ('/мнт/сдцард/ВхатсАпп/базе података/'). Садржи шифроване резервне копије. Могу се дешифровати ако је датотека присутна 'кључ', извучен из меморије анализираног уређаја.
Датотеке које се налазе у поддиректоријуму 'базе података':
- Директоријум 'пола' ('/мнт/сдцард/ВхатсАпп/Медиа/'). Садржи поддиректорије 'тапет', „ВхатсАпп Аудио“, 'ВхатсАпп слике', „Фотографије ВхатсАпп профила“, „ВхатсАпп видео“, „ВхатсАпп гласовне белешке“, који садрже примљене и пренете мултимедијалне датотеке (графичке датотеке, видео датотеке, гласовне поруке, фотографије повезане са профилом власника ВхатсАпп налога, позадине).
- Директоријум 'Профил слике' ('/мнт/сдцард/ВхатсАпп/Слике профила/'). Садржи графичке датотеке повезане са профилом власника ВхатсАпп налога.
- Понекад на СД картици може бити присутан директоријум 'фајлови' ('/мнт/сдцард/ВхатсАпп/Филес/'). В этом каталоге содержатся файлы, в которых хранятся настройки программы и предпочтения пользователя.
Карактеристике складиштења података у неким моделима мобилних уређаја
Неки модели мобилних уређаја који користе Андроид ОС могу чувати ВхатсАпп артефакте на другој локацији. То је због промена у простору за складиштење података апликације од стране системског софтвера мобилног уређаја. На пример, Ксиаоми мобилни уређаји имају функцију за креирање другог радног простора („СецондСпаце“). Када је ова функција активирана, локација података се мења. Дакле, ако се на обичном мобилном уређају који ради на Андроид ОС-у кориснички подаци чувају у директоријуму '/дата/усер/0/' (што је референца на уобичајено '/дата/дата/'), затим се у другом радном простору подаци апликације чувају у директоријуму '/дата/усер/10/'. То јест, користећи пример локације датотеке 'ва.дб':
- в обычном смартфоне под управлением ОС Android: /дата/усер/0/цом.вхатсапп/датабасес/ва.дб' (што је еквивалентно '/дата/дата/цом.вхатсапп/датабасес/ва.дб');
- у другом радном простору Ксиаоми паметног телефона: '/дата/усер/10/цом.вхатсапп/датабасес/ва.дб'.
ВхатсАпп артефакти у иОС уређају
За разлику од Андроид ОС-а, у иОС апликацији ВхатсАпп подаци се преносе у резервну копију (иТунес резервна копија). Стога, издвајање података из ове апликације не захтева распакивање система датотека или прављење депоније физичке меморије уређаја који се истражује. Већина релевантних информација садржана је у бази података 'ЦхатСтораге.склите', који се налази дуж стазе: '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/' (у неким програмима ова путања се појављује као 'АппДомаинГроуп-гроуп.нет.вхатсапп.ВхатсАпп.схаред').
Структура 'ЦхатСтораге.склите':
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы 'ЗВАМЕССАГЕ' и 'ЗВАМЕДИАИТЕМ'.
