Om du vill veta vilka typer av WhatsApp kriminaltekniska artefakter som finns på olika operativsystem och exakt var de kan hittas, då är det här platsen för dig. Den här artikeln är från en specialist vid Group-IB Computer Forensics Laboratory Igor Mikhailov inleder en serie inlägg om WhatsApp forensics och vilken information som kan erhållas från att analysera enheten.
Låt oss omedelbart notera att olika operativsystem lagrar olika typer av WhatsApp-artefakter, och om en forskare kan extrahera vissa typer av WhatsApp-data från en enhet, betyder det inte att liknande typer av data kan extraheras från en annan enhet. Till exempel, om en systemenhet som kör Windows OS tas bort, kommer WhatsApp-chattar förmodligen inte att hittas på dess diskar (med undantag för säkerhetskopior av iOS-enheter, som kan hittas på samma enheter). Beslagtagandet av bärbara datorer och mobila enheter kommer att ha sina egna egenskaper. Låt oss prata om detta mer i detalj.
WhatsApp-artefakter i Android-enhet
För att extrahera WhatsApp-artefakter från en Android-enhet måste forskaren ha superanvändarrättigheter ('rot') på enheten som studeras eller på annat sätt kunna extrahera en fysisk dump av enhetens minne eller dess filsystem (till exempel genom att använda sårbarheter i programvara för en specifik mobil enhet).
Programfiler finns i telefonens minne i avsnittet där användardata sparas. Som regel är denna sektion namngiven 'användardata'. Underkataloger och programfiler finns längs vägen: '/data/data/com.whatsapp/'.
Huvudfilerna som innehåller WhatsApp kriminaltekniska artefakter i Android OS är databaser 'wa.db' и 'msgstore.db'.
I databasen 'wa.db' innehåller den fullständiga kontaktlistan för en WhatsApp-användare, inklusive telefonnummer, visningsnamn, tidsstämplar och all annan information som tillhandahålls när du registrerar dig för WhatsApp. Fil 'wa.db' ligger längs vägen: '/data/data/com.whatsapp/databases/' och har följande struktur:
De mest intressanta tabellerna i databasen 'wa.db' för forskaren är:
- 'wa_contacts'
Den här tabellen innehåller kontaktinformation: WhatsApp-kontakt-id, statusinformation, användarens visningsnamn, tidsstämplar, etc.Bordets utseende:
TabellstrukturFält namn Värde _id postsekvensnummer (i SQL-tabell) jid WhatsApp-kontakt-ID, skrivet i formatet <telefonnummer>@s.whatsapp.net is_whatsapp_user innehåller "1" om kontakten motsvarar en faktisk WhatsApp-användare, "0" annars status innehåller texten som visas i kontaktstatusen status_tidsstämpel innehåller en tidsstämpel i Unix Epoch Time (ms)-format antal telefonnummer kopplat till kontakten rå_kontakt_id kontaktas serienummer DISPLAY_NAME kontaktens visningsnamn phone_type telefontyp phone_label etikett som är kopplad till kontaktnumret unseen_msg_count antal meddelanden som skickats av en kontakt men som inte lästs av mottagaren photo_ts innehåller en tidsstämpel i Unix Epoch Time-format thumb_ts innehåller en tidsstämpel i Unix Epoch Time-format photo_id_timestamp innehåller en tidsstämpel i Unix Epoch Time (ms)-format förnamn fältvärdet matchar "display_name" för varje kontakt wa_name WhatsApp-kontaktnamn (namnet som anges i kontaktens profil visas) sort_name kontaktnamn som används i sorteringsoperationer smeknamn kontaktens smeknamn i WhatsApp (smeknamnet som anges i kontaktens profil visas) företag företag (det företag som anges i kontaktens profil visas) rubricerade titel (Ms./Mr.; titel konfigurerad i kontaktprofilen visas) offset partiskhet - 'sqlite_sequence'
Denna tabell innehåller information om antalet kontakter; - 'android_metadata'
Den här tabellen innehåller information om språklokalisering av WhatsApp.
