ПроХостер > блог > интернет вести > ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

Ако желите да знате које врсте ВхатсАпп форензичких артефаката постоје на различитим оперативним системима и где се тачно могу наћи, онда је ово место за вас. Овај чланак је од специјалисте из Лабораторије за компјутерску форензику Гроуп-ИБ Игор Михајлов почиње серију постова о ВхатсАпп форензици и које информације се могу добити анализом уређаја.

Одмах да приметимо да различити оперативни системи чувају различите типове ВхатсАпп артефаката, и ако истраживач може да издвоји одређене типове ВхатсАпп података са једног уређаја, то не значи да се слични типови података могу издвојити са другог уређаја. На пример, ако се уклони системска јединица која користи Виндовс ОС, ВхатсАпп ћаскања вероватно неће бити пронађена на њеним дисковима (са изузетком резервних копија иОС уређаја, које се могу наћи на истим дисковима). Заплена лаптопа и мобилних уређаја имаће своје карактеристике. Хајде да разговарамо о овоме детаљније.

ВхатсАпп артефакти на Андроид уређају

Да би извукао ВхатсАпп артефакте са Андроид уређаја, истраживач мора имати права суперкорисника ('корен') на уређају који се проучава или може на други начин да издвоји физички депонију меморије уређаја или његовог система датотека (на пример, коришћењем софтверских рањивости одређеног мобилног уређаја).

Датотеке апликација се налазе у меморији телефона у одељку у којем се чувају кориснички подаци. По правилу, овај одељак је именован 'кориснички подаци'. Поддиректоријуми и програмске датотеке налазе се дуж путање: '/дата/дата/цом.вхатсапп/'.

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Главне датотеке које садрже ВхатсАпп форензичке артефакте у Андроид ОС-у су базе података 'ва.дб' и 'мсгсторе.дб'.

У бази података 'ва.дб' садржи комплетну листу контаката корисника ВхатсАпп-а, укључујући број телефона, приказано име, временске ознаке и све друге информације које сте дали приликом регистрације за ВхатсАпп. Филе 'ва.дб' налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/' и има следећу структуру:

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Најзанимљивије табеле у бази података 'ва.дб' за истраживача су:

  • 'ва_цонтацтс'
    Ова табела садржи контакт информације: ВхатсАпп контакт ИД, информације о статусу, корисничко име за приказ, временске ознаке итд.

    Изглед табеле:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
    Структура табеле

    Име поља Вредност
    _ид запис редног броја (у СКЛ табели)
    ј ИД ВхатсАпп контакт ИД, написан у формату <број телефона>@с.вхатсапп.нет
    ис_вхатсапп_усер садржи '1' ако контакт одговара стварном кориснику ВхатсАпп-а, '0' у супротном
    статус садржи текст приказан у статусу контакта
    статус_тиместамп садржи временску ознаку у формату Уник Епоцх Тиме (мс).
    број број телефона повезан са контактом
    рав_цонтацт_ид контакт серијски број
    Показати име приказано име контакта
    пхоне_типе тип телефона
    пхоне_лабел ознака повезана са контакт бројем
    унсеен_мсг_цоунт број порука које је послао контакт, али их прималац није прочитао
    пхото_тс садржи временску ознаку у формату Уник Епоцх Тиме
    тхумб_тс садржи временску ознаку у формату Уник Епоцх Тиме
    пхото_ид_тиместамп садржи временску ознаку у формату Уник Епоцх Тиме (мс).
    име вредност поља одговара 'дисплаи_наме' за сваки контакт
    ва_наме ВхатсАпп име контакта (приказује се име наведено у профилу контакта)
    сорт_наме име контакта који се користи у операцијама сортирања
    надимак надимак контакта у ВхатсАпп-у (приказује се надимак наведен у профилу контакта)
    компанија компанија (приказује се компанија наведена у профилу контакта)
    наслов наслов (госпођа/господин; приказује се наслов конфигурисан у профилу контакта)
    офсет склоност
  • 'склите_секуенце'
    Ова табела садржи информације о броју контаката;
  • 'андроид_метадата'
    Ова табела садржи информације о локализацији ВхатсАпп језика.

