Ikiwa unataka kujua ni aina gani za mabaki ya uchunguzi wa uchunguzi wa WhatsApp yaliyopo kwenye mifumo tofauti ya uendeshaji na wapi yanaweza kupatikana, basi hapa ndio mahali pako. Makala haya yanatoka kwa mtaalamu katika Maabara ya Uchunguzi wa Kompyuta ya Kundi-IB Igor Mikhailov huanza mfululizo wa machapisho kuhusu uchunguzi wa uchunguzi wa WhatsApp na ni habari gani inayoweza kupatikana kutokana na kuchanganua kifaa.
Hebu tukumbuke mara moja kwamba mifumo tofauti ya uendeshaji huhifadhi aina tofauti za mabaki ya WhatsApp, na ikiwa mtafiti anaweza kutoa aina fulani za data ya WhatsApp kutoka kwa kifaa kimoja, hii haimaanishi kwamba aina sawa za data zinaweza kutolewa kutoka kwa kifaa kingine. Kwa mfano, ikiwa kitengo cha mfumo kinachoendesha Windows OS kimeondolewa, gumzo za WhatsApp labda hazitapatikana kwenye diski zake (isipokuwa nakala za chelezo za vifaa vya iOS, ambazo zinaweza kupatikana kwenye anatoa sawa). Kukamatwa kwa laptops na vifaa vya simu vitakuwa na sifa zake. Hebu tuzungumze kuhusu hili kwa undani zaidi.
Vizalia vya programu vya WhatsApp kwenye kifaa cha Android
Ili kutoa mabaki ya WhatsApp kutoka kwa kifaa cha Android, mtafiti lazima awe na haki za mtumiaji mkuu ('mzizi') kwenye kifaa kinachochunguzwa au kuweza kutoa vinginevyo utupaji wa kumbukumbu halisi ya kifaa, au mfumo wake wa faili (kwa mfano, kwa kutumia athari za programu za kifaa mahususi cha rununu).
Faili za programu ziko kwenye kumbukumbu ya simu katika sehemu ambayo data ya mtumiaji huhifadhiwa. Kama sheria, sehemu hii inaitwa 'data ya mtumiaji'. Subdirectories na faili za programu ziko kando ya njia: '/data/data/com.whatsapp/'.
Faili kuu ambazo zina vizalia vya uchunguzi vya uchunguzi vya WhatsApp katika Mfumo wa Uendeshaji wa Android ni hifadhidata 'wa.db' ΠΈ 'msgstore.db'.
Katika hifadhidata 'wa.db' ina orodha kamili ya mawasiliano ya mtumiaji wa WhatsApp, ikijumuisha nambari ya simu, jina la kuonyesha, mihuri ya muda, na taarifa nyingine yoyote iliyotolewa wakati wa kujiandikisha kwa WhatsApp. Faili 'wa.db' iko kando ya njia: '/data/data/com.whatsapp/databases/' na ina muundo ufuatao:
Jedwali zinazovutia zaidi kwenye hifadhidata 'wa.db' kwa mtafiti ni:
- 'wa_contacts'
Jedwali hili lina maelezo ya mawasiliano: kitambulisho cha mawasiliano cha WhatsApp, taarifa ya hali, jina la mtumiaji, mihuri ya muda, n.k.Muonekano wa Jedwali:
Muundo wa mezaJina la shamba Thamani _id nambari ya mlolongo wa rekodi (katika jedwali la SQL) jid Kitambulisho cha anwani cha WhatsApp, kilichoandikwa katika umbizo la <phone number>@s.whatsapp.net ni_mtumiaji_wa_whatsapp ina '1' ikiwa anwani inalingana na mtumiaji halisi wa WhatsApp, '0' vinginevyo hadhi ina maandishi yanayoonyeshwa katika hali ya mawasiliano muhuri_wa_muda ina muhuri wa muda katika umbizo la Unix Epoch Time (ms). idadi nambari ya simu inayohusishwa na mwasiliani kitambulisho_cha_cha_mawasiliano_mbichi nambari ya serial ya mawasiliano display_name jina la onyesho la anwani simu_aina aina ya simu lebo_ya_simu lebo inayohusishwa na nambari ya mawasiliano idadi_ya_msg_zisizoonekana idadi ya jumbe ambazo zilitumwa na mwasiliani lakini hazijasomwa na mpokeaji picha_ts ina muhuri wa muda katika umbizo la Unix Epoch Time kidole gumba ina muhuri wa muda katika umbizo la Unix Epoch Time muhuri_wa_picha_wa_wakati ina muhuri wa muda katika umbizo la Unix Epoch Time (ms). kupewa_jina thamani ya sehemu inalingana na 'display_name' kwa kila mwasiliani wa_jina Jina la mwasiliani wa WhatsApp (jina lililobainishwa kwenye wasifu wa mwasiliani linaonyeshwa) panga_jina jina la mwasiliani linalotumika katika shughuli za kupanga jina la utani jina la utani la mwasiliani katika WhatsApp (jina la utani lililobainishwa kwenye wasifu wa mwasiliani linaonyeshwa) kampuni kampuni (kampuni iliyoainishwa kwenye wasifu wa mwasiliani imeonyeshwa) title kichwa (Bi/Mr.; kichwa kilichosanidiwa katika wasifu wa mwasiliani kinaonyeshwa) kukabiliana na upendeleo - 'sqlite_sequence'
Jedwali hili lina habari kuhusu idadi ya waasiliani; - 'android_metadata'
Jedwali hili lina habari kuhusu ujanibishaji wa lugha ya WhatsApp.
