โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

หากคุณต้องการทราบว่าสิ่งประดิษฐ์ทางนิติเวชของ WhatsApp ประเภทใดที่มีอยู่ในระบบปฏิบัติการที่แตกต่างกัน และสามารถพบได้ที่ไหน ที่นี่คือที่สำหรับคุณ บทความนี้มาจากผู้เชี่ยวชาญที่ Group-IB Computer Forensics Laboratory อิกอร์ มิคาอิลอฟ เริ่มโพสต์ชุดเกี่ยวกับการนิติเวชของ WhatsApp และข้อมูลใดบ้างที่สามารถรวบรวมได้จากการวิเคราะห์อุปกรณ์

โปรดทราบว่าระบบปฏิบัติการที่แตกต่างกันจะจัดเก็บสิ่งประดิษฐ์ WhatsApp ประเภทต่างๆ และหากนักวิจัยสามารถดึงข้อมูล WhatsApp บางประเภทจากอุปกรณ์เครื่องหนึ่งได้ ไม่ได้หมายความว่าจะสามารถดึงข้อมูลประเภทเดียวกันจากอุปกรณ์อื่นได้ ตัวอย่างเช่น หากลบหน่วยระบบที่ใช้ Windows OS แชท WhatsApp อาจจะไม่พบบนดิสก์ (ยกเว้นสำเนาสำรองของอุปกรณ์ iOS ซึ่งสามารถพบได้ในไดรฟ์เดียวกัน) การยึดแล็ปท็อปและอุปกรณ์มือถือจะมีลักษณะเฉพาะของตัวเอง เรามาพูดถึงรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้

สิ่งประดิษฐ์ WhatsApp ในอุปกรณ์ Android

หากต้องการแยกสิ่งประดิษฐ์ WhatsApp ออกจากอุปกรณ์ Android ผู้วิจัยจะต้องมีสิทธิ์ผู้ใช้ระดับสูง ('ราก') บนอุปกรณ์ที่อยู่ระหว่างการศึกษาหรือสามารถแยกดัมพ์ทางกายภาพของหน่วยความจำของอุปกรณ์ หรือระบบไฟล์ของอุปกรณ์ได้ (เช่น การใช้ช่องโหว่ของซอฟต์แวร์ในอุปกรณ์เคลื่อนที่เฉพาะ)

ไฟล์แอปพลิเคชันจะอยู่ในหน่วยความจำของโทรศัพท์ในส่วนที่บันทึกข้อมูลผู้ใช้ ตามกฎแล้วส่วนนี้จะมีชื่อว่า 'ข้อมูลผู้ใช้'. ไดเร็กทอรีย่อยและไฟล์โปรแกรมจะตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/'.

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ไฟล์หลักที่มีสิ่งประดิษฐ์ทางนิติเวชของ WhatsApp ในระบบปฏิบัติการ Android คือฐานข้อมูล 'wa.db' и 'msgstore.db'.

ในฐานข้อมูล 'wa.db' มีรายชื่อผู้ติดต่อทั้งหมดของผู้ใช้ WhatsApp รวมถึงหมายเลขโทรศัพท์ ชื่อที่แสดง การประทับเวลา และข้อมูลอื่น ๆ ที่ให้ไว้ขณะลงทะเบียน WhatsApp ไฟล์ 'wa.db' ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/databases/' และมีโครงสร้างดังนี้

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ตารางที่น่าสนใจที่สุดในฐานข้อมูล 'wa.db' สำหรับนักวิจัยได้แก่

  • 'wa_contacts'
    ตารางนี้ประกอบด้วยข้อมูลการติดต่อ: รหัสผู้ติดต่อ WhatsApp, ข้อมูลสถานะ, ชื่อที่แสดงของผู้ใช้, การประทับเวลา ฯลฯ

    ลักษณะตาราง:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
    โครงสร้างตาราง