У бази података 'мсгсторе.дб' садржи информације о послатим порукама, као што су контакт број, текст поруке, статус поруке, временске ознаке, детаљи пренетих датотека укључених у поруке итд. Филе 'мсгсторе.дб' налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/' и има следећу структуру:

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Најзанимљивије табеле у датотеци 'мсгсторе.дб' за истраживача су:

  • 'склите_секуенце'
    Ова табела садржи опште информације о овој бази података, као што је укупан број сачуваних порука, укупан број ћаскања итд.

    Изглед табеле:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

  • 'мессаге_фтс_цонтент'
    Садржи текст послатих порука.

    Изглед табеле:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

  • 'поруке'
    Ова табела садржи информације као што су број контакта, текст поруке, статус поруке, временске ознаке, информације о пренетим датотекама укљученим у поруке.

    Изглед табеле:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
    Структура табеле

    Име поља Вредност
    _ид запис редног броја (у СКЛ табели)
    кеи_ремоте_јид ВхатсАпп ИД комуникационог партнера
    кеи_фром_ме смер поруке: '0' – долазна, '1' – одлазна
    кеи_ид јединствени идентификатор поруке
    статус статус поруке: '0' – испоручена, '4' – чека на серверу, '5' – примљена на одредиште, '6' – контролна порука, '13' – порука коју је отворио прималац (прочитано)
    неед_пусх има вредност '2' ако је емитована порука, у супротном садржи '0'
    подаци текст поруке (када је параметар 'медиа_ва_типе' '0')
    Време садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја
    медиа_урл садржи УРЛ пренете датотеке (када је параметар 'медиа_ва_типе' '1', '2', '3')
    медиа_миме_типе МИМЕ тип пренете датотеке (када је параметар 'медиа_ва_типе' једнак '1', '2', '3')
    медиа_ва_типе тип поруке: '0' - текст, '1' - графичка датотека, '2' - аудио датотека, '3' - видео датотека, '4' - контакт картица, '5' - геоподаци
    медиа_сизе величина пренете датотеке (када је параметар 'медиа_ва_типе' '1', '2', '3')
    име_медија име пренете датотеке (када је параметар 'медиа_ва_типе' '1', '2', '3')
    медиа_цаптион Садржи речи 'аудио', 'видео' за одговарајуће вредности параметра 'медиа_ва_типе' (када је параметар 'медиа_ва_типе' '1', '3')
    медиа_хасх басе64 кодирани хеш пренете датотеке, израчунат коришћењем ХАС-256 алгоритма (када је параметар 'медиа_ва_типе' једнак '1', '2', '3')
    медиа_дуратион трајање у секундама за медијску датотеку (када је 'медиа_ва_типе' '1', '2', '3')
    порекло има вредност '2' ако је емитована порука, у супротном садржи '0'
    ширина геоподаци: географска ширина (када је параметар 'медиа_ва_типе' '5')
    дужина геоподаци: географска дужина (када је параметар 'медиа_ва_типе' '5')
    тхумб_имаге сервисне информације
    удаљени_ресурс ИД пошиљаоца (само за групна ћаскања)
    примљена_временска ознака време пријема, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '0', '-1' или другу вредност)
    сенд_тиместамп се не користи, обично има вредност '-1'
    рецеипт_сервер_тиместамп време које је примио централни сервер, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '1', '-1' или другу вредност
    рецеипт_девице_тиместамп када је поруку примио други претплатник, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја (када параметар 'кеи_фром_ме' има '1', '-1' или другу вредност
    реад_девице_тиместамп време отварања (читања) поруке, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја
    плаи_девице_тиместамп време репродукције поруке, садржи временску ознаку у формату Уник Епоцх Тиме (мс), вредност се узима из сата уређаја
    сирове информације сличица пренете датотеке (када је параметар 'медиа_ва_типе' '1' или '3')
    реципиент_цоунт број прималаца (за емитоване поруке)
    партиципант_хасх користи се при преношењу порука са геоподацима
    са звездом не користи
    куотед_ров_ид непознато, обично садржи вредност '0'
    споменути_јидс не користи
    мултицаст_ид не користи
    офсет склоност

    Ова листа поља није коначна. За различите верзије ВхатсАпп-а, нека поља могу бити присутна или одсутна. Поред тога, могу бити присутна поља 'медиа_енц_хасх', 'едит_версион', 'паимент_трансацтион_ид' итд

  • 'мессагес_тхумбнаилс'
    Ова табела садржи информације о пренетим сликама и временским ознакама. У колони 'тиместамп', време је назначено у формату Уник Епоцх Тиме (мс).
  • 'цхат_лист'
    Ова табела садржи информације о четовима.