Katika hifadhidata 'msgstore.db' ina taarifa kuhusu ujumbe uliotumwa, kama vile nambari ya mawasiliano, maandishi ya ujumbe, hali ya ujumbe, mihuri ya muda, maelezo ya faili zilizohamishwa zilizojumuishwa kwenye ujumbe, n.k. Faili 'msgstore.db' iko kando ya njia: '/data/data/com.whatsapp/databases/' na ina muundo ufuatao:
Jedwali za kuvutia zaidi kwenye faili 'msgstore.db' kwa mtafiti ni:
- 'sqlite_sequence'
Jedwali hili lina maelezo ya jumla kuhusu hifadhidata hii, kama vile jumla ya idadi ya ujumbe uliohifadhiwa, jumla ya idadi ya gumzo, n.k.Muonekano wa Jedwali:
- 'maudhui_ya_ujumbe'
Ina maandishi ya ujumbe uliotumwa.Muonekano wa Jedwali:
- 'ujumbe'
Jedwali hili lina taarifa kama vile nambari ya mawasiliano, maandishi ya ujumbe, hali ya ujumbe, mihuri ya muda, taarifa kuhusu faili zilizohamishwa zilizojumuishwa kwenye ujumbe.Muonekano wa Jedwali:
Muundo wa mezaJina la shamba Thamani _id nambari ya mlolongo wa rekodi (katika jedwali la SQL) key_remote_jid Kitambulisho cha WhatsApp cha mshirika wa mawasiliano ufunguo_kutoka_kwangu mwelekeo wa ujumbe: '0' - zinazoingia, '1' - zinazotoka kitambulisho_cha_kifunguo kitambulisho cha kipekee cha ujumbe hadhi hali ya ujumbe: '0' - imewasilishwa, '4' - inasubiri kwenye seva, '5' - imepokelewa inapopelekwa, '6' - ujumbe wa kudhibiti, '13' - ujumbe uliofunguliwa na mpokeaji (soma) haja_sukuma ina thamani '2' ikiwa ni ujumbe wa matangazo, vinginevyo ina '0' data maandishi ya ujumbe (wakati kigezo cha 'media_wa_type' ni '0') mhuri wa muda ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa media_url ina URL ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3') media_mime_aina Aina ya MIME ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni sawa na '1', '2', '3') media_wa_aina aina ya ujumbe: '0' - maandishi, '1' - faili ya picha, '2' - faili ya sauti, '3' - faili ya video, '4' - kadi ya mawasiliano, '5' - geodata media_size saizi ya faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3') media_jina jina la faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1', '2', '3') maelezo_ya_midia Ina maneno 'sauti', 'video' kwa thamani zinazolingana za kigezo cha 'media_wa_type' (wakati kigezo cha 'media_wa_type' ni '1', '3') media_hash base64 iliyosimbwa heshi ya faili iliyotumwa, inayokokotolewa kwa kutumia algoriti ya HAS-256 (wakati kigezo cha 'media_wa_type' ni sawa na '1', '2', '3') muda_wa_midia muda katika sekunde kwa faili ya midia (wakati 'media_wa_type' ni '1', '2', '3') asili ina thamani '2' ikiwa ni ujumbe wa matangazo, vinginevyo ina '0' latitude jiografia: latitudo (wakati kigezo cha 'media_wa_type' ni '5') longitudo jiografia: longitudo (wakati kigezo cha 'media_wa_type' ni '5') picha_gumba habari za huduma rasilimali_mbali Kitambulisho cha mtumaji (kwa mazungumzo ya kikundi pekee) muhuri_wa_saa uliopokelewa wakati wa kupokelewa, ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '0', '-1' au thamani nyingine) muhuri_wa_tume haijatumika, kwa kawaida huwa na thamani '-1' receipt_server_timestamp muda uliopokelewa na seva kuu, ina muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '1', '-1' au thamani