ProHoster > blog > habari za mtandao > Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

Ikiwa unataka kujua ni aina gani za mabaki ya uchunguzi wa uchunguzi wa WhatsApp yaliyopo kwenye mifumo tofauti ya uendeshaji na wapi yanaweza kupatikana, basi hapa ndio mahali pako. Makala haya yanatoka kwa mtaalamu katika Maabara ya Uchunguzi wa Kompyuta ya Kundi-IB Igor Mikhailov huanza mfululizo wa machapisho kuhusu uchunguzi wa uchunguzi wa WhatsApp na ni habari gani inayoweza kupatikana kutokana na kuchanganua kifaa.

Hebu tukumbuke mara moja kwamba mifumo tofauti ya uendeshaji huhifadhi aina tofauti za mabaki ya WhatsApp, na ikiwa mtafiti anaweza kutoa aina fulani za data ya WhatsApp kutoka kwa kifaa kimoja, hii haimaanishi kwamba aina sawa za data zinaweza kutolewa kutoka kwa kifaa kingine. Kwa mfano, ikiwa kitengo cha mfumo kinachoendesha Windows OS kimeondolewa, gumzo za WhatsApp labda hazitapatikana kwenye diski zake (isipokuwa nakala za chelezo za vifaa vya iOS, ambazo zinaweza kupatikana kwenye anatoa sawa). Kukamatwa kwa laptops na vifaa vya simu vitakuwa na sifa zake. Hebu tuzungumze kuhusu hili kwa undani zaidi.

Vizalia vya programu vya WhatsApp kwenye kifaa cha Android

Ili kutoa mabaki ya WhatsApp kutoka kwa kifaa cha Android, mtafiti lazima awe na haki za mtumiaji mkuu ('mzizi') kwenye kifaa kinachochunguzwa au kuweza kutoa vinginevyo utupaji wa kumbukumbu halisi ya kifaa, au mfumo wake wa faili (kwa mfano, kwa kutumia athari za programu za kifaa mahususi cha rununu).

Faili za programu ziko kwenye kumbukumbu ya simu katika sehemu ambayo data ya mtumiaji huhifadhiwa. Kama sheria, sehemu hii inaitwa 'data ya mtumiaji'. Subdirectories na faili za programu ziko kando ya njia: '/data/data/com.whatsapp/'.

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Faili kuu ambazo zina vizalia vya uchunguzi vya uchunguzi vya WhatsApp katika Mfumo wa Uendeshaji wa Android ni hifadhidata 'wa.db' ΠΈ 'msgstore.db'.

Katika hifadhidata 'wa.db' ina orodha kamili ya mawasiliano ya mtumiaji wa WhatsApp, ikijumuisha nambari ya simu, jina la kuonyesha, mihuri ya muda, na taarifa nyingine yoyote iliyotolewa wakati wa kujiandikisha kwa WhatsApp. Faili 'wa.db' iko kando ya njia: '/data/data/com.whatsapp/databases/' na ina muundo ufuatao:

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Jedwali zinazovutia zaidi kwenye hifadhidata 'wa.db' kwa mtafiti ni:

  • 'wa_contacts'
    Jedwali hili lina maelezo ya mawasiliano: kitambulisho cha mawasiliano cha WhatsApp, taarifa ya hali, jina la mtumiaji, mihuri ya muda, n.k.

    Muonekano wa Jedwali:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
    Muundo wa meza

    Jina la shamba Thamani
    _id nambari ya mlolongo wa rekodi (katika jedwali la SQL)
    jid Kitambulisho cha anwani cha WhatsApp, kilichoandikwa katika umbizo la <phone number>@s.whatsapp.net
    ni_mtumiaji_wa_whatsapp ina '1' ikiwa anwani inalingana na mtumiaji halisi wa WhatsApp, '0' vinginevyo
    hadhi ina maandishi yanayoonyeshwa katika hali ya mawasiliano
    muhuri_wa_muda ina muhuri wa muda katika umbizo la Unix Epoch Time (ms).
    idadi nambari ya simu inayohusishwa na mwasiliani
    kitambulisho_cha_cha_mawasiliano_mbichi nambari ya serial ya mawasiliano
    display_name jina la onyesho la anwani
    simu_aina aina ya simu
    lebo_ya_simu lebo inayohusishwa na nambari ya mawasiliano
    idadi_ya_msg_zisizoonekana idadi ya jumbe ambazo zilitumwa na mwasiliani lakini hazijasomwa na mpokeaji
    picha_ts ina muhuri wa muda katika umbizo la Unix Epoch Time
    kidole gumba ina muhuri wa muda katika umbizo la Unix Epoch Time
    muhuri_wa_picha_wa_wakati ina muhuri wa muda katika umbizo la Unix Epoch Time (ms).
    kupewa_jina thamani ya sehemu inalingana na 'display_name' kwa kila mwasiliani
    wa_jina Jina la mwasiliani wa WhatsApp (jina lililobainishwa kwenye wasifu wa mwasiliani linaonyeshwa)
    panga_jina jina la mwasiliani linalotumika katika shughuli za kupanga
    jina la utani jina la utani la mwasiliani katika WhatsApp (jina la utani lililobainishwa kwenye wasifu wa mwasiliani linaonyeshwa)
    kampuni kampuni (kampuni iliyoainishwa kwenye wasifu wa mwasiliani imeonyeshwa)
    title kichwa (Bi/Mr.; kichwa kilichosanidiwa katika wasifu wa mwasiliani kinaonyeshwa)
    kukabiliana na upendeleo
  • 'sqlite_sequence'
    Jedwali hili lina habari kuhusu idadi ya waasiliani;
  • 'android_metadata'
    Jedwali hili lina habari kuhusu ujanibishaji wa lugha ya WhatsApp.