    Изглед табеле:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

Такође, када испитујете ВхатсАпп на мобилном уређају који користи Андроид, обратите пажњу на следеће датотеке:

  • фајл 'мсгсторе.дб.цриптКСКС' (где је КСКС једна или две цифре од 0 до 12, на пример, мсгсторе.дб.црипт12). Садржи шифровану резервну копију ВхатсАпп порука (фајл резервне копије мсгсторе.дб). Фајлови) 'мсгсторе.дб.цриптКСКС' налази се дуж стазе: '/дата/медиа/0/ВхатсАпп/Базе података/' (виртуелна СД картица), '/мнт/сдцард/ВхатсАпп/базе података/ (физичка СД картица)'.
  • фајл 'кључ'. Садржи криптографски кључ. Налази се дуж стазе: '/дата/дата/цом.вхатсапп/филес/'. Користи се за дешифровање шифрованих резервних копија ВхатсАпп-а.
  • фајл 'цом.вхатсапп_преференцес.кмл'. Садржи информације о профилу вашег ВхатсАпп налога. Датотека се налази дуж путање: '/дата/дата/цом.вхатсапп/схаред_префс/'.

    Фрагмент садржаја датотеке

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • фајл 'регистратион.РегистерПхоне.кмл'. Садржи информације о броју телефона повезаном са ВхатсАпп налогом. Датотека се налази дуж путање: '/дата/дата/цом.вхатсапп/схаред_префс/'.

    Садржај датотеке 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • фајл 'аколотл.дб'. Садржи криптографске кључеве и друге податке који су неопходни за идентификацију власника налога. Налази се дуж стазе: '/дата/дата/цом.вхатсапп/датабасес/'.
  • фајл 'цхатсеттингс.дб'. Садржи информације о конфигурацији апликације.
  • фајл 'ва.дб'. Садржи контакт детаље. Веома занимљива (са форензичког аспекта) и информативна база података. Може да садржи детаљне информације о избрисаним контактима.

Такође треба да обратите пажњу на следеће директоријуме:

  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Слике/'. Садржи пренете графичке датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Гласовне белешке/'. Садржи гласовне поруке у датотекама у формату .ОПУС.
  • Директоријум '/дата/дата/цом.вхатсапп/цацхе/Слике профила/'. Садржи графичке датотеке – слике контаката.
  • Директоријум '/дата/дата/цом.вхатсапп/филес/Аватарс/'. Садржи графичке датотеке – сличице контаката. Ове датотеке имају екстензију „.ј“, али су ипак ЈПЕГ (ЈПГ) сликовне датотеке.
  • Директоријум '/дата/дата/цом.вхатсапп/филес/Аватарс/'. Садржи графичке датотеке - слику и сличицу слике коју је власник налога поставио као аватар.
  • Директоријум '/дата/дата/цом.вхатсапп/филес/Логс/'. Садржи дневник рада програма (датотека 'вхатсапп.лог') и резервне копије дневника рада програма (датотеке са именима у формату вхатсапп-ииии-мм-дд.1.лог.гз).

ВхатсАпп датотеке евиденције:

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Фрагмент часописа2017-01-10 09:37:09.757 ЛЛ_И Д [524:ВхатсАпп Воркер #1] мисседцаллнотифицатион/инит цоунт:0 временска ознака:0
2017-01-10 09:37:09.758 ЛЛ_И Д [524:ВхатсАпп Воркер #1] мисседцаллнотифицатион/упдате цанцел труе
2017-01-10 09:37:09.768 ЛЛ_И Д [1:маин] апп-инит/лоад-ме
2017-01-10 09:37:09.772 ЛЛ_И Д [1:маин] датотека лозинке недостаје или је нечитљива
2017-01-10 09:37:09.782 ЛЛ_И Д [1:маин] статистика Текстуалне поруке: 59 послато, 82 примљено / Медијске поруке: 1 послата (0 бајтова), 0 примљена (9850158 бајтова) / Ванмрежне поруке: 81 примљена ( Просечно кашњење 19522 мсец) / Услуга порука: послато 116075 бајтова, примљено 211729 бајтова / Воип позиви: 1 одлазни позив, 0 долазних позива, послато 2492 бајтова, примљено 1530 бајтова / Гоогле диск: послато 0 бајтова, примљено 0 бајтова / Роаминг послато бајтова, примљено 1524 бајтова / Укупни подаци: послато 1826 бајтова, примљено 118567 бајтова
2017-01-10 09:37:09.785 ЛЛ_И Д [1:маин] медиа-стате-манагер/рефресх-медиа-стате/вритабле-медиа
2017-01-10 09:37:09.806 ЛЛ_И Д [1:маин] апп-инит/инитиализе/тимер/стоп: 24
2017-01-10 09:37:09.811 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх
2017-01-10 09:37:09.817 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх/јоурнал/делете фалсе
2017-01-10 09:37:09.818 ЛЛ_И Д [1:маин] мсгсторе/цхецкхеалтх/бацк/делете фалсе
2017-01-10 09:37:09.818 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/дата/дата/цом.вхатсапп/датабасес/мсгсторе.дб
2017-01-10 09:37:09.819 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист _јобкуеуе-ВхатсАппЈобМанагер 16384 дрв=011
2017-01-10 09:37:09.820 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист _јобкуеуе-ВхатсАппЈобМанагер-јоурнал 21032 дрв=011
2017-01-10 09:37:09.820 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб 184320 дрв=011
2017-01-10 09:37:09.821 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб-вал 436752 дрв=011
2017-01-10 09:37:09.821 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист аколотл.дб-схм 32768 дрв=011
2017-01-10 09:37:09.822 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб 540672 дрв=011
2017-01-10 09:37:09.823 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб-вал 0 дрв=011
2017-01-10 09:37:09.823 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист мсгсторе.дб-схм 32768 дрв=011
2017-01-10 09:37:09.824 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб 69632 дрв=011
2017-01-10 09:37:09.825 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб-вал 428512 дрв=011
2017-01-10 09:37:09.825 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист ва.дб-схм 32768 дрв=011
2017-01-10 09:37:09.826 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист цхатсеттингс.дб 4096 дрв=011
2017-01-10 09:37:09.826 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист цхатсеттингс.дб-вал 70072 дрв=011
2017-01-10 09:37:09.827 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/лист цхатсеттингс.дб-схм 32768 дрв=011
2017-01-10 09:37:09.838 ЛЛ_И Д [1:маин] мсгсторе/цхецкдб/версион 1
2017-01-10 09:37:09.839 ЛЛ_И Д [1:маин] мсгсторе/цанкуери
2017-01-10 09:37:09.846 ЛЛ_И Д [1:маин] мсгсторе/цанкуери/цоунт 1
2017-01-10 09:37:09.847 ЛЛ_И Д [1:маин] мсгсторе/цанкуери/тимер/стоп: 8
2017-01-10 09:37:09.847 ЛЛ_И Д [1:маин] мсгсторе/цанкуери 517 | утрошено време:8
2017-01-10 09:37:09.848 ЛЛ_И Д [529:ВхатсАпп Воркер #3] медиа-стате-манагер/рефресх-медиа-стате/интернал-стораге доступно:1,345,622,016 укупно:5,687,922,688

  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Аудио/'. Садржи примљене аудио датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Аудио/Сент/'. Садржи послате аудио датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Слике/'. Садржи резултујуће графичке датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Имагес/Сент/'. Садржи послате графичке датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Видео/'. Садржи примљене видео датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп Видео/Сент/'. Садржи послате видео датотеке.
  • Директоријум '/дата/медиа/0/ВхатсАпп/Медиа/ВхатсАпп профилне фотографије/'. Садржи графичке датотеке повезане са власником ВхатсАпп налога.
  • Да бисте уштедели меморијски простор на вашем Андроид паметном телефону, неки ВхатсАпп подаци се могу ускладиштити на СД картици. На СД картици, у основном директоријуму, налази се директоријум 'ВхатсАпп', где се могу наћи следећи артефакти овог програма:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

  • Директоријум '.Објави' ('/мнт/сдцард/ВхатсАпп/.Схаре/'). Садржи копије датотека које су дељене са другим корисницима ВхатсАпп-а.
  • Директоријум '.смеће' ('/мнт/сдцард/ВхатсАпп/.трасх/'). Садржи избрисане датотеке.
  • Директоријум 'базе података' ('/мнт/сдцард/ВхатсАпп/базе података/'). Садржи шифроване резервне копије. Могу се дешифровати ако је датотека присутна 'кључ', извучен из меморије анализираног уређаја.

