หากคุณต้องการทราบว่าสิ่งประดิษฐ์ทางนิติเวชของ WhatsApp ประเภทใดที่มีอยู่ในระบบปฏิบัติการที่แตกต่างกัน และสามารถพบได้ที่ไหน ที่นี่คือที่สำหรับคุณ บทความนี้มาจากผู้เชี่ยวชาญที่ Group-IB Computer Forensics Laboratory อิกอร์ มิคาอิลอฟ เริ่มโพสต์ชุดเกี่ยวกับการนิติเวชของ WhatsApp และข้อมูลใดบ้างที่สามารถรวบรวมได้จากการวิเคราะห์อุปกรณ์
โปรดทราบว่าระบบปฏิบัติการที่แตกต่างกันจะจัดเก็บสิ่งประดิษฐ์ WhatsApp ประเภทต่างๆ และหากนักวิจัยสามารถดึงข้อมูล WhatsApp บางประเภทจากอุปกรณ์เครื่องหนึ่งได้ ไม่ได้หมายความว่าจะสามารถดึงข้อมูลประเภทเดียวกันจากอุปกรณ์อื่นได้ ตัวอย่างเช่น หากลบหน่วยระบบที่ใช้ Windows OS แชท WhatsApp อาจจะไม่พบบนดิสก์ (ยกเว้นสำเนาสำรองของอุปกรณ์ iOS ซึ่งสามารถพบได้ในไดรฟ์เดียวกัน) การยึดแล็ปท็อปและอุปกรณ์มือถือจะมีลักษณะเฉพาะของตัวเอง เรามาพูดถึงรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้
สิ่งประดิษฐ์ WhatsApp ในอุปกรณ์ Android
หากต้องการแยกสิ่งประดิษฐ์ WhatsApp ออกจากอุปกรณ์ Android ผู้วิจัยจะต้องมีสิทธิ์ผู้ใช้ระดับสูง ('ราก') บนอุปกรณ์ที่อยู่ระหว่างการศึกษาหรือสามารถแยกดัมพ์ทางกายภาพของหน่วยความจำของอุปกรณ์ หรือระบบไฟล์ของอุปกรณ์ได้ (เช่น การใช้ช่องโหว่ของซอฟต์แวร์ในอุปกรณ์เคลื่อนที่เฉพาะ)
ไฟล์แอปพลิเคชันจะอยู่ในหน่วยความจำของโทรศัพท์ในส่วนที่บันทึกข้อมูลผู้ใช้ ตามกฎแล้วส่วนนี้จะมีชื่อว่า 'ข้อมูลผู้ใช้'. ไดเร็กทอรีย่อยและไฟล์โปรแกรมจะตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/'.
ไฟล์หลักที่มีสิ่งประดิษฐ์ทางนิติเวชของ WhatsApp ในระบบปฏิบัติการ Android คือฐานข้อมูล 'wa.db' и 'msgstore.db'.
ในฐานข้อมูล 'wa.db' มีรายชื่อผู้ติดต่อทั้งหมดของผู้ใช้ WhatsApp รวมถึงหมายเลขโทรศัพท์ ชื่อที่แสดง การประทับเวลา และข้อมูลอื่น ๆ ที่ให้ไว้ขณะลงทะเบียน WhatsApp ไฟล์ 'wa.db' ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/databases/' และมีโครงสร้างดังนี้
ตารางที่น่าสนใจที่สุดในฐานข้อมูล 'wa.db' สำหรับนักวิจัยได้แก่
- 'wa_contacts'
ตารางนี้ประกอบด้วยข้อมูลการติดต่อ: รหัสผู้ติดต่อ WhatsApp, ข้อมูลสถานะ, ชื่อที่แสดงของผู้ใช้, การประทับเวลา ฯลฯลักษณะตาราง:
โครงสร้างตารางชื่อฟิลด์ มูลค่า _NS หมายเลขลำดับการบันทึก (ในตาราง SQL) จิด ID ผู้ติดต่อ WhatsApp เขียนในรูปแบบ <หมายเลขโทรศัพท์>@s.whatsapp.net is_whatsapp_user มี '1' หากผู้ติดต่อสอดคล้องกับผู้ใช้ WhatsApp จริง มิฉะนั้น '0' สถานะ มีข้อความที่แสดงในสถานะการติดต่อ สถานะ_การประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) จำนวน หมายเลขโทรศัพท์ที่เกี่ยวข้องกับผู้ติดต่อ raw_contact_id หมายเลขซีเรียลติดต่อ display_name ชื่อที่แสดงของผู้ติดต่อ phone_type ประเภทโทรศัพท์ phone_label ป้ายที่เกี่ยวข้องกับหมายเลขติดต่อ unseen_msg_count จำนวนข้อความที่ผู้ติดต่อส่งแต่ผู้รับไม่ได้อ่าน รูปภาพ_ts มีการประทับเวลาในรูปแบบ Unix Epoch Time thumb_ts มีการประทับเวลาในรูปแบบ Unix Epoch Time photo_id_ประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) กำหนด_ชื่อ ค่าของฟิลด์ตรงกับ 'display_name' สำหรับผู้ติดต่อแต่ละราย wa_name ชื่อผู้ติดต่อ WhatsApp (ชื่อที่ระบุในโปรไฟล์ผู้ติดต่อจะปรากฏขึ้น) sort_name ชื่อผู้ติดต่อที่ใช้ในการเรียงลำดับ ชื่อเล่น ชื่อเล่นของผู้ติดต่อใน WhatsApp (ชื่อเล่นที่ระบุในโปรไฟล์ของผู้ติดต่อจะปรากฏขึ้น) บริษัท บริษัท (แสดงบริษัทที่ระบุในโปรไฟล์ผู้ติดต่อ) ชื่อเรื่อง ตำแหน่ง (นางสาว/นาย; ตำแหน่งที่กำหนดค่าในโปรไฟล์ผู้ติดต่อจะปรากฏขึ้น) ชดเชย อคติ - 'sqlite_sequence'