Изглед стола 'ЗВАМЕССАГЕ':
Структура табеле 'ЗВАМЕССАГЕ'
| Име поља | Вредност |
|---|---|
| З_ПК | запис редног броја (у СКЛ табели) |
| З_ЕНТ | идентификатор табеле, има вредност '9' |
| З_ОПТ | непознато, обично садржи вредности од '1' до '6' |
| ЗЦХИЛДМЕССАГЕСДЕЛИВЕРЕДЦОУНТ | непознато, обично садржи вредност '0' |
| ЗЦХИЛДМЕССАГЕСПЛАИЕДЦОУНТ | непознато, обично садржи вредност '0' |
| ЗЦХИЛДМЕССАГЕСРЕАДЦОУНТ | непознато, обично садржи вредност '0' |
| ЗДАТАИТЕМВЕРСИОН | непознато, обично садржи вредност '3', вероватно индикатор текстуалне поруке |
| ЗДОЦИД | је непознато |
| ЗЕНЦРЕТРИЦОУНТ | непознато, обично садржи вредност '0' |
| ЗФИЛТЕРЕДРЕЦИПИЕНТЦОУНТ | непознато, обично садржи вредности '0', '2', '256' |
| ЗИСФРОММЕ | смер поруке: '0' – долазна, '1' – одлазна |
| ЗМЕССАГЕЕРРОРСТАТУС | статус преноса поруке. Ако је порука послата/примљена, онда има вредност '0' |
| ЗМЕССАГЕТИПЕ | врста поруке која се преноси |
| ЗСОРТ | је непознато |
| ЗСПОТЛИГХТСТАТУС | је непознато |
| ЗСТАРРЕД | непознато, некоришћено |
| ЗЦХАТСЕССИОН | је непознато |
| ЗГРОУПМЕМБЕР | непознато, некоришћено |
| ЗЛАСТСЕССИОН | је непознато |
| ЗМЕДИАИТЕМ | је непознато |
| ЗМЕССАГЕИНФО | је непознато |
| ЗПАРЕНТМЕССАГЕ | непознато, некоришћено |
| ЗМЕССАГЕДАТЕ | временска ознака у формату времена епохе ОС Кс |
| ЗСЕНТДАТЕ | време када је порука послата у формату ОС Кс Епоцх Тиме |
| ЗФРОМЈИД | ВхатсАпп ИД пошиљаоца |
| ЗМЕДИАСЕЦТИОНИД | садржи годину и месец када је медијска датотека послата |
| ЗПХАСХ | непознато, некоришћено |
| ЗПУСХПАМЕ | имя контакта отправившего медиафайл в формате UTF-8 |
| ЗСТАНЗИД | јединствени идентификатор поруке |
| ЗТЕКСТ | Текст поруке |
| ЗТОЈИД | ВхатсАпп ИД примаоца |
| ОФФСЕТ | склоност |
Изглед стола 'ЗВАМЕДИАИТЕМ':
Структура табеле 'ЗВАМЕДИАИТЕМ'
| Име поља | Вредност |
|---|---|
| З_ПК | запис редног броја (у СКЛ табели) |
| З_ЕНТ | идентификатор табеле, има вредност '8' |
| З_ОПТ | непознато, обично садржи вредности од '1' до '3'. |
| ЗЦЛОУДСТАТУС | садржи вредност '4' ако је датотека учитана. |
| ЗФИЛЕСИЗЕ | содержит длину файла (в байтах) для загруженных файлов |
| ЗМЕДИАОРИГИН | непознато, обично има вредност '0' |
| ЗМОВИЕДУРАТИОН | трајање медијске датотеке, за пдф датотеке може да садржи број страница документа |
| ЗМЕССАГЕ | садржи серијски број (број се разликује од оног наведеног у колони 'З_ПК') |
| ЗАСПЕЦТРАТИО | соотношение сторон, не используется, обычно имеет значение ‘0’ |
| ЗХАЦЦУРАЦИ | непознато, обично има вредност '0' |
| ЗЛАТТИТУДЕ | ширина у пикселима |
| ЗЛОНГТИТУДЕ | висина у пикселима |
| ЗМЕДИАУРЛДАТЕ | временска ознака у формату времена епохе ОС Кс |
| ЗАУТХОРНАМЕ | аутор (за документе, може садржати назив датотеке) |
| ЗЦОЛЛЕЦТИОННАМЕ | не користи |
| ЗМЕДИАЛОЦАЛПАТХ | имя файла (с указанием пути) в файловой системе устройства |
| ЗМЕДИАУРЛ | УРЛ адреса на којој се налази медијска датотека. Ако је датотека пребачена са једног претплатника на другог, она је шифрована и њена екстензија ће бити назначена као екстензија пренете датотеке - .енц |
| ЗТХУМБНАИЛЛОЦАЛПАТХ | путању до сличице датотеке у систему датотека уређаја |
| ЗТИТЛЕ | заглавље датотеке |
| ЗВЦАРДНАМЕ | хеш медиафайла, при передаче файла в группу может содержать идентификатор отправителя |
| ЗВЦАРДСТРИНГ | садржи информације о типу датотеке која се преноси (на пример, слика/јпег); приликом преноса датотеке у групу, може садржати идентификатор примаоца |
| ЗКСМППТХУМБПАТХ | путању до сличице датотеке у систему датотека уређаја |
| ЗМЕДИАКЕИ | неизвестно, вероятно, содержит ключ для расшифровки зашифрованного файла. |
| ЗМЕТАДАТА | метаподаци пренете поруке |
| Офсет | склоност |
Друге занимљиве табеле базе података 'ЦхатСтораге.склите' су:
- 'ЗВАПРОФИЛЕПУСХНАМЕ'. Поклапа ВхатсАпп ИД са именом контакта;
- 'ЗВАПРОФИЛЕПИЦТУРЕИТЕМ'. Поклапа ВхатсАпп ИД са аватаром контакта;
- 'З_ПРИМАРИКЕИ'. Табела садржи опште информације о овој бази података, као што су укупан број сачуваних порука, укупан број ћаскања итд.