    Датотеке које се налазе у поддиректоријуму 'базе података':

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?

  • Директоријум 'пола' ('/мнт/сдцард/ВхатсАпп/Медиа/'). Садржи поддиректорије 'тапет', „ВхатсАпп Аудио“, 'ВхатсАпп слике', „Фотографије ВхатсАпп профила“, „ВхатсАпп видео“, „ВхатсАпп гласовне белешке“, који садрже примљене и пренете мултимедијалне датотеке (графичке датотеке, видео датотеке, гласовне поруке, фотографије повезане са профилом власника ВхатсАпп налога, позадине).
  • Директоријум 'Профил слике' ('/мнт/сдцард/ВхатсАпп/Слике профила/'). Садржи графичке датотеке повезане са профилом власника ВхатсАпп налога.
  • Понекад на СД картици може бити присутан директоријум 'фајлови' ('/мнт/сдцард/ВхатсАпп/Филес/'). Овај директоријум садржи датотеке које чувају поставке програма и корисничке поставке.

Карактеристике складиштења података у неким моделима мобилних уређаја

Неки модели мобилних уређаја који користе Андроид ОС могу чувати ВхатсАпп артефакте на другој локацији. То је због промена у простору за складиштење података апликације од стране системског софтвера мобилног уређаја. На пример, Ксиаоми мобилни уређаји имају функцију за креирање другог радног простора („СецондСпаце“). Када је ова функција активирана, локација података се мења. Дакле, ако се на обичном мобилном уређају који ради на Андроид ОС-у кориснички подаци чувају у директоријуму '/дата/усер/0/' (што је референца на уобичајено '/дата/дата/'), затим се у другом радном простору подаци апликације чувају у директоријуму '/дата/усер/10/'. То јест, користећи пример локације датотеке 'ва.дб':

  • у обичном паметном телефону који користи Андроид ОС: /дата/усер/0/цом.вхатсапп/датабасес/ва.дб' (што је еквивалентно '/дата/дата/цом.вхатсапп/датабасес/ва.дб');
  • у другом радном простору Ксиаоми паметног телефона: '/дата/усер/10/цом.вхатсапп/датабасес/ва.дб'.

ВхатсАпп артефакти у иОС уређају

За разлику од Андроид ОС-а, у иОС апликацији ВхатсАпп подаци се преносе у резервну копију (иТунес резервна копија). Стога, издвајање података из ове апликације не захтева распакивање система датотека или прављење депоније физичке меморије уређаја који се истражује. Већина релевантних информација садржана је у бази података 'ЦхатСтораге.склите', који се налази дуж стазе: '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/' (у неким програмима ова путања се појављује као 'АппДомаинГроуп-гроуп.нет.вхатсапп.ВхатсАпп.схаред').

Структура 'ЦхатСтораге.склите':

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Најинформативније табеле у бази података 'ЦхатСтораге.склите' су 'ЗВАМЕССАГЕ' и 'ЗВАМЕДИАИТЕМ'.

Изглед стола 'ЗВАМЕССАГЕ':

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Структура табеле 'ЗВАМЕССАГЕ'