Katika hifadhidata 'msgstore.db' ina taarifa kuhusu ujumbe uliotumwa, kama vile nambari ya mawasiliano, maandishi ya ujumbe, hali ya ujumbe, mihuri ya muda, maelezo ya faili zilizohamishwa zilizojumuishwa kwenye ujumbe, n.k. Faili 'msgstore.db' iko kando ya njia: '/data/data/com.whatsapp/databases/' na ina muundo ufuatao:

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Jedwali za kuvutia zaidi kwenye faili 'msgstore.db' kwa mtafiti ni:

  • 'sqlite_sequence'
    Jedwali hili lina maelezo ya jumla kuhusu hifadhidata hii, kama vile jumla ya idadi ya ujumbe uliohifadhiwa, jumla ya idadi ya gumzo, n.k.

    Muonekano wa Jedwali:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

  • 'maudhui_ya_ujumbe'
    Ina maandishi ya ujumbe uliotumwa.

    Muonekano wa Jedwali:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

  • 'ujumbe'
    Jedwali hili lina taarifa kama vile nambari ya mawasiliano, maandishi ya ujumbe, hali ya ujumbe, mihuri ya muda, taarifa kuhusu faili zilizohamishwa zilizojumuishwa kwenye ujumbe.

    Muonekano wa Jedwali:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
    Muundo wa meza

    Jina la shamba Thamani
    _id nambari ya mlolongo wa rekodi (katika jedwali la SQL)
    key_remote_jid Kitambulisho cha WhatsApp cha mshirika wa mawasiliano
    ufunguo_kutoka_kwangu mwelekeo wa ujumbe: '0' - zinazoingia, '1' - zinazotoka
    kitambulisho_cha_kifunguo kitambulisho cha kipekee cha ujumbe
    hadhi hali ya ujumbe: '0' - imewasilishwa, '4' - inasubiri kwenye seva, '5' - imepokelewa inapopelekwa, '6' - ujumbe wa kudhibiti, '13' - ujumbe uliofunguliwa na mpokeaji (soma)
    haja_sukuma ina thamani '2' ikiwa ni ujumbe wa matangazo, vinginevyo ina '0'
    data maandishi ya ujumbe (wakati kigezo cha 'media_wa_type' ni '0')
    mhuri wa muda ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa
    media_url ina URL ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3')
    media_mime_aina Aina ya MIME ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni sawa na '1', '2', '3')
    media_wa_aina aina ya ujumbe: '0' - maandishi, '1' - faili ya picha, '2' - faili ya sauti, '3' - faili ya video, '4' - kadi ya mawasiliano, '5' - geodata
    media_size saizi ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3')
    media_jina jina la faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3')
    maelezo_ya_midia Ina maneno 'sauti', 'video' kwa thamani zinazolingana za kigezo cha 'media_wa_type' (wakati kigezo cha 'media_wa_type' ni '1', '3')
    media_hash base64 iliyosimbwa heshi ya faili iliyotumwa, inayokokotolewa kwa kutumia algoriti ya HAS-256 (wakati kigezo cha 'media_wa_type' ni sawa na '1', '2', '3')
    muda_wa_midia muda katika sekunde kwa faili ya midia (wakati 'media_wa_type' ni '1', '2', '3')
    asili ina thamani '2' ikiwa ni ujumbe wa matangazo, vinginevyo ina '0'
    latitude jiografia: latitudo (wakati kigezo cha 'media_wa_type' ni '5')
    longitudo jiografia: longitudo (wakati kigezo cha 'media_wa_type' ni '5')
    picha_gumba habari za huduma
    rasilimali_mbali Kitambulisho cha mtumaji (kwa mazungumzo ya kikundi pekee)
    muhuri_wa_saa uliopokelewa wakati wa kupokelewa, ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '0', '-1' au thamani nyingine)
    muhuri_wa_tume haijatumika, kwa kawaida huwa na thamani '-1'
    receipt_server_timestamp muda uliopokelewa na seva kuu, ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '1', '-1' au thamani nyingine.
    muhuri_wa_muda_wa_receipt wakati ujumbe ulipopokelewa na mteja mwingine, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '1', '-1' au thamani nyingine.
    muhuri_wa_saa_wa_kifaa wakati wa kufungua (kusoma) ujumbe, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwa saa ya kifaa.
    muhuri_wakati_wa_kifaa muda wa kucheza ujumbe, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa.
    takwimu ghafi kijipicha cha faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1' au '3')
    hesabu_ya_wapokeaji idadi ya wapokeaji (kwa ujumbe wa matangazo)
    heshi_ya_mshiriki hutumika wakati wa kutuma ujumbe na geodata
    nyota haijatumika
    id_safu_iliyonukuliwa haijulikani, kwa kawaida huwa na thamani '0'
    zilizotajwa_jids haijatumika
    kitambulisho_cha_nyingi haijatumika
    kukabiliana na upendeleo