    ชื่อฟิลด์ มูลค่า
    _NS หมายเลขลำดับการบันทึก (ในตาราง SQL)
    จิด ID ผู้ติดต่อ WhatsApp เขียนในรูปแบบ <หมายเลขโทรศัพท์>@s.whatsapp.net
    is_whatsapp_user มี '1' หากผู้ติดต่อสอดคล้องกับผู้ใช้ WhatsApp จริง มิฉะนั้น '0'
    สถานะ มีข้อความที่แสดงในสถานะการติดต่อ
    สถานะ_การประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms)
    จำนวน หมายเลขโทรศัพท์ที่เกี่ยวข้องกับผู้ติดต่อ
    raw_contact_id หมายเลขซีเรียลติดต่อ
    display_name ชื่อที่แสดงของผู้ติดต่อ
    phone_type ประเภทโทรศัพท์
    phone_label ป้ายที่เกี่ยวข้องกับหมายเลขติดต่อ
    unseen_msg_count จำนวนข้อความที่ผู้ติดต่อส่งแต่ผู้รับไม่ได้อ่าน
    รูปภาพ_ts มีการประทับเวลาในรูปแบบ Unix Epoch Time
    thumb_ts มีการประทับเวลาในรูปแบบ Unix Epoch Time
    photo_id_ประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms)
    กำหนด_ชื่อ ค่าของฟิลด์ตรงกับ 'display_name' สำหรับผู้ติดต่อแต่ละราย
    wa_name ชื่อผู้ติดต่อ WhatsApp (ชื่อที่ระบุในโปรไฟล์ผู้ติดต่อจะปรากฏขึ้น)
    sort_name ชื่อผู้ติดต่อที่ใช้ในการเรียงลำดับ
    ชื่อเล่น ชื่อเล่นของผู้ติดต่อใน WhatsApp (ชื่อเล่นที่ระบุในโปรไฟล์ของผู้ติดต่อจะปรากฏขึ้น)
    บริษัท บริษัท (แสดงบริษัทที่ระบุในโปรไฟล์ผู้ติดต่อ)
    ชื่อเรื่อง ตำแหน่ง (นางสาว/นาย; ตำแหน่งที่กำหนดค่าในโปรไฟล์ผู้ติดต่อจะปรากฏขึ้น)
    ชดเชย อคติ
  • 'sqlite_sequence'
    ตารางนี้มีข้อมูลเกี่ยวกับจำนวนผู้ติดต่อ
  • 'android_metadata'
    ตารางนี้มีข้อมูลเกี่ยวกับการแปลภาษา WhatsApp

ในฐานข้อมูล 'msgstore.db' มีข้อมูลเกี่ยวกับข้อความที่ส่ง เช่น หมายเลขติดต่อ ข้อความ สถานะข้อความ การประทับเวลา รายละเอียดของไฟล์ที่ถ่ายโอนรวมอยู่ในข้อความ เป็นต้น ไฟล์ 'msgstore.db' ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/databases/' และมีโครงสร้างดังนี้

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ตารางที่น่าสนใจที่สุดในไฟล์ 'msgstore.db' สำหรับนักวิจัยได้แก่

  • 'sqlite_sequence'
    ตารางนี้ประกอบด้วยข้อมูลทั่วไปเกี่ยวกับฐานข้อมูลนี้ เช่น จำนวนข้อความทั้งหมดที่จัดเก็บ จำนวนแชททั้งหมด เป็นต้น

    ลักษณะตาราง:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

  • 'message_fts_content'
    ประกอบด้วยข้อความของข้อความที่ส่ง

    ลักษณะตาราง:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

  • 'ข้อความ'
    ตารางนี้ประกอบด้วยข้อมูล เช่น หมายเลขติดต่อ ข้อความ สถานะข้อความ การประทับเวลา ข้อมูลเกี่ยวกับไฟล์ที่ถ่ายโอนที่รวมอยู่ในข้อความ

    ลักษณะตาราง:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
    โครงสร้างตาราง