Име поља Вредност
З_ПК запис редног броја (у СКЛ табели)
З_ЕНТ идентификатор табеле, има вредност '9'
З_ОПТ непознато, обично садржи вредности од '1' до '6'
ЗЦХИЛДМЕССАГЕСДЕЛИВЕРЕДЦОУНТ непознато, обично садржи вредност '0'
ЗЦХИЛДМЕССАГЕСПЛАИЕДЦОУНТ непознато, обично садржи вредност '0'
ЗЦХИЛДМЕССАГЕСРЕАДЦОУНТ непознато, обично садржи вредност '0'
ЗДАТАИТЕМВЕРСИОН непознато, обично садржи вредност '3', вероватно индикатор текстуалне поруке
ЗДОЦИД је непознато
ЗЕНЦРЕТРИЦОУНТ непознато, обично садржи вредност '0'
ЗФИЛТЕРЕДРЕЦИПИЕНТЦОУНТ непознато, обично садржи вредности '0', '2', '256'
ЗИСФРОММЕ смер поруке: '0' – долазна, '1' – одлазна
ЗМЕССАГЕЕРРОРСТАТУС статус преноса поруке. Ако је порука послата/примљена, онда има вредност '0'
ЗМЕССАГЕТИПЕ врста поруке која се преноси
ЗСОРТ је непознато
ЗСПОТЛИГХТСТАТУС је непознато
ЗСТАРРЕД непознато, некоришћено
ЗЦХАТСЕССИОН је непознато
ЗГРОУПМЕМБЕР непознато, некоришћено
ЗЛАСТСЕССИОН је непознато
ЗМЕДИАИТЕМ је непознато
ЗМЕССАГЕИНФО је непознато
ЗПАРЕНТМЕССАГЕ непознато, некоришћено
ЗМЕССАГЕДАТЕ временска ознака у формату времена епохе ОС Кс
ЗСЕНТДАТЕ време када је порука послата у формату ОС Кс Епоцх Тиме
ЗФРОМЈИД ВхатсАпп ИД пошиљаоца
ЗМЕДИАСЕЦТИОНИД садржи годину и месец када је медијска датотека послата
ЗПХАСХ непознато, некоришћено
ЗПУСХПАМЕ име контакта који је послао медијску датотеку у УТФ-8 формату
ЗСТАНЗИД јединствени идентификатор поруке
ЗТЕКСТ Текст поруке
ЗТОЈИД ВхатсАпп ИД примаоца
ОФФСЕТ склоност

Изглед стола 'ЗВАМЕДИАИТЕМ':

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Структура табеле 'ЗВАМЕДИАИТЕМ'

Име поља Вредност
З_ПК запис редног броја (у СКЛ табели)
З_ЕНТ идентификатор табеле, има вредност '8'
З_ОПТ непознато, обично садржи вредности од '1' до '3'.
ЗЦЛОУДСТАТУС садржи вредност '4' ако је датотека учитана.
ЗФИЛЕСИЗЕ садржи дужину датотеке (у бајтовима) за преузете датотеке
ЗМЕДИАОРИГИН непознато, обично има вредност '0'
ЗМОВИЕДУРАТИОН трајање медијске датотеке, за пдф датотеке може да садржи број страница документа
ЗМЕССАГЕ садржи серијски број (број се разликује од оног наведеног у колони 'З_ПК')
ЗАСПЕЦТРАТИО однос ширина/висина, не користи се, обично је подешен на '0'
ЗХАЦЦУРАЦИ непознато, обично има вредност '0'
ЗЛАТТИТУДЕ ширина у пикселима
ЗЛОНГТИТУДЕ висина у пикселима
ЗМЕДИАУРЛДАТЕ временска ознака у формату времена епохе ОС Кс
ЗАУТХОРНАМЕ аутор (за документе, може садржати назив датотеке)
ЗЦОЛЛЕЦТИОННАМЕ не користи
ЗМЕДИАЛОЦАЛПАТХ назив датотеке (укључујући путању) у систему датотека уређаја
ЗМЕДИАУРЛ УРЛ адреса на којој се налази медијска датотека. Ако је датотека пребачена са једног претплатника на другог, она је шифрована и њена екстензија ће бити назначена као екстензија пренете датотеке - .енц
ЗТХУМБНАИЛЛОЦАЛПАТХ путању до сличице датотеке у систему датотека уређаја
ЗТИТЛЕ заглавље датотеке
ЗВЦАРДНАМЕ хеш медијске датотеке приликом преноса датотеке у групу, може садржати идентификатор пошиљаоца
ЗВЦАРДСТРИНГ садржи информације о типу датотеке која се преноси (на пример, слика/јпег); приликом преноса датотеке у групу, може садржати идентификатор примаоца
ЗКСМППТХУМБПАТХ путању до сличице датотеке у систему датотека уређаја
ЗМЕДИАКЕИ непознато, вероватно садржи кључ за дешифровање шифроване датотеке.
ЗМЕТАДАТА метаподаци пренете поруке
Офсет склоност

Друге занимљиве табеле базе података 'ЦхатСтораге.склите' су:

  • 'ЗВАПРОФИЛЕПУСХНАМЕ'. Поклапа ВхатсАпп ИД са именом контакта;
  • 'ЗВАПРОФИЛЕПИЦТУРЕИТЕМ'. Поклапа ВхатсАпп ИД са аватаром контакта;
  • 'З_ПРИМАРИКЕИ'. Табела садржи опште информације о овој бази података, као што су укупан број сачуваних порука, укупан број ћаскања итд.