    Orodha hii ya sehemu sio kamilifu. Kwa matoleo tofauti ya WhatsApp, baadhi ya sehemu zinaweza kuwa zipo au zisiwepo. Zaidi ya hayo, mashamba yanaweza kuwepo 'media_enc_hash', 'edit_version', 'kitambulisho_cha_cha_muamala' nk

  • 'vijipicha_za ujumbe'
    Jedwali hili lina maelezo kuhusu picha zilizohamishwa na mihuri ya muda. Katika safu wima ya 'muhuri wa muda', muda unaonyeshwa katika umbizo la Unix Epoch Time (ms).
  • 'orodha_ya_chat'
    Jedwali hili lina habari kuhusu soga.

    Muonekano wa Jedwali:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

Pia, wakati wa kukagua WhatsApp kwenye kifaa cha rununu kinachoendesha Android, unapaswa kuzingatia faili zifuatazo:

  • file 'msgstore.db.cryptXX' (ambapo XX ni tarakimu moja au mbili kutoka 0 hadi 12, kwa mfano, msgstore.db.crypt12). Ina chelezo iliyosimbwa kwa njia fiche ya ujumbe wa WhatsApp (faili chelezo msgstore.db) Mafaili) 'msgstore.db.cryptXX' iko kando ya njia: '/data/media/0/WhatsApp/database/' (kadi ya SD halisi), '/mnt/sdcard/WhatsApp/database/ (kadi ya SD ya kimwili)'.
  • file 'ufunguo'. Ina ufunguo wa kriptografia. Iko kando ya njia: '/data/data/com.whatsapp/files/'. Inatumika kusimbua nakala rudufu za WhatsApp zilizosimbwa kwa njia fiche.
  • file 'com.whatsapp_preferences.xml'. Ina maelezo kuhusu wasifu wa akaunti yako ya WhatsApp. Faili iko kando ya njia: '/data/data/com.whatsapp/shared_prefs/'.

    Sehemu ya yaliyomo kwenye faili

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (Π½ΠΎΠΌΠ΅Ρ€ Ρ‚Π΅Π»Π΅Ρ„ΠΎΠ½Π°, ассоциированный с Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚ΠΎΠΌ WhatsApp)
…
<string name="version">2.17.395</string> (вСрсия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщСниС, ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² статусС Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Π°)
…
<string name="push_name">Alex</string> (имя Π²Π»Π°Π΄Π΅Π»ΡŒΡ†Π° Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Π°)
…
  • file 'registration.RegisterPhone.xml'. Ina maelezo kuhusu nambari ya simu inayohusishwa na akaunti ya WhatsApp. Faili iko kando ya njia: '/data/data/com.whatsapp/shared_prefs/'.

    Yaliyomo kwenye faili 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • file 'axolotl.db'. Ina funguo za siri na data nyingine ambayo ni muhimu ili kutambua mmiliki wa akaunti. Iko kando ya njia: '/data/data/com.whatsapp/databases/'.
  • file 'chatsettings.db'. Ina maelezo ya usanidi wa programu.
  • file 'wa.db'. Ina maelezo ya mawasiliano. Hifadhidata ya kufurahisha sana (kutoka kwa nyanja ya uchunguzi) na taarifa. Inaweza kuwa na maelezo ya kina kuhusu anwani zilizofutwa.

Pia unahitaji kulipa kipaumbele kwa saraka zifuatazo:

  • Mbinu '/data/media/0/WhatsApp/Media/Picha za WhatsApp/'. Ina faili za picha zilizohamishwa.
  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Ina jumbe za sauti katika faili za umbizo la .OPUS.
  • Mbinu '/data/data/com.whatsapp/cache/Picha za Wasifu/'. Ina faili za picha - picha za anwani.
  • Mbinu '/data/data/com.whatsapp/files/Avatars/'. Ina faili za picha - picha za vijipicha vya anwani. Faili hizi zina kiendelezi cha '.j' lakini ni faili za picha za JPEG (JPG).
  • Mbinu '/data/data/com.whatsapp/files/Avatars/'. Ina faili za picha - picha na kijipicha cha picha iliyowekwa kama avatar na mmiliki wa akaunti.
  • Mbinu '/data/data/com.whatsapp/files/Logs/'. Ina kumbukumbu ya uendeshaji wa programu (faili 'whatsapp.log') na nakala za chelezo za kumbukumbu za uendeshaji wa programu (faili zilizo na majina katika umbizo la whatsapp-yyyy-mm-dd.1.log.gz).

Faili za Kumbukumbu za WhatsApp:

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Kipande cha jarida2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 stempu:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/sasisho kughairi kweli
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] faili ya nenosiri haipo au haisomeki
2017-01-10 09:37:09.782 LL_I D [1:main] takwimu Ujumbe wa maandishi: 59 umetumwa, 82 umepokelewa / Ujumbe wa Media: 1 ulitumwa (baiti 0), 0 umepokelewa (baiti 9850158) / Ujumbe wa Nje ya Mtandao: 81 umepokelewa ( 19522 msec wastani wa kuchelewa) / Huduma ya Ujumbe: 116075 byte imetumwa, 211729 byte zimepokelewa / Simu za Voip: simu 1 zinazotoka, 0 zinazoingia, 2492 byte zilizotumwa, 1530 byte zimepokelewa / Hifadhi ya Google: 0 byte zimetumwa, ka 0 zimepokelewa / 1524: kaiti zilizotumwa, ka 1826 zimepokelewa / Jumla ya Data: kaiti 118567 zilizotumwa, ka 10063417 zimepokelewa
2017-01-10 09:37:09.785 LL_I D [1:main] media-state manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/futa uongo
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete uongo
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/orodha wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/orodha wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/toleo la 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | muda uliotumika:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage available:1,345,622,016 jumla:5,687,922,688

  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Sauti/'. Ina faili za sauti zilizopokelewa.
  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Sauti/Imetumwa/'. Ina faili za sauti zilizotumwa.
  • Mbinu '/data/media/0/WhatsApp/Media/Picha za WhatsApp/'. Ina faili za picha zinazotokana.
  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Picha/Imetumwa/'. Ina faili za picha zilizotumwa.
  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Ina faili za video zilizopokelewa.
  • Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Video/Imetumwa/'. Ina faili za video zilizotumwa.
  • Mbinu '/data/media/0/WhatsApp/Media/Picha za Wasifu wa WhatsApp/'. Ina faili za picha zinazohusiana na mmiliki wa akaunti ya WhatsApp.
  • Ili kuhifadhi nafasi ya kumbukumbu kwenye simu yako mahiri ya Android, baadhi ya data ya WhatsApp inaweza kuhifadhiwa kwenye kadi ya SD. Kwenye kadi ya SD, kwenye saraka ya mizizi, kuna saraka 'Whatsapp', ambapo mabaki yafuatayo ya programu hii yanaweza kupatikana:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

  • Mbinu '.Shiriki' ('/mnt/sdcard/WhatsApp/.Share/') Ina nakala za faili ambazo zimeshirikiwa na watumiaji wengine wa WhatsApp.
  • Mbinu '.takataka' ('/mnt/sdcard/WhatsApp/.trash/') Ina faili zilizofutwa.
  • Mbinu 'Databases' ('/mnt/sdcard/WhatsApp/database/') Ina chelezo zilizosimbwa kwa njia fiche. Zinaweza kusimbwa ikiwa faili iko 'ufunguo', iliyotolewa kutoka kwa kumbukumbu ya kifaa kilichochambuliwa.

    Faili ziko katika orodha ndogo 'Databases':

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?

