ProHoster > Blog > warta internét > WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

Upami anjeun hoyong terang naon jinis artefak forensik WhatsApp anu aya dina sistem operasi anu béda sareng dimana persisna tiasa dipendakan, maka ieu mangrupikeun tempat pikeun anjeun. Tulisan ieu ti spesialis di Laboratorium Forensik Komputer Grup-IB Igor Mikhailov najong kaluar runtuyan tulisan ngeunaan forensik WhatsApp sarta informasi naon bisa gleaned tina analisa alat.

Hayu urang langsung perhatikeun yén sistem operasi anu béda-béda nyimpen rupa-rupa artefak WhatsApp, sareng upami panalungtik tiasa nimba sababaraha jinis data WhatsApp tina hiji alat, ieu sanés hartosna yén jinis data anu sami tiasa diekstrak tina alat anu sanés. Salaku conto, upami unit sistem anu ngajalankeun Windows OS dipiceun, obrolan WhatsApp sigana moal kapendak dina diskna (iwal salinan cadangan alat ios, anu tiasa dipendakan dina drive anu sami). Rebutan laptop sareng alat sélulér bakal gaduh ciri sorangan. Hayu urang ngobrol ngeunaan ieu dina leuwih jéntré.

Artefak WhatsApp dina alat Android

Pikeun nimba artefak WhatsApp tina alat Android, panalungtik kedah gaduh hak superuser ('akar') dina alat nu ditalungtik atawa bisa disebutkeun nimba mémori fisik alat, atawa sistem file na (contona, ngagunakeun vulnerabilities software tina alat mobile husus).

Payil aplikasi aya dina mémori telepon dina bagian dimana data pamaké disimpen. Sakumaha aturan, bagian ieu ngaranna 'data pamaké'. Subdirektori sareng file program aya di sapanjang jalur: '/data/data/com.whatsapp/'.

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Payil utama anu ngandung artifak forensik WhatsApp dina OS Android nyaéta pangkalan data 'wa.db' и 'msgstore.db'.

Dina database 'wa.db' ngandung daptar kontak lengkep pangguna WhatsApp, kalebet nomer telepon, nami tampilan, cap waktos, sareng inpormasi sanésna anu disayogikeun nalika ngadaptarkeun WhatsApp. File 'wa.db' lokasina sapanjang jalur: '/data/data/com.whatsapp/databases/' sarta ngabogaan struktur handap:

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
The tabel paling metot dina database 'wa.db' pikeun panalungtik nyaéta:

  • 'wa_contacts'
    Tabel ieu ngandung inpormasi kontak: id kontak WhatsApp, inpormasi status, nami tampilan pangguna, cap waktos, jsb.

    Penampilan méja:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
    Struktur méja

    Ngaran widang ajen
    _id catetan urutan nomer (dina tabel SQL)
    jid ID kontak WhatsApp, ditulis dina format <nomer telepon>@s.whatsapp.net
    is_whatsapp_user ngandung '1' lamun kontak pakait jeung pamaké WhatsApp sabenerna, '0' disebutkeun
    status ngandung teks nu dipintonkeun dina status kontak
    status_timestamp ngandung timestamp dina format Unix Epoch Time (ms).
    jumlah nomer telepon pakait sareng kontak
    raw_contact_id nomer serial kontak
    nami tayang ngaran tampilan kontak
    telepon_tipe tipe telepon
    labél_telepon labél pakait sareng nomer kontak
    unseen_msg_count Jumlah talatah nu dikirim ku kontak tapi teu dibaca ku nu narima
    poto_ts ngandung timestamp dina format Unix Epoch Time
    jempol_ts ngandung timestamp dina format Unix Epoch Time
    photo_id_timestamp ngandung timestamp dina format Unix Epoch Time (ms).
    nami anu dipasihkeun nilai widang cocog 'display_name' pikeun tiap kontak
    wa_name Ngaran kontak WhatsApp (nami anu disebatkeun dina profil kontak ditampilkeun)
    sort_name ngaran kontak dipaké dina operasi sortir
    landihan landihan kontak dina WhatsApp (nickname anu ditunjuk dina profil kontak ditampilkeun)
    pausahaan perusahaan (perusahaan anu ditunjuk dina profil kontak ditampilkeun)
    gelar judul (Ms./Mr.; judul dikonpigurasi dina profil kontak dipintonkeun)
    offset bias
  • 'sqlite_sequence'
    Tabél ieu ngandung émbaran ngeunaan jumlah kontak;
  • 'android_metadata'
    Tabel ieu ngandung inpormasi ngeunaan lokalisasi basa WhatsApp.

Dina database 'msgstore.db' ngandung inpormasi ngeunaan talatah anu dikirim, sapertos nomer kontak, téks talatah, status talatah, cap waktu, wincik file anu ditransfer anu kalebet dina talatah, jsb. File 'msgstore.db' lokasina sapanjang jalur: '/data/data/com.whatsapp/databases/' sarta ngabogaan struktur handap:

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
The tabel paling metot dina file 'msgstore.db' pikeun panalungtik nyaéta:

  • 'sqlite_sequence'
    Tabel ieu ngandung inpormasi umum ngeunaan pangkalan data ieu, sapertos jumlah total pesen anu disimpen, jumlah total obrolan, jsb.

    Penampilan méja:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

  • 'message_fts_content'
    Ngandung téks pesen anu dikirim.

    Penampilan méja:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

  • 'pesen'
    Tabel ieu ngandung inpormasi sapertos nomer kontak, téks pesen, status pesen, cap waktos, inpormasi ngeunaan file anu ditransfer anu kalebet dina pesen.

    Penampilan méja:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
    Struktur méja

    Ngaran widang ajen
    _id catetan urutan nomer (dina tabel SQL)
    key_remote_jid WhatsApp ID mitra komunikasi
    konci_ti_kuring arah pesen: '0' - asup, '1' - kaluar
    key_id identifier pesen unik
    status status pesen: '0' - dikirimkeun, '4' - ngantosan dina server, '5' - narima di tujuan, '6' - pesen kontrol, '13' - pesen dibuka ku panarima (baca)
    peryogi_dorong boga nilai '2' lamun éta pesen siaran, disebutkeun ngandung '0'
    data téks pesen (lamun 'media_wa_type' parameter '0')
    timestamp ngandung timestamp dina Unix Epoch Time (ms) format, nilai dicokot tina jam alat
    media_url ngandung URL file anu ditransfer (lamun parameter 'media_wa_type' nyaéta '1', '2', '3')
    média_mime_type Tipe MIME tina file anu ditransfer (lamun parameter 'media_wa_type' sarua jeung '1', '2', '3')
    media_wa_type jenis pesen: '0' - téks, '1' - file grafik, '2' - file audio, '3' - file video, '4' - kartu kontak, '5' - geodata
    ukuran_media ukuran file anu ditransfer (lamun parameter 'media_wa_type' nyaéta '1', '2', '3')
    ngaran_media nami file anu ditransfer (lamun parameter 'media_wa_type' nyaéta '1', '2', '3')
    media_caption Ngandung kecap 'audio', 'video' pikeun nilai nu saluyu tina parameter 'media_wa_type' (lamun parameter 'media_wa_type' nyaeta '1', '3')
    média_hash base64 hash disandikeun tina file dikirimkeun, diitung ngagunakeun algoritma HAS-256 (lamun parameter 'media_wa_type' sarua jeung '1', '2', '3')
    média_duration durasi dina detik pikeun file media (lamun 'media_wa_type' nyaeta '1', '2', '3')
    asal boga nilai '2' lamun éta pesen siaran, disebutkeun ngandung '0'
    lintang geodata: lintang (lamun 'media_wa_type' parameter '5')
    bujur geodata: bujur (lamun parameter 'media_wa_type' nyaeta '5')
    jempol_gambar informasi jasa
    remote_resource ID Pangirim (pikeun obrolan grup wungkul)
    receive_timestamp waktos resi, ngandung timestamp dina Unix Epoch Time (ms) format, nilai dicokot tina jam alat (lamun parameter 'key_from_me' boga '0', '-1' atawa nilai séjén)
    send_timestamp teu dipaké, biasana boga nilai '-1'
    receipt_server_timestamp waktos ditampi ku server sentral, ngandung timestamp dina Unix Epoch Time (ms) format, nilai dicokot tina jam alat (lamun parameter 'key_from_me' boga '1', '-1' atawa nilai séjén
    receipt_device_timestamp waktos pesen ditampi ku palanggan sejen, ngandung timestamp dina Unix Epoch Time (ms) format, nilai dicokot tina jam alat (lamun parameter 'key_from_me' boga '1', '-1' atawa nilai séjén
    read_device_timestamp waktos muka (maca) pesen, ngandung timestamp dina format Unix Epoch Time (ms), nilai dicokot tina jam alat.
    diputer_device_timestamp waktos playback pesen, ngandung timestamp dina format Unix Epoch Time (ms), nilai dicokot tina jam alat.
    data atah gambar leutik file anu ditransfer (lamun parameter 'media_wa_type' nyaéta '1' atanapi '3')
    recipient_count Jumlah panarima (pikeun pesen siaran)
    participant_hash dipaké nalika ngirimkeun pesen nganggo geodata
    béntang henteu dianggo
    quoted_row_id kanyahoan, biasana ngandung nilai '0'
    mention_jids henteu dianggo
    multicast_id henteu dianggo
    offset bias

    Daptar widang ieu teu tuntas. Pikeun vérsi WhatsApp anu béda, sababaraha widang tiasa aya atanapi henteu. Salaku tambahan, sawah tiasa aya 'media_enc_hash', 'édit_versi', 'id_transaksi_bayaran' jeung sajabana

  • 'messages_thumbnails'
    Tabél ieu ngandung émbaran ngeunaan gambar anu ditransfer sareng cap waktu. Dina kolom 'timestamp', waktosna dituduhkeun dina format Unix Epoch Time (ms).
  • 'chat_list'
    tabél ieu ngandung émbaran ngeunaan obrolan.

    Penampilan méja:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

Ogé, nalika mariksa WhatsApp dina alat sélulér anu ngajalankeun Android, anjeun kedah nengetan file-file ieu:

  • file 'msgstore.db.cryptXX' (dimana XX nyaéta hiji atawa dua digit tina 0 nepi ka 12, contona, msgstore.db.crypt12). Ngandung cadangan énkripsi pesen WhatsApp (file cadangan msgstore.db). Berkas 'msgstore.db.cryptXX' lokasina sapanjang jalur: '/data/media/0/WhatsApp/Databases/' (kartu SD maya), '/mnt/sdcard/WhatsApp/Databases/ (kartu SD fisik)'.
  • file 'konci'. Ngandung konci cryptographic. Lokasina sapanjang jalur: '/data/data/com.whatsapp/files/'. Dipaké pikeun ngadekrip cadangan WhatsApp énkripsi.
  • file 'com.whatsapp_preferences.xml'. Ngandung inpormasi ngeunaan profil akun WhatsApp anjeun. Filena aya di sapanjang jalur: '/data/data/com.whatsapp/shared_prefs/'.

    sempalan eusi file

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • file 'registration.RegisterPhone.xml'. Ngandung inpormasi ngeunaan nomer telepon anu aya hubunganana sareng akun WhatsApp. Filena aya di sapanjang jalur: '/data/data/com.whatsapp/shared_prefs/'.

    eusi file 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • file 'axolotl.db'. Ngandung konci kriptografi sareng data sanés anu diperyogikeun pikeun ngaidentipikasi nu gaduh akun. Lokasina sapanjang jalur: '/data/data/com.whatsapp/databases/'.
  • file 'chatsettings.db'. Ngandung inpormasi konfigurasi aplikasi.
  • file 'wa.db'. Ngandung wincik kontak. A pisan metot (tina aspék forensik) jeung database informatif. Bisa ngandung inpo wincik tentang kontak dihapus.

Anjeun ogé kedah nengetan diréktori ieu:

  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Gambar/'. Ngandung file grafik anu ditransfer.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Ngandung pesen sora dina file format .OPUS.
  • pitunjuk '/data/data/com.whatsapp/cache/Gambar Profil/'. Ngandung file grafik - gambar kontak.
  • pitunjuk '/data/data/com.whatsapp/files/Avatars/'. Ngandung file grafik - gambar leutik kontak. File ieu gaduh ekstensi '.j' tapi file gambar JPEG (JPG).
  • pitunjuk '/data/data/com.whatsapp/files/Avatars/'. Ngandung file grafis - gambar sareng gambar leutik gambar anu disetél salaku avatar ku nu gaduh akun.
  • pitunjuk '/data/data/com.whatsapp/files/Logs/'. Ngandung log operasi program (file 'whatsapp.log') jeung salinan cadangan log operasi program (file kalawan ngaran dina format whatsapp-yyyy-mm-dd.1.log.gz).

File Log WhatsApp:

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
sempalan jurnal2017-01-10 09:37:09.757 LL_I D [524: WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524: WhatsApp Worker #1] missedcallnotification / update ngabolaykeun leres
2017-01-10 09:37:09.768 LL_I D [1:utama] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:utama] file sandi leungit atawa teu bisa dibaca
2017-01-10 09:37:09.782 LL_I D [1: utama] statistik Messages téks: 59 dikirim, 82 narima / Media Messages: 1 dikirim (0 bait), 0 narima (9850158 bait) / Offline Messages: 81 narima ( 19522 msec rata-rata reureuh) / Ladenan Pesen: 116075 bait dikirim, 211729 bait nampi / Voip Telepon: 1 telepon kaluar, 0 telepon asup, 2492 bait dikirim, 1530 bait nampi / Google Drive: 0 bait dikirim, 0 bait nampi / Roaming: bait dikirim, 1524 bait nampi / Total Data: 1826 bait dikirim, 118567 bait nampi
2017-01-10 09:37:09.785 LL_I D [1: utama] média-nagara-manajer / refresh-média-nagara / ditulis-média
2017-01-10 09:37:09.806 LL_I D [1: utama] aplikasi-init / inisialisasi / timer / eureun: 24
2017-01-10 09:37:09.811 LL_I D [1:utama] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1: utama] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1: utama] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:utama] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1: utama] msgstore / checkdb / daptar _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09:37:09.820 LL_I D [1: utama] msgstore / checkdb / daptar _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09:37:09.820 LL_I D [1: utama] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1: utama] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1: utama] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1: utama] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1: utama] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1: utama] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1: utama] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1: utama] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1: utama] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1: utama] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1: utama] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1: utama] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:utama] msgstore/checkdb/versi 1
2017-01-10 09:37:09.839 LL_I D [1:utama] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:utama] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1: utama] msgstore / canquery / timer / eureun: 8
2017-01-10 09:37:09.847 LL_I D [1: utama] msgstore / canquery 517 | waktos anu dianggo: 8
2017-01-10 09:37:09.848 LL_I D [529: WhatsApp Worker # 3] média-nagara-manajer / refresh-média-kaayaan / gudang internal sadia: 1,345,622,016 total: 5,687,922,688

  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Ngandung file audio anu ditampi.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Audio/Dikirim/'. Ngandung file audio anu dikirim.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Gambar/'. Ngandung file grafik anu dihasilkeun.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Gambar/Kirim/'. Ngandung file grafis dikirim.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Ngandung file video nu ditampa.
  • pitunjuk '/data/media/0/WhatsApp/Media/WhatsApp Video/Dikirim/'. Ngandung file video dikirim.
  • pitunjuk '/data/media/0/WhatsApp/Media/Poto Propil WhatsApp/'. Ngandung file grafik pakait sareng nu boga akun WhatsApp.
  • Pikeun ngahemat rohangan mémori dina smartphone Android anjeun, sababaraha data WhatsApp tiasa disimpen dina kartu SD. Dina kartu SD, dina diréktori akar, aya diréktori 'WhatsApp', dimana artefak program ieu tiasa dipendakan:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

  • pitunjuk '.Bagikeun' ('/mnt/sdcard/WhatsApp/.Share/'). Ngandung salinan file anu parantos dibagikeun sareng pangguna WhatsApp anu sanés.
  • pitunjuk '.sampah' ('/mnt/sdcard/WhatsApp/.trash/'). Ngandung file dihapus.
  • pitunjuk 'Database' ('/mnt/sdcard/WhatsApp/Databases/'). Ngandung cadangan énkripsi. Éta tiasa didekripsi upami filena aya 'konci', sasari tina mémori alat anu dianalisis.

    Berkas anu aya dina subdirektori 'Database':

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?

  • pitunjuk 'Satengah' ('/mnt/sdcard/WhatsApp/Media/'). Ngandung subdirectories 'Kertas Dinding', 'Audio WhatsApp', 'Gambar WhatsApp', 'Poto Profil WhatsApp', 'Video WhatsApp', 'Catatan Sora WhatsApp', anu ngandung file multimedia anu ditampi sareng dikirimkeun (file grafik, file video, pesen sora, poto anu aya hubunganana sareng profil anu gaduh akun WhatsApp, wallpaper).
  • pitunjuk 'Gambar Profil' ('/mnt/sdcard/WhatsApp/Gambar Profil/'). Ngandung file grafik pakait sareng profil nu boga akun WhatsApp.
  • Kadang-kadang meureun aya hiji diréktori hadir dina kartu SD 'berkas' ('/mnt/sdcard/WhatsApp/Files/'). Diréktori ieu ngandung file anu nyimpen setélan program sareng kahoyong pangguna.

Fitur neundeun data dina sababaraha modél alat sélulér

Sababaraha model alat sélulér anu ngajalankeun Android OS tiasa nyimpen artefak WhatsApp di lokasi anu béda. Ieu disababkeun ku parobahan dina rohangan neundeun data aplikasi ku parangkat lunak sistem alat sélulér. Salaku conto, alat sélulér Xiaomi ngagaduhan fungsi pikeun nyiptakeun ruang kerja kadua ("SecondSpace"). Nalika pungsi ieu diaktipkeun, lokasi data robah. Janten, upami dina alat sélulér biasa ngajalankeun data pangguna Android OS disimpen dina diréktori '/data/pamaké/0/' (anu mangrupikeun rujukan pikeun biasa '/data/data/'), lajeng dina workspace kadua data aplikasi disimpen dina diréktori '/data/pamaké/10/'. Hartina, ngagunakeun conto lokasi file 'wa.db':

  • dina smartphone biasa ngajalankeun Android OS: /data/user/0/com.whatsapp/databases/wa.db' (anu sarua '/data/data/com.whatsapp/databases/wa.db');
  • dina ruang kerja kadua smartphone Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Artefak WhatsApp dina alat ios

Teu kawas Android OS, dina ios data aplikasi WhatsApp ditransferkeun ka salinan cadangan (iTunes cadangan). Ku alatan éta, extracting data tina aplikasi ieu teu merlukeun extracting sistem file atawa nyieun dump memori fisik alat nu ditalungtik. Kalolobaan informasi relevan dikandung dina database 'ChatStorage.sqlite', anu perenahna sapanjang jalur: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (dina sababaraha program jalur ieu muncul salaku 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

struktur 'ChatStorage.sqlite':

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Tabel paling informatif dina database 'ChatStorage.sqlite' nyaeta 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Penampilan méja 'ZWAMESSAGE':

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Struktur tabel 'ZWAMESSAGE'

Ngaran widang ajen
Z_PK catetan urutan nomer (dina tabel SQL)
Z_ENT identifier tabel, boga nilai '9'
Z_OPT kanyahoan, biasana ngandung nilai ti '1' nepi ka '6'
ZCHILDMESSAGESDELIVEREDCOUNT kanyahoan, biasana ngandung nilai '0'
ZCHILDMESSAGESPLAYEDCOUNT kanyahoan, biasana ngandung nilai '0'
ZCHILDMESSAGESREADCOUNT kanyahoan, biasana ngandung nilai '0'
ZDATAITEMVERSION kanyahoan, biasana ngandung nilai '3', meureun indikator pesen téks
ZDOCID teu kanyahoan
ZENCRETRYCOUNT kanyahoan, biasana ngandung nilai '0'
ZFILTEREDRECIPIENTCOUNT kanyahoan, biasana ngandung nilai '0', '2', '256'
ZISFROMME arah pesen: '0' - asup, '1' - kaluar
ZMESSAGEERRORSATUS status pangiriman pesen. Upami pesen dikirim/ditampi, maka éta ngagaduhan nilai '0'
ZMESSAGETYPE jenis pesen anu dikirimkeun
ZSORT teu kanyahoan
ZSPOTLIGHSTATUS teu kanyahoan
ZSTARRED kanyahoan, teu dipaké
ZCHATSESSION teu kanyahoan
ZGROUPMEMBER kanyahoan, teu dipaké
ZLASTSESSION teu kanyahoan
ZMEDIAITEM teu kanyahoan
ZMESSAGEINFO teu kanyahoan
ZPARENTMESSAGE kanyahoan, teu dipaké
ZMESSAGEDATE timestamp dina format OS X Epoch Time
ZSENTDATE waktos pesen dikirim dina format OS X Epoch Time
ZFROMJID WhatsApp Pangirim ID
ZMEDIASECTIONID ngandung taun jeung bulan file media dikirim
ZPHASH kanyahoan, teu dipaké
ZPUSHPAME ngaran kontak nu ngirim payil media dina format UTF-8
ZSTANZID identifier pesen unik
ZTEXT téks pesen
ZTOJID ID WhatsApp panarima
offset bias

Penampilan méja 'ZWAMEDIAITEM':

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Struktur tabel 'ZWAMEDIAITEM'

Ngaran widang ajen
Z_PK catetan urutan nomer (dina tabel SQL)
Z_ENT identifier tabel, boga nilai '8'
Z_OPT kanyahoan, biasana ngandung nilai ti '1' nepi ka '3'.
ZCLOUDSTATUS ngandung nilai '4' lamun file dimuat.
ZFILESIZE ngandung panjang file (dina bait) pikeun file diundeur
ZMEDIAORIGIN kanyahoan, biasana boga nilai '0'
ZMOVIEDURATION durasi file media, pikeun file pdf bisa ngandung jumlah kaca dokumen
ZMESSAGE ngandung nomer séri (jumlahna béda ti anu dituduhkeun dina kolom 'Z_PK')
ZASPECTRATIO rasio aspék, teu dipaké, biasana disetel ka '0'
ZHACCURACY kanyahoan, biasana boga nilai '0'
ZLATTITUDE lebar dina piksel
ZLONGTITUDE jangkungna dina piksel
ZMEDIAURLDATE timestamp dina format OS X Epoch Time
ZAUTHORNAME pangarang (pikeun dokumén, bisa ngandung ngaran file)
ZCOLLECTIONNAME henteu dianggo
ZMEDIALOCALPATH Ngaran koropak (kaasup jalur) dina sistem file alat
ZMEDIAURL URL dimana file media ieu lokasina. Upami file ditransferkeun ti hiji palanggan ka palanggan anu sanés, éta énkripsi sareng ekstensina bakal dituduhkeun salaku ekstensi file anu ditransfer - .enc
ZTHUMBNAILLOCALPATH jalur ka gambar leutik file dina sistem file alat
ZTITLE lulugu file
ZVCARDNAME Media file hash; nalika nransferkeun file ka grup, éta tiasa ngandung identifier pangirim
ZVCARDSTRING ngandung inpormasi ngeunaan jinis file anu ditransfer (contona, gambar/jpeg); nalika nransferkeun file ka grup, éta tiasa ngandung identifier panarima.
ZXMPPTHUMBPATH jalur ka gambar leutik file dina sistem file alat
ZMEDIAKEY kanyahoan, meureun ngandung konci pikeun ngadekrip file énkripsi.
ZMETADATA metadata tina pesen anu dikirimkeun
offset bias

tabel database metot séjén 'ChatStorage.sqlite' nyaéta:

  • 'ZWAPROFILEPUSHNAME'. Cocog sareng WhatsApp ID sareng nami kontak;
  • 'ZWAPROFILEPICTUREITEM'. Cocog sareng WhatsApp ID sareng avatar kontak;
  • 'Z_PRIMARYKEY'. Tabél ngandung inpormasi umum ngeunaan pangkalan data ieu, sapertos jumlah total pesen anu disimpen, jumlah total obrolan, jsb.

Ogé, nalika mariksa WhatsApp dina alat sélulér anu ngajalankeun ios, anjeun kedah nengetan file ieu:

  • file 'BackedUpKeyValue.sqlite'. Ngandung konci kriptografi sareng data sanés anu diperyogikeun pikeun ngaidentipikasi nu gaduh akun. Lokasina sapanjang jalur: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'ContactsV2.sqlite'. Ngandung inpormasi ngeunaan kontak pangguna, sapertos nami lengkep, nomer telepon, status kontak (dina bentuk téks), ID WhatsApp, jsb. Lokasina sapanjang jalur: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'versi_konsumen'. Ngandung nomer versi aplikasi WhatsApp anu dipasang. Lokasina sapanjang jalur: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'current_wallpaper.jpg'. Ngandung wallpaper latar tukang WhatsApp ayeuna. Lokasina sapanjang jalur: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Versi aplikasi anu langkung lami nganggo file 'wallpaper', anu perenahna sapanjang jalur: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • file 'blockedcontacts.dat'. Ngandung inpormasi ngeunaan kontak anu diblokir. Lokasina sapanjang jalur: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • file 'pw.dat'. Ngandung kecap akses énkripsi. Lokasina sapanjang jalur: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • file 'net.whatsapp.WhatsApp.plist' (atawa file 'group.net.whatsapp.WhatsApp.shared.plist'). Ngandung inpormasi ngeunaan profil akun WhatsApp anjeun. Filena aya di sapanjang jalur: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Eusi file 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Anjeun ogé kedah nengetan diréktori ieu:

  • pitunjuk '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Ngandung gambar leutik kontak, grup (file sareng ekstensi .jempol), avatar kontak, avatar nu boga akun WhatsApp (file 'Photo.jpg').
  • pitunjuk '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Ngandung file multimedia sareng gambar leutikna
  • pitunjuk '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Ngandung log operasi program (file 'calls.log') jeung salinan cadangan log operasi program (file 'calls.backup.log').
  • pitunjuk '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Ngandung stiker (file dina format '.webp').
  • pitunjuk '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Ngandung log operasi program.

Artefak WhatsApp dina Windows

Artefak WhatsApp dina Windows tiasa dipendakan di sababaraha tempat. Anu mimiti, ieu mangrupikeun diréktori anu ngandung file laksana sareng bantu tina program (pikeun Windows 8/10):

  • 'C:Program Files (x86)WhatsApp'
  • 'C: Pamaké% Profil pamaké% AppDataLocalWhatsApp'
  • 'C: Pamaké% Profil pamaké% AppDataLocalVirtualStore Program Payil (x86) WhatsApp'

Dina katalog 'C: Pamaké% Profil pamaké% AppDataLocalWhatsApp' file log ayana 'SquirrelSetup.log', anu ngandung inpormasi ngeunaan mariksa apdet sareng masang program.

Dina katalog 'C: Pamaké% Profil pamaké% AppDataRoamingWhatsApp' Aya sababaraha subdirektori:

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
file 'main-process.log' ngandung inpormasi ngeunaan operasi program WhatsApp.

Subdirektori 'database' ngandung file 'Databases.db', tapi file ieu henteu ngandung inpormasi ngeunaan obrolan atanapi kontak.

Anu paling narik tina sudut pandang forensik nyaéta file anu aya dina diréktori 'Cache'. Ieu dasarna file ngaranna 'f_*******' (dimana * nyaéta angka ti 0 nepi ka 9) ngandung file multimédia énkripsi sarta dokumén, tapi aya ogé file unencrypted diantara aranjeunna. Kapentingan hususna nyaéta file 'data_0', 'data_1', 'data_2', 'data_3', ayana dina subdirectory sarua. File 'data_0', 'data_1', 'data_3' ngandung tumbu éksternal ka dikirimkeun payil multimedia énkripsi sarta dokumén.

Conto inpormasi anu aya dina file 'data_1'WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Ogé file 'data_3' bisa ngandung file grafik.

file 'data_2' ngandung avatar kontak (tiasa dibalikeun ku milarian ku header file).

Avatar anu aya dina file 'data_2':

WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
Ku kituna, obrolan sorangan teu bisa kapanggih dina mémori komputer, tapi anjeun bisa manggihan:

  • file multimedia;
  • dokumén dikirimkeun via WhatsApp;
  • inpormasi ngeunaan kontak nu boga akun.

Artefak WhatsApp dina MacOS

Dina MacOS anjeun tiasa mendakan jinis artefak WhatsApp anu sami sareng anu aya dina Windows OS.

File program aya dina diréktori ieu:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C: Users% User profile% LibraryPreferences'
  • 'C:Pamaké%Propil pamaké%LibraryLogsWhatsApp'
  • 'C: Users% User profile% LibrarySaved Application StateWhatsApp.savedState'
  • 'C: Users% User profile% LibraryApplication Scripts'
  • 'C:Pamaké%propil pamaké%LibraryApplication SupportCloudDocs'
  • 'C:Pamaké%Profil pamaké%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C: Users% User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C: Pamaké% Profil pamaké% Perpustakaan Dokumén Mobile <variabel téks> Akun WhatsApp'
    Diréktori ieu ngandung subdirektori anu namina nomer telepon pakait sareng nu gaduh akun WhatsApp.
  • 'C:Pamaké%Propil pamaké%LibraryCachesWhatsApp.ShipIt'
    Diréktori ieu ngandung émbaran ngeunaan masang program.
  • 'C:Pamaké%Profil pamaké%PicturesiPhoto Library.photolibraryMasters', 'C:Pamaké%Profil pamaké%PicturesiPhoto Library.photolibraryThumbnails'
    Diréktori ieu ngandung file jasa program, kalebet poto sareng gambar leutik kontak WhatsApp.
  • 'C:Pamaké%Propil pamaké%LibraryCachesWhatsApp'
    Diréktori ieu ngandung sababaraha database SQLite nu dipaké pikeun cache data.
  • 'C:Pamaké%Propil pamaké%LibraryApplication SupportWhatsApp'
    Diréktori ieu ngandung sababaraha subdirektori:

    WhatsApp dina lontar panangan anjeun: dimana sareng kumaha anjeun tiasa mendakan artefak forensik?
    Dina katalog 'C:Pamaké%Propil pamaké%LibraryApplication SupportWhatsAppCache' aya file 'data_0', 'data_1', 'data_2', 'data_3' jeung file kalawan ngaran 'f_*******' (dimana * nyaéta angka ti 0 nepi ka 9). Kanggo inpormasi ngeunaan inpormasi naon anu dikandung dina file ieu, tingali Artefak WhatsApp dina Windows.

    Dina katalog 'C:Pamaké%Propil pamaké%LibraryApplication SupportWhatsAppIndexedDB' bisa ngandung payil multimédia (file teu boga ekstensi).

    file 'main-process.log' ngandung inpormasi ngeunaan operasi program WhatsApp.

sumber

  1. Analisis forensik WhatsApp Messenger dina smartphone Android, ku Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Éksplorasi sistem berkas jeung basis data dina aplikasi Android jeung iOS ku Ahmad Pratama, 2014.

Dina artikel di handap dina séri ieu:

Dekripsi pangkalan data WhatsApp énkripsiArtikel anu bakal masihan inpormasi ngeunaan kumaha konci enkripsi WhatsApp dibangkitkeun sareng conto praktis anu nunjukkeun kumaha ngadekrip pangkalan data énkripsi tina aplikasi ieu.
Ékstrak data WhatsApp tina panyimpenan awanTulisan dimana kami bakal nyarioskeun ka anjeun naon data WhatsApp anu disimpen dina méga sareng ngajelaskeun metode pikeun nyandak data ieu tina panyimpen awan.
Ekstraksi Data WhatsApp: Conto PraktisArtikel anu bakal ngajelaskeun step by step program naon jeung kumaha carana nimba data WhatsApp ti sagala rupa alat.

sumber: www.habr.com

Tambahkeun komentar