Такође, када испитујете ВхатсАпп на мобилном уређају који користи иОС, обратите пажњу на следеће датотеке:

  • фајл 'БацкедУпКеиВалуе.склите'. Садржи криптографске кључеве и друге податке који су неопходни за идентификацију власника налога. Налази се дуж стазе: /привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/.
  • фајл 'ЦонтацтсВ2.склите'. Садржи информације о контактима корисника, као што су пуно име, број телефона, статус контакта (у текстуалном облику), ВхатсАпп ИД итд. Налази се дуж стазе: /привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/.
  • фајл 'цонсумер_версион'. Садржи број верзије инсталиране ВхатсАпп апликације. Налази се дуж стазе: /привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/.
  • фајл 'цуррент_валлпапер.јпг'. Садржи тренутну позадину за ВхатсАпп. Налази се дуж стазе: /привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/. Старије верзије апликације користе датотеку 'тапета', који се налази уз стазу: '/привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Доцументс/'.
  • фајл 'блоцкедцонтацтс.дат'. Садржи информације о блокираним контактима. Налази се дуж стазе: /привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Доцументс/.
  • фајл 'пв.дат'. Садржи шифровану лозинку. Налази се дуж стазе: '/привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Либрари/'.
  • фајл 'нет.вхатсапп.ВхатсАпп.плист' (или фајл 'гроуп.нет.вхатсапп.ВхатсАпп.схаред.плист'). Садржи информације о профилу вашег ВхатсАпп налога. Датотека се налази дуж путање: '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/Либрари/Преференцес/'.

Садржај датотеке 'гроуп.нет.вхатсапп.ВхатсАпп.схаред.плист' ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Такође треба да обратите пажњу на следеће директоријуме:

  • Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/Медиа/Профиле/'. Садржи сличице контаката, група (датотеке са екстензијом .палац), аватари контаката, аватар власника ВхатсАпп налога (датотека 'Пхото.јпг').
  • Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/Мессаге/Медиа/'. Садржи мултимедијалне датотеке и њихове сличице
  • Директоријум '/привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Доцументс/'. Садржи дневник рада програма (датотека 'цаллс.лог') и резервне копије дневника рада програма (датотека 'цаллс.бацкуп.лог').
  • Директоријум '/привате/вар/мобиле/Апплицатионс/гроуп.нет.вхатсапп.ВхатсАпп.схаред/стицкерс/'. Садржи налепнице (датотеке у формату '.вебп').
  • Директоријум '/привате/вар/мобиле/Апплицатионс/нет.вхатсапп.ВхатсАпп/Либрари/Логс/'. Садржи дневнике рада програма.

ВхатсАпп артефакти на Виндовс-у

ВхатсАпп артефакти на Виндовс-у могу се наћи на неколико места. Пре свега, ово су директоријуми који садрже извршне и помоћне програмске датотеке (за Виндовс 8/10):

  • „Ц: Програмске датотеке (к86) ВхатсАпп“
  • 'Ц:Усерс%Кориснички профил% АппДатаЛоцалВхатсАпп'
  • 'Ц:Усерс%Кориснички профил% Програмске датотеке АппДатаЛоцалВиртуалСторе (к86)ВхатсАпп'

У каталогу 'Ц:Усерс%Кориснички профил% АппДатаЛоцалВхатсАпп' налази се лог датотека 'СкуиррелСетуп.лог', који садржи информације о провери ажурирања и инсталирању програма.

У каталогу 'Ц:Усерс%Кориснички профил% АппДатаРоамингВхатсАпп' Постоји неколико поддиректорија:

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
фајл 'маин-процесс.лог' садржи информације о раду ВхатсАпп програма.

Поддиректоријум 'базе података' садржи датотеку 'Датабасес.дб', али ова датотека не садржи никакве информације о четовима или контактима.

Најинтересантније са форензичке тачке гледишта су датотеке које се налазе у директоријуму 'Цацхе'. То су у основи датотеке са именом 'ф_**********' (где је * број од 0 до 9) који садрже шифроване мултимедијалне датотеке и документе, али међу њима има и нешифрованих датотека. Посебно су интересантни фајлови 'дата_0', 'дата_1', 'дата_2', 'дата_3', који се налази у истом поддиректоријуму. Фајлови 'дата_0', 'дата_1', 'дата_3' садрже екстерне везе до пренетих шифрованих мултимедијалних датотека и докумената.