  • Mbinu 'Nusu' ('/mnt/sdcard/WhatsApp/Media/') Ina saraka ndogo 'Ukuta', 'Sauti ya WhatsApp', 'Picha za WhatsApp', 'Picha za Wasifu wa WhatsApp', 'Video ya WhatsApp', 'Vidokezo vya Sauti vya WhatsApp', ambayo ina faili za multimedia zilizopokelewa na kupitishwa (faili za picha, faili za video, ujumbe wa sauti, picha zinazohusiana na wasifu wa mmiliki wa akaunti ya WhatsApp, wallpapers).
  • Mbinu 'Picha za Wasifu' ('/mnt/sdcard/WhatsApp/Picha za Wasifu/') Ina faili za picha zinazohusiana na wasifu wa mmiliki wa akaunti ya WhatsApp.
  • Wakati mwingine kunaweza kuwa na saraka iliyopo kwenye kadi ya SD 'mafaili' ('/mnt/sdcard/WhatsApp/Files/') Saraka hii ina faili zinazohifadhi mipangilio ya programu na mapendeleo ya mtumiaji.

Vipengele vya kuhifadhi data katika baadhi ya miundo ya vifaa vya mkononi

Baadhi ya miundo ya vifaa vya mkononi vinavyotumia Android OS vinaweza kuhifadhi vizalia vya programu vya WhatsApp katika eneo tofauti. Hii ni kutokana na mabadiliko katika nafasi ya hifadhi ya data ya maombi na programu ya mfumo wa kifaa cha simu. Kwa mfano, vifaa vya simu vya Xiaomi vina kazi ya kuunda nafasi ya pili ya kazi ("SecondSpace"). Kitendaji hiki kinapoamilishwa, eneo la data hubadilika. Kwa hiyo, ikiwa katika kifaa cha kawaida cha simu kinachoendesha data ya mtumiaji wa Android OS huhifadhiwa kwenye saraka '/data/mtumiaji/0/' (ambayo ni kumbukumbu ya kawaida '/data/data/'), kisha katika data ya maombi ya nafasi ya pili ya kazi huhifadhiwa kwenye saraka '/data/mtumiaji/10/'. Hiyo ni, kwa kutumia mfano wa eneo la faili 'wa.db':

  • katika simu mahiri ya kawaida inayoendesha Android OS: /data/user/0/com.whatsapp/databases/wa.db' (ambayo ni sawa '/data/data/com.whatsapp/databases/wa.db');
  • katika nafasi ya pili ya kazi ya simu mahiri ya Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Vizalia vya programu vya WhatsApp kwenye kifaa cha iOS

Tofauti na Mfumo wa Uendeshaji wa Android, katika iOS data ya programu ya WhatsApp huhamishiwa kwenye nakala ya chelezo (chelezo ya iTunes). Kwa hivyo, kutoa data kutoka kwa programu hii hakuhitaji kutoa mfumo wa faili au kuunda utupaji wa kumbukumbu ya kifaa kinachochunguzwa. Habari nyingi muhimu ziko kwenye hifadhidata 'ChatStorage.sqlite', ambayo iko kando ya njia: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (katika programu zingine njia hii inaonekana kama 'AppDomainGroup-group.net.whatsapp.WhatsApp.imeshirikiwa').

Muundo 'ChatStorage.sqlite':

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Majedwali yenye taarifa zaidi katika hifadhidata ya 'ChatStorage.sqlite' ni 'ZWAMESSAGE' ΠΈ 'ZWAMEDIAITEM'.

Muonekano wa meza 'ZWAMESSAGE':

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Muundo wa jedwali 'ZWAMESSAGE'

Jina la shamba Thamani
Z_PK nambari ya mlolongo wa rekodi (katika jedwali la SQL)
Z_ENT kitambulisho cha jedwali, kina thamani '9'
Z_OPT haijulikani, kwa kawaida huwa na thamani kutoka '1' hadi '6'
ZCHILDMESSAGESDELIVEREDCOUNT haijulikani, kwa kawaida huwa na thamani '0'
ZCHILDMESSAGESPLAYEDCOUNT haijulikani, kwa kawaida huwa na thamani '0'
ZCHILDMESSAGESREADCOUNT haijulikani, kwa kawaida huwa na thamani '0'
ZDATAITEMVERSION haijulikani, kwa kawaida huwa na thamani '3', pengine kiashiria cha ujumbe wa maandishi
ZDOCID haijulikani
ZENCRETRYCOUNT haijulikani, kwa kawaida huwa na thamani '0'
ZFILTEREDRECIPIENTCOUNT haijulikani, kwa kawaida huwa na maadili '0', '2', '256'
ZISFROMME mwelekeo wa ujumbe: '0' - zinazoingia, '1' - zinazotoka
ZMESSAGEERRORSATUS hali ya uwasilishaji wa ujumbe. Ikiwa ujumbe umetumwa/kupokelewa, basi una thamani ya '0'
ZMESSAGETYPE aina ya ujumbe unaotumwa
ZSORT haijulikani
ZSPOTLIGHTATUS haijulikani
ZSTARRED haijulikani, haitumiki
ZCHATSESSION haijulikani
ZGROUPMEMBER haijulikani, haitumiki
ZLASTSESSION haijulikani
ZMEDIAITEM haijulikani
ZMESSAGEINFO haijulikani
ZPARENTMESSAGE haijulikani, haitumiki
ZMESSAGEDATE muhuri wa wakati katika umbizo la Saa ya OS X Epoch
ZSENTDATE wakati ujumbe ulitumwa katika umbizo la Muda wa OS X Epoch
ZFROMJID Kitambulisho cha Mtumaji wa WhatsApp
ZMEDIASECTIONID ina mwaka na mwezi faili ya midia ilitumwa
ZPHASH haijulikani, haitumiki
ZPUSHPAME jina la mwasiliani aliyetuma faili ya midia katika umbizo la UTF-8
ZSTANZID kitambulisho cha kipekee cha ujumbe
ZTEXT Nakala ya ujumbe
ZTOJID Kitambulisho cha WhatsApp cha mpokeaji
Kukabiliana upendeleo

Muonekano wa meza 'ZWAMEDIAITEM':

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Muundo wa jedwali 'ZWAMEDIAITEM'

Jina la shamba Thamani
Z_PK nambari ya mlolongo wa rekodi (katika jedwali la SQL)
Z_ENT kitambulisho cha jedwali, kina thamani '8'
Z_OPT haijulikani, kwa kawaida huwa na thamani kutoka '1' hadi '3'.
ZCLOUDSTATUS ina thamani '4' ikiwa faili imepakiwa.
ZFILESIZE ina urefu wa faili (katika baiti) kwa faili zilizopakuliwa
ZMEDIAORIGIN haijulikani, kwa kawaida huwa na thamani '0'
ZMOVIEDURATION muda wa faili ya media, kwa faili za pdf zinaweza kuwa na idadi ya kurasa za hati
ZMESSAGE ina nambari ya mfululizo (nambari hiyo ni tofauti na ile iliyoonyeshwa kwenye safu wima ya 'Z_PK')
ZASPECTRATIO uwiano wa kipengele, haujatumika, kawaida huwekwa kuwa '0'
ZHACCURACY haijulikani, kwa kawaida huwa na thamani '0'
ZLATTITUDE upana katika saizi
ZLONGTITUDE urefu katika saizi
ZMEDIAURLDATE muhuri wa wakati katika umbizo la Saa ya OS X Epoch
ZAUTHORNAME mwandishi (kwa hati, inaweza kuwa na jina la faili)
ZCOLLECTIONNAME haijatumika
ZMEDIALOCALPATH jina la faili (pamoja na njia) kwenye mfumo wa faili wa kifaa
ZMEDIAURL URL ambapo faili ya midia ilipatikana. Ikiwa faili ilihamishwa kutoka kwa mteja mmoja hadi mwingine, ilisimbwa kwa njia fiche na kiendelezi chake kitaonyeshwa kama kiendelezi cha faili iliyohamishwa - .enc.
ZTHUMBNAILLOCALPATH njia ya kijipicha cha faili kwenye mfumo wa faili wa kifaa
ZTITLE kichwa cha faili
ZVCARDNAME heshi ya faili ya midia; wakati wa kuhamisha faili kwa kikundi, inaweza kuwa na kitambulisho cha mtumaji
ZVCARDSTRING ina maelezo kuhusu aina ya faili inayohamishwa (kwa mfano, picha/jpeg); wakati wa kuhamisha faili kwa kikundi, inaweza kuwa na kitambulisho cha mpokeaji.
ZXMPPTHUMBPATH njia ya kijipicha cha faili kwenye mfumo wa faili wa kifaa
ZMEDIAKEY haijulikani, labda ina ufunguo wa kusimbua faili iliyosimbwa.
ZMETADATA metadata ya ujumbe uliotumwa
Offset upendeleo

Meza zingine za hifadhidata za kuvutia 'ChatStorage.sqlite' ni:

  • 'ZWAPROFILEPUSHNAME'. Inalingana na Kitambulisho cha WhatsApp na jina la mwasiliani;
  • 'ZWAPROFILEPICTUREITEM'. Inalingana na Kitambulisho cha WhatsApp na avatar ya anwani;
  • 'Z_PRIMARYKEY'. Jedwali lina maelezo ya jumla kuhusu hifadhidata hii, kama vile jumla ya idadi ya ujumbe uliohifadhiwa, jumla ya idadi ya gumzo, n.k.