    ชื่อฟิลด์ มูลค่า
    _NS หมายเลขลำดับการบันทึก (ในตาราง SQL)
    key_remote_jid WhatsApp ID ของพันธมิตรการสื่อสาร
    คีย์_จาก_ฉัน ทิศทางของข้อความ: '0' – ขาเข้า, '1' – ขาออก
    คีย์_id ตัวระบุข้อความที่ไม่ซ้ำ
    สถานะ สถานะข้อความ: '0' – จัดส่งแล้ว, '4' – กำลังรออยู่บนเซิร์ฟเวอร์, '5' – ได้รับที่ปลายทาง, '6' – ข้อความควบคุม, '13' – ข้อความเปิดโดยผู้รับ (อ่าน)
    need_push มีค่า '2' หากเป็นข้อความออกอากาศ มิฉะนั้นจะมี '0'
    ข้อมูล ข้อความ (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '0')
    การประทับเวลา มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์
    media_url มี URL ของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3')
    media_mime_type ประเภท MIME ของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' เท่ากับ '1', '2', '3')
    media_wa_type ประเภทข้อความ: '0' - ข้อความ, '1' - ไฟล์กราฟิก, '2' - ไฟล์เสียง, '3' - ไฟล์วิดีโอ, '4' - บัตรข้อมูลที่ติดต่อ, '5' - geodata
    สื่อ_ขนาด ขนาดของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3')
    สื่อ_ชื่อ ชื่อของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '2', '3')
    สื่อ_คำบรรยายภาพ มีคำว่า 'audio', 'video' สำหรับค่าที่สอดคล้องกันของพารามิเตอร์ 'media_wa_type' (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1', '3')
    สื่อ_แฮช แฮชที่เข้ารหัส base64 ของไฟล์ที่ส่ง คำนวณโดยใช้อัลกอริทึม HAS-256 (เมื่อพารามิเตอร์ 'media_wa_type' เท่ากับ '1', '2', '3')
    สื่อ_ระยะเวลา ระยะเวลาเป็นวินาทีสำหรับไฟล์สื่อ (เมื่อ 'media_wa_type' คือ '1', '2', '3')
    ที่มา มีค่า '2' หากเป็นข้อความออกอากาศ มิฉะนั้นจะมี '0'
    ละติจูด geodata: ละติจูด (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '5')
    ลองจิจูด geodata: ลองจิจูด (เมื่อพารามิเตอร์ 'media_wa_type' เป็น '5')
    thumb_image ข้อมูลการบริการ
    รีโมต_รีซอร์ส ID ผู้ส่ง (สำหรับการแชทกลุ่มเท่านั้น)
    ได้รับ_ประทับเวลา เวลาที่รับ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '0', '-1' หรือค่าอื่น ๆ )
    send_timestamp ไม่ได้ใช้ โดยปกติจะมีค่า '-1'
    ใบเสร็จรับเงิน_server_timestamp เวลาที่ได้รับจากเซิร์ฟเวอร์กลาง มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '1', '-1' หรือค่าอื่น ๆ
    ใบเสร็จรับเงิน_อุปกรณ์_ประทับเวลา เวลาที่ผู้สมัครสมาชิกรายอื่นได้รับข้อความ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกนำมาจากนาฬิกาของอุปกรณ์ (เมื่อพารามิเตอร์ 'key_from_me' มี '1', '-1' หรือค่าอื่น
    read_device_timestamp เวลาเปิด (อ่าน) ข้อความมีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกดึงมาจากนาฬิกาของอุปกรณ์
    เล่น_อุปกรณ์_ประทับเวลา เวลาเล่นข้อความ มีการประทับเวลาในรูปแบบ Unix Epoch Time (ms) ค่าจะถูกดึงมาจากนาฬิกาของอุปกรณ์
    ข้อมูลดิบ ภาพขนาดย่อของไฟล์ที่ถ่ายโอน (เมื่อพารามิเตอร์ 'media_wa_type' คือ '1' หรือ '3')
    ผู้รับ_count จำนวนผู้รับ (สำหรับข้อความที่ออกอากาศ)
    ผู้เข้าร่วม_แฮช ใช้เมื่อส่งข้อความด้วย geodata
    มงคล ไม่ได้ใช้
    quoted_row_id ไม่ทราบ โดยปกติจะมีค่า '0'
    กล่าวถึง_jids ไม่ได้ใช้
    มัลติคาสต์_id ไม่ได้ใช้
    ชดเชย อคติ