ตารางนี้มีข้อมูลเกี่ยวกับจำนวนผู้ติดต่อ - 'android_metadata'
ตารางนี้มีข้อมูลเกี่ยวกับการแปลภาษา WhatsApp
ในฐานข้อมูล 'msgstore.db' มีข้อมูลเกี่ยวกับข้อความที่ส่ง เช่น หมายเลขติดต่อ ข้อความ สถานะข้อความ การประทับเวลา รายละเอียดของไฟล์ที่ถ่ายโอนรวมอยู่ในข้อความ เป็นต้น ไฟล์ 'msgstore.db' ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/databases/' และมีโครงสร้างดังนี้
ตารางที่น่าสนใจที่สุดในไฟล์ 'msgstore.db' สำหรับนักวิจัยได้แก่
- 'sqlite_sequence'
ตารางนี้ประกอบด้วยข้อมูลทั่วไปเกี่ยวกับฐานข้อมูลนี้ เช่น จำนวนข้อความทั้งหมดที่จัดเก็บ จำนวนแชททั้งหมด เป็นต้นลักษณะตาราง:
- 'message_fts_content'
ประกอบด้วยข้อความของข้อความที่ส่งลักษณะตาราง:
- 'ข้อความ'
ตารางนี้ประกอบด้วยข้อมูล เช่น หมายเลขติดต่อ ข้อความ สถานะข้อความ การประทับเวลา ข้อมูลเกี่ยวกับไฟล์ที่ถ่ายโอนที่รวมอยู่ในข้อความลักษณะตาราง:
โครงสร้างตารางชื่อฟิลด์ มูลค่า _NS หมายเลขลำดับการบันทึก (ในตาราง SQL) key_remote_jid WhatsApp ID ของพันธมิตรการสื่อสาร คีย์_จาก_ฉัน ทิศทางของข้อความ: '0' – ขาเข้า, '1' – ขาออก คีย์_id ตัวระบุข้อความที่ไม่ซ้ำ สถานะ สถานะข้อความ: '0' – จัดส่งแล้ว, '4' – กำลังรออยู่บนเซิร์ฟเวอร์, '5' – ได้รับที่ปลายทาง, '6' – ข้อความควบคุม, '13' – ข้อความเปิดโดยผู้รับ (อ่าน) need_push มีค่า '2' หากเป็นข้อความออกอากาศ มิฉะนั้นจะมี '0' ข้อมูล ข้อความ (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '0') การประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ media_url มี URL ของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3') media_mime_type ประเภท MIME ของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' เท่ากับ '1', '2', '3') media_wa_type ประเภทข้อความ: '0' - ข้อความ, '1' - ไฟล์กราฟิก, '2' - ไฟล์เสียง, '3' - ไฟล์วิดีโอ, '4' - บัตรข้อมูลที่ติดต่อ, '5' - geodata สื่อ_ขนาด ขนาดของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3') สื่อ_ชื่อ ชื่อของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3') สื่อ_คำบรรยายภาพ มีคำว่า 'audio', 'video' สำหรับค่าที่สอดคล้องกันของพารามิเตอร์ 'media_wa_type' (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '3') สื่อ_แฮช แฮชที่เข้ารหัส base64 ของไฟล์ที่ส่ง คำนวณโดยใช้อัลกอริทึม HAS-256 (เมื่อพารามิเตอร์ 'media_wa_type' เท่ากับ '1', '2', '3') สื่อ_ระยะเวลา ระยะเวลาเป็นวินาทีสำหรับไฟล์สื่อ (เมื่อ 'media_wa_type' คือ '1', '2', '3') ที่มา มีค่า '2' หากเป็นข้อความออกอากาศ มิฉะนั้นจะมี '0' ละติจูด geodata: ละติจูด (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '5') ลองจิจูด geodata: ลองจิจูด (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '5') thumb_image ข้อมูลการบริการ รีโมต_รีซอร์ส ID ผู้ส่ง (สำหรับการแชทกลุ่มเท่านั้น) ได้รับ_ประทับเวลา เวลาที่รับ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '0', '-1' หรือค่าอื่น ๆ ) send_timestamp ไม่ได้ใช้ โดยปกติจะมีค่า '-1' ใบเสร็จรับเงิน_server_timestamp เวลาที่ได้รับจากเซิร์ฟเวอร์กลาง มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '1', '-1' หรือค่าอื่น ๆ ใบเสร็จรับเงิน_อุปกรณ์_ประทับเวลา เวลาที่ผู้สมัครสมาชิกรายอื่นได้รับข้อความ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '1', '-1' หรือค่าอื่น read_device_timestamp เวลาเปิด (อ่าน) ข้อความมีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกดึงมาจากนาฬิกาของอุปกรณ์ เล่น_อุปกรณ์_ประทับเวลา เวลาเล่นข้อความ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกดึงมาจากนาฬิกาของอุปกรณ์ ข้อมูลดิบ ภาพขนาดย่อของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1' หรือ '3') ผู้รับ_count จำนวนผู้รับ (สำหรับข้อความที่ออกอากาศ) ผู้เข้าร่วม_แฮช ใช้เมื่อส่งข้อความด้วย geodata มงคล ไม่ได้ใช้ quoted_row_id ไม่ทราบ โดยปกติจะมีค่า '0' กล่าวถึง_jids ไม่ได้ใช้ มัลติคาสต์_id ไม่ได้ใช้ ชดเชย อคติ รายการฟิลด์นี้ยังไม่ครบถ้วนสมบูรณ์ สำหรับ WhatsApp เวอร์ชันต่างๆ บางช่องอาจมีหรือไม่มี นอกจากนี้ อาจมีฟิลด์อยู่ด้วย 'media_enc_hash', 'แก้ไข_รุ่น', 'การชำระเงิน_ธุรกรรม_id' เป็นต้น
- 'ข้อความ_ภาพขนาดย่อ'
ตารางนี้ประกอบด้วยข้อมูลเกี่ยวกับภาพที่ถ่ายโอนและการประทับเวลา ในคอลัมน์ 'การประทับเวลา' เวลาจะถูกระบุในรูปแบบ Unix Epoch Time (ms) - 'แชท_ลิสต์'
ตารางนี้มีข้อมูลเกี่ยวกับการแชทลักษณะตาราง:
นอกจากนี้ เมื่อตรวจสอบ WhatsApp บนอุปกรณ์มือถือที่ใช้ Android คุณควรใส่ใจกับไฟล์ต่อไปนี้:
- ไฟล์ 'msgstore.db.cryptXX' (โดยที่ XX คือตัวเลขหนึ่งหรือสองหลักตั้งแต่ 0 ถึง 12 เช่น msgstore.db.crypt12) มีการสำรองข้อมูลข้อความ WhatsApp ที่เข้ารหัส (ไฟล์สำรอง msgstore.db). ไฟล์ 'msgstore.db.cryptXX' ตั้งอยู่ตามเส้นทาง: '/data/media/0/WhatsApp/ฐานข้อมูล/' (การ์ด SD เสมือน) '/mnt/sdcard/WhatsApp/ฐานข้อมูล/ (การ์ด SD จริง)'
- ไฟล์ 'สำคัญ'. ประกอบด้วยคีย์เข้ารหัส ตั้งอยู่ริมเส้นทาง: '/data/data/com.whatsapp/files/'. ใช้เพื่อถอดรหัสข้อมูลสำรอง WhatsApp ที่เข้ารหัส
- ไฟล์ 'com.whatsapp_preferences.xml'. มีข้อมูลเกี่ยวกับโปรไฟล์บัญชี WhatsApp ของคุณ ไฟล์ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/shared_prefs/'.
ส่วนของเนื้อหาไฟล์
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) …
- ไฟล์ 'registration.RegisterPhone.xml'. มีข้อมูลเกี่ยวกับหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp ไฟล์ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/shared_prefs/'.
เนื้อหาไฟล์
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
- ไฟล์ 'axolotl.db'. ประกอบด้วยคีย์เข้ารหัสและข้อมูลอื่น ๆ ที่จำเป็นในการระบุตัวเจ้าของบัญชี ตั้งอยู่ริมเส้นทาง: '/data/data/com.whatsapp/databases/'.
- ไฟล์ 'chatsettings.db'. มีข้อมูลการกำหนดค่าแอปพลิเคชัน
- ไฟล์ 'wa.db'. ประกอบด้วยรายละเอียดการติดต่อ ฐานข้อมูลที่น่าสนใจมาก (จากด้านนิติเวช) และให้ข้อมูล อาจมีข้อมูลโดยละเอียดเกี่ยวกับผู้ติดต่อที่ถูกลบ
คุณต้องใส่ใจกับไดเร็กทอรีต่อไปนี้ด้วย:
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/'. ประกอบด้วยไฟล์กราฟิกที่ถ่ายโอน
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/บันทึกเสียง WhatsApp/'. มีข้อความเสียงในรูปแบบไฟล์ .OPUS
- ไดเรกทอรี '/data/data/com.whatsapp/cache/รูปภาพโปรไฟล์/'. มีไฟล์กราฟิก – รูปภาพของผู้ติดต่อ
- ไดเรกทอรี '/data/data/com.whatsapp/files/Avatars/'. มีไฟล์กราฟิก – ภาพขนาดย่อของผู้ติดต่อ ไฟล์เหล่านี้มีนามสกุล '.j' แต่เป็นไฟล์รูปภาพ JPEG (JPG)
- ไดเรกทอรี '/data/data/com.whatsapp/files/Avatars/'. มีไฟล์กราฟิก - รูปภาพและภาพขนาดย่อของรูปภาพที่เจ้าของบัญชีตั้งเป็นรูปประจำตัว
- ไดเรกทอรี '/data/data/com.whatsapp/files/Logs/'. ประกอบด้วยบันทึกการทำงานของโปรแกรม (ไฟล์ 'whatsapp.log') และสำเนาสำรองของบันทึกการทำงานของโปรแกรม (ไฟล์ที่มีชื่อในรูปแบบ whatsapp-yyyy-mm-dd.1.log.gz)
ไฟล์บันทึก WhatsApp:
ส่วนวารสาร2017-01-10 09:37:09.757 LL_ID [524:WhatsApp Worker #1] การแจ้งเตือนการโทรที่ไม่ได้รับ/จำนวนการเริ่มต้น:0 การประทับเวลา:0
2017-01-10 09:37:09.758 LL_ID [524:WhatsApp Worker #1] การแจ้งเตือนการโทรที่ไม่ได้รับ/การอัปเดต ยกเลิก จริง
2017-01-10 09:37:09.768 LL_ID [1:main] app-init/load-me
2017-01-10 09:37:09.772 ไฟล์รหัสผ่าน LL_ID [1:main] หายไปหรืออ่านไม่ได้
2017-01-10 09:37:09.782 สถิติ LL_ID [1:main] ข้อความ: ส่ง 59 ครั้ง, ได้รับ 82 ครั้ง / ข้อความสื่อ: ส่ง 1 ครั้ง (0 ไบต์), ได้รับ 0 ครั้ง (9850158 ไบต์) / ข้อความออฟไลน์: ได้รับ 81 ครั้ง ( ความล่าช้าเฉลี่ย 19522 มิลลิวินาที) / บริการข้อความ: ส่ง 116075 ไบต์, รับ 211729 ไบต์ / โทร Voip: สายออก 1 สาย, สายเรียกเข้า 0 สาย, ส่ง 2492 ไบต์, รับ 1530 ไบต์ / Google Drive: ส่ง 0 ไบต์, รับ 0 ไบต์ / โรมมิ่ง: 1524 ไบต์ที่ส่ง, 1826 ไบต์ที่ได้รับ / ข้อมูลทั้งหมด: 118567 ไบต์ที่ส่ง, 10063417 ไบต์ที่ได้รับ
2017-01-10 09:37:09.785 LL_ID [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_ID [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_ID [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_ID [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_ID [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_ID [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_ID [1:main] msgstore/checkdb/เวอร์ชัน 1
2017-01-10 09:37:09.839 LL_ID [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_ID [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery 517 | เวลาที่ใช้:8
2017-01-10 09:37:09.848 LL_ID [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage พร้อมใช้งาน:1,345,622,016 รวม:5,687,922,688
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/เสียง WhatsApp/'. ประกอบด้วยไฟล์เสียงที่ได้รับ
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/เสียง WhatsApp/ส่งแล้ว/'. มีไฟล์เสียงที่ส่ง
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/'. ประกอบด้วยไฟล์กราฟิกที่ได้
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/ส่งแล้ว/'. มีไฟล์กราฟิกที่ส่ง
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/วิดีโอ WhatsApp/'. ประกอบด้วยไฟล์วิดีโอที่ได้รับ
- ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/วิดีโอ WhatsApp/ส่งแล้ว/'. ประกอบด้วยไฟล์วิดีโอที่ส่ง
- ไดเรกทอรี '/data/media/0/WhatsApp/Media/รูปภาพโปรไฟล์ WhatsApp/'. มีไฟล์กราฟิกที่เกี่ยวข้องกับเจ้าของบัญชี WhatsApp
- เพื่อประหยัดพื้นที่หน่วยความจำบนสมาร์ทโฟน Android ของคุณ ข้อมูล WhatsApp บางส่วนสามารถจัดเก็บไว้ในการ์ด SD ได้ บนการ์ด SD ในไดเร็กทอรีรากจะมีไดเร็กทอรี 'วอทส์แอพ'โดยที่คุณจะพบสิ่งประดิษฐ์ต่อไปนี้ของโปรแกรมนี้:
- ไดเรกทอรี '.แบ่งปัน' ('/mnt/sdcard/WhatsApp/.Share/'). มีสำเนาของไฟล์ที่แชร์กับผู้ใช้ WhatsApp รายอื่น
- ไดเรกทอรี '.ขยะ' ('/mnt/sdcard/WhatsApp/.trash/'). มีไฟล์ที่ถูกลบ
- ไดเรกทอรี 'ฐานข้อมูล' ('/mnt/sdcard/WhatsApp/ฐานข้อมูล/'). มีการสำรองข้อมูลที่เข้ารหัส สามารถถอดรหัสได้หากมีไฟล์อยู่ 'สำคัญ'ดึงมาจากหน่วยความจำของอุปกรณ์ที่วิเคราะห์
ไฟล์ที่อยู่ในไดเรกทอรีย่อย 'ฐานข้อมูล':
- ไดเรกทอรี 'ครึ่ง' ('/mnt/sdcard/WhatsApp/สื่อ/'). มีไดเร็กทอรีย่อย 'วอลล์เปเปอร์', 'เสียง WhatsApp', 'รูปภาพ WhatsApp', 'รูปโปรไฟล์ WhatsApp', 'วิดีโอ WhatsApp', 'บันทึกเสียง WhatsApp'ซึ่งมีไฟล์มัลติมีเดียที่ได้รับและส่ง (ไฟล์กราฟิก ไฟล์วิดีโอ ข้อความเสียง รูปภาพที่เกี่ยวข้องกับโปรไฟล์ของเจ้าของบัญชี WhatsApp วอลเปเปอร์)
- ไดเรกทอรี 'รูปประจำตัว' ('/mnt/sdcard/WhatsApp/รูปภาพโปรไฟล์/'). มีไฟล์กราฟิกที่เกี่ยวข้องกับโปรไฟล์ของเจ้าของบัญชี WhatsApp
- บางครั้งอาจมีไดเร็กทอรีอยู่ในการ์ด SD 'ไฟล์' ('/mnt/sdcard/WhatsApp/Files/'). ไดเร็กทอรีนี้ประกอบด้วยไฟล์ที่เก็บการตั้งค่าโปรแกรมและการตั้งค่าของผู้ใช้
คุณสมบัติการจัดเก็บข้อมูลในอุปกรณ์มือถือบางรุ่น
อุปกรณ์เคลื่อนที่บางรุ่นที่ใช้ระบบปฏิบัติการ Android อาจจัดเก็บสิ่งประดิษฐ์ WhatsApp ไว้ในตำแหน่งอื่น นี่เป็นเพราะการเปลี่ยนแปลงพื้นที่จัดเก็บข้อมูลแอปพลิเคชันโดยซอฟต์แวร์ระบบของอุปกรณ์มือถือ ตัวอย่างเช่น อุปกรณ์มือถือ Xiaomi มีฟังก์ชันสำหรับสร้างพื้นที่ทำงานที่สอง (“SecondSpace”) เมื่อเปิดใช้งานฟังก์ชันนี้ ตำแหน่งของข้อมูลจะเปลี่ยนไป ดังนั้นหากในอุปกรณ์เคลื่อนที่ทั่วไปที่ใช้ระบบปฏิบัติการ Android ข้อมูลผู้ใช้จะถูกเก็บไว้ในไดเร็กทอรี '/ข้อมูล/ผู้ใช้/0/' (ซึ่งเป็นการอ้างอิงถึงเรื่องปกติ '/ข้อมูล/ข้อมูล/') จากนั้นข้อมูลแอปพลิเคชันพื้นที่ทำงานที่สองจะถูกจัดเก็บไว้ในไดเร็กทอรี '/ข้อมูล/ผู้ใช้/10/'. นั่นคือโดยใช้ตัวอย่างตำแหน่งไฟล์ 'wa.db':
- ในสมาร์ทโฟนทั่วไปที่ใช้ระบบปฏิบัติการ Android: /data/user/0/com.whatsapp/databases/wa.db' (ซึ่งเทียบเท่า. '/data/data/com.whatsapp/databases/wa.db');
- ในพื้นที่ทำงานที่สองของสมาร์ทโฟน Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.
สิ่งประดิษฐ์ WhatsApp ในอุปกรณ์ iOS
ต่างจากระบบปฏิบัติการ Android ใน iOS ข้อมูลแอปพลิเคชัน WhatsApp จะถูกถ่ายโอนไปยังสำเนาสำรอง (การสำรองข้อมูล iTunes) ดังนั้นการแยกข้อมูลจากแอปพลิเคชันนี้จึงไม่จำเป็นต้องแยกระบบไฟล์หรือสร้างดัมพ์หน่วยความจำกายภาพของอุปกรณ์ที่อยู่ระหว่างการตรวจสอบ ข้อมูลที่เกี่ยวข้องส่วนใหญ่มีอยู่ในฐานข้อมูล 'ChatStorage.sqlite'ซึ่งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (ในบางโปรแกรมเส้นทางนี้จะปรากฏเป็น 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
โครงสร้าง 'ChatStorage.sqlite':
ตารางที่ให้ข้อมูลมากที่สุดในฐานข้อมูล 'ChatStorage.sqlite' ได้แก่ 'ซวาเมสเสจ' и 'ZWAMEDIAITEM'.
ลักษณะของตาราง 'ซวาเมสเสจ':
โครงสร้างของตาราง 'ZWAMESSAGE'
ชื่อฟิลด์ | มูลค่า |
---|---|
Z_PK | หมายเลขลำดับการบันทึก (ในตาราง SQL) |
Z_ENT | ตัวระบุตาราง มีค่า '9' |
Z_OPT | ไม่ทราบ โดยปกติจะมีค่าตั้งแต่ '1' ถึง '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | ไม่ทราบ โดยปกติจะมีค่า '0' |
ZCHILDMESSAGESPLAYEDCOUNT | ไม่ทราบ โดยปกติจะมีค่า '0' |
ZCHILDMESSAGESREADCOUNT | ไม่ทราบ โดยปกติจะมีค่า '0' |
ZDATAITEMVERSION | ไม่ทราบ โดยปกติจะมีค่า '3' ซึ่งอาจเป็นตัวบ่งชี้ข้อความ |
ซโดซิด | ไม่เป็นที่รู้จัก |
ZENCRETRYCOUNT | ไม่ทราบ โดยปกติจะมีค่า '0' |
ZFILTEREDRECIPIENTCOUNT | ไม่ทราบ โดยปกติจะมีค่า '0', '2', '256' |
ซิสฟรอมมี | ทิศทางของข้อความ: '0' – ขาเข้า, '1' – ขาออก |
ZMESSAGEERRORSTATUS | สถานะการส่งข้อความ หากข้อความถูกส่ง/รับ จะมีค่า '0' |
ZMESSAGETYPE | ประเภทของข้อความที่กำลังส่ง |
สซอร์ต | ไม่เป็นที่รู้จัก |
สถานะสปอตไลต์ | ไม่เป็นที่รู้จัก |
สสตาร์เรด | ไม่รู้จักไม่ได้ใช้ |
ZCHATSESSION | ไม่เป็นที่รู้จัก |
ZGROUPMEMBER | ไม่รู้จักไม่ได้ใช้ |
ซลาสต์เซสชั่น | ไม่เป็นที่รู้จัก |
ZMEDIAITEM | ไม่เป็นที่รู้จัก |
ZMESSAGEINFO | ไม่เป็นที่รู้จัก |
ZPARENTข้อความ | ไม่รู้จักไม่ได้ใช้ |
ZMESSAGEDATE | การประทับเวลาในรูปแบบ OS X Epoch Time |
ZSENTDATE | เวลาที่ข้อความถูกส่งในรูปแบบ OS X Epoch Time |
ซฟรอมจิด | รหัสผู้ส่ง WhatsApp |
ZMEDIASECTIONID | ประกอบด้วยปีและเดือนที่ไฟล์สื่อถูกส่ง |
สฟาช | ไม่รู้จักไม่ได้ใช้ |
ZPUSHPAME | ชื่อของผู้ติดต่อที่ส่งไฟล์สื่อในรูปแบบ UTF-8 |
ซสแตนซิด | ตัวระบุข้อความที่ไม่ซ้ำ |
แซทเท็กซ์ | ข้อความ |
สโตจิด | ID WhatsApp ของผู้รับ |
OFFSET | อคติ |
ลักษณะของตาราง 'ZWAMEDIAITEM':
โครงสร้างของตาราง 'ZWAMEDIAITEM'
ชื่อฟิลด์ | มูลค่า |
---|---|
Z_PK | หมายเลขลำดับการบันทึก (ในตาราง SQL) |
Z_ENT | ตัวระบุตาราง มีค่า '8' |
Z_OPT | ไม่ทราบ โดยปกติจะมีค่าตั้งแต่ '1' ถึง '3' |
ZCLOUDSTATUS | มีค่า '4' หากโหลดไฟล์แล้ว |
ZFILESIZE | มีความยาวไฟล์ (เป็นไบต์) สำหรับไฟล์ที่ดาวน์โหลด |
ZMEDIAORIGIN | ไม่ทราบ โดยปกติจะมีค่า '0' |
Zภาพยนตร์ระยะเวลา | ระยะเวลาของไฟล์มีเดีย สำหรับไฟล์ pdf อาจมีจำนวนหน้าของเอกสารได้ |
ZMESSAGE | มีหมายเลขซีเรียล (หมายเลขแตกต่างจากหมายเลขที่ระบุในคอลัมน์ 'Z_PK') |
สเปกเทรติโอ | อัตราส่วนภาพ ไม่ได้ใช้ โดยปกติจะตั้งค่าเป็น '0' |
จาคคูซีซี | ไม่ทราบ โดยปกติจะมีค่า '0' |
ซลัตติจูด | ความกว้างเป็นพิกเซล |
สลองติจูด | ความสูงเป็นพิกเซล |
ZMEDIAURLDATE | การประทับเวลาในรูปแบบ OS X Epoch Time |
ซอธอร์เนม | ผู้แต่ง (สำหรับเอกสารอาจมีชื่อไฟล์) |
ZCOLLECTIONNAME | ไม่ได้ใช้ |
สมีเดียโลคัลพาธ | ชื่อไฟล์ (รวมถึงเส้นทาง) ในระบบไฟล์ของอุปกรณ์ |
ZMEDIAURL | URL ที่มีไฟล์สื่ออยู่ หากไฟล์ถูกถ่ายโอนจากผู้สมัครสมาชิกรายหนึ่งไปยังอีกรายหนึ่ง ไฟล์นั้นจะถูกเข้ารหัสและนามสกุลของไฟล์จะถูกระบุว่าเป็นนามสกุลของไฟล์ที่ถ่ายโอน - .enc |
ZTHUMBNAILLOCALPATH | เส้นทางไปยังภาพขนาดย่อของไฟล์ในระบบไฟล์ของอุปกรณ์ |
ZTITLE | ส่วนหัวของไฟล์ |
ZVCARDNAME | แฮชของไฟล์สื่อ เมื่อถ่ายโอนไฟล์ไปยังกลุ่มอาจมีตัวระบุผู้ส่ง |
ZVCARDSTRING | มีข้อมูลเกี่ยวกับประเภทของไฟล์ที่กำลังถ่ายโอน (เช่น รูปภาพ/jpeg) เมื่อถ่ายโอนไฟล์ไปยังกลุ่ม อาจมีตัวระบุของผู้รับ |
ZXMPPTHUMBPATH | เส้นทางไปยังภาพขนาดย่อของไฟล์ในระบบไฟล์ของอุปกรณ์ |
ซีมีเดียคีย์ | ไม่ทราบ อาจมีกุญแจสำหรับถอดรหัสไฟล์ที่เข้ารหัส |
ซเมตาดาต้า | ข้อมูลเมตาของข้อความที่ส่ง |
สาขา | อคติ |
ตารางฐานข้อมูลอื่นๆ ที่น่าสนใจ 'ChatStorage.sqlite' พวกเขาคือ
- 'ZWAPROFILEPUSHNAME'. จับคู่ WhatsApp ID กับชื่อผู้ติดต่อ
- 'ZWAPROFILEPICTUREITEM'. จับคู่ WhatsApp ID กับอวาตาร์ผู้ติดต่อ
- 'Z_PRIMARYKEY'. ตารางประกอบด้วยข้อมูลทั่วไปเกี่ยวกับฐานข้อมูลนี้ เช่น จำนวนข้อความทั้งหมดที่จัดเก็บ จำนวนการแชททั้งหมด เป็นต้น
นอกจากนี้ เมื่อตรวจสอบ WhatsApp บนอุปกรณ์มือถือที่ใช้ iOS คุณควรใส่ใจกับไฟล์ต่อไปนี้:
- ไฟล์ 'BackedUpKeyValue.sqlite'. ประกอบด้วยคีย์เข้ารหัสและข้อมูลอื่น ๆ ที่จำเป็นในการระบุตัวเจ้าของบัญชี ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- ไฟล์ 'ผู้ติดต่อ V2.sqlite'. ประกอบด้วยข้อมูลเกี่ยวกับผู้ติดต่อของผู้ใช้ เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ สถานะการติดต่อ (ในรูปแบบข้อความ) WhatsApp ID เป็นต้น ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- ไฟล์ 'ผู้บริโภค_เวอร์ชัน'. มีหมายเลขเวอร์ชันของแอปพลิเคชัน WhatsApp ที่ติดตั้ง ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- ไฟล์ 'current_wallpaper.jpg'. มีวอลเปเปอร์พื้นหลัง WhatsApp ปัจจุบัน ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. แอปพลิเคชันเวอร์ชันเก่าใช้ไฟล์นี้ 'วอลล์เปเปอร์'ซึ่งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- ไฟล์ 'blockedcontacts.dat'. มีข้อมูลเกี่ยวกับผู้ติดต่อที่ถูกบล็อก ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- ไฟล์ 'pw.dat'. ประกอบด้วยรหัสผ่านที่เข้ารหัส ตั้งอยู่ริมเส้นทาง: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- ไฟล์ 'net.whatsapp.WhatsApp.plist' (หรือไฟล์ 'group.net.whatsapp.WhatsApp.shared.plist'). มีข้อมูลเกี่ยวกับโปรไฟล์บัญชี WhatsApp ของคุณ ไฟล์ตั้งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
เนื้อหาของไฟล์ 'group.net.whatsapp.WhatsApp.shared.plist'
คุณต้องใส่ใจกับไดเร็กทอรีต่อไปนี้ด้วย:
- ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. ประกอบด้วยภาพขนาดย่อของผู้ติดต่อ กลุ่ม (ไฟล์ที่มีนามสกุล . นิ้วหัวแม่มือ), ติดต่ออวตาร, อวตารของเจ้าของบัญชี WhatsApp (ไฟล์ 'รูปภาพ.jpg').
- ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. ประกอบด้วยไฟล์มัลติมีเดียและภาพขนาดย่อ
- ไดเรกทอรี '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. มีบันทึกการทำงานของโปรแกรม (ไฟล์ 'calls.log') และสำเนาสำรองของบันทึกการทำงานของโปรแกรม (ไฟล์ 'calls.backup.log').
- ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. มีสติ๊กเกอร์ (ไฟล์ในรูปแบบ '.เว็บพี').
- ไดเรกทอรี '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. มีบันทึกการทำงานของโปรแกรม
สิ่งประดิษฐ์ WhatsApp บน Windows
สิ่งประดิษฐ์ WhatsApp บน Windows สามารถพบได้ในหลายแห่ง ก่อนอื่นนี่คือไดเร็กทอรีที่มีไฟล์ปฏิบัติการและไฟล์โปรแกรมเสริม (สำหรับ Windows 8/10):
- 'C: ไฟล์โปรแกรม (x86) WhatsApp'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataLocalWhatsApp'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% ไฟล์โปรแกรม AppDataLocalVirtualStore (x86) WhatsApp'
ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataLocalWhatsApp' ไฟล์บันทึกตั้งอยู่ 'SquirrelSetup.log'ซึ่งมีข้อมูลเกี่ยวกับการตรวจสอบการอัพเดตและการติดตั้งโปรแกรม
ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataRoamingWhatsApp' มีหลายไดเรกทอรีย่อย:
ไฟล์ 'main-process.log' มีข้อมูลเกี่ยวกับการทำงานของโปรแกรม WhatsApp
ไดเรกทอรีย่อย 'ฐานข้อมูล' มีไฟล์ 'ฐานข้อมูล.db'แต่ไฟล์นี้ไม่มีข้อมูลใดๆ เกี่ยวกับการแชทหรือผู้ติดต่อ
สิ่งที่น่าสนใจที่สุดจากมุมมองทางนิติวิทยาศาสตร์คือไฟล์ที่อยู่ในไดเร็กทอรี 'แคช'. โดยทั่วไปแล้วไฟล์เหล่านี้จะมีชื่อว่า 'ฉ*********' (โดยที่ * คือตัวเลขตั้งแต่ 0 ถึง 9) ที่มีไฟล์มัลติมีเดียและเอกสารที่เข้ารหัส แต่ก็มีไฟล์ที่ไม่ได้เข้ารหัสอยู่ด้วย สิ่งที่น่าสนใจเป็นพิเศษคือไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_2', 'ข้อมูล_3'ซึ่งอยู่ในไดเรกทอรีย่อยเดียวกัน ไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_3' มีลิงก์ภายนอกไปยังไฟล์มัลติมีเดียและเอกสารที่เข้ารหัสที่ส่ง
ตัวอย่างข้อมูลที่อยู่ในไฟล์ 'data_1'
ไฟล์อีกด้วย 'ข้อมูล_3' อาจมีไฟล์กราฟิก
ไฟล์ 'ข้อมูล_2' มีอวาตาร์ผู้ติดต่อ (สามารถกู้คืนได้โดยค้นหาด้วยส่วนหัวของไฟล์)
อวตารที่มีอยู่ในไฟล์ 'ข้อมูล_2':
ดังนั้นจึงไม่พบการแชทในหน่วยความจำของคอมพิวเตอร์ แต่คุณสามารถค้นหา:
- ไฟล์มัลติมีเดีย
- เอกสารที่ส่งผ่าน WhatsApp;
- ข้อมูลเกี่ยวกับการติดต่อของเจ้าของบัญชี
สิ่งประดิษฐ์ WhatsApp บน MacOS
ใน MacOS คุณสามารถค้นหาประเภทของสิ่งประดิษฐ์ WhatsApp ที่คล้ายกับที่พบใน Windows OS
ไฟล์โปรแกรมอยู่ในไดเร็กทอรีต่อไปนี้:
- 'C:ApplicationsWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryPreferences'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryLogsWhatsApp'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% สถานะแอปพลิเคชัน LibrarySavedWhatsApp.savedState'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% สคริปต์แอปพลิเคชันไลบรารี'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportCloudDocs'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsApp.ShipIt'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% เอกสารมือถือไลบรารี <ตัวแปรข้อความ> บัญชี WhatsApp'
ไดเรกทอรีนี้ประกอบด้วยไดเรกทอรีย่อยที่มีชื่อเป็นหมายเลขโทรศัพท์ที่เชื่อมโยงกับเจ้าของบัญชี WhatsApp - 'C: Users% โปรไฟล์ผู้ใช้% LibraryCachesWhatsApp.ShipIt'
ไดเร็กทอรีนี้มีข้อมูลเกี่ยวกับการติดตั้งโปรแกรม - 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% PicturesiPhoto Library.photolibraryMasters', 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% PicturesiPhoto Library.photolibraryThumbnails'
ไดเรกทอรีเหล่านี้มีไฟล์บริการของโปรแกรม รวมถึงรูปภาพและภาพขนาดย่อของผู้ติดต่อ WhatsApp - 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryCachesWhatsApp'
ไดเร็กทอรีนี้มีฐานข้อมูล SQLite หลายฐานข้อมูลที่ใช้สำหรับการแคชข้อมูล - 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsApp'
ไดเร็กทอรีนี้มีหลายไดเร็กทอรีย่อย:
ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsAppCache' มีไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_2', 'ข้อมูล_3' และไฟล์ที่มีชื่อ 'ฉ*********' (โดยที่ * คือตัวเลขตั้งแต่ 0 ถึง 9) สำหรับข้อมูลเกี่ยวกับข้อมูลที่มีอยู่ในไฟล์เหล่านี้ โปรดดูที่ WhatsApp Artifact บน Windowsในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsAppIndexedDB' อาจมีไฟล์มัลติมีเดีย (ไฟล์ไม่มีนามสกุล)
ไฟล์ 'main-process.log' มีข้อมูลเกี่ยวกับการทำงานของโปรแกรม WhatsApp
แหล่งที่มา
- การวิเคราะห์ทางนิติเวชของ WhatsApp Messenger บนสมาร์ทโฟน Android โดย Cosimo Anglano, 2014
- Whatsapp Forensics: ระบบขั้นสูงพร้อมข้อมูลพื้นฐานสำหรับ Android และ iOS โดย Ahmad Pratama, 2014
ในบทความต่อไปนี้ในชุดนี้:
การถอดรหัสฐานข้อมูล WhatsApp ที่เข้ารหัสบทความที่จะให้ข้อมูลเกี่ยวกับวิธีการสร้างคีย์เข้ารหัส WhatsApp และตัวอย่างเชิงปฏิบัติที่แสดงวิธีถอดรหัสฐานข้อมูลที่เข้ารหัสของแอปพลิเคชันนี้
แยกข้อมูล WhatsApp จากที่เก็บข้อมูลบนคลาวด์บทความที่เราจะบอกคุณว่าข้อมูล WhatsApp ใดถูกเก็บไว้ในคลาวด์และอธิบายวิธีการดึงข้อมูลนี้จากที่เก็บข้อมูลบนคลาวด์
การแยกข้อมูล WhatsApp: ตัวอย่างที่ใช้งานได้จริงบทความที่จะอธิบายทีละขั้นตอนว่าโปรแกรมใดบ้างและวิธีแยกข้อมูล WhatsApp จากอุปกรณ์ต่างๆ
ที่มา: will.com