nyingine. muhuri_wa_muda_wa_receipt wakati ujumbe ulipopokelewa na mteja mwingine, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa (wakati kigezo cha 'key_from_me' kina '1', '-1' au thamani nyingine. muhuri_wa_saa_wa_kifaa wakati wa kufungua (kusoma) ujumbe, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwa saa ya kifaa. muhuri_wakati_wa_kifaa muda wa kucheza ujumbe, una muhuri wa muda katika umbizo la Unix Epoch Time (ms), thamani inachukuliwa kutoka kwenye saa ya kifaa. takwimu ghafi kijipicha cha faili iliyohamishwa (wakati kigezo cha 'media_wa_type' ni '1' au '3') hesabu_ya_wapokeaji idadi ya wapokeaji (kwa ujumbe wa matangazo) heshi_ya_mshiriki hutumika wakati wa kutuma ujumbe na geodata nyota haijatumika id_safu_iliyonukuliwa haijulikani, kwa kawaida huwa na thamani '0' zilizotajwa_jids haijatumika kitambulisho_cha_nyingi haijatumika kukabiliana na upendeleo Orodha hii ya sehemu sio kamilifu. Kwa matoleo tofauti ya WhatsApp, baadhi ya sehemu zinaweza kuwa zipo au zisiwepo. Zaidi ya hayo, mashamba yanaweza kuwepo 'media_enc_hash', 'edit_version', 'kitambulisho_cha_cha_muamala' nk
- 'vijipicha_za ujumbe'
Jedwali hili lina maelezo kuhusu picha zilizohamishwa na mihuri ya muda. Katika safu wima ya 'muhuri wa muda', muda unaonyeshwa katika umbizo la Unix Epoch Time (ms). - 'orodha_ya_chat'
Jedwali hili lina habari kuhusu soga.Muonekano wa Jedwali:
Pia, wakati wa kukagua WhatsApp kwenye kifaa cha rununu kinachoendesha Android, unapaswa kuzingatia faili zifuatazo:
- file 'msgstore.db.cryptXX' (ambapo XX ni tarakimu moja au mbili kutoka 0 hadi 12, kwa mfano, msgstore.db.crypt12). Ina chelezo iliyosimbwa kwa njia fiche ya ujumbe wa WhatsApp (faili chelezo msgstore.db) Mafaili) 'msgstore.db.cryptXX' iko kando ya njia: '/data/media/0/WhatsApp/database/' (kadi ya SD halisi), '/mnt/sdcard/WhatsApp/database/ (kadi ya SD ya kimwili)'.
- file 'ufunguo'. Ina ufunguo wa kriptografia. Iko kando ya njia: '/data/data/com.whatsapp/files/'. Inatumika kusimbua nakala rudufu za WhatsApp zilizosimbwa kwa njia fiche.
- file 'com.whatsapp_preferences.xml'. Ina maelezo kuhusu wasifu wa akaunti yako ya WhatsApp. Faili iko kando ya njia: '/data/data/com.whatsapp/shared_prefs/'.
Sehemu ya yaliyomo kwenye faili
<?xml version="1.0" encoding="ISO-8859-1"?> β¦ <string name="ph">9123456789</string> (Π½ΠΎΠΌΠ΅Ρ ΡΠ΅Π»Π΅ΡΠΎΠ½Π°, Π°ΡΡΠΎΡΠΈΠΈΡΠΎΠ²Π°Π½Π½ΡΠΉ Ρ Π°ΠΊΠΊΠ°ΡΠ½ΡΠΎΠΌ WhatsApp) β¦ <string name="version">2.17.395</string> (Π²Π΅ΡΡΠΈΡ WhatsApp) β¦ <string name="my_current_status">Hey there! I am using WhatsApp.</string> (ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΠ΅, ΠΎΡΠΎΠ±ΡΠ°ΠΆΠ°Π΅ΠΌΠΎΠ΅ Π² ΡΡΠ°ΡΡΡΠ΅ Π°ΠΊΠΊΠ°ΡΠ½ΡΠ°) β¦ <string name="push_name">Alex</string> (ΠΈΠΌΡ Π²Π»Π°Π΄Π΅Π»ΡΡΠ° Π°ΠΊΠΊΠ°ΡΠ½ΡΠ°) β¦
- file 'registration.RegisterPhone.xml'. Ina maelezo kuhusu nambari ya simu inayohusishwa na akaunti ya WhatsApp. Faili iko kando ya njia: '/data/data/com.whatsapp/shared_prefs/'.
Yaliyomo kwenye faili
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- file 'axolotl.db'. Ina funguo za siri na data nyingine ambayo ni muhimu ili kutambua mmiliki wa akaunti. Iko kando ya njia: '/data/data/com.whatsapp/databases/'.