Pia, wakati wa kukagua WhatsApp kwenye kifaa cha rununu kinachoendesha iOS, unapaswa kuzingatia faili zifuatazo:

  • file 'BackedUpKeyValue.sqlite'. Ina funguo za siri na data nyingine ambayo ni muhimu ili kutambua mmiliki wa akaunti. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'ContactsV2.sqlite'. Ina maelezo kuhusu anwani za mtumiaji, kama vile jina kamili, nambari ya simu, hali ya mawasiliano (katika fomu ya maandishi), Kitambulisho cha WhatsApp, n.k. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'toleo_la_mtumiaji'. Ina nambari ya toleo la programu iliyosakinishwa ya WhatsApp. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • file 'current_wallpaper.jpg'. Ina mandhari ya sasa ya mandharinyuma ya WhatsApp. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Matoleo ya zamani ya programu hutumia faili 'ukuta', ambayo iko kando ya njia: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • file 'blockedcontacts.dat'. Ina maelezo kuhusu anwani zilizozuiwa. Iko kando ya njia: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • file 'pw.dat'. Ina nenosiri lililosimbwa. Iko kando ya njia: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • file 'net.whatsapp.WhatsApp.plist' (au faili 'group.net.whatsapp.WhatsApp.shared.plist') Ina maelezo kuhusu wasifu wa akaunti yako ya WhatsApp. Faili iko kando ya njia: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Yaliyomo kwenye faili 'group.net.whatsapp.WhatsApp.shared.plist' Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Pia unahitaji kulipa kipaumbele kwa saraka zifuatazo:

  • Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Ina vijipicha vya anwani, vikundi (faili zilizo na kiendelezi .kidole gumba), avatar za mawasiliano, avatar ya mmiliki wa akaunti ya WhatsApp (faili 'Picha.jpg').
  • Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Ina faili za media titika na vijipicha vyake
  • Mbinu '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Ina logi ya uendeshaji wa programu (faili 'calls.log') na nakala za chelezo za magogo ya uendeshaji wa programu (faili 'calls.backup.log').
  • Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Ina vibandiko (faili katika umbizo '.webp').
  • Mbinu '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Ina kumbukumbu za uendeshaji wa programu.

Vizalia vya programu vya WhatsApp kwenye Windows

Vizalia vya WhatsApp kwenye Windows vinaweza kupatikana katika sehemu kadhaa. Kwanza kabisa, hizi ni saraka zilizo na faili za programu zinazoweza kutekelezwa na za ziada (kwa Windows 8/10):

  • 'C:Faili za Programu (x86)WhatsApp'
  • 'C:Watumiaji%Wasifu wa mtumiaji% AppDataLocalWhatsApp'
  • 'C:Watumiaji%Wasifu wa Mtumiaji% Faili za Programu za AppDataLocalVirtualStore (x86)WhatsApp'

Katika orodha 'C:Watumiaji%Wasifu wa mtumiaji% AppDataLocalWhatsApp' faili ya logi iko 'SquirrelSetup.log', ambayo ina habari kuhusu kuangalia kwa sasisho na kusakinisha programu.

Katika orodha 'C:Watumiaji%Wasifu wa mtumiaji% AppDataRoamingWhatsApp' Kuna subdirectories kadhaa:

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
file 'main-process.log' ina habari kuhusu uendeshaji wa programu ya WhatsApp.

Orodha ndogo 'database' ina faili 'Databases.db', lakini faili hii haina taarifa yoyote kuhusu gumzo au waasiliani.

Ya kuvutia zaidi kutoka kwa mtazamo wa uchunguzi wa mahakama ni faili ziko kwenye saraka 'Cache'. Hizi kimsingi ni faili zilizopewa jina 'f_*******' (ambapo * ni nambari kutoka 0 hadi 9) iliyo na faili na hati za media titika zilizosimbwa, lakini pia kuna faili ambazo hazijasimbwa kati yao. Ya riba hasa ni faili 'data_0', 'data_1', 'data_2', 'data_3', iliyoko katika saraka ndogo sawa. Mafaili 'data_0', 'data_1', 'data_3' vyenye viungo vya nje vya faili na hati za midia iliyosimbwa kwa njia fiche.

Mfano wa maelezo yaliyomo kwenye faili 'data_1'Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Pia faili 'data_3' inaweza kuwa na faili za picha.

file 'data_2' ina avatari za mawasiliano (inaweza kurejeshwa kwa kutafuta na vichwa vya faili).