    รายการฟิลด์นี้ยังไม่ครบถ้วนสมบูรณ์ สำหรับ WhatsApp เวอร์ชันต่างๆ บางช่องอาจมีหรือไม่มี นอกจากนี้ อาจมีฟิลด์อยู่ด้วย 'media_enc_hash', 'แก้ไข_รุ่น', 'การชำระเงิน_ธุรกรรม_id' เป็นต้น

  • 'ข้อความ_ภาพขนาดย่อ'
    ตารางนี้ประกอบด้วยข้อมูลเกี่ยวกับภาพที่ถ่ายโอนและการประทับเวลา ในคอลัมน์ 'การประทับเวลา' เวลาจะถูกระบุในรูปแบบ Unix Epoch Time (ms)
  • 'แชท_ลิสต์'
    ตารางนี้มีข้อมูลเกี่ยวกับการแชท

    ลักษณะตาราง:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

นอกจากนี้ เมื่อตรวจสอบ WhatsApp บนอุปกรณ์มือถือที่ใช้ Android คุณควรใส่ใจกับไฟล์ต่อไปนี้:

  • ไฟล์ 'msgstore.db.cryptXX' (โดยที่ XX คือตัวเลขหนึ่งหรือสองหลักตั้งแต่ 0 ถึง 12 เช่น msgstore.db.crypt12) มีการสำรองข้อมูลข้อความ WhatsApp ที่เข้ารหัส (ไฟล์สำรอง msgstore.db). ไฟล์ 'msgstore.db.cryptXX' ตั้งอยู่ตามเส้นทาง: '/data/media/0/WhatsApp/ฐานข้อมูล/' (การ์ด SD เสมือน) '/mnt/sdcard/WhatsApp/ฐานข้อมูล/ (การ์ด SD จริง)'
  • ไฟล์ 'สำคัญ'. ประกอบด้วยคีย์เข้ารหัส ตั้งอยู่ริมเส้นทาง: '/data/data/com.whatsapp/files/'. ใช้เพื่อถอดรหัสข้อมูลสำรอง WhatsApp ที่เข้ารหัส
  • ไฟล์ 'com.whatsapp_preferences.xml'. มีข้อมูลเกี่ยวกับโปรไฟล์บัญชี WhatsApp ของคุณ ไฟล์ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/shared_prefs/'.

    ส่วนของเนื้อหาไฟล์

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • ไฟล์ 'registration.RegisterPhone.xml'. มีข้อมูลเกี่ยวกับหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp ไฟล์ตั้งอยู่ตามเส้นทาง: '/data/data/com.whatsapp/shared_prefs/'.

    เนื้อหาไฟล์ 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • ไฟล์ 'axolotl.db'. ประกอบด้วยคีย์เข้ารหัสและข้อมูลอื่น ๆ ที่จำเป็นในการระบุตัวเจ้าของบัญชี ตั้งอยู่ริมเส้นทาง: '/data/data/com.whatsapp/databases/'.
  • ไฟล์ 'chatsettings.db'. มีข้อมูลการกำหนดค่าแอปพลิเคชัน
  • ไฟล์ 'wa.db'. ประกอบด้วยรายละเอียดการติดต่อ ฐานข้อมูลที่น่าสนใจมาก (จากด้านนิติเวช) และให้ข้อมูล อาจมีข้อมูลโดยละเอียดเกี่ยวกับผู้ติดต่อที่ถูกลบ