I databasen 'msgstore.db' innehåller information om skickade meddelanden, såsom kontaktnummer, meddelandetext, meddelandestatus, tidsstämplar, detaljer om överförda filer som ingår i meddelanden, etc. Fil 'msgstore.db' ligger längs vägen: '/data/data/com.whatsapp/databases/' och har följande struktur:
De mest intressanta tabellerna i filen 'msgstore.db' för forskaren är:
- 'sqlite_sequence'
Den här tabellen innehåller allmän information om denna databas, såsom det totala antalet lagrade meddelanden, det totala antalet chattar, etc.Bordets utseende:
- "message_fts_content"
Innehåller texten för skickade meddelanden.Bordets utseende:
- "meddelanden"
Den här tabellen innehåller information som kontaktnummer, meddelandetext, meddelandestatus, tidsstämplar, information om överförda filer som ingår i meddelanden.Bordets utseende:
TabellstrukturFält namn Värde _id postsekvensnummer (i SQL-tabell) key_remote_jid WhatsApp-ID för kommunikationspartner nyckel_från_mig meddelanderiktning: '0' – inkommande, '1' – utgående nyckel_id unik meddelandeidentifierare status meddelandestatus: '0' – levererat, '4' – väntar på servern, '5' – mottaget på destinationen, '6' – kontrollmeddelande, '13' – meddelande öppnat av mottagaren (läs) need_push har värdet '2' om det är ett broadcastmeddelande, annars innehåller det '0' datum meddelandetext (när parametern 'media_wa_type' är '0') tidsstämpel innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka media_url innehåller URL:en för den överförda filen (när parametern 'media_wa_type' är '1', '2', '3') media_mime_type MIME-typ för den överförda filen (när parametern 'media_wa_type' är lika med '1', '2', '3') media_wa_type meddelandetyp: '0' - text, '1' - grafikfil, '2' - ljudfil, '3' - videofil, '4' - kontaktkort, '5' - geodata media_size storleken på den överförda filen (när parametern 'media_wa_type' är '1', '2', '3') media_name namnet på den överförda filen (när parametern 'media_wa_type' är '1', '2', '3') media_caption Innehåller orden 'audio', 'video' för motsvarande värden för parametern 'media_wa_type' (när parametern 'media_wa_type' är '1', '3') media_hash base64-kodad hash för den överförda filen, beräknad med hjälp av HAS-256-algoritmen (när parametern 'media_wa_type' är lika med '1', '2', '3') media_duration varaktighet i sekunder för mediefilen (när 'media_wa_type' är '1', '2', '3') ursprung har värdet '2' om det är ett broadcastmeddelande, annars innehåller det '0' latitud geodata: latitud (när parametern 'media_wa_type' är '5') longitud geodata: longitud (när parametern 'media_wa_type' är '5') tum_bild serviceinformation remote_resource Avsändar-ID (endast för gruppchattar) mottagen_tidsstämpel tid för mottagning, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka (när parametern 'key_from_me' har '0', '-1' eller annat värde) send_timestamp används inte, har vanligtvis värdet '-1' receipt_server_timestamp tid som tas emot av den centrala servern, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka (när parametern 'key_from_me' har '1', '-1' eller annat värde receipt_device_timestamp när meddelandet togs emot av en annan prenumerant, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, tas värdet från enhetens klocka (när parametern 'key_from_me' har '1', '-1' eller något annat värde read_device_timestamp tidpunkt för öppning (läsning) av meddelandet, innehåller en tidsstämpel i Unix Epoch Time (ms) format, värdet tas från enhetens klocka play_device_timestamp meddelandeuppspelningstid, innehåller en tidsstämpel i Unix Epoch Time (ms)-format, värdet tas från enhetens klocka rådata miniatyrbild av den överförda filen (när parametern 'media_wa_type' är '1' eller '3') recipient_count antal mottagare (för utsända meddelanden) participant_hash används vid överföring av meddelanden med geodata medverkade används inte quoted_row_id okänd, innehåller vanligtvis värdet '0' nämnda_jids används inte multicast_id används inte offset partiskhet Denna lista över fält är inte uttömmande. För olika versioner av WhatsApp kan vissa fält vara närvarande eller saknas. Dessutom kan fält finnas 'media_enc_hash', 'edit_version', "betalningstransaktions-id" etc.