Ishara zilizomo kwenye faili 'data_2':

Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
Kwa hivyo, mazungumzo yenyewe hayawezi kupatikana kwenye kumbukumbu ya kompyuta, lakini unaweza kupata:

  • faili za multimedia;
  • hati zinazopitishwa kupitia WhatsApp;
  • habari kuhusu anwani za mmiliki wa akaunti.

Mabaki ya WhatsApp kwenye MacOS

Katika MacOS unaweza kupata aina za mabaki ya WhatsApp sawa na yale yanayopatikana kwenye Windows OS.

Faili za programu ziko katika saraka zifuatazo:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Users%Profaili ya Mtumiaji%LibraryPreferences'
  • 'C:Watumiaji%Wasifu wa mtumiaji%LibraryLogsWhatsApp'
  • 'C:Watumiaji%Wasifu wa Mtumiaji%Jimbo la Programu IliyohifadhiwaMaktabaWhatsApp.savedState'
  • 'C:Users%Profaili ya Mtumiaji%Hati za Maombi ya Maktaba'
  • 'C:Watumiaji%Wasifu wa Mtumiaji%LibraryApplication SupportCloudDocs'
  • 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsApp.ShipIt'
  • 'C:Watumiaji%Wasifu wa mtumiaji%LibraryContainerscom.rockysandstudio.programu-ya-whatsapp'
  • 'C:Users%Profaili ya Mtumiaji% Hati za Simu ya Maktaba <text variable> Akaunti za WhatsApp'
    Saraka hii ina saraka ndogo ambazo majina yake ni nambari za simu zinazohusiana na mmiliki wa akaunti ya WhatsApp.
  • 'C:Watumiaji%Wasifu wa mtumiaji%LibraryCachesWhatsApp.ShipIt'
    Saraka hii ina habari kuhusu kusakinisha programu.
  • 'C:Watumiaji%Wasifu wa mtumiaji%PicturesiPhoto Library.photolibraryMasters', 'C:Watumiaji%Wasifu wa mtumiaji%PicturesiPhoto Library.pichaPichaPicha'
    Saraka hizi zina faili za huduma za programu, ikijumuisha picha na vijipicha vya anwani za WhatsApp.
  • 'C:Watumiaji%Wasifu wa mtumiaji%LibraryCachesWhatsApp'
    Saraka hii ina hifadhidata kadhaa za SQLite ambazo hutumiwa kwa uhifadhi wa data.
  • 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsApp'
    Saraka hii ina saraka ndogo kadhaa:

    Whatsapp katika kiganja cha mkono wako: wapi na jinsi gani unaweza kupata mabaki ya mahakama?
    Katika orodha 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsAppCache' kuna faili 'data_0', 'data_1', 'data_2', 'data_3' na faili zilizo na majina 'f_*******' (ambapo * ni nambari kutoka 0 hadi 9). Kwa habari kuhusu taarifa ambazo faili hizi zina, angalia Viunzi vya WhatsApp kwenye Windows.

    Katika orodha 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsAppIndexedDB' inaweza kuwa na faili za media titika (faili hazina viendelezi).

    file 'main-process.log' ina habari kuhusu uendeshaji wa programu ya WhatsApp.

Vyanzo

  1. Uchambuzi wa kitaalamu wa WhatsApp Messenger kwenye simu mahiri za Android, na Cosimo Anglano, 2014.
  2. Uchunguzi wa Uchunguzi wa Whatsapp: Mfumo wa Utafutaji na uundaji wa data ya msingi kwa programu ya Android na iOS na Ahmad Pratama, 2014.

Katika makala zifuatazo katika mfululizo huu:

Usimbuaji wa hifadhidata zilizosimbwa za WhatsAppMakala ambayo yatatoa maelezo kuhusu jinsi ufunguo wa usimbaji fiche wa WhatsApp unavyotolewa na mifano ya vitendo inayoonyesha jinsi ya kusimbua hifadhidata zilizosimbwa za programu hii.
Inatoa data ya WhatsApp kutoka kwa hifadhi ya winguNakala ambayo tutakuambia ni data gani ya WhatsApp iliyohifadhiwa kwenye mawingu na kuelezea njia za kupata data hii kutoka kwa hifadhi za wingu.
Uchimbaji wa Data ya WhatsApp: Mifano VitendoNakala ambayo itaelezea hatua kwa hatua ni programu gani na jinsi ya kutoa data ya WhatsApp kutoka kwa vifaa anuwai.

Chanzo: mapenzi.com

Kuongeza maoni