คุณต้องใส่ใจกับไดเร็กทอรีต่อไปนี้ด้วย:

  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/'. ประกอบด้วยไฟล์กราฟิกที่ถ่ายโอน
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/บันทึกเสียง WhatsApp/'. มีข้อความเสียงในรูปแบบไฟล์ .OPUS
  • ไดเรกทอรี '/data/data/com.whatsapp/cache/รูปภาพโปรไฟล์/'. มีไฟล์กราฟิก – รูปภาพของผู้ติดต่อ
  • ไดเรกทอรี '/data/data/com.whatsapp/files/Avatars/'. มีไฟล์กราฟิก – ภาพขนาดย่อของผู้ติดต่อ ไฟล์เหล่านี้มีนามสกุล '.j' แต่เป็นไฟล์รูปภาพ JPEG (JPG)
  • ไดเรกทอรี '/data/data/com.whatsapp/files/Avatars/'. มีไฟล์กราฟิก - รูปภาพและภาพขนาดย่อของรูปภาพที่เจ้าของบัญชีตั้งเป็นรูปประจำตัว
  • ไดเรกทอรี '/data/data/com.whatsapp/files/Logs/'. ประกอบด้วยบันทึกการทำงานของโปรแกรม (ไฟล์ 'whatsapp.log') และสำเนาสำรองของบันทึกการทำงานของโปรแกรม (ไฟล์ที่มีชื่อในรูปแบบ whatsapp-yyyy-mm-dd.1.log.gz)

ไฟล์บันทึก WhatsApp:

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ส่วนวารสาร2017-01-10 09:37:09.757 LL_ID [524:WhatsApp Worker #1] การแจ้งเตือนการโทรที่ไม่ได้รับ/จำนวนการเริ่มต้น:0 การประทับเวลา:0
2017-01-10 09:37:09.758 LL_ID [524:WhatsApp Worker #1] การแจ้งเตือนการโทรที่ไม่ได้รับ/การอัปเดต ยกเลิก จริง
2017-01-10 09:37:09.768 LL_ID [1:main] app-init/load-me
2017-01-10 09:37:09.772 ไฟล์รหัสผ่าน LL_ID [1:main] หายไปหรืออ่านไม่ได้
2017-01-10 09:37:09.782 สถิติ LL_ID [1:main] ข้อความ: ส่ง 59 ครั้ง, ได้รับ 82 ครั้ง / ข้อความสื่อ: ส่ง 1 ครั้ง (0 ไบต์), ได้รับ 0 ครั้ง (9850158 ไบต์) / ข้อความออฟไลน์: ได้รับ 81 ครั้ง ( ความล่าช้าเฉลี่ย 19522 มิลลิวินาที) / บริการข้อความ: ส่ง 116075 ไบต์, รับ 211729 ไบต์ / โทร Voip: สายออก 1 สาย, สายเรียกเข้า 0 สาย, ส่ง 2492 ไบต์, รับ 1530 ไบต์ / Google Drive: ส่ง 0 ไบต์, รับ 0 ไบต์ / โรมมิ่ง: 1524 ไบต์ที่ส่ง, 1826 ไบต์ที่ได้รับ / ข้อมูลทั้งหมด: 118567 ไบต์ที่ส่ง, 10063417 ไบต์ที่ได้รับ
2017-01-10 09:37:09.785 LL_ID [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_ID [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_ID [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_ID [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_ID [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_ID [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_ID [1:main] msgstore/checkdb/เวอร์ชัน 1
2017-01-10 09:37:09.839 LL_ID [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_ID [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery 517 | เวลาที่ใช้:8
2017-01-10 09:37:09.848 LL_ID [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage พร้อมใช้งาน:1,345,622,016 รวม:5,687,922,688

  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/เสียง WhatsApp/'. ประกอบด้วยไฟล์เสียงที่ได้รับ
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/เสียง WhatsApp/ส่งแล