- file 'chatsettings.db'. Ina maelezo ya usanidi wa programu.
- file 'wa.db'. Ina maelezo ya mawasiliano. Hifadhidata ya kufurahisha sana (kutoka kwa nyanja ya uchunguzi) na taarifa. Inaweza kuwa na maelezo ya kina kuhusu anwani zilizofutwa.
Pia unahitaji kulipa kipaumbele kwa saraka zifuatazo:
- Mbinu '/data/media/0/WhatsApp/Media/Picha za WhatsApp/'. Ina faili za picha zilizohamishwa.
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/'. Ina jumbe za sauti katika faili za umbizo la .OPUS.
- Mbinu '/data/data/com.whatsapp/cache/Picha za Wasifu/'. Ina faili za picha - picha za anwani.
- Mbinu '/data/data/com.whatsapp/files/Avatars/'. Ina faili za picha - picha za vijipicha vya anwani. Faili hizi zina kiendelezi cha '.j' lakini ni faili za picha za JPEG (JPG).
- Mbinu '/data/data/com.whatsapp/files/Avatars/'. Ina faili za picha - picha na kijipicha cha picha iliyowekwa kama avatar na mmiliki wa akaunti.
- Mbinu '/data/data/com.whatsapp/files/Logs/'. Ina kumbukumbu ya uendeshaji wa programu (faili 'whatsapp.log') na nakala za chelezo za kumbukumbu za uendeshaji wa programu (faili zilizo na majina katika umbizo la whatsapp-yyyy-mm-dd.1.log.gz).
Faili za Kumbukumbu za WhatsApp:
Kipande cha jarida2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 stempu:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/sasisho kughairi kweli
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] faili ya nenosiri haipo au haisomeki
2017-01-10 09:37:09.782 LL_I D [1:main] takwimu Ujumbe wa maandishi: 59 umetumwa, 82 umepokelewa / Ujumbe wa Media: 1 ulitumwa (baiti 0), 0 umepokelewa (baiti 9850158) / Ujumbe wa Nje ya Mtandao: 81 umepokelewa ( 19522 msec wastani wa kuchelewa) / Huduma ya Ujumbe: 116075 byte imetumwa, 211729 byte zimepokelewa / Simu za Voip: simu 1 zinazotoka, 0 zinazoingia, 2492 byte zilizotumwa, 1530 byte zimepokelewa / Hifadhi ya Google: 0 byte zimetumwa, ka 0 zimepokelewa / 1524: kaiti zilizotumwa, ka 1826 zimepokelewa / Jumla ya Data: kaiti 118567 zilizotumwa, ka 10063417 zimepokelewa
2017-01-10 09:37:09.785 LL_I D [1:main] media-state manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/futa uongo
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete uongo
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/orodha wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/orodha wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/toleo la 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | muda uliotumika:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage available:1,345,622,016 jumla:5,687,922,688
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Sauti/'. Ina faili za sauti zilizopokelewa.
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Sauti/Imetumwa/'. Ina faili za sauti zilizotumwa.
- Mbinu '/data/media/0/WhatsApp/Media/Picha za WhatsApp/'. Ina faili za picha zinazotokana.
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Picha/Imetumwa/'. Ina faili za picha zilizotumwa.
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Ina faili za video zilizopokelewa.
- Mbinu '/data/media/0/WhatsApp/Media/WhatsApp Video/Imetumwa/'. Ina faili za video zilizotumwa.
- Mbinu '/data/media/0/WhatsApp/Media/Picha za Wasifu wa WhatsApp/'. Ina faili za picha zinazohusiana na mmiliki wa akaunti ya WhatsApp.
- Ili kuhifadhi nafasi ya kumbukumbu kwenye simu yako mahiri ya Android, baadhi ya data ya WhatsApp inaweza kuhifadhiwa kwenye kadi ya SD. Kwenye kadi ya SD, kwenye saraka ya mizizi, kuna saraka 'Whatsapp', ambapo mabaki yafuatayo ya programu hii yanaweza kupatikana:
- Mbinu '.Shiriki' ('/mnt/sdcard/WhatsApp/.Share/') Ina nakala za faili ambazo zimeshirikiwa na watumiaji wengine wa WhatsApp.
- Mbinu '.takataka' ('/mnt/sdcard/WhatsApp/.trash/') Ina faili zilizofutwa.
- Mbinu 'Databases' ('/mnt/sdcard/WhatsApp/database/') Ina chelezo zilizosimbwa kwa njia fiche. Zinaweza kusimbwa ikiwa faili iko 'ufunguo', iliyotolewa kutoka kwa kumbukumbu ya kifaa kilichochambuliwa.