- 'messages_thumbnails'
Den här tabellen innehåller information om överförda bilder och tidsstämplar. I kolumnen "tidsstämpel" anges tiden i Unix Epoch Time (ms)-format. - "chattlista"
Den här tabellen innehåller information om chattar.Bordets utseende:
När du undersöker WhatsApp på en mobil enhet som kör Android bör du också vara uppmärksam på följande filer:
- fil 'msgstore.db.cryptXX' (där XX är en eller två siffror från 0 till 12, till exempel msgstore.db.crypt12). Innehåller en krypterad säkerhetskopia av WhatsApp-meddelanden (säkerhetskopieringsfil msgstore.db). Fil(er) 'msgstore.db.cryptXX' ligger längs vägen: '/data/media/0/WhatsApp/Databaser/' (virtuella SD-kort), '/mnt/sdcard/WhatsApp/Databaser/ (fysiskt SD-kort)'.
- fil 'nyckel'. Innehåller en kryptografisk nyckel. Ligger längs stigen: '/data/data/com.whatsapp/files/'. Används för att dekryptera krypterade WhatsApp-säkerhetskopior.
- fil "com.whatsapp_preferences.xml". Innehåller information om din WhatsApp-kontoprofil. Filen finns längs vägen: '/data/data/com.whatsapp/shared_prefs/'.
Filinnehållsfragment
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) …
- fil 'registration.RegisterPhone.xml'. Innehåller information om telefonnumret som är kopplat till WhatsApp-kontot. Filen finns längs vägen: '/data/data/com.whatsapp/shared_prefs/'.
Filens innehåll
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- fil 'axolotl.db'. Innehåller kryptografiska nycklar och annan data som är nödvändig för att identifiera kontoägaren. Ligger längs stigen: '/data/data/com.whatsapp/databases/'.
- fil "chatsettings.db". Innehåller applikationskonfigurationsinformation.
- fil 'wa.db'. Innehåller kontaktuppgifter. En mycket intressant (ur en rättsmedicinsk aspekt) och informativ databas. Den kan innehålla detaljerad information om raderade kontakter.
Du måste också vara uppmärksam på följande kataloger:
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Innehåller överförda grafikfiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Innehåller röstmeddelanden i filer i .OPUS-format.
- Katalog '/data/data/com.whatsapp/cache/Profile Pictures/'. Innehåller grafiska filer – bilder av kontakter.
- Katalog '/data/data/com.whatsapp/files/Avatars/'. Innehåller grafiska filer – miniatyrbilder av kontakter. Dessa filer har filtillägget '.j' men är ändå JPEG-bildfiler (JPG).
- Katalog '/data/data/com.whatsapp/files/Avatars/'. Innehåller grafiska filer - en bild och en miniatyrbild av bilden inställd som en avatar av kontoägaren.
- Katalog '/data/data/com.whatsapp/files/Logs/'. Innehåller programdriftsloggen (fil 'whatsapp.log') och säkerhetskopior av programdriftsloggar (filer med namn i formatet whatsapp-åååå-mm-dd.1.log.gz).