Такође, када испитујете ВхатсАпп на мобилном уређају који користи иОС, обратите пажњу на следеће датотеке:
- фајл 'БацкедУпКеиВалуе.склите'. Садржи криптографске кључеве и друге податке који су неопходни за идентификацију власника налога. Налази се дуж стазе: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- фајл 'ЦонтацтсВ2.склите'. Садржи информације о контактима корисника, као што су пуно име, број телефона, статус контакта (у текстуалном облику), ВхатсАпп ИД итд. Налази се дуж стазе: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- фајл 'цонсумер_версион'. Садржи број верзије инсталиране ВхатсАпп апликације. Налази се дуж стазе: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- фајл 'цуррент_валлпапер.јпг'. Содержит текущие обои фона программы WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Старије верзије апликације користе датотеку 'тапета', који се налази уз стазу: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’.
- фајл 'блоцкедцонтацтс.дат'. Содержит информацию о заблокированных контактах. Располагается по пути: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- фајл 'пв.дат'. Садржи шифровану лозинку. Налази се дуж стазе: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/’.
- фајл 'нет.вхатсапп.ВхатсАпп.плист' (или фајл 'гроуп.нет.вхатсапп.ВхатсАпп.схаред.плист'). Садржи информације о профилу вашег ВхатсАпп налога. Датотека се налази дуж путање: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/’.
Содержимое файла ‘group.net.whatsapp.WhatsApp.shared.plist’
Также нужно обращать внимание на следующие каталоги:
- Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/Медиа/Профиле/'. Содержит миниатюры контактов, групп (файлы с расширением .палац), аватары контактов, аватар владельца аккаунта WhatsApp (файл 'Пхото.јпг').
- Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/Мессаге/Медиа/'. Садржи мултимедијалне датотеке и њихове сличице
- Директоријум ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’. Садржи дневник рада програма (датотека 'цаллс.лог') и резервне копије дневника рада програма (датотека 'цаллс.бацкуп.лог').
- Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/стицкерс/'. Садржи налепнице (датотеке у формату '.вебп').
- Директоријум '/привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Либрари/Логс/'. Садржи дневнике рада програма.
ВхатсАпп артефакти на Виндовс-у
ВхатсАпп артефакти на Виндовс-у могу се наћи на неколико места. Пре свега, ово су директоријуми који садрже извршне и помоћне програмске датотеке (за Виндовс 8/10):
- „Ц: Програмске датотеке (к86) ВхатсАпп“
- 'Ц:Усерс%Кориснички профил% АппДатаЛоцалВхатсАпп'
- ‘C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp’
У каталогу 'Ц:Усерс%Кориснички профил% АппДатаЛоцалВхатсАпп' налази се лог датотека 'СкуиррелСетуп.лог', в котором находится информация о проверке наличия обновлений и инсталляции программы.
У каталогу 'Ц:Усерс%Кориснички профил% АппДатаРоамингВхатсАпп' Постоји неколико поддиректорија:
фајл 'маин-процесс.лог' садржи информације о раду ВхатсАпп програма.
Поддиректоријум 'базе података' садржи датотеку 'Датабасес.дб', али ова датотека не садржи никакве информације о четовима или контактима.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге 'Цацхе'. То су у основи датотеке са именом 'ф_**********' (где је * број од 0 до 9) који садрже шифроване мултимедијалне датотеке и документе, али међу њима има и нешифрованих датотека. Посебно су интересантни фајлови 'дата_0', 'дата_1', 'дата_2', 'дата_3', који се налази у истом поддиректоријуму. Фајлови 'дата_0', 'дата_1', 'дата_3' садрже екстерне везе до пренетих шифрованих мултимедијалних датотека и докумената.
Пример информација садржаних у датотеци „подаци_1“
Такође фајл 'дата_3' може садржати графичке датотеке.
фајл 'дата_2' садржи аватаре контаката (могу се вратити претраживањем по заглављима датотека).
Аватари садржани у датотеци 'дата_2':
Дакле, сами разговори се не могу пронаћи у меморији рачунара, али можете пронаћи:
- мултимедијалне датотеке;
- документи који се преносе путем ВхатсАпп-а;
- информације о контактима власника налога.
ВхатсАпп артефакти на МацОС-у
У МацОС-у можете пронаћи типове ВхатсАпп артефаката сличних онима у Виндовс ОС-у.
Файлы программы находятся каталогах:
- 'Ц:АпплицатионсВхатсАпп.апп'
- 'Ц:Апплицатионс._ВхатсАпп.апп'
- 'Ц:Усерс%Кориснички профил%ЛибрариПреференцес'
- 'Ц:Усерс%Кориснички профил%ЛибрариЛогсВхатсАпп'
- 'Ц:Усерс%Кориснички профил%ЛибрариСавед Апплицатион СтатеВхатсАпп.саведСтате'
- 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион Сцриптс'
- ‘C:Users%User profile%LibraryApplication SupportCloudDocs’
- 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАпп.СхипИт'
- 'Ц:Усерс%Кориснички профил%ЛибрариЦонтаинерсцом.роцкисандстудио.апп-фор-вхатсапп'
- ‘C:Users%User profile% Library Mobile Documents <текстовая переменная> WhatsApp Accounts’
Овај директоријум садржи поддиректоријуме чија су имена бројеви телефона повезани са власником ВхатсАпп налога. - ‘C:Users%User profile%LibraryCachesWhatsApp.ShipIt’
В этом каталоге содержится информация об инсталляции программы. - 'Ц:Усерс%Кориснички профил%ПицтуресиПхото Либрари.пхотолибрариМастерс', 'Ц:Усерс%Кориснички профил%ПицтуресиПхото Либрари.пхотолибрариТхумбнаилс'
Ови директоријуми садрже сервисне датотеке програма, укључујући фотографије и сличице ВхатсАпп контаката. - 'Ц:Усерс%Кориснички профил%ЛибрариЦацхесВхатсАпп'
В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных. - ‘C:Users%User profile%LibraryApplication SupportWhatsApp’
Овај директоријум садржи неколико поддиректоријума:
У каталогу ‘C:Users%User profile%LibraryApplication SupportWhatsAppCache’ постоје фајлови 'дата_0', 'дата_1', 'дата_2', 'дата_3' и датотеке са именима 'ф_**********' (где је * број од 0 до 9). За информације о томе које информације ове датотеке садрже, погледајте ВхатсАпп артефакти на Виндовс-у.У каталогу 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАппИндекедДБ' могут содержаться мультимедийные файлы (файлы не имеют расширений).
фајл 'маин-процесс.лог' садржи информације о раду ВхатсАпп програма.
izvori
- Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
- Форензика ВхатсАпп-а: Експлоразни систем и основни подаци у апликацијама за Андроид и иОС од Ахмада Пратаме, 2014.
У следећим чланцима из ове серије:
Дешифровање шифрованих ВхатсАпп база податакаЧланак који ће пружити информације о томе како се генерише кључ за шифровање ВхатсАпп и практичне примере који показују како дешифровати шифроване базе података ове апликације.
Екстраховање ВхатсАпп података из складишта у облакуЧланак у коме ћемо вам рећи који се ВхатсАпп подаци чувају у облацима и описати методе за преузимање ових података из складишта у облаку.
ВхатсАпп екстракција података: практични примериЧланак који ће описати корак по корак који програми и како извући ВхатсАпп податке са различитих уређаја.
Извор: ввв.хабр.цом