Faili ziko katika orodha ndogo 'Databases':
- Mbinu 'Nusu' ('/mnt/sdcard/WhatsApp/Media/') Ina saraka ndogo 'Ukuta', 'Sauti ya WhatsApp', 'Picha za WhatsApp', 'Picha za Wasifu wa WhatsApp', 'Video ya WhatsApp', 'Vidokezo vya Sauti vya WhatsApp', ambayo ina faili za multimedia zilizopokelewa na kupitishwa (faili za picha, faili za video, ujumbe wa sauti, picha zinazohusiana na wasifu wa mmiliki wa akaunti ya WhatsApp, wallpapers).
- Mbinu 'Picha za Wasifu' ('/mnt/sdcard/WhatsApp/Picha za Wasifu/') Ina faili za picha zinazohusiana na wasifu wa mmiliki wa akaunti ya WhatsApp.
- Wakati mwingine kunaweza kuwa na saraka iliyopo kwenye kadi ya SD 'mafaili' ('/mnt/sdcard/WhatsApp/Files/') Saraka hii ina faili zinazohifadhi mipangilio ya programu na mapendeleo ya mtumiaji.
Vipengele vya kuhifadhi data katika baadhi ya miundo ya vifaa vya mkononi
Baadhi ya miundo ya vifaa vya mkononi vinavyotumia Android OS vinaweza kuhifadhi vizalia vya programu vya WhatsApp katika eneo tofauti. Hii ni kutokana na mabadiliko katika nafasi ya hifadhi ya data ya maombi na programu ya mfumo wa kifaa cha simu. Kwa mfano, vifaa vya simu vya Xiaomi vina kazi ya kuunda nafasi ya pili ya kazi ("SecondSpace"). Kitendaji hiki kinapoamilishwa, eneo la data hubadilika. Kwa hiyo, ikiwa katika kifaa cha kawaida cha simu kinachoendesha data ya mtumiaji wa Android OS huhifadhiwa kwenye saraka '/data/mtumiaji/0/' (ambayo ni kumbukumbu ya kawaida '/data/data/'), kisha katika data ya maombi ya nafasi ya pili ya kazi huhifadhiwa kwenye saraka '/data/mtumiaji/10/'. Hiyo ni, kwa kutumia mfano wa eneo la faili 'wa.db':
- katika simu mahiri ya kawaida inayoendesha Android OS: /data/user/0/com.whatsapp/databases/wa.db' (ambayo ni sawa '/data/data/com.whatsapp/databases/wa.db');
- katika nafasi ya pili ya kazi ya simu mahiri ya Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.
Vizalia vya programu vya WhatsApp kwenye kifaa cha iOS
Tofauti na Mfumo wa Uendeshaji wa Android, katika iOS data ya programu ya WhatsApp huhamishiwa kwenye nakala ya chelezo (chelezo ya iTunes). Kwa hivyo, kutoa data kutoka kwa programu hii hakuhitaji kutoa mfumo wa faili au kuunda utupaji wa kumbukumbu ya kifaa kinachochunguzwa. Habari nyingi muhimu ziko kwenye hifadhidata 'ChatStorage.sqlite', ambayo iko kando ya njia: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (katika programu zingine njia hii inaonekana kama 'AppDomainGroup-group.net.whatsapp.WhatsApp.imeshirikiwa').
Muundo 'ChatStorage.sqlite':
Majedwali yenye taarifa zaidi katika hifadhidata ya 'ChatStorage.sqlite' ni 'ZWAMESSAGE' ΠΈ 'ZWAMEDIAITEM'.
Muonekano wa meza 'ZWAMESSAGE':
Muundo wa jedwali 'ZWAMESSAGE'
Jina la shamba | Thamani |
---|---|
Z_PK | nambari ya mlolongo wa rekodi (katika jedwali la SQL) |
Z_ENT | kitambulisho cha jedwali, kina thamani '9' |
Z_OPT | haijulikani, kwa kawaida huwa na thamani kutoka '1' hadi '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | haijulikani, kwa kawaida huwa na thamani '0' |
ZCHILDMESSAGESPLAYEDCOUNT | haijulikani, kwa kawaida huwa na thamani '0' |
ZCHILDMESSAGESREADCOUNT | haijulikani, kwa kawaida huwa na thamani '0' |
ZDATAITEMVERSION | haijulikani, kwa kawaida huwa na thamani '3', pengine kiashiria cha ujumbe wa maandishi |
ZDOCID | haijulikani |
ZENCRETRYCOUNT | haijulikani, kwa kawaida huwa na thamani '0' |
ZFILTEREDRECIPIENTCOUNT | haijulikani, kwa kawaida huwa na maadili '0', '2', '256' |
ZISFROMME | mwelekeo wa ujumbe: '0' - zinazoingia, '1' - zinazotoka |
ZMESSAGEERRORSATUS | hali ya uwasilishaji wa ujumbe. Ikiwa ujumbe umetumwa/kupokelewa, basi una thamani ya '0' |
ZMESSAGETYPE | aina ya ujumbe unaotumwa |
ZSORT | haijulikani |
ZSPOTLIGHTATUS | haijulikani |
ZSTARRED | haijulikani, haitumiki |
ZCHATSESSION | haijulikani |
ZGROUPMEMBER | haijulikani, haitumiki |
ZLASTSESSION | haijulikani |
ZMEDIAITEM | haijulikani |
ZMESSAGEINFO | haijulikani |
ZPARENTMESSAGE | haijulikani, haitumiki |
ZMESSAGEDATE | muhuri wa wakati katika umbizo la Saa ya OS X Epoch |
ZSENTDATE | wakati ujumbe ulitumwa katika umbizo la Muda wa OS X Epoch |
ZFROMJID | Kitambulisho cha Mtumaji wa WhatsApp |
ZMEDIASECTIONID | ina mwaka na mwezi faili ya midia ilitumwa |
ZPHASH | haijulikani, haitumiki |
ZPUSHPAME | jina la mwasiliani aliyetuma faili ya midia katika umbizo la UTF-8 |
ZSTANZID | kitambulisho cha kipekee cha ujumbe |
ZTEXT | Nakala ya ujumbe |
ZTOJID | Kitambulisho cha WhatsApp cha mpokeaji |
Kukabiliana | upendeleo |
Muonekano wa meza 'ZWAMEDIAITEM':
Muundo wa jedwali 'ZWAMEDIAITEM'
Jina la shamba | Thamani |
---|---|
Z_PK | nambari ya mlolongo wa rekodi (katika jedwali la SQL) |
Z_ENT | kitambulisho cha jedwali, kina thamani '8' |
Z_OPT | haijulikani, kwa kawaida huwa na thamani kutoka '1' hadi '3'. |
ZCLOUDSTATUS | ina thamani '4' ikiwa faili imepakiwa. |
ZFILESIZE | ina urefu wa faili (katika baiti) kwa faili zilizopakuliwa |
ZMEDIAORIGIN | haijulikani, kwa kawaida huwa na thamani '0' |
ZMOVIEDURATION | muda wa faili ya media, kwa faili za pdf zinaweza kuwa na idadi ya kurasa za hati |
ZMESSAGE | ina nambari ya mfululizo (nambari hiyo ni tofauti na ile iliyoonyeshwa kwenye safu wima ya 'Z_PK') |
ZASPECTRATIO | uwiano wa kipengele, haujatumika, kawaida huwekwa kuwa '0' |
ZHACCURACY | haijulikani, kwa kawaida huwa na thamani '0' |
ZLATTITUDE | upana katika saizi |
ZLONGTITUDE | urefu katika saizi |
ZMEDIAURLDATE | muhuri wa wakati katika umbizo la Saa ya OS X Epoch |
ZAUTHORNAME | mwandishi (kwa hati, inaweza kuwa na jina la faili) |
ZCOLLECTIONNAME | haijatumika |
ZMEDIALOCALPATH | jina la faili (pamoja na njia) kwenye mfumo wa faili wa kifaa |
ZMEDIAURL | URL ambapo faili ya midia ilipatikana. Ikiwa faili ilihamishwa kutoka kwa mteja mmoja hadi mwingine, ilisimbwa kwa njia fiche na kiendelezi chake kitaonyeshwa kama kiendelezi cha faili iliyohamishwa - .enc. |
ZTHUMBNAILLOCALPATH | njia ya kijipicha cha faili kwenye mfumo wa faili wa kifaa |
ZTITLE | kichwa cha faili |
ZVCARDNAME | heshi ya faili ya midia; wakati wa kuhamisha faili kwa kikundi, inaweza kuwa na kitambulisho cha mtumaji |
ZVCARDSTRING | ina maelezo kuhusu aina ya faili inayohamishwa (kwa mfano, picha/jpeg); wakati wa kuhamisha faili kwa kikundi, inaweza kuwa na kitambulisho cha mpokeaji. |
ZXMPPTHUMBPATH | njia ya kijipicha cha faili kwenye mfumo wa faili wa kifaa |
ZMEDIAKEY | haijulikani, labda ina ufunguo wa kusimbua faili iliyosimbwa. |
ZMETADATA | metadata ya ujumbe uliotumwa |
Offset | upendeleo |
Meza zingine za hifadhidata za kuvutia 'ChatStorage.sqlite' ni:
- 'ZWAPROFILEPUSHNAME'. Inalingana na Kitambulisho cha WhatsApp na jina la mwasiliani;
- 'ZWAPROFILEPICTUREITEM'. Inalingana na Kitambulisho cha WhatsApp na avatar ya anwani;
- 'Z_PRIMARYKEY'. Jedwali lina maelezo ya jumla kuhusu hifadhidata hii, kama vile jumla ya idadi ya ujumbe uliohifadhiwa, jumla ya idadi ya gumzo, n.k.
Pia, wakati wa kukagua WhatsApp kwenye kifaa cha rununu kinachoendesha iOS, unapaswa kuzingatia faili zifuatazo:
- file 'BackedUpKeyValue.sqlite'. Ina funguo za siri na data nyingine ambayo ni muhimu ili kutambua mmiliki wa akaunti. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'ContactsV2.sqlite'. Ina maelezo kuhusu anwani za mtumiaji, kama vile jina kamili, nambari ya simu, hali ya mawasiliano (katika fomu ya maandishi), Kitambulisho cha WhatsApp, n.k. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'toleo_la_mtumiaji'. Ina nambari ya toleo la programu iliyosakinishwa ya WhatsApp. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- file 'current_wallpaper.jpg'. Ina mandhari ya sasa ya mandharinyuma ya WhatsApp. Iko kando ya njia: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Matoleo ya zamani ya programu hutumia faili 'ukuta', ambayo iko kando ya njia: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- file 'blockedcontacts.dat'. Ina maelezo kuhusu anwani zilizozuiwa. Iko kando ya njia: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- file 'pw.dat'. Ina nenosiri lililosimbwa. Iko kando ya njia: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- file 'net.whatsapp.WhatsApp.plist' (au faili 'group.net.whatsapp.WhatsApp.shared.plist') Ina maelezo kuhusu wasifu wa akaunti yako ya WhatsApp. Faili iko kando ya njia: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
Yaliyomo kwenye faili 'group.net.whatsapp.WhatsApp.shared.plist'
Pia unahitaji kulipa kipaumbele kwa saraka zifuatazo:
- Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Ina vijipicha vya anwani, vikundi (faili zilizo na kiendelezi .kidole gumba), avatar za mawasiliano, avatar ya mmiliki wa akaunti ya WhatsApp (faili 'Picha.jpg').
- Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Ina faili za media titika na vijipicha vyake
- Mbinu '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Ina logi ya uendeshaji wa programu (faili 'calls.log') na nakala za chelezo za magogo ya uendeshaji wa programu (faili 'calls.backup.log').
- Mbinu '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Ina vibandiko (faili katika umbizo '.webp').
- Mbinu '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Ina kumbukumbu za uendeshaji wa programu.
Vizalia vya programu vya WhatsApp kwenye Windows
Vizalia vya WhatsApp kwenye Windows vinaweza kupatikana katika sehemu kadhaa. Kwanza kabisa, hizi ni saraka zilizo na faili za programu zinazoweza kutekelezwa na za ziada (kwa Windows 8/10):
- 'C:Faili za Programu (x86)WhatsApp'
- 'C:Watumiaji%Wasifu wa mtumiaji% AppDataLocalWhatsApp'
- 'C:Watumiaji%Wasifu wa Mtumiaji% Faili za Programu za AppDataLocalVirtualStore (x86)WhatsApp'
Katika orodha 'C:Watumiaji%Wasifu wa mtumiaji% AppDataLocalWhatsApp' faili ya logi iko 'SquirrelSetup.log', ambayo ina habari kuhusu kuangalia kwa sasisho na kusakinisha programu.
Katika orodha 'C:Watumiaji%Wasifu wa mtumiaji% AppDataRoamingWhatsApp' Kuna subdirectories kadhaa:
file 'main-process.log' ina habari kuhusu uendeshaji wa programu ya WhatsApp.
Orodha ndogo 'database' ina faili 'Databases.db', lakini faili hii haina taarifa yoyote kuhusu gumzo au waasiliani.
Ya kuvutia zaidi kutoka kwa mtazamo wa uchunguzi wa mahakama ni faili ziko kwenye saraka 'Cache'. Hizi kimsingi ni faili zilizopewa jina 'f_*******' (ambapo * ni nambari kutoka 0 hadi 9) iliyo na faili na hati za media titika zilizosimbwa, lakini pia kuna faili ambazo hazijasimbwa kati yao. Ya riba hasa ni faili 'data_0', 'data_1', 'data_2', 'data_3', iliyoko katika saraka ndogo sawa. Mafaili 'data_0', 'data_1', 'data_3' vyenye viungo vya nje vya faili na hati za midia iliyosimbwa kwa njia fiche.