Пример информација садржаних у датотеци „подаци_1“ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Такође фајл 'дата_3' може садржати графичке датотеке.

фајл 'дата_2' садржи аватаре контаката (могу се вратити претраживањем по заглављима датотека).

Аватари садржани у датотеци 'дата_2':

ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
Дакле, сами разговори се не могу пронаћи у меморији рачунара, али можете пронаћи:

  • мултимедијалне датотеке;
  • документи који се преносе путем ВхатсАпп-а;
  • информације о контактима власника налога.

ВхатсАпп артефакти на МацОС-у

У МацОС-у можете пронаћи типове ВхатсАпп артефаката сличних онима у Виндовс ОС-у.

Програмске датотеке се налазе у следећим директоријумима:

  • 'Ц:АпплицатионсВхатсАпп.апп'
  • 'Ц:Апплицатионс._ВхатсАпп.апп'
  • 'Ц:Усерс%Кориснички профил%ЛибрариПреференцес'
  • 'Ц:Усерс%Кориснички профил%ЛибрариЛогсВхатсАпп'
  • 'Ц:Усерс%Кориснички профил%ЛибрариСавед Апплицатион СтатеВхатсАпп.саведСтате'
  • 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион Сцриптс'
  • 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортЦлоудДоцс'
  • 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАпп.СхипИт'
  • 'Ц:Усерс%Кориснички профил%ЛибрариЦонтаинерсцом.роцкисандстудио.апп-фор-вхатсапп'
  • 'Ц:Усерс%Кориснички профил% Библиотека Мобилни документи <текстуална променљива> ВхатсАпп налози'
    Овај директоријум садржи поддиректоријуме чија су имена бројеви телефона повезани са власником ВхатсАпп налога.
  • 'Ц:Усерс%Кориснички профил%ЛибрариЦацхесВхатсАпп.СхипИт'
    Овај директоријум садржи информације о инсталацији програма.
  • 'Ц:Усерс%Кориснички профил%ПицтуресиПхото Либрари.пхотолибрариМастерс', 'Ц:Усерс%Кориснички профил%ПицтуресиПхото Либрари.пхотолибрариТхумбнаилс'
    Ови директоријуми садрже сервисне датотеке програма, укључујући фотографије и сличице ВхатсАпп контаката.
  • 'Ц:Усерс%Кориснички профил%ЛибрариЦацхесВхатсАпп'
    Овај директоријум садржи неколико СКЛите база података које се користе за кеширање података.
  • 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАпп'
    Овај директоријум садржи неколико поддиректоријума:

    ВхатсАпп на длану: где и како можете пронаћи форензичке артефакте?
    У каталогу 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАппЦацхе' постоје фајлови 'дата_0', 'дата_1', 'дата_2', 'дата_3' и датотеке са именима 'ф_**********' (где је * број од 0 до 9). За информације о томе које информације ове датотеке садрже, погледајте ВхатсАпп артефакти на Виндовс-у.

    У каталогу 'Ц:Усерс%Кориснички профил%ЛибрариАпплицатион СуппортВхатсАппИндекедДБ' могу да садрже мултимедијалне датотеке (датотеке немају екстензије).

    фајл 'маин-процесс.лог' садржи информације о раду ВхатсАпп програма.

izvori

  1. Форензичка анализа ВхатсАпп Мессенгер-а на Андроид паметним телефонима, Цосимо Англано, 2014.
  2. Форензика ВхатсАпп-а: Експлоразни систем и основни подаци у апликацијама за Андроид и иОС од Ахмада Пратаме, 2014.

У следећим чланцима из ове серије:

Дешифровање шифрованих ВхатсАпп база податакаЧланак који ће пружити информације о томе како се генерише кључ за шифровање ВхатсАпп и практичне примере који показују како дешифровати шифроване базе података ове апликације.
Екстраховање ВхатсАпп података из складишта у облакуЧланак у коме ћемо вам рећи који се ВхатсАпп подаци чувају у облацима и описати методе за преузимање ових података из складишта у облаку.
ВхатсАпп екстракција података: практични примериЧланак који ће описати корак по корак који програми и како извући ВхатсАпп податке са различитих уређаја.

Извор: ввв.хабр.цом

Додај коментар