WhatsApp loggfiler:
Journalfragment2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcall notification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcall notification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] lösenordsfil saknas eller är oläsbar
2017-01-10 09:37:09.782 LL_I D [1:main] statistik Textmeddelanden: 59 skickade, 82 mottagna / Mediameddelanden: 1 skickade (0 bytes), 0 mottagna (9850158 bytes) / Offlinemeddelanden: 81 mottagna ( 19522 msek genomsnittlig fördröjning) / Meddelandetjänst: 116075 byte skickade, 211729 byte mottagna / Voip-samtal: 1 utgående samtal, 0 inkommande samtal, 2492 byte skickade, 1530 byte mottagna / Google Drive: 0 byte skickade, 0 byte mottagna / 1524 Roaming: byte skickade, 1826 byte mottagna / Totalt data: 118567 byte skickade, 10063417 byte mottagna
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | tid:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/intern-lagring tillgänglig:1,345,622,016 5,687,922,688 XNUMX XNUMX totalt:XNUMX XNUMX XNUMX XNUMX
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Innehåller mottagna ljudfiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Innehåller skickade ljudfiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp-bilder/'. Innehåller de resulterande grafikfilerna.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. Innehåller skickade grafikfiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Innehåller mottagna videofiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp Video/Send/'. Innehåller skickade videofiler.
- Katalog '/data/media/0/WhatsApp/Media/WhatsApp-profilfoton/'. Innehåller grafiska filer associerade med ägaren av WhatsApp-kontot.
- För att spara minnesutrymme på din Android-smarttelefon kan vissa WhatsApp-data lagras på ett SD-kort. På SD-kortet, i rotkatalogen, finns en katalog "WhatsApp", där följande artefakter av detta program kan hittas:
- Katalog '.Dela med sig' ('/mnt/sdcard/WhatsApp/.Share/'). Innehåller kopior av filer som har delats med andra WhatsApp-användare.
- Katalog '.skräp' ('/mnt/sdcard/WhatsApp/.trash/'). Innehåller raderade filer.
- Katalog "databaser" ('/mnt/sdcard/WhatsApp/Databaser/'). Innehåller krypterade säkerhetskopior. De kan dekrypteras om filen finns 'nyckel', extraherad från minnet av den analyserade enheten.
Filer som finns i en underkatalog "databaser":
- Katalog 'Halv' ('/mnt/sdcard/WhatsApp/Media/'). Innehåller underkataloger 'Tapet', "WhatsApp Audio", "WhatsApp-bilder", "WhatsApp-profilfoton", "WhatsApp-video", "WhatsApp Voice Notes", som innehåller mottagna och överförda multimediafiler (grafikfiler, videofiler, röstmeddelanden, foton associerade med profilen för WhatsApp-kontots ägare, bakgrundsbilder).
- Katalog 'Profil bilder' ('/mnt/sdcard/WhatsApp/Profile Pictures/'). Innehåller grafiska filer associerade med profilen för WhatsApp-kontots ägare.
- Ibland kan det finnas en katalog på SD-kortet 'filer' ('/mnt/sdcard/WhatsApp/Files/'). Den här katalogen innehåller filer som lagrar programinställningar och användarinställningar.
Funktioner för datalagring i vissa modeller av mobila enheter
Vissa modeller av mobila enheter som kör Android OS kan lagra WhatsApp-artefakter på en annan plats. Detta beror på ändringar i lagringsutrymmet för applikationsdata av den mobila enhetens systemprogramvara. Xiaomis mobila enheter har till exempel en funktion för att skapa en andra arbetsyta ("SecondSpace"). När denna funktion är aktiverad ändras platsen för data. Så om i en vanlig mobil enhet som kör Android OS lagras användardata i katalogen '/data/user/0/' (vilket är en referens till det vanliga '/data/data/'), sedan lagras data i den andra arbetsytan i katalogen '/data/user/10/'. Det vill säga att använda exemplet med filplatsen 'wa.db':
- i en vanlig smartphone som kör Android OS: /data/user/0/com.whatsapp/databases/wa.db' (vilket är likvärdigt '/data/data/com.whatsapp/databases/wa.db');
- i den andra arbetsytan på Xiaomi-smarttelefonen: '/data/user/10/com.whatsapp/databases/wa.db'.
WhatsApp-artefakter i iOS-enhet
Till skillnad från Android OS, i iOS överförs WhatsApp-applikationsdata till en säkerhetskopia (iTunes backup). Att extrahera data från denna applikation kräver därför inte att filsystemet extraheras eller skapas en fysisk minnesdump av enheten som undersöks. Det mesta av relevant information finns i databasen "ChatStorage.sqlite", som ligger längs vägen: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (i vissa program visas denna sökväg som 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Struktur "ChatStorage.sqlite":
De mest informativa tabellerna i 'ChatStorage.sqlite'-databasen är 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.
Bordsutseende 'ZWAMESSAGE':
Struktur för tabellen 'ZWAMESSAGE'
Fält namn | Värde |
---|---|
Z_PK | postsekvensnummer (i SQL-tabell) |
Z_ENT | tabellidentifierare, har värdet '9' |
Z_OPT | okänd, innehåller vanligtvis värden från '1' till '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | okänd, innehåller vanligtvis värdet '0' |
ZCHILDMESSAGESPLAYEDCOUNT | okänd, innehåller vanligtvis värdet '0' |
ZCHILDMESSAGESREADCOUNT | okänd, innehåller vanligtvis värdet '0' |
ZDATAITEMVERSION | okänd, innehåller vanligtvis värdet '3', förmodligen en textmeddelandeindikator |
ZDOCID | okänt |
ZENCRETRYCOUNT | okänd, innehåller vanligtvis värdet '0' |
ZFILTEREDRECIPIENTCOUNT | okänd, innehåller vanligtvis värdena '0', '2', '256' |
ZISFROMME | meddelanderiktning: '0' – inkommande, '1' – utgående |
ZMESSAGEERRORSTATUS | status för meddelandeöverföring. Om meddelandet skickas/mottas har det värdet '0' |
ZMESSAGETYPE | typ av meddelande som sänds |
ZSORT | okänt |
ZSPOTLIGHSTATUS | okänt |
ZSTARRED | okänd, ej använd |
ZCHATSESSION | okänt |
ZGROUPMELEM | okänd, ej använd |
ZLASTSESSION | okänt |
ZMEDIAITEM | okänt |
ZMESSAGEINFO | okänt |
ZPARENTMESSAGE | okänd, ej använd |
ZMESSAGEDATE | tidsstämpel i OS X Epoch Time-format |
ZSENTDATE | tid då meddelandet skickades i OS X Epoch Time-format |
ZFROMJID | WhatsApp avsändar-ID |
ZMEDIASECTIONID | innehåller år och månad då mediafilen skickades |
ZPHASH | okänd, ej använd |
ZPUSHPAME | namnet på kontakten som skickade mediafilen i UTF-8-format |
ZSTANZID | unik meddelandeidentifierare |
ZTEXT | Meddelandetext |
ZTOJID | Mottagarens WhatsApp-ID |
OFFSET | partiskhet |
Bordsutseende 'ZWAMEDIAITEM':
Struktur för tabellen 'ZWAMEDIAITEM'
Fält namn | Värde |
---|---|
Z_PK | postsekvensnummer (i SQL-tabell) |
Z_ENT | tabellidentifierare, har värdet '8' |
Z_OPT | okänd, innehåller vanligtvis värden från '1' till '3'. |
ZCLOUDSTATUS | innehåller värdet '4' om filen är laddad. |
ZFILESIZE | innehåller fillängden (i byte) för nedladdade filer |
ZMEDIAORIGIN | okänd, har vanligtvis värdet '0' |
ZMOVIEDURATION | mediafilens varaktighet, för pdf-filer kan innehålla antalet sidor i dokumentet |
ZMESSAGE | innehåller ett serienummer (numret skiljer sig från det som anges i kolumnen 'Z_PK') |
ZASPECTRATIO | bildförhållande, används inte, vanligtvis inställt på '0' |
ZHEXICITET | okänd, har vanligtvis värdet '0' |
ZLATTITUDE | bredd i pixlar |
ZLONGTITUD | höjd i pixlar |
ZMEDIAURLDATE | tidsstämpel i OS X Epoch Time-format |
ZAUTHORNAME | författare (för dokument, kan innehålla filnamnet) |
ZCOLLECTIONNAME | används inte |
ZMEDIALOCALPATH | filnamn (inklusive sökväg) i enhetens filsystem |
ZMEDIAURL | URL:en där mediafilen fanns. Om en fil överfördes från en prenumerant till en annan, krypterades den och dess tillägg kommer att indikeras som förlängningen av den överförda filen - .enc |
ZTHUMBNAILLOCALPATH | sökvägen till filens miniatyrbild i enhetens filsystem |
ZTITLE | filhuvud |