Mfano wa maelezo yaliyomo kwenye faili 'data_1'
Pia faili 'data_3' inaweza kuwa na faili za picha.
file 'data_2' ina avatari za mawasiliano (inaweza kurejeshwa kwa kutafuta na vichwa vya faili).
Ishara zilizomo kwenye faili 'data_2':
Kwa hivyo, mazungumzo yenyewe hayawezi kupatikana kwenye kumbukumbu ya kompyuta, lakini unaweza kupata:
- faili za multimedia;
- hati zinazopitishwa kupitia WhatsApp;
- habari kuhusu anwani za mmiliki wa akaunti.
Mabaki ya WhatsApp kwenye MacOS
Katika MacOS unaweza kupata aina za mabaki ya WhatsApp sawa na yale yanayopatikana kwenye Windows OS.
Faili za programu ziko katika saraka zifuatazo:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Users%Profaili ya Mtumiaji%LibraryPreferences'
- 'C:Watumiaji%Wasifu wa mtumiaji%LibraryLogsWhatsApp'
- 'C:Watumiaji%Wasifu wa Mtumiaji%Jimbo la Programu IliyohifadhiwaMaktabaWhatsApp.savedState'
- 'C:Users%Profaili ya Mtumiaji%Hati za Maombi ya Maktaba'
- 'C:Watumiaji%Wasifu wa Mtumiaji%LibraryApplication SupportCloudDocs'
- 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsApp.ShipIt'
- 'C:Watumiaji%Wasifu wa mtumiaji%LibraryContainerscom.rockysandstudio.programu-ya-whatsapp'
- 'C:Users%Profaili ya Mtumiaji% Hati za Simu ya Maktaba <text variable> Akaunti za WhatsApp'
Saraka hii ina saraka ndogo ambazo majina yake ni nambari za simu zinazohusiana na mmiliki wa akaunti ya WhatsApp. - 'C:Watumiaji%Wasifu wa mtumiaji%LibraryCachesWhatsApp.ShipIt'
Saraka hii ina habari kuhusu kusakinisha programu. - 'C:Watumiaji%Wasifu wa mtumiaji%PicturesiPhoto Library.photolibraryMasters', 'C:Watumiaji%Wasifu wa mtumiaji%PicturesiPhoto Library.pichaPichaPicha'
Saraka hizi zina faili za huduma za programu, ikijumuisha picha na vijipicha vya anwani za WhatsApp. - 'C:Watumiaji%Wasifu wa mtumiaji%LibraryCachesWhatsApp'
Saraka hii ina hifadhidata kadhaa za SQLite ambazo hutumiwa kwa uhifadhi wa data. - 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsApp'
Saraka hii ina saraka ndogo kadhaa:
Katika orodha 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsAppCache' kuna faili 'data_0', 'data_1', 'data_2', 'data_3' na faili zilizo na majina 'f_*******' (ambapo * ni nambari kutoka 0 hadi 9). Kwa habari kuhusu taarifa ambazo faili hizi zina, angalia Viunzi vya WhatsApp kwenye Windows.Katika orodha 'C:Watumiaji%Wasifu wa Mtumiaji%Msaada wa Maombi ya MaktabaWhatsAppIndexedDB' inaweza kuwa na faili za media titika (faili hazina viendelezi).
file 'main-process.log' ina habari kuhusu uendeshaji wa programu ya WhatsApp.
Vyanzo
- Uchambuzi wa kitaalamu wa WhatsApp Messenger kwenye simu mahiri za Android, na Cosimo Anglano, 2014.
- Uchunguzi wa Uchunguzi wa Whatsapp: Mfumo wa Utafutaji na uundaji wa data ya msingi kwa programu ya Android na iOS na Ahmad Pratama, 2014.
Katika makala zifuatazo katika mfululizo huu:
Usimbuaji wa hifadhidata zilizosimbwa za WhatsAppMakala ambayo yatatoa maelezo kuhusu jinsi ufunguo wa usimbaji fiche wa WhatsApp unavyotolewa na mifano ya vitendo inayoonyesha jinsi ya kusimbua hifadhidata zilizosimbwa za programu hii.
Inatoa data ya WhatsApp kutoka kwa hifadhi ya winguNakala ambayo tutakuambia ni data gani ya WhatsApp iliyohifadhiwa kwenye mawingu na kuelezea njia za kupata data hii kutoka kwa hifadhi za wingu.
Uchimbaji wa Data ya WhatsApp: Mifano VitendoNakala ambayo itaelezea hatua kwa hatua ni programu gani na jinsi ya kutoa data ya WhatsApp kutoka kwa vifaa anuwai.
Chanzo: mapenzi.com