🥇WhatsApp i din handflata: var och hur kan du hitta rättsmedicinska artefakter?

Om du vill veta vilka typer av WhatsApp kriminaltekniska artefakter som finns på olika operativsystem och exakt var de kan hittas, då är det här platsen för dig. Den här artikeln är från en specialist vid Group-IB Computer Forensics Laboratory Igor Mikhailov inleder en serie inlägg om WhatsApp forensics och vilken information som kan erhållas från att analysera enheten.

Det är viktigt att notera att olika operativsystem lagrar olika typer av WhatsApp-artefakter, och om en forskare kan extrahera vissa typer av WhatsApp-data från en enhet betyder det inte nödvändigtvis att samma typer av data kan extraheras från en annan enhet. Till exempel om systemenheten som kör operativsystemet tas bort. Windows, då kommer WhatsApp-chattar sannolikt inte att hittas på dess hårddiskar (med undantag för säkerhetskopior av iOS-enheter, som kan finnas på samma hårddiskar). Att beslagta bärbara datorer och mobila enheter kommer att medföra sina egna utmaningar. Låt oss diskutera detta mer i detalj.

WhatsApp-artefakter i Android-anordning

För att extrahera WhatsApp-artefakter från en enhet som kör operativsystem Android, forskaren måste ha superanvändarrättigheter ('rot') på enheten som studeras eller på annat sätt kunna extrahera en fysisk dump av enhetens minne eller dess filsystem (till exempel genom att använda sårbarheter i programvara för en specifik mobil enhet).

Programfiler finns i telefonens minne i avsnittet där användardata sparas. Som regel är denna sektion namngiven 'användardata'. Underkataloger och programfiler finns längs vägen: '/data/data/com.whatsapp/'.

De viktigaste filerna som innehåller WhatsApp-forensiska artefakter i operativsystemet Android är databaser 'wa.db' и 'msgstore.db'.

I databasen 'wa.db' innehåller den fullständiga kontaktlistan för en WhatsApp-användare, inklusive telefonnummer, visningsnamn, tidsstämplar och all annan information som tillhandahålls när du registrerar dig för WhatsApp. Fil 'wa.db' ligger längs vägen: '/data/data/com.whatsapp/databases/' och har följande struktur:

De mest intressanta tabellerna i databasen 'wa.db' för forskaren är:

'wa_contacts'
Den här tabellen innehåller kontaktinformation: WhatsApp-kontakt-id, statusinformation, användarens visningsnamn, tidsstämplar, etc.

Bordets utseende:

WhatsApp i handflatan: var och hur kan du hitta rättsmedicinska artefakter?
Tabellstruktur

Fält namn	Värde
_id	postsekvensnummer (i SQL-tabell)
jid	WhatsApp-kontakt-ID, skrivet i formatet <telefonnummer>@s.whatsapp.net
is_whatsapp_user	innehåller "1" om kontakten motsvarar en faktisk WhatsApp-användare, "0" annars
status	innehåller texten som visas i kontaktstatusen
status_tidsstämpel	innehåller en tidsstämpel i Unix Epoch Time (ms)-format
antal	telefonnummer kopplat till kontakten
rå_kontakt_id	kontaktas serienummer
DISPLAY_NAME	kontaktens visningsnamn
phone_type	telefontyp
phone_label	etikett som är kopplad till kontaktnumret
unseen_msg_count	antal meddelanden som skickats av en kontakt men som inte lästs av mottagaren
photo_ts	innehåller en tidsstämpel i Unix Epoch Time-format
thumb_ts	innehåller en tidsstämpel i Unix Epoch Time-format
photo_id_timestamp	innehåller en tidsstämpel i Unix Epoch Time (ms)-format
förnamn	fältvärdet matchar "display_name" för varje kontakt
wa_name	WhatsApp-kontaktnamn (namnet som anges i kontaktens profil visas)
sort_name	kontaktnamn som används i sorteringsoperationer
smeknamn	kontaktens smeknamn i WhatsApp (smeknamnet som anges i kontaktens profil visas)
företag	företag (det företag som anges i kontaktens profil visas)
rubricerade	titel (Ms./Mr.; titel konfigurerad i kontaktprofilen visas)
offset	partiskhet

'sqlite_sequence'
Denna tabell innehåller information om antalet kontakter;
'android_metadata'
Den här tabellen innehåller information om språklokalisering av WhatsApp.

I databasen 'msgstore.db' innehåller information om skickade meddelanden, såsom kontaktnummer, meddelandetext, meddelandestatus, tidsstämplar, detaljer om överförda filer som ingår i meddelanden, etc. Fil 'msgstore.db' ligger längs vägen: '/data/data/com.whatsapp/databases/' och har följande struktur:

De mest intressanta tabellerna i filen 'msgstore.db' för forskaren är:

'sqlite_sequence'
Den här tabellen innehåller allmän information om denna databas, såsom det totala antalet lagrade meddelanden, det totala antalet chattar, etc.
Bordets utseende:
"message_fts_content"
Innehåller texten för skickade meddelanden.
Bordets utseende:

"meddelanden"
Den här tabellen innehåller information som kontaktnummer, meddelandetext, meddelandestatus, tidsstämplar, information om överförda filer som ingår i meddelanden.

Bordets utseende:

WhatsApp i handflatan: var och hur kan du hitta rättsmedicinska artefakter?
Tabellstruktur

Fält namn	Värde
_id	postsekvensnummer (i SQL-tabell)
key_remote_jid	WhatsApp-ID för kommunikationspartner
nyckel_från_mig	meddelanderiktning: '0' – inkommande, '1' – utgående
nyckel_id	unik meddelandeidentifierare
status	meddelandestatus: '0' – levererat, '4' – väntar på server, '5' – mottaget vid destination, '6' – kontrollmeddelande, '13' – meddelande öppnat av mottagaren (läst)
need_push	har värdet '2' om det är ett broadcastmeddelande, annars innehåller det '0'
datum	meddelandetext (när parametern 'media_wa_type' är '0')
tidsstämpel	innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka
media_url	innehåller URL:en för den överförda filen (när parametern 'media_wa_type' är '1', '2', '3')
media_mime_type	MIME-typ för den överförda filen (när parametern 'media_wa_type' är lika med '1', '2', '3')
media_wa_type	meddelandetyp: '0' - text, '1' - grafikfil, '2' - ljudfil, '3' - videofil, '4' - kontaktkort, '5' - geodata
media_size	storleken på den överförda filen (när parametern 'media_wa_type' är '1', '2', '3')
media_name	namnet på den överförda filen (när parametern 'media_wa_type' är '1', '2', '3')
media_caption	Innehåller orden 'audio', 'video' för motsvarande värden för parametern 'media_wa_type' (när parametern 'media_wa_type' är '1', '3')
media_hash	base64-kodad hash för den överförda filen, beräknad med hjälp av HAS-256-algoritmen (när parametern 'media_wa_type' är lika med '1', '2', '3')
media_duration	varaktighet i sekunder för mediefilen (när 'media_wa_type' är '1', '2', '3')
ursprung	har värdet '2' om det är ett broadcastmeddelande, annars innehåller det '0'
latitud	geodata: latitud (när parametern 'media_wa_type' är '5')
longitud	geodata: longitud (när parametern 'media_wa_type' är '5')
tum_bild	serviceinformation
remote_resource	Avsändar-ID (endast för gruppchattar)
mottagen_tidsstämpel	tid för mottagning, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka (när parametern 'key_from_me' har '0', '-1' eller annat värde)
send_timestamp	används inte, har vanligtvis värdet '-1'
receipt_server_timestamp	tidpunkten för mottagandet av centralen server, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka (när parametern 'key_from_me' har '1', '-1' eller ett annat värde
receipt_device_timestamp	när meddelandet togs emot av en annan prenumerant, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, tas värdet från enhetens klocka (när parametern 'key_from_me' har '1', '-1' eller något annat värde
read_device_timestamp	tidpunkt för öppning (läsning) av meddelandet, innehåller en tidsstämpel i Unix Epoch Time (ms) format, värdet tas från enhetens klocka
play_device_timestamp	meddelandeuppspelningstid, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka
rådata	miniatyrbild av den överförda filen (när parametern 'media_wa_type' är '1' eller '3')
recipient_count	antal mottagare (för utsända meddelanden)
participant_hash	används vid överföring av meddelanden med geodata
medverkade	används inte
quoted_row_id	okänd, innehåller vanligtvis värdet '0'
nämnda_jids	används inte
multicast_id	används inte
offset	partiskhet

Denna lista över fält är inte uttömmande. För olika versioner av WhatsApp kan vissa fält vara närvarande eller saknas. Dessutom kan fält finnas 'media_enc_hash', 'edit_version', "betalningstransaktions-id" etc.

'messages_thumbnails'
Den här tabellen innehåller information om överförda bilder och tidsstämplar. I kolumnen "tidsstämpel" anges tiden i Unix Epoch Time (ms)-format.
"chattlista"
Den här tabellen innehåller information om chattar.
Bordets utseende:

Även när man undersöker WhatsApp på en mobil enhet som körs Android Du bör vara uppmärksam på följande filer:

fil 'msgstore.db.cryptXX' (där XX är en eller två siffror från 0 till 12, till exempel msgstore.db.crypt12). Innehåller en krypterad säkerhetskopia av WhatsApp-meddelanden (säkerhetskopieringsfil msgstore.db). Fil(er) 'msgstore.db.cryptXX' ligger längs vägen: '/data/media/0/WhatsApp/Databaser/' (virtuella SD-kort), '/mnt/sdcard/WhatsApp/Databaser/ (fysiskt SD-kort)'.
fil 'nyckel'. Innehåller en kryptografisk nyckel. Ligger längs stigen: '/data/data/com.whatsapp/files/'. Används för att dekryptera krypterade WhatsApp-säkerhetskopior.

fil "com.whatsapp_preferences.xml". Innehåller information om din WhatsApp-kontoprofil. Filen finns längs vägen: '/data/data/com.whatsapp/shared_prefs/'.

Filinnehållsfragment

<?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…

fil 'registration.RegisterPhone.xml'. Innehåller information om telefonnumret som är kopplat till WhatsApp-kontot. Filen finns längs vägen: '/data/data/com.whatsapp/shared_prefs/'.

Filens innehåll

<?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>

fil 'axolotl.db'. Innehåller kryptografiska nycklar och annan data som är nödvändig för att identifiera kontoägaren. Ligger längs stigen: '/data/data/com.whatsapp/databases/'.
fil "chatsettings.db". Innehåller applikationskonfigurationsinformation.
fil 'wa.db'. Innehåller kontaktuppgifter. En mycket intressant (ur en rättsmedicinsk aspekt) och informativ databas. Den kan innehålla detaljerad information om raderade kontakter.

Du måste också vara uppmärksam på följande kataloger:

Katalog '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Innehåller överförda grafikfiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Innehåller röstmeddelanden i filer i .OPUS-format.
Katalog '/data/data/com.whatsapp/cache/Profile Pictures/'. Innehåller grafiska filer – bilder av kontakter.
Katalog '/data/data/com.whatsapp/files/Avatars/'. Innehåller grafiska filer – miniatyrbilder av kontakter. Dessa filer har filtillägget '.j' men är ändå JPEG-bildfiler (JPG).
Katalog '/data/data/com.whatsapp/files/Avatars/'. Innehåller grafiska filer - en bild och en miniatyrbild av bilden inställd som en avatar av kontoägaren.
Katalog '/data/data/com.whatsapp/files/Logs/'. Innehåller programdriftsloggen (fil 'whatsapp.log') och säkerhetskopior av programdriftsloggar (filer med namn i formatet whatsapp-åååå-mm-dd.1.log.gz).

WhatsApp loggfiler:

Journalfragment2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcall notification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcall notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] lösenordsfil saknas eller är oläsbar
2017-01-10 09:37:09.782 LL_I D [1:main] statistik Textmeddelanden: 59 skickade, 82 mottagna / Mediameddelanden: 1 skickade (0 bytes), 0 mottagna (9850158 bytes) / Offlinemeddelanden: 81 mottagna ( 19522 msek genomsnittlig fördröjning) / Meddelandetjänst: 116075 byte skickade, 211729 byte mottagna / Voip-samtal: 1 utgående samtal, 0 inkommande samtal, 2492 byte skickade, 1530 byte mottagna / Google Drive: 0 byte skickade, 0 byte mottagna / 1524 Roaming: byte skickade, 1826 byte mottagna / Totalt data: 118567 byte skickade, 10063417 byte mottagna
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | tid:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/intern-lagring tillgänglig:1,345,622,016 5,687,922,688 XNUMX XNUMX totalt:XNUMX XNUMX XNUMX XNUMX

Katalog '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Innehåller mottagna ljudfiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Innehåller skickade ljudfiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Innehåller de resulterande grafikfilerna.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Innehåller skickade grafikfiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Innehåller mottagna videofiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp Video/Send/'. Innehåller skickade videofiler.
Katalog '/data/media/0/WhatsApp/Media/WhatsApp-profilfoton/'. Innehåller grafiska filer associerade med ägaren av WhatsApp-kontot.
För att spara minnesutrymme Android- Viss WhatsApp-data kan lagras på din smartphones SD-kort. SD-kortets rotkatalog innehåller en katalog som heter "WhatsApp", där följande artefakter av detta program kan hittas:
Katalog '.Dela med sig' ('/mnt/sdcard/WhatsApp/.Share/'). Innehåller kopior av filer som har delats med andra WhatsApp-användare.
Katalog '.skräp' ('/mnt/sdcard/WhatsApp/.trash/'). Innehåller raderade filer.
Katalog "databaser" ('/mnt/sdcard/WhatsApp/Databaser/'). Innehåller krypterade säkerhetskopior. De kan dekrypteras om filen finns 'nyckel', extraherad från minnet av den analyserade enheten.
Filer som finns i en underkatalog "databaser":
Katalog 'Halv' ('/mnt/sdcard/WhatsApp/Media/'). Innehåller underkataloger 'Tapet', "WhatsApp Audio", "WhatsApp-bilder", "WhatsApp-profilfoton", "WhatsApp-video", "WhatsApp Voice Notes", som innehåller mottagna och överförda multimediafiler (grafikfiler, videofiler, röstmeddelanden, foton associerade med profilen för WhatsApp-kontots ägare, bakgrundsbilder).
Katalog 'Profil bilder' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Innehåller grafiska filer associerade med profilen för WhatsApp-kontots ägare.
Ibland kan det finnas en katalog på SD-kortet 'filer' ('/mnt/sdcard/WhatsApp/Files/'). Den här katalogen innehåller filer som lagrar programinställningar och användarinställningar.

Funktioner för datalagring i vissa modeller av mobila enheter

I vissa modeller av mobila enheter som kör operativsystem Android Det är möjligt att WhatsApp-artefakter lagras på en annan plats. Detta beror på ändringar i appens datalagringsutrymme av den mobila enhetens systemprogramvara. Till exempel har Xiaomi-mobila enheter en funktion som heter "SecondSpace". När den här funktionen aktiveras ändras dataplatsen. Till exempel, om en typisk mobil enhet som kör operativsystemet Android användardata lagras i katalogen '/data/user/0/' (vilket är en referens till det vanliga '/data/data/'), sedan lagras data i den andra arbetsytan i katalogen '/data/user/10/'. Det vill säga att använda exemplet med filplatsen 'wa.db':

i en vanlig smartphone med operativsystem Android: /data/user/0/com.whatsapp/databases/wa.db' (vilket är likvärdigt '/data/data/com.whatsapp/databases/wa.db');
i den andra arbetsytan på Xiaomi-smarttelefonen: '/data/user/10/com.whatsapp/databases/wa.db'.

WhatsApp-artefakter i iOS-enhet

Till skillnad från Android I iOS överförs WhatsApp-appdata till en iTunes-säkerhetskopia. Därför kräver extrahering av appens data inte att filsystemet extraheras eller att en fysisk minnesdump skapas för den enhet som undersöks. Det mesta av den relevanta informationen finns i databasen. "ChatStorage.sqlite", som ligger längs vägen: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (i vissa program visas denna sökväg som 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Struktur "ChatStorage.sqlite":

De mest informativa tabellerna i 'ChatStorage.sqlite'-databasen är 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Bordsutseende 'ZWAMESSAGE':

Struktur för tabellen 'ZWAMESSAGE'

Fält namn	Värde
Z_PK	postsekvensnummer (i SQL-tabell)
Z_ENT	tabellidentifierare, har värdet '9'
Z_OPT	okänd, innehåller vanligtvis värden från '1' till '6'
ZCHILDMESSAGESDELIVEREDCOUNT	okänd, innehåller vanligtvis värdet '0'
ZCHILDMESSAGESPLAYEDCOUNT	okänd, innehåller vanligtvis värdet '0'
ZCHILDMESSAGESREADCOUNT	okänd, innehåller vanligtvis värdet '0'
ZDATAITEMVERSION	okänd, innehåller vanligtvis värdet '3', förmodligen en textmeddelandeindikator
ZDOCID	okänt
ZENCRETRYCOUNT	okänd, innehåller vanligtvis värdet '0'
ZFILTEREDRECIPIENTCOUNT	okänd, innehåller vanligtvis värdena '0', '2', '256'
ZISFROMME	meddelanderiktning: '0' – inkommande, '1' – utgående
ZMESSAGEERRORSTATUS	status för meddelandeöverföring. Om meddelandet skickas/mottas har det värdet '0'
ZMESSAGETYPE	typ av meddelande som sänds
ZSORT	okänt
ZSPOTLIGHSTATUS	okänt
ZSTARRED	okänd, ej använd
ZCHATSESSION	okänt
ZGROUPMELEM	okänd, ej använd
ZLASTSESSION	okänt
ZMEDIAITEM	okänt
ZMESSAGEINFO	okänt
ZPARENTMESSAGE	okänd, ej använd
ZMESSAGEDATE	tidsstämpel i OS X Epoch Time-format
ZSENTDATE	tid då meddelandet skickades i OS X Epoch Time-format
ZFROMJID	WhatsApp avsändar-ID
ZMEDIASECTIONID	innehåller år och månad då mediafilen skickades
ZPHASH	okänd, ej använd
ZPUSHPAME	namnet på kontakten som skickade mediafilen i UTF-8-format
ZSTANZID	unik meddelandeidentifierare
ZTEXT	Meddelandetext
ZTOJID	Mottagarens WhatsApp-ID
OFFSET	partiskhet

Bordsutseende 'ZWAMEDIAITEM':

Struktur för tabellen 'ZWAMEDIAITEM'

Fält namn	Värde
Z_PK	postsekvensnummer (i SQL-tabell)
Z_ENT	tabellidentifierare, har värdet '8'
Z_OPT	okänd, innehåller vanligtvis värden från '1' till '3'.
ZCLOUDSTATUS	innehåller värdet '4' om filen är laddad.
ZFILESIZE	innehåller fillängden (i byte) för nedladdade filer
ZMEDIAORIGIN	okänd, har vanligtvis värdet '0'
ZMOVIEDURATION	mediafilens varaktighet, för pdf-filer kan innehålla antalet sidor i dokumentet
ZMESSAGE	innehåller ett serienummer (numret skiljer sig från det som anges i kolumnen 'Z_PK')
ZASPECTRATIO	bildförhållande, används inte, vanligtvis inställt på '0'
ZHEXICITET	okänd, har vanligtvis värdet '0'
ZLATTITUDE	bredd i pixlar
ZLONGTITUD	höjd i pixlar
ZMEDIAURLDATE	tidsstämpel i OS X Epoch Time-format
ZAUTHORNAME	författare (för dokument, kan innehålla filnamnet)
ZCOLLECTIONNAME	används inte
ZMEDIALOCALPATH	filnamn (inklusive sökväg) i enhetens filsystem
ZMEDIAURL	URL:en där mediafilen fanns. Om en fil överfördes från en prenumerant till en annan, krypterades den och dess tillägg kommer att indikeras som förlängningen av den överförda filen - .enc
ZTHUMBNAILLOCALPATH	sökvägen till filens miniatyrbild i enhetens filsystem
ZTITLE	filhuvud
ZVCARDNAME	hash för mediafilen; när filen överförs till en grupp kan den innehålla avsändaridentifieraren
ZVCARDSTRING	innehåller information om vilken typ av fil som överförs (till exempel bild/jpeg); när en fil överförs till en grupp kan den innehålla mottagarens identifierare
ZXMPPTHUMBPATH	sökvägen till filens miniatyrbild i enhetens filsystem
ZMEDIAKEY	okänd, innehåller förmodligen nyckeln för att dekryptera den krypterade filen.
ZMETADATA	metadata för det överförda meddelandet
Kompensera	partiskhet

Andra intressanta databastabeller "ChatStorage.sqlite" De är:

'ZWAPROFILEPUSHNAME'. Matchar WhatsApp ID med kontaktnamn;
'ZWAPROFILEPICTUREITEM'. Matchar WhatsApp ID med kontaktavatar;
'Z_PRIMARYKEY'. Tabellen innehåller allmän information om denna databas, såsom det totala antalet lagrade meddelanden, det totala antalet chattar, etc.

När du undersöker WhatsApp på en mobil enhet som kör iOS bör du också vara uppmärksam på följande filer:

fil 'BackedUpKeyValue.sqlite'. Innehåller kryptografiska nycklar och annan data som är nödvändig för att identifiera kontoägaren. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
fil 'ContactsV2.sqlite'. Innehåller information om användarens kontakter, såsom fullständigt namn, telefonnummer, kontaktstatus (i textform), WhatsApp ID, etc. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
fil 'consumer_version'. Innehåller versionsnumret för den installerade WhatsApp-applikationen. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
fil 'current_wallpaper.jpg'. Innehåller den aktuella bakgrundsbilden för WhatsApp. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Äldre versioner av programmet använder filen 'tapet', som ligger längs vägen: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
fil 'blockedcontacts.dat'. Innehåller information om blockerade kontakter. Ligger längs stigen: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
fil 'pw.dat'. Innehåller ett krypterat lösenord. Ligger längs stigen: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
fil 'net.whatsapp.WhatsApp.plist' (eller fil 'group.net.whatsapp.WhatsApp.shared.plist'). Innehåller information om din WhatsApp-kontoprofil. Filen finns längs vägen: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Innehållet i filen 'group.net.whatsapp.WhatsApp.shared.plist'
Du måste också vara uppmärksam på följande kataloger:

Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Innehåller miniatyrer av kontakter, grupper (filer med tillägget .tumme), kontaktavatarer, WhatsApp-kontoägarens avatar (fil 'Photo.jpg').
Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Innehåller multimediafiler och deras miniatyrer
Katalog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Innehåller programdriftsloggen (fil 'calls.log') och säkerhetskopior av programdriftsloggar (fil 'calls.backup.log').
Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Innehåller klistermärken (filer i formatet '.webp').
Katalog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Innehåller programdriftsloggar.

WhatsApp-artefakter i Windows

WhatsApp-artefakter i Windows finns på flera ställen. Först och främst är dessa kataloger som innehåller programmets körbara filer och hjälpfiler (till exempel Windows 8/10):

'C:Program Files (x86)WhatsApp'
'C:Users%User profile% AppDataLocalWhatsApp'
'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'

I katalogen 'C:Users%User profile% AppDataLocalWhatsApp' loggfilen finns 'SquirrelSetup.log', som innehåller information om att söka efter uppdateringar och installera programmet.

I katalogen 'C:Users%User profile% AppDataRoamingWhatsApp' Det finns flera underkataloger:

fil 'main-process.log' innehåller information om hur WhatsApp-programmet fungerar.

Underkatalog "databaser" innehåller en fil 'Databaser.db', men den här filen innehåller ingen information om chattar eller kontakter.

Det mest intressanta ur rättsmedicinsk synvinkel är filerna som finns i katalogen "Cache". Dessa är i princip filer med namn 'f*******' (där * är ett tal från 0 till 9) som innehåller krypterade multimediafiler och dokument, men det finns också okrypterade filer bland dem. Av särskilt intresse är filerna 'data_0', 'data_1', 'data_2', 'data_3', som finns i samma underkatalog. Filer 'data_0', 'data_1', 'data_3' innehålla externa länkar till överförda krypterade multimediafiler och dokument.

Exempel på information som finns i filen 'data_1'
Fil också 'data_3' kan innehålla grafikfiler.

fil 'data_2' innehåller kontaktavatarer (kan återställas genom att söka efter filhuvuden).

Avatarer som finns i filen 'data_2':

Således kan själva chattarna inte hittas i datorns minne, men du kan hitta:

multimediafiler;
dokument som överförs via WhatsApp;
information om kontoägarens kontakter.

WhatsApp-artefakter på MacOS

I MacOS kan du hitta typer av WhatsApp-artefakter som liknar de som finns i operativsystemet. Windows.

Programfilerna finns i följande kataloger:

'C:ApplicationsWhatsApp.app'
'C:Applications._WhatsApp.app'
'C:Users%User profile%LibraryPreferences'
'C:Users%User profile%LibraryLogsWhatsApp'
'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
'C:Users%User profile%LibraryApplication Scripts'
'C:Users%User profile%LibraryApplication SupportCloudDocs'
'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
'C:Users%User profile% Bibliotek Mobildokument <textvariabel> WhatsApp-konton'
Denna katalog innehåller underkataloger vars namn är telefonnummer kopplade till ägaren av WhatsApp-kontot.
'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Denna katalog innehåller information om hur du installerar programmet.
'C:Users%Användarprofil%PicturesiPhoto Library.photolibraryMasters', 'C:Users%Användarprofil%PicturesiPhoto Library.photolibraryThumbnails'
Dessa kataloger innehåller tjänstefiler för programmet, inklusive foton och miniatyrer av WhatsApp-kontakter.
'C:Users%User profile%LibraryCachesWhatsApp'
Denna katalog innehåller flera SQLite-databaser som används för datacache.
'C:Users%User profile%LibraryApplication SupportWhatsApp'
Denna katalog innehåller flera underkataloger:

I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' det finns filer 'data_0', 'data_1', 'data_2', 'data_3' och filer med namn 'f*******' (där * är ett tal från 0 till 9). Information om vilken information dessa filer innehåller beskrivs i avsnittet "WhatsApp-artefakter i Windows".
I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' kan innehålla multimediafiler (filer har inga tillägg).
fil 'main-process.log' innehåller information om hur WhatsApp-programmet fungerar.

källor

Forensisk analys av WhatsApp Messenger på Android smartphones, av Cosimo Anglano, 2014.
Whatsapp Forensics: Eksplorasi system berkas och bas data pada aplikasi Android dan iOS av Ahmad Pratama, 2014.

I följande artiklar i denna serie:

Dekryptering av krypterade WhatsApp-databaserEn artikel som ger information om hur WhatsApp-krypteringsnyckeln genereras och praktiska exempel som visar hur man dekrypterar de krypterade databaserna i denna applikation.
Extrahera WhatsApp-data från molnlagringEn artikel där vi kommer att berätta vilken WhatsApp-data som lagras i molnen och beskriver metoder för att hämta denna data från molnlagringar.
WhatsApp-dataextraktion: praktiska exempelEn artikel som kommer att beskriva steg för steg vilka program och hur man extraherar WhatsApp-data från olika enheter.

Källa: will.com