ZVCARDNAME | hash för mediafilen; när filen överförs till en grupp kan den innehålla avsändaridentifieraren |
ZVCARDSTRING | innehåller information om vilken typ av fil som överförs (till exempel bild/jpeg); när en fil överförs till en grupp kan den innehålla mottagarens identifierare |
ZXMPPTHUMBPATH | sökvägen till filens miniatyrbild i enhetens filsystem |
ZMEDIAKEY | okänd, innehåller förmodligen nyckeln för att dekryptera den krypterade filen. |
ZMETADATA | metadata för det överförda meddelandet |
Kompensera | partiskhet |
Andra intressanta databastabeller "ChatStorage.sqlite" De är:
- 'ZWAPROFILEPUSHNAME'. Matchar WhatsApp ID med kontaktnamn;
- 'ZWAPROFILEPICTUREITEM'. Matchar WhatsApp ID med kontaktavatar;
- 'Z_PRIMARYKEY'. Tabellen innehåller allmän information om denna databas, såsom det totala antalet lagrade meddelanden, det totala antalet chattar, etc.
När du undersöker WhatsApp på en mobil enhet som kör iOS bör du också vara uppmärksam på följande filer:
- fil 'BackedUpKeyValue.sqlite'. Innehåller kryptografiska nycklar och annan data som är nödvändig för att identifiera kontoägaren. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'ContactsV2.sqlite'. Innehåller information om användarens kontakter, såsom fullständigt namn, telefonnummer, kontaktstatus (i textform), WhatsApp ID, etc. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'consumer_version'. Innehåller versionsnumret för den installerade WhatsApp-applikationen. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- fil 'current_wallpaper.jpg'. Innehåller den aktuella bakgrundsbilden för WhatsApp. Ligger längs stigen: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Äldre versioner av programmet använder filen 'tapet', som ligger längs vägen: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- fil 'blockedcontacts.dat'. Innehåller information om blockerade kontakter. Ligger längs stigen: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- fil 'pw.dat'. Innehåller ett krypterat lösenord. Ligger längs stigen: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- fil 'net.whatsapp.WhatsApp.plist' (eller fil 'group.net.whatsapp.WhatsApp.shared.plist'). Innehåller information om din WhatsApp-kontoprofil. Filen finns längs vägen: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Innehållet i filen 'group.net.whatsapp.WhatsApp.shared.plist'
Du måste också vara uppmärksam på följande kataloger:
- Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Innehåller miniatyrer av kontakter, grupper (filer med tillägget .tumme), kontaktavatarer, WhatsApp-kontoägarens avatar (fil 'Photo.jpg').
- Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Innehåller multimediafiler och deras miniatyrer
- Katalog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Innehåller programdriftsloggen (fil 'calls.log') och säkerhetskopior av programdriftsloggar (fil 'calls.backup.log').
- Katalog '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Innehåller klistermärken (filer i formatet '.webp').
- Katalog '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Innehåller programdriftsloggar.
WhatsApp-artefakter på Windows
WhatsApp-artefakter på Windows finns på flera ställen. Först och främst är dessa kataloger som innehåller körbara och extra programfiler (för Windows 8/10):
- 'C:Program Files (x86)WhatsApp'
- 'C:Users%User profile% AppDataLocalWhatsApp'
- 'C:Users%User profile% AppDataLocalVirtualStore Program Files (x86)WhatsApp'
I katalogen 'C:Users%User profile% AppDataLocalWhatsApp' loggfilen finns 'SquirrelSetup.log', som innehåller information om att söka efter uppdateringar och installera programmet.
I katalogen 'C:Users%User profile% AppDataRoamingWhatsApp' Det finns flera underkataloger:
fil 'main-process.log' innehåller information om hur WhatsApp-programmet fungerar.
Underkatalog "databaser" innehåller en fil 'Databaser.db', men den här filen innehåller ingen information om chattar eller kontakter.
Det mest intressanta ur rättsmedicinsk synvinkel är filerna som finns i katalogen "Cache". Dessa är i princip filer med namn 'f*******' (där * är ett tal från 0 till 9) som innehåller krypterade multimediafiler och dokument, men det finns också okrypterade filer bland dem. Av särskilt intresse är filerna 'data_0', 'data_1', 'data_2', 'data_3', som finns i samma underkatalog. Filer 'data_0', 'data_1', 'data_3' innehålla externa länkar till överförda krypterade multimediafiler och dokument.
Exempel på information som finns i filen 'data_1'
Fil också 'data_3' kan innehålla grafikfiler.
fil 'data_2' innehåller kontaktavatarer (kan återställas genom att söka efter filhuvuden).
Avatarer som finns i filen 'data_2':
Således kan själva chattarna inte hittas i datorns minne, men du kan hitta:
- multimediafiler;
- dokument som överförs via WhatsApp;
- information om kontoägarens kontakter.
WhatsApp-artefakter på MacOS
I MacOS kan du hitta typer av WhatsApp-artefakter som liknar de som finns i Windows OS.
Programfilerna finns i följande kataloger:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%User profile%LibraryPreferences'
- 'C:Users%User profile%LibraryLogsWhatsApp'
- 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
- 'C:Users%User profile%LibraryApplication Scripts'
- 'C:Users%User profile%LibraryApplication SupportCloudDocs'
- 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Users%User profile% Bibliotek Mobildokument <textvariabel> WhatsApp-konton'
Denna katalog innehåller underkataloger vars namn är telefonnummer kopplade till ägaren av WhatsApp-kontot. - 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
Denna katalog innehåller information om hur du installerar programmet. - 'C:Users%Användarprofil%PicturesiPhoto Library.photolibraryMasters', 'C:Users%Användarprofil%PicturesiPhoto Library.photolibraryThumbnails'
Dessa kataloger innehåller tjänstefiler för programmet, inklusive foton och miniatyrer av WhatsApp-kontakter. - 'C:Users%User profile%LibraryCachesWhatsApp'
Denna katalog innehåller flera SQLite-databaser som används för datacache. - 'C:Users%User profile%LibraryApplication SupportWhatsApp'
Denna katalog innehåller flera underkataloger:
I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' det finns filer 'data_0', 'data_1', 'data_2', 'data_3' och filer med namn 'f*******' (där * är ett tal från 0 till 9). För information om vilken information dessa filer innehåller, se WhatsApp Artifacts on Windows.I katalogen 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' kan innehålla multimediafiler (filer har inga tillägg).
fil 'main-process.log' innehåller information om hur WhatsApp-programmet fungerar.
källor
- Forensisk analys av WhatsApp Messenger på Android-smarttelefoner, av Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi system berkas och basdata för Android och iOS av Ahmad Pratama, 2014.
I följande artiklar i denna serie:
Dekryptering av krypterade WhatsApp-databaserEn artikel som ger information om hur WhatsApp-krypteringsnyckeln genereras och praktiska exempel som visar hur man dekrypterar de krypterade databaserna i denna applikation.
Extrahera WhatsApp-data från molnlagringEn artikel där vi kommer att berätta vilken WhatsApp-data som lagras i molnen och beskriver metoder för att hämta denna data från molnlagringar.
WhatsApp-dataextraktion: praktiska exempelEn artikel som kommer att beskriva steg för steg vilka program och hur man extraherar WhatsApp-data från olika enheter.
Källa: will.com