ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

మీరు వివిధ ఆపరేటింగ్ సిస్టమ్‌లలో ఏ రకమైన వాట్సాప్ ఫోరెన్సిక్ కళాఖండాలు ఉన్నాయి మరియు అవి ఖచ్చితంగా ఎక్కడ దొరుకుతాయో తెలుసుకోవాలనుకుంటే, ఇది మీ కోసం స్థలం. ఈ కథనం గ్రూప్-IB కంప్యూటర్ ఫోరెన్సిక్స్ లాబొరేటరీలోని నిపుణుడి నుండి ఇగోర్ మిఖైలోవ్ WhatsApp ఫోరెన్సిక్స్ గురించి పోస్ట్‌ల శ్రేణిని ప్రారంభిస్తుంది మరియు పరికరాన్ని విశ్లేషించడం ద్వారా ఏ సమాచారాన్ని పొందవచ్చు.

వేర్వేరు ఆపరేటింగ్ సిస్టమ్‌లు వివిధ రకాల WhatsApp కళాఖండాలను నిల్వ చేస్తున్నాయని మరియు ఒక పరిశోధకుడు ఒక పరికరం నుండి నిర్దిష్ట రకాల WhatsApp డేటాను సంగ్రహించగలిగితే, మరొక పరికరం నుండి సారూప్య డేటాను సంగ్రహించవచ్చని దీని అర్థం కాదు. ఉదాహరణకు, Windows OSలో నడుస్తున్న సిస్టమ్ యూనిట్ తీసివేయబడితే, WhatsApp చాట్‌లు బహుశా దాని డిస్క్‌లలో కనుగొనబడవు (iOS పరికరాల బ్యాకప్ కాపీలు మినహా, అదే డ్రైవ్‌లలో కనుగొనవచ్చు). ల్యాప్‌టాప్‌లు మరియు మొబైల్ పరికరాల స్వాధీనం దాని స్వంత లక్షణాలను కలిగి ఉంటుంది. దీని గురించి మరింత వివరంగా మాట్లాడుదాం.

Android పరికరంలో WhatsApp కళాఖండాలు

Android పరికరం నుండి WhatsApp కళాఖండాలను సేకరించేందుకు, పరిశోధకుడు తప్పనిసరిగా సూపర్‌యూజర్ హక్కులను కలిగి ఉండాలి ('రూట్') అధ్యయనంలో ఉన్న పరికరంలో లేదా పరికరం యొక్క మెమరీ లేదా దాని ఫైల్ సిస్టమ్ (ఉదాహరణకు, నిర్దిష్ట మొబైల్ పరికరం యొక్క సాఫ్ట్‌వేర్ దుర్బలత్వాలను ఉపయోగించడం) యొక్క భౌతిక డంప్‌ను సంగ్రహించవచ్చు.

వినియోగదారు డేటా సేవ్ చేయబడిన విభాగంలో అప్లికేషన్ ఫైల్‌లు ఫోన్ మెమరీలో ఉన్నాయి. నియమం ప్రకారం, ఈ విభాగం పేరు పెట్టబడింది 'userdata'. ఉప డైరెక్టరీలు మరియు ప్రోగ్రామ్ ఫైల్‌లు మార్గం వెంట ఉన్నాయి: '/data/data/com.whatsapp/'.

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
Android OSలో WhatsApp ఫోరెన్సిక్ కళాఖండాలను కలిగి ఉన్న ప్రధాన ఫైల్‌లు డేటాబేస్‌లు 'wa.db' и 'msgstore.db'.

డేటాబేస్లో 'wa.db' ఫోన్ నంబర్, డిస్‌ప్లే పేరు, టైమ్‌స్టాంప్‌లు మరియు WhatsApp కోసం రిజిస్టర్ చేసేటప్పుడు అందించబడిన ఏదైనా ఇతర సమాచారంతో సహా WhatsApp వినియోగదారు యొక్క పూర్తి సంప్రదింపు జాబితాను కలిగి ఉంటుంది. ఫైల్ 'wa.db' మార్గం వెంట ఉంది: '/data/data/com.whatsapp/databases/' మరియు క్రింది నిర్మాణాన్ని కలిగి ఉంది:

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
డేటాబేస్లో అత్యంత ఆసక్తికరమైన పట్టికలు 'wa.db' పరిశోధకుడి కోసం:

  • 'wa_contacts'
    ఈ పట్టికలో సంప్రదింపు సమాచారం ఉంది: WhatsApp సంప్రదింపు ఐడి, స్థితి సమాచారం, వినియోగదారు ప్రదర్శన పేరు, టైమ్‌స్టాంప్‌లు మొదలైనవి.

    పట్టిక ప్రదర్శన:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
    టేబుల్ నిర్మాణం

    క్షేత్రనామం విలువ
    _id రికార్డ్ సీక్వెన్స్ నంబర్ (SQL పట్టికలో)
    జిడ్ WhatsApp కాంటాక్ట్ ID, <phone number>@s.whatsapp.net ఫార్మాట్‌లో వ్రాయబడింది
    వాట్సాప్_యూజర్ పరిచయం వాస్తవ WhatsApp వినియోగదారుకు అనుగుణంగా ఉంటే '1' కలిగి ఉంటుంది, లేకపోతే '0'
    స్థితి సంప్రదింపు స్థితిలో ప్రదర్శించబడే వచనాన్ని కలిగి ఉంటుంది
    స్థితి_సమయ ముద్ర Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంది
    సంఖ్య పరిచయంతో అనుబంధించబడిన ఫోన్ నంబర్
    రా_కాంటాక్ట్_ఐడి క్రమ సంఖ్యను సంప్రదించండి
    ప్రదర్శన_పేరు పరిచయం ప్రదర్శన పేరు
    ఫోన్_రకం ఫోన్ రకం
    ఫోన్_లేబుల్ సంప్రదింపు నంబర్‌తో అనుబంధించబడిన లేబుల్
    unseen_msg_count పరిచయం ద్వారా పంపబడిన సందేశాల సంఖ్య, కానీ స్వీకర్త చదవలేదు
    ఫోటో_టి Unix Epoch టైమ్ ఫార్మాట్‌లో టైమ్‌స్టాంప్ ఉంది
    thumb_ts Unix Epoch టైమ్ ఫార్మాట్‌లో టైమ్‌స్టాంప్ ఉంది
    ఫోటో_ఐడి_టైమ్‌స్టాంప్ Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంది
    ఇచ్చిన పేరు ఫీల్డ్ విలువ ప్రతి పరిచయానికి 'display_name'తో సరిపోతుంది
    వా_పేరు WhatsApp సంప్రదింపు పేరు (పరిచయం యొక్క ప్రొఫైల్‌లో పేర్కొన్న పేరు ప్రదర్శించబడుతుంది)
    క్రమబద్ధీకరించు_పేరు క్రమబద్ధీకరణ కార్యకలాపాలలో ఉపయోగించే సంప్రదింపు పేరు
    మారుపేరు WhatsAppలో పరిచయం యొక్క మారుపేరు (పరిచయం యొక్క ప్రొఫైల్‌లో పేర్కొన్న మారుపేరు ప్రదర్శించబడుతుంది)
    కంపెనీ కంపెనీ (పరిచయం యొక్క ప్రొఫైల్‌లో పేర్కొన్న కంపెనీ ప్రదర్శించబడుతుంది)
    టైటిల్ శీర్షిక (Ms./Mr.; సంప్రదింపు ప్రొఫైల్‌లో కాన్ఫిగర్ చేయబడిన శీర్షిక ప్రదర్శించబడుతుంది)
    ఆఫ్సెట్ పక్షపాతం
  • 'sqlite_sequence'
    ఈ పట్టిక పరిచయాల సంఖ్య గురించి సమాచారాన్ని కలిగి ఉంది;
  • 'ఆండ్రాయిడ్_మెటాడేటా'
    ఈ పట్టికలో WhatsApp భాష స్థానికీకరణ గురించి సమాచారం ఉంది.

డేటాబేస్లో 'msgstore.db' సంప్రదింపు నంబర్, సందేశ వచనం, సందేశ స్థితి, టైమ్‌స్టాంప్‌లు, సందేశాలలో చేర్చబడిన బదిలీ చేయబడిన ఫైల్‌ల వివరాలు మొదలైన పంపిన సందేశాల గురించిన సమాచారాన్ని కలిగి ఉంటుంది. ఫైల్ 'msgstore.db' మార్గం వెంట ఉంది: '/data/data/com.whatsapp/databases/' మరియు క్రింది నిర్మాణాన్ని కలిగి ఉంది:

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
ఫైల్‌లోని అత్యంత ఆసక్తికరమైన పట్టికలు 'msgstore.db' పరిశోధకుడి కోసం:

  • 'sqlite_sequence'
    ఈ పట్టికలో నిల్వ చేయబడిన మొత్తం సందేశాల సంఖ్య, మొత్తం చాట్‌ల సంఖ్య మొదలైన ఈ డేటాబేస్ గురించిన సాధారణ సమాచారం ఉంటుంది.

    పట్టిక ప్రదర్శన:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

  • 'message_fts_content'
    పంపిన సందేశాల వచనాన్ని కలిగి ఉంటుంది.

    పట్టిక ప్రదర్శన:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

  • 'సందేశాలు'
    ఈ పట్టికలో సంప్రదింపు నంబర్, సందేశ వచనం, సందేశ స్థితి, టైమ్‌స్టాంప్‌లు, సందేశాలలో చేర్చబడిన బదిలీ చేయబడిన ఫైల్‌ల గురించి సమాచారం వంటి సమాచారం ఉంటుంది.

    పట్టిక ప్రదర్శన:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
    టేబుల్ నిర్మాణం

    క్షేత్రనామం విలువ
    _id రికార్డ్ సీక్వెన్స్ నంబర్ (SQL పట్టికలో)
    కీ_రిమోట్_జిడ్ కమ్యూనికేషన్ భాగస్వామి యొక్క WhatsApp ID
    నా నుండి_కీ సందేశం దిశ: '0' - ఇన్‌కమింగ్, '1' - అవుట్‌గోయింగ్
    కీ_ఐడి ప్రత్యేక సందేశ ఐడెంటిఫైయర్
    స్థితి సందేశ స్థితి: '0' – డెలివరీ చేయబడింది, '4' - సర్వర్‌లో వేచి ఉంది, '5' - గమ్యస్థానంలో స్వీకరించబడింది, '6' - నియంత్రణ సందేశం, '13' - గ్రహీత ద్వారా తెరవబడిన సందేశం (చదవండి)
    అవసరం_పుష్ ప్రసార సందేశం అయితే '2' విలువను కలిగి ఉంటుంది, లేకపోతే '0' ఉంటుంది
    సమాచారం సందేశ వచనం ('media_wa_type' పరామితి '0' అయినప్పుడు)
    స్టాంప్ Unix Epoch Time (ms) ఫార్మాట్‌లో టైమ్‌స్టాంప్ ఉంది, విలువ పరికరం గడియారం నుండి తీసుకోబడింది
    media_url బదిలీ చేయబడిన ఫైల్ యొక్క URLని కలిగి ఉంటుంది ('media_wa_type' పరామితి '1', '2', '3' అయినప్పుడు)
    మీడియా_మైమ్_రకం బదిలీ చేయబడిన ఫైల్ యొక్క MIME రకం ('media_wa_type' పరామితి '1', '2', '3'కి సమానంగా ఉన్నప్పుడు)
    మీడియా_వా_టైప్ సందేశ రకం: '0' - టెక్స్ట్, '1' - గ్రాఫిక్ ఫైల్, '2' - ఆడియో ఫైల్, '3' - వీడియో ఫైల్, '4' - కాంటాక్ట్ కార్డ్, '5' - జియోడేటా
    మాధ్యమం_పరిమాణం బదిలీ చేయబడిన ఫైల్ పరిమాణం ('media_wa_type' పరామితి '1', '2', '3' అయినప్పుడు)
    మీడియా_పేరు బదిలీ చేయబడిన ఫైల్ పేరు ('media_wa_type' పరామితి '1', '2', '3' అయినప్పుడు)
    మీడియా_శీర్షిక 'media_wa_type' పరామితి యొక్క సంబంధిత విలువల కోసం 'ఆడియో', 'వీడియో' పదాలను కలిగి ఉంటుంది ('media_wa_type' పరామితి '1', '3' అయినప్పుడు)
    మీడియా_హాష్ ప్రసారం చేయబడిన ఫైల్ యొక్క బేస్64 ఎన్‌కోడ్ చేసిన హాష్, HAS-256 అల్గోరిథం ఉపయోగించి లెక్కించబడుతుంది ('media_wa_type' పరామితి '1', '2', '3'కి సమానంగా ఉన్నప్పుడు)
    మీడియా_వ్యవధి మీడియా ఫైల్ కోసం సెకన్లలో వ్యవధి ('media_wa_type' '1', '2', '3' అయినప్పుడు)
    మూలం ప్రసార సందేశం అయితే '2' విలువను కలిగి ఉంటుంది, లేకపోతే '0' ఉంటుంది
    అక్షాంశం జియోడేటా: అక్షాంశం ('media_wa_type' పరామితి '5' అయినప్పుడు)
    రేఖాంశం జియోడేటా: రేఖాంశం ('media_wa_type' పరామితి '5' అయినప్పుడు)
    thumb_image సేవ సమాచారం
    రిమోట్_రిసోర్స్ పంపినవారి ID (సమూహ చాట్‌ల కోసం మాత్రమే)
    అందుకున్న_సమయ ముద్ర రసీదు సమయం, Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంటుంది, విలువ పరికరం గడియారం నుండి తీసుకోబడుతుంది ('key_from_me' పరామితి '0', '-1' లేదా ఇతర విలువను కలిగి ఉన్నప్పుడు)
    పంపండి_సమయ ముద్ర ఉపయోగించబడదు, సాధారణంగా '-1' విలువను కలిగి ఉంటుంది
    రసీదు_సర్వర్_టైమ్‌స్టాంప్ సెంట్రల్ సర్వర్ ద్వారా స్వీకరించబడిన సమయం, Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంటుంది, విలువ పరికరం గడియారం నుండి తీసుకోబడుతుంది ('key_from_me' పరామితి '1', '-1' లేదా ఇతర విలువను కలిగి ఉన్నప్పుడు
    రసీదు_డివైస్_టైమ్‌స్టాంప్ సందేశాన్ని మరొక చందాదారు స్వీకరించిన సమయం, Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంటుంది, విలువ పరికరం గడియారం నుండి తీసుకోబడుతుంది ('key_from_me' పరామితి '1', '-1' లేదా మరొక విలువను కలిగి ఉన్నప్పుడు
    రీడ్_డివైస్_టైమ్‌స్టాంప్ సందేశాన్ని తెరిచే సమయం (పఠనం), Unix Epoch Time (ms) ఫార్మాట్‌లో టైమ్‌స్టాంప్ కలిగి ఉంటుంది, విలువ పరికరం గడియారం నుండి తీసుకోబడుతుంది
    ప్లేడ్_డివైస్_టైమ్‌స్టాంప్ సందేశ ప్లేబ్యాక్ సమయం, Unix Epoch Time (ms) ఆకృతిలో టైమ్‌స్టాంప్‌ను కలిగి ఉంది, విలువ పరికరం గడియారం నుండి తీసుకోబడింది
    ముడి సమాచారం బదిలీ చేయబడిన ఫైల్ యొక్క సూక్ష్మచిత్రం ('media_wa_type' పరామితి '1' లేదా '3' అయినప్పుడు)
    గ్రహీత_గణన గ్రహీతల సంఖ్య (ప్రసార సందేశాల కోసం)
    పార్టిసిపెంట్_హాష్ జియోడేటాతో సందేశాలను ప్రసారం చేసేటప్పుడు ఉపయోగించబడుతుంది
    నటించింది ఉపయోగం లో లేదు
    quoted_row_id తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
    పేర్కొన్న_జిడ్స్ ఉపయోగం లో లేదు
    multicast_id ఉపయోగం లో లేదు
    ఆఫ్సెట్ పక్షపాతం

    ఈ ఫీల్డ్‌ల జాబితా సమగ్రమైనది కాదు. WhatsApp యొక్క విభిన్న సంస్కరణల కోసం, కొన్ని ఫీల్డ్‌లు ఉండవచ్చు లేదా లేకపోవచ్చు. అదనంగా, ఫీల్డ్‌లు ఉండవచ్చు 'media_enc_hash', 'edit_version', 'చెల్లింపు_లావాదేవీ_ఐడి' మరియు అందువలన న.

  • 'messages_thumbnails'
    ఈ పట్టిక బదిలీ చేయబడిన చిత్రాలు మరియు సమయముద్రల గురించిన సమాచారాన్ని కలిగి ఉంది. 'టైమ్‌స్టాంప్' కాలమ్‌లో, సమయం Unix Epoch Time (ms) ఆకృతిలో సూచించబడుతుంది.
  • 'chat_list'
    ఈ పట్టికలో చాట్‌ల గురించిన సమాచారం ఉంది.

    పట్టిక ప్రదర్శన:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

అలాగే, Android నడుస్తున్న మొబైల్ పరికరంలో WhatsAppని పరిశీలిస్తున్నప్పుడు, మీరు ఈ క్రింది ఫైల్‌లకు శ్రద్ధ వహించాలి:

  • ఫైలు 'msgstore.db.cryptXX' (ఇక్కడ XX అనేది 0 నుండి 12 వరకు ఒకటి లేదా రెండు అంకెలు, ఉదాహరణకు, msgstore.db.crypt12). WhatsApp సందేశాల ఎన్‌క్రిప్టెడ్ బ్యాకప్‌ను కలిగి ఉంటుంది (బ్యాకప్ ఫైల్ msgstore.db) ఫైళ్లు) 'msgstore.db.cryptXX' మార్గం వెంట ఉంది: '/data/media/0/WhatsApp/డేటాబేస్/' (వర్చువల్ SD కార్డ్), '/mnt/sdcard/WhatsApp/డేటాబేస్‌లు/ (భౌతిక SD కార్డ్)'.
  • ఫైలు 'కీ'. క్రిప్టోగ్రాఫిక్ కీని కలిగి ఉంటుంది. మార్గం వెంట ఉంది: '/data/data/com.whatsapp/files/'. గుప్తీకరించిన WhatsApp బ్యాకప్‌లను డీక్రిప్ట్ చేయడానికి ఉపయోగించబడుతుంది.
  • ఫైలు 'com.whatsapp_preferences.xml'. మీ WhatsApp ఖాతా ప్రొఫైల్ గురించి సమాచారాన్ని కలిగి ఉంటుంది. ఫైల్ మార్గం వెంట ఉంది: '/data/data/com.whatsapp/shared_prefs/'.

    ఫైల్ కంటెంట్ ఫ్రాగ్మెంట్

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • ఫైలు 'registration.RegisterPhone.xml'. WhatsApp ఖాతాతో అనుబంధించబడిన ఫోన్ నంబర్ గురించి సమాచారాన్ని కలిగి ఉంటుంది. ఫైల్ మార్గం వెంట ఉంది: '/data/data/com.whatsapp/shared_prefs/'.

    ఫైల్ కంటెంట్‌లు 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • ఫైలు 'axolotl.db'. ఖాతా యజమానిని గుర్తించడానికి అవసరమైన క్రిప్టోగ్రాఫిక్ కీలు మరియు ఇతర డేటాను కలిగి ఉంటుంది. మార్గం వెంట ఉంది: '/data/data/com.whatsapp/databases/'.
  • ఫైలు 'chatsettings.db'. అప్లికేషన్ కాన్ఫిగరేషన్ సమాచారాన్ని కలిగి ఉంది.
  • ఫైలు 'wa.db'. సంప్రదింపు వివరాలను కలిగి ఉంది. చాలా ఆసక్తికరమైన (ఫోరెన్సిక్ కోణం నుండి) మరియు సమాచార డేటాబేస్. ఇది తొలగించబడిన పరిచయాల గురించి వివరణాత్మక సమాచారాన్ని కలిగి ఉంటుంది.

మీరు ఈ క్రింది డైరెక్టరీలకు కూడా శ్రద్ధ వహించాలి:

  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp చిత్రాలు/'. బదిలీ చేయబడిన గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp వాయిస్ నోట్స్/'. .OPUS ఫార్మాట్ ఫైల్‌లలో వాయిస్ సందేశాలను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/data/com.whatsapp/cache/Profile Pictures/'. గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది - పరిచయాల చిత్రాలు.
  • డైరెక్టరీ '/data/data/com.whatsapp/files/Avatars/'. గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంది - పరిచయాల సూక్ష్మచిత్ర చిత్రాలు. ఈ ఫైల్‌లు '.j' పొడిగింపును కలిగి ఉన్నాయి, అయితే JPEG (JPG) ఇమేజ్ ఫైల్‌లు.
  • డైరెక్టరీ '/data/data/com.whatsapp/files/Avatars/'. గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది - ఖాతా యజమాని అవతార్‌గా సెట్ చేసిన చిత్రం యొక్క చిత్రం మరియు సూక్ష్మచిత్రం.
  • డైరెక్టరీ '/data/data/com.whatsapp/files/Logs/'. ప్రోగ్రామ్ ఆపరేషన్ లాగ్ (ఫైల్ 'whatsapp.log') మరియు ప్రోగ్రామ్ ఆపరేషన్ లాగ్‌ల బ్యాకప్ కాపీలు (whatsapp-yyyy-mm-dd.1.log.gz ఫార్మాట్‌లో పేర్లతో ఫైల్‌లు) ఉన్నాయి.

WhatsApp లాగ్ ఫైల్స్:

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
జర్నల్ ఫ్రాగ్మెంట్2017-01-10 09:37:09.757 LL_I D [524:WhatsApp వర్కర్ #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp వర్కర్ #1] missedcallnotification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] పాస్‌వర్డ్ ఫైల్ లేదు లేదా చదవలేదు
2017-01-10 09:37:09.782 LL_I D [1:main] గణాంకాలు వచన సందేశాలు: 59 పంపబడ్డాయి, 82 స్వీకరించబడ్డాయి / మీడియా సందేశాలు: 1 పంపబడింది (0 బైట్లు), 0 స్వీకరించబడింది (9850158 బైట్లు) / ఆఫ్‌లైన్ సందేశాలు (అందుకున్నవి: 81 19522 msec సగటు ఆలస్యం) / సందేశ సేవ: 116075 బైట్‌లు పంపబడ్డాయి, 211729 బైట్‌లు స్వీకరించబడ్డాయి / Voip కాల్‌లు: 1 అవుట్‌గోయింగ్ కాల్‌లు, 0 ఇన్‌కమింగ్ కాల్‌లు, 2492 బైట్‌లు పంపబడ్డాయి, 1530 బైట్‌లు అందాయి / Google డ్రైవ్: 0 బైట్‌లు పంపబడ్డాయి, 0 బైట్‌లు అందాయి / రోమింగ్ 1524 బైట్‌లు పంపబడ్డాయి, 1826 బైట్‌లు స్వీకరించబడ్డాయి / మొత్తం డేటా: 118567 బైట్లు పంపబడ్డాయి, 10063417 బైట్‌లు స్వీకరించబడ్డాయి
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | గడిపిన సమయం: 8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp వర్కర్ #3] media-state-manager/refresh-media-state/internal-store available:1,345,622,016 మొత్తం:5,687,922,688

  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp ఆడియో/'. స్వీకరించిన ఆడియో ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp ఆడియో/పంపబడింది/'. పంపిన ఆడియో ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp చిత్రాలు/'. ఫలిత గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp చిత్రాలు/పంపబడిన/'. పంపిన గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp వీడియో/'. స్వీకరించిన వీడియో ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp వీడియో/పంపబడింది/'. పంపిన వీడియో ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ '/data/media/0/WhatsApp/Media/WhatsApp ప్రొఫైల్ ఫోటోలు/'. WhatsApp ఖాతా యజమానితో అనుబంధించబడిన గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది.
  • మీ ఆండ్రాయిడ్ స్మార్ట్‌ఫోన్‌లో మెమరీ స్థలాన్ని ఆదా చేయడానికి, కొంత WhatsApp డేటాను SD కార్డ్‌లో నిల్వ చేయవచ్చు. SD కార్డ్‌లో, రూట్ డైరెక్టరీలో, ఒక డైరెక్టరీ ఉంది 'వాట్సాప్', ఈ ప్రోగ్రామ్ యొక్క క్రింది కళాఖండాలను కనుగొనవచ్చు:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

  • డైరెక్టరీ '.షేర్' ('/mnt/sdcard/WhatsApp/.Share/') ఇతర WhatsApp వినియోగదారులతో భాగస్వామ్యం చేయబడిన ఫైల్‌ల కాపీలను కలిగి ఉంటుంది.
  • డైరెక్టరీ '.చెత్త' ('/mnt/sdcard/WhatsApp/.trash/') తొలగించిన ఫైల్‌లను కలిగి ఉంటుంది.
  • డైరెక్టరీ 'డేటాబేస్‌లు' ('/mnt/sdcard/WhatsApp/డేటాబేస్‌లు/') ఎన్‌క్రిప్టెడ్ బ్యాకప్‌లను కలిగి ఉంటుంది. ఫైల్ ఉన్నట్లయితే వాటిని డీక్రిప్ట్ చేయవచ్చు 'కీ', విశ్లేషించబడిన పరికరం యొక్క మెమరీ నుండి సంగ్రహించబడింది.

    ఫైల్‌లు సబ్ డైరెక్టరీలో ఉన్నాయి 'డేటాబేస్‌లు':

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?

  • డైరెక్టరీ 'సగం' ('/mnt/sdcard/WhatsApp/Media/') ఉప డైరెక్టరీలను కలిగి ఉంది 'వాల్‌పేపర్', 'వాట్సాప్ ఆడియో', 'వాట్సాప్ చిత్రాలు', 'WhatsApp ప్రొఫైల్ ఫోటోలు', 'వాట్సాప్ వీడియో', 'వాట్సాప్ వాయిస్ నోట్స్', అందుకున్న మరియు ప్రసారం చేయబడిన మల్టీమీడియా ఫైల్‌లు (గ్రాఫిక్స్ ఫైల్‌లు, వీడియో ఫైల్‌లు, వాయిస్ మెసేజ్‌లు, WhatsApp ఖాతా యజమాని ప్రొఫైల్‌తో అనుబంధించబడిన ఫోటోలు, వాల్‌పేపర్‌లు) కలిగి ఉంటాయి.
  • డైరెక్టరీ 'ప్రొఫైల్ పిక్చర్స్' ('/mnt/sdcard/WhatsApp/ప్రొఫైల్ పిక్చర్స్/') WhatsApp ఖాతా యజమాని ప్రొఫైల్‌తో అనుబంధించబడిన గ్రాఫిక్ ఫైల్‌లను కలిగి ఉంటుంది.
  • కొన్నిసార్లు SD కార్డ్‌లో డైరెక్టరీ ఉండవచ్చు 'ఫైళ్లు' ('/mnt/sdcard/WhatsApp/Files/') ఈ డైరెక్టరీ ప్రోగ్రామ్ సెట్టింగ్‌లు మరియు వినియోగదారు ప్రాధాన్యతలను నిల్వ చేసే ఫైల్‌లను కలిగి ఉంది.

మొబైల్ పరికరాల యొక్క కొన్ని మోడళ్లలో డేటా నిల్వ యొక్క లక్షణాలు

Android OSతో నడుస్తున్న మొబైల్ పరికరాల యొక్క కొన్ని మోడల్‌లు WhatsApp కళాఖండాలను వేరే ప్రదేశంలో నిల్వ చేయవచ్చు. మొబైల్ పరికరం యొక్క సిస్టమ్ సాఫ్ట్‌వేర్ ద్వారా అప్లికేషన్ డేటా నిల్వ స్థలంలో మార్పుల కారణంగా ఇది జరుగుతుంది. ఉదాహరణకు, Xiaomi మొబైల్ పరికరాలు రెండవ వర్క్‌స్పేస్ (“సెకండ్‌స్పేస్”) సృష్టించడానికి ఒక ఫంక్షన్‌ను కలిగి ఉన్నాయి. ఈ ఫంక్షన్ సక్రియం అయినప్పుడు, డేటా యొక్క స్థానం మారుతుంది. కాబట్టి, Android OS నడుస్తున్న సాధారణ మొబైల్ పరికరంలో వినియోగదారు డేటా డైరెక్టరీలో నిల్వ చేయబడితే '/data/user/0/' (ఇది సాధారణ సూచన '/data/data/'), తర్వాత రెండవ వర్క్‌స్పేస్ అప్లికేషన్ డేటా డైరెక్టరీలో నిల్వ చేయబడుతుంది '/data/user/10/'. అంటే, ఫైల్ స్థానం యొక్క ఉదాహరణను ఉపయోగించడం 'wa.db':

  • Android OSలో నడుస్తున్న సాధారణ స్మార్ట్‌ఫోన్‌లో: /data/user/0/com.whatsapp/databases/wa.db' (ఇది సమానమైనది '/data/data/com.whatsapp/databases/wa.db');
  • Xiaomi స్మార్ట్‌ఫోన్ యొక్క రెండవ కార్యస్థలంలో: '/data/user/10/com.whatsapp/databases/wa.db'.

iOS పరికరంలో WhatsApp కళాఖండాలు

Android OS వలె కాకుండా, iOS లో WhatsApp అప్లికేషన్ డేటా బ్యాకప్ కాపీకి (iTunes బ్యాకప్) బదిలీ చేయబడుతుంది. కాబట్టి, ఈ అప్లికేషన్ నుండి డేటాను సంగ్రహించడానికి ఫైల్ సిస్టమ్‌ను సంగ్రహించడం లేదా పరిశోధనలో ఉన్న పరికరం యొక్క భౌతిక మెమరీ డంప్‌ను సృష్టించడం అవసరం లేదు. సంబంధిత సమాచారం చాలా వరకు డేటాబేస్‌లో ఉంటుంది 'ChatStorage.sqlite', ఇది మార్గం వెంట ఉంది: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (కొన్ని ప్రోగ్రామ్‌లలో ఈ మార్గం ఇలా కనిపిస్తుంది 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

నిర్మాణం 'ChatStorage.sqlite':

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
'ChatStorage.sqlite' డేటాబేస్‌లోని అత్యంత సమాచార పట్టికలు 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

టేబుల్ ప్రదర్శన 'ZWAMESSAGE':

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
పట్టిక 'ZWAMESSAGE' నిర్మాణం

క్షేత్రనామం విలువ
Z_PK రికార్డ్ సీక్వెన్స్ నంబర్ (SQL పట్టికలో)
Z_ENT టేబుల్ ఐడెంటిఫైయర్, '9' విలువను కలిగి ఉంది
Z_OPT తెలియదు, సాధారణంగా '1' నుండి '6' వరకు విలువలను కలిగి ఉంటుంది
ZCHILDMESSAGESDELIVEREDCOUNT తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZCHILDMESSAGESPLAYEDCOUNT తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZCHILDMESSAGESREADCOUNT తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZDATAITEM వెర్షన్ తెలియదు, సాధారణంగా '3' విలువను కలిగి ఉంటుంది, బహుశా వచన సందేశ సూచిక కావచ్చు
ZDOCID తెలియదు
ZENCRETRYCOUNT తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZFILTEREDRECIPIENTCOUNT తెలియదు, సాధారణంగా '0', '2', '256' విలువలను కలిగి ఉంటుంది
ZISFROMME సందేశం దిశ: '0' - ఇన్‌కమింగ్, '1' - అవుట్‌గోయింగ్
ZMESSAGEERRORSTATUS సందేశ ప్రసార స్థితి. సందేశం పంపబడినా/స్వీకరించబడినా, దానికి '0' విలువ ఉంటుంది
ZMESSAGETYPE ప్రసారం చేయబడే సందేశ రకం
ZSORT తెలియదు
ZSPOTLIGHSTATUS తెలియదు
ZSTARRED తెలియదు, ఉపయోగించబడలేదు
ZCHATSESION తెలియదు
ZGROUPMEMBER తెలియదు, ఉపయోగించబడలేదు
ZLASTSESION తెలియదు
ZMEDIAITEM తెలియదు
ZMESSAGEINFO తెలియదు
ZPARENTMESSAGE తెలియదు, ఉపయోగించబడలేదు
ZMESSAGEDATE OS X ఎపోచ్ టైమ్ ఫార్మాట్‌లో టైమ్‌స్టాంప్
ZSENTDATE OS X ఎపోచ్ టైమ్ ఫార్మాట్‌లో సందేశం పంపబడిన సమయం
ZFROMJID WhatsApp పంపినవారి ID
ZMEDIASECTIONID మీడియా ఫైల్ పంపబడిన సంవత్సరం మరియు నెలను కలిగి ఉంటుంది
ZPHASH తెలియదు, ఉపయోగించబడలేదు
ZPUSHPAME UTF-8 ఫార్మాట్‌లో మీడియా ఫైల్‌ను పంపిన పరిచయం పేరు
ZSTANZID ప్రత్యేక సందేశ ఐడెంటిఫైయర్
ZTEXT సందేశ వచనం
ZTOJID గ్రహీత యొక్క WhatsApp ID
OFFSET పక్షపాతం

టేబుల్ ప్రదర్శన 'ZWAMEDIAITEM':

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
పట్టిక 'ZWAMEDIAITEM' నిర్మాణం

క్షేత్రనామం విలువ
Z_PK రికార్డ్ సీక్వెన్స్ నంబర్ (SQL పట్టికలో)
Z_ENT టేబుల్ ఐడెంటిఫైయర్, '8' విలువను కలిగి ఉంది
Z_OPT తెలియదు, సాధారణంగా '1' నుండి '3' వరకు విలువలను కలిగి ఉంటుంది.
ZCLOUDSTATUS ఫైల్ లోడ్ అయినట్లయితే '4' విలువను కలిగి ఉంటుంది.
ZFILESIZE డౌన్‌లోడ్ చేయబడిన ఫైల్‌ల కోసం ఫైల్ పొడవు (బైట్‌లలో) కలిగి ఉంటుంది
ZMEDIAORIGIN తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZMOVIEDURATION మీడియా ఫైల్ వ్యవధి, pdf ఫైల్‌లు పత్రం యొక్క పేజీల సంఖ్యను కలిగి ఉండవచ్చు
ZMESSAGE క్రమ సంఖ్యను కలిగి ఉంది (సంఖ్య 'Z_PK' నిలువు వరుసలో సూచించిన దానికి భిన్నంగా ఉంటుంది)
ZASPECTRATIO కారక నిష్పత్తి, ఉపయోగించబడదు, సాధారణంగా '0'కి సెట్ చేయబడుతుంది
జాక్యూరసీ తెలియదు, సాధారణంగా '0' విలువను కలిగి ఉంటుంది
ZLATTITUDE పిక్సెల్‌లలో వెడల్పు
ZLONGTITUDE పిక్సెల్‌లలో ఎత్తు
ZMEDIAURLDATE OS X ఎపోచ్ టైమ్ ఫార్మాట్‌లో టైమ్‌స్టాంప్
ZAUTHORNAME రచయిత (పత్రాల కోసం, ఫైల్ పేరు ఉండవచ్చు)
ZCOLLECTIONNAME ఉపయోగం లో లేదు
ZMEDIALOCALPATH పరికరం ఫైల్ సిస్టమ్‌లో ఫైల్ పేరు (పాత్‌తో సహా).
ZMEDIAURL మీడియా ఫైల్ ఉన్న URL. ఫైల్ ఒక సబ్‌స్క్రైబర్ నుండి మరొక సబ్‌స్క్రైబర్‌కు బదిలీ చేయబడితే, అది గుప్తీకరించబడింది మరియు దాని పొడిగింపు బదిలీ చేయబడిన ఫైల్ యొక్క పొడిగింపుగా సూచించబడుతుంది - .enc
ZthumbnaILLOCALPATH పరికరం ఫైల్ సిస్టమ్‌లోని ఫైల్ థంబ్‌నెయిల్‌కు మార్గం
ZTITLE ఫైల్ హెడర్
ZVCARDNAME మీడియా ఫైల్ హాష్; సమూహానికి ఫైల్‌ను బదిలీ చేస్తున్నప్పుడు, అది పంపినవారి గుర్తింపును కలిగి ఉండవచ్చు
ZVCARDSTRING బదిలీ చేయబడే ఫైల్ రకం గురించి సమాచారాన్ని కలిగి ఉంటుంది (ఉదాహరణకు, చిత్రం/jpeg); ఒక ఫైల్‌ను సమూహానికి బదిలీ చేసేటప్పుడు, అది స్వీకర్త యొక్క ఐడెంటిఫైయర్‌ను కలిగి ఉండవచ్చు
ZXMPPTHUMBPATH పరికరం ఫైల్ సిస్టమ్‌లోని ఫైల్ థంబ్‌నెయిల్‌కు మార్గం
ZMEDIAKEY తెలియదు, బహుశా ఎన్‌క్రిప్ట్ చేసిన ఫైల్‌ను డీక్రిప్ట్ చేయడానికి కీని కలిగి ఉండవచ్చు.
ZMETADATA ప్రసారం చేయబడిన సందేశం యొక్క మెటాడేటా
ఆఫ్సెట్ పక్షపాతం

ఇతర ఆసక్తికరమైన డేటాబేస్ పట్టికలు 'ChatStorage.sqlite' అవి:

  • 'ZWAPROFILEPUSHNAME'. సంప్రదింపు పేరుతో WhatsApp IDని సరిపోల్చుతుంది;
  • 'ZWAPROFILEPICTUREITEM'. సంప్రదింపు అవతార్‌తో WhatsApp IDని సరిపోల్చుతుంది;
  • 'Z_PRIMARYKEY'. పట్టికలో ఈ డేటాబేస్ గురించిన సాధారణ సమాచారం, నిల్వ చేయబడిన మొత్తం సందేశాల సంఖ్య, మొత్తం చాట్‌ల సంఖ్య మొదలైనవి ఉంటాయి.

అలాగే, iOS నడుస్తున్న మొబైల్ పరికరంలో WhatsAppని పరిశీలిస్తున్నప్పుడు, మీరు ఈ క్రింది ఫైల్‌లకు శ్రద్ధ వహించాలి:

  • ఫైలు 'BackedUpKeyValue.sqlite'. ఖాతా యజమానిని గుర్తించడానికి అవసరమైన క్రిప్టోగ్రాఫిక్ కీలు మరియు ఇతర డేటాను కలిగి ఉంటుంది. మార్గం వెంట ఉంది: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ఫైలు 'ContactsV2.sqlite'. పూర్తి పేరు, ఫోన్ నంబర్, సంప్రదింపు స్థితి (టెక్స్ట్ రూపంలో), WhatsApp ID మొదలైన వినియోగదారు పరిచయాల గురించిన సమాచారాన్ని కలిగి ఉంటుంది. మార్గం వెంట ఉంది: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ఫైలు 'వినియోగదారు_వెర్షన్'. ఇన్‌స్టాల్ చేసిన WhatsApp అప్లికేషన్ వెర్షన్ నంబర్‌ను కలిగి ఉంటుంది. మార్గం వెంట ఉంది: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ఫైలు 'current_wallpaper.jpg'. ప్రస్తుత WhatsApp నేపథ్య వాల్‌పేపర్‌ని కలిగి ఉంది. మార్గం వెంట ఉంది: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. అప్లికేషన్ యొక్క పాత సంస్కరణలు ఫైల్‌ను ఉపయోగిస్తాయి 'వాల్‌పేపర్', ఇది మార్గం వెంట ఉంది: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • ఫైలు 'blockedcontacts.dat'. బ్లాక్ చేయబడిన పరిచయాల గురించి సమాచారాన్ని కలిగి ఉంటుంది. మార్గం వెంట ఉంది: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • ఫైలు 'pw.dat'. ఎన్‌క్రిప్టెడ్ పాస్‌వర్డ్‌ని కలిగి ఉంటుంది. మార్గం వెంట ఉంది: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • ఫైలు 'net.whatsapp.WhatsApp.plist' (లేదా ఫైల్ 'group.net.whatsapp.WhatsApp.shared.plist') మీ WhatsApp ఖాతా ప్రొఫైల్ గురించిన సమాచారాన్ని కలిగి ఉంటుంది. ఫైల్ మార్గం వెంట ఉంది: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

'group.net.whatsapp.WhatsApp.shared.plist' ఫైల్ యొక్క కంటెంట్‌లు మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
మీరు ఈ క్రింది డైరెక్టరీలకు కూడా శ్రద్ధ వహించాలి:

  • డైరెక్టరీ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. పరిచయాలు, సమూహాల సూక్ష్మచిత్రాలు (పొడిగింపుతో కూడిన ఫైల్‌లు .thumb), అవతార్‌లను సంప్రదించండి, WhatsApp ఖాతా యజమాని అవతార్ (ఫైల్ 'Photo.jpg').
  • డైరెక్టరీ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. మల్టీమీడియా ఫైల్‌లు మరియు వాటి థంబ్‌నెయిల్‌లను కలిగి ఉంటుంది
  • డైరెక్టరీ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. ప్రోగ్రామ్ ఆపరేషన్ లాగ్‌ను కలిగి ఉంటుంది (ఫైల్ 'calls.log') మరియు ప్రోగ్రామ్ ఆపరేషన్ లాగ్‌ల బ్యాకప్ కాపీలు (ఫైల్ 'calls.backup.log').
  • డైరెక్టరీ '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. స్టిక్కర్‌లను కలిగి ఉంటుంది (ఫైల్స్ ఫార్మాట్‌లో '.webp').
  • డైరెక్టరీ '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. ప్రోగ్రామ్ ఆపరేషన్ లాగ్‌లను కలిగి ఉంటుంది.

Windowsలో WhatsApp కళాఖండాలు

విండోస్‌లోని వాట్సాప్ కళాఖండాలు అనేక ప్రదేశాలలో కనిపిస్తాయి. అన్నింటిలో మొదటిది, ఇవి ఎక్జిక్యూటబుల్ మరియు ఆక్సిలరీ ప్రోగ్రామ్ ఫైల్‌లను కలిగి ఉన్న డైరెక్టరీలు (Windows 8/10 కోసం):

  • 'C:ప్రోగ్రామ్ ఫైల్స్ (x86)WhatsApp'
  • 'C:Users%User profile% AppDataLocalWhatsApp'
  • 'C:Users%User profile% AppDataLocalVirtualStore ప్రోగ్రామ్ ఫైల్స్ (x86)WhatsApp'

కేటలాగ్‌లో 'C:Users%User profile% AppDataLocalWhatsApp' లాగ్ ఫైల్ ఉంది 'SquirrelSetup.log', ఇది అప్‌డేట్‌ల కోసం తనిఖీ చేయడం మరియు ప్రోగ్రామ్‌ను ఇన్‌స్టాల్ చేయడం గురించి సమాచారాన్ని కలిగి ఉంటుంది.

కేటలాగ్‌లో 'C:Users%User profile% AppDataRoamingWhatsApp' అనేక ఉప డైరెక్టరీలు ఉన్నాయి:

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
ఫైలు 'main-process.log' WhatsApp ప్రోగ్రామ్ యొక్క ఆపరేషన్ గురించి సమాచారాన్ని కలిగి ఉంటుంది.

ఉప డైరెక్టరీ 'డేటాబేస్‌లు' ఫైల్‌ను కలిగి ఉంది 'Databases.db', కానీ ఈ ఫైల్‌లో చాట్‌లు లేదా పరిచయాల గురించి ఎటువంటి సమాచారం లేదు.

ఫోరెన్సిక్ దృక్కోణం నుండి అత్యంత ఆసక్తికరమైనది డైరెక్టరీలో ఉన్న ఫైల్‌లు 'కాష్'. ఇవి ప్రాథమికంగా పేరు పెట్టబడిన ఫైల్‌లు 'f_*******' (ఇక్కడ * అనేది 0 నుండి 9 వరకు ఉన్న సంఖ్య) ఎన్‌క్రిప్టెడ్ మల్టీమీడియా ఫైల్‌లు మరియు డాక్యుమెంట్‌లను కలిగి ఉంటుంది, అయితే వాటిలో ఎన్‌క్రిప్ట్ చేయని ఫైల్‌లు కూడా ఉన్నాయి. ప్రత్యేక ఆసక్తి ఫైల్లు 'data_0', 'data_1', 'data_2', 'data_3', అదే ఉప డైరెక్టరీలో ఉంది. ఫైళ్లు 'data_0', 'data_1', 'data_3' ప్రసారం చేయబడిన ఎన్‌క్రిప్టెడ్ మల్టీమీడియా ఫైల్‌లు మరియు డాక్యుమెంట్‌లకు బాహ్య లింక్‌లను కలిగి ఉంటుంది.

'data_1' ఫైల్‌లో ఉన్న సమాచారానికి ఉదాహరణమీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
అలాగే ఫైల్ చేయండి 'data_3' గ్రాఫిక్ ఫైల్స్ ఉండవచ్చు.

ఫైలు 'data_2' సంప్రదింపు అవతార్‌లను కలిగి ఉంటుంది (ఫైల్ హెడర్‌ల ద్వారా శోధించడం ద్వారా పునరుద్ధరించవచ్చు).

ఫైల్‌లో ఉన్న అవతార్‌లు 'data_2':

మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
అందువల్ల, చాట్‌లు కంప్యూటర్ మెమరీలో కనుగొనబడవు, కానీ మీరు వీటిని కనుగొనవచ్చు:

  • మల్టీమీడియా ఫైల్స్;
  • WhatsApp ద్వారా ప్రసారం చేయబడిన పత్రాలు;
  • ఖాతా యజమాని పరిచయాల గురించిన సమాచారం.

MacOSలో WhatsApp కళాఖండాలు

MacOSలో మీరు Windows OSలో కనిపించే వాట్సాప్ కళాఖండాల రకాలను కనుగొనవచ్చు.

ప్రోగ్రామ్ ఫైల్‌లు క్రింది డైరెక్టరీలలో ఉన్నాయి:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C:Users%User profile%LibraryPreferences'
  • 'C:Users%User profile%LibraryLogsWhatsApp'
  • 'C:Users%User profile%LibrarySaved Application StateWhatsApp.savedState'
  • 'సి: యూజర్లు% వినియోగదారు ప్రొఫైల్% లైబ్రరీ అప్లికేషన్ స్క్రిప్ట్‌లు'
  • 'C:Users%User profile%LibraryApplication SupportCloudDocs'
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%User profile%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%User profile% Library Mobile Documents <text variable> WhatsApp ఖాతాలు'
    ఈ డైరెక్టరీలో ఉప డైరెక్టరీలు ఉన్నాయి, వీటి పేర్లు WhatsApp ఖాతా యజమానితో అనుబంధించబడిన ఫోన్ నంబర్‌లు.
  • 'C:Users%User profile%LibraryCachesWhatsApp.ShipIt'
    ఈ డైరెక్టరీ ప్రోగ్రామ్‌ను ఇన్‌స్టాల్ చేయడం గురించి సమాచారాన్ని కలిగి ఉంది.
  • 'C:Users%User profile%PicturesiPhoto Library.photolibraryMasters', 'C:Users%User profile%PicturesiPhoto Library.photolibraryThumbnails'
    ఈ డైరెక్టరీలు WhatsApp పరిచయాల ఫోటోలు మరియు థంబ్‌నెయిల్‌లతో సహా ప్రోగ్రామ్ యొక్క సర్వీస్ ఫైల్‌లను కలిగి ఉంటాయి.
  • 'C:Users%User profile%LibraryCachesWhatsApp'
    ఈ డైరెక్టరీ డేటా కాషింగ్ కోసం ఉపయోగించే అనేక SQLite డేటాబేస్‌లను కలిగి ఉంది.
  • 'C:Users%User profile%LibraryApplication SupportWhatsApp'
    ఈ డైరెక్టరీ అనేక ఉప డైరెక్టరీలను కలిగి ఉంది:

    మీ అరచేతిలో WhatsApp: మీరు ఫోరెన్సిక్ కళాఖండాలను ఎక్కడ మరియు ఎలా కనుగొనగలరు?
    కేటలాగ్‌లో 'C:Users%User profile%LibraryApplication SupportWhatsAppCache' ఫైళ్లు ఉన్నాయి 'data_0', 'data_1', 'data_2', 'data_3' మరియు పేర్లతో ఫైళ్లు 'f_*******' (ఇక్కడ * అనేది 0 నుండి 9 వరకు ఉన్న సంఖ్య). ఈ ఫైల్‌లు ఏ సమాచారాన్ని కలిగి ఉన్నాయనే దాని గురించి సమాచారం కోసం, Windowsలో WhatsApp కళాకృతులను చూడండి.

    కేటలాగ్‌లో 'C:Users%User profile%LibraryApplication SupportWhatsAppIndexedDB' మల్టీమీడియా ఫైల్‌లను కలిగి ఉండవచ్చు (ఫైళ్లకు పొడిగింపులు లేవు).

    ఫైలు 'main-process.log' WhatsApp ప్రోగ్రామ్ యొక్క ఆపరేషన్ గురించి సమాచారాన్ని కలిగి ఉంటుంది.

వర్గాలు

  1. ఆండ్రాయిడ్ స్మార్ట్‌ఫోన్‌లలో WhatsApp మెసెంజర్ యొక్క ఫోరెన్సిక్ విశ్లేషణ, Cosimo Anglano, 2014.
  2. Whatsapp ఫోరెన్సిక్స్: అహ్మద్ ప్రతమా, 2014 ద్వారా Android మరియు iOS ఆధారంగా డేటాను పొందడం ద్వారా ఈ వ్యవస్థను రూపొందించారు.

ఈ సిరీస్‌లోని క్రింది కథనాలలో:

ఎన్‌క్రిప్టెడ్ వాట్సాప్ డేటాబేస్‌ల డిక్రిప్షన్WhatsApp ఎన్‌క్రిప్షన్ కీ ఎలా రూపొందించబడింది మరియు ఈ అప్లికేషన్ యొక్క గుప్తీకరించిన డేటాబేస్‌లను ఎలా డీక్రిప్ట్ చేయాలో చూపించే ఆచరణాత్మక ఉదాహరణల గురించి సమాచారాన్ని అందించే కథనం.
క్లౌడ్ స్టోరేజ్ నుండి WhatsApp డేటాను సంగ్రహించడంవాట్సాప్ డేటా క్లౌడ్‌లలో ఏమి నిల్వ చేయబడిందో మరియు క్లౌడ్ స్టోరేజీల నుండి ఈ డేటాను తిరిగి పొందే పద్ధతులను వివరించే కథనం.
WhatsApp డేటా సంగ్రహణ: ఆచరణాత్మక ఉదాహరణలుఏయే ప్రోగ్రామ్‌లు మరియు వివిధ పరికరాల నుండి WhatsApp డేటాను ఎలా సంగ్రహించాలో దశలవారీగా వివరించే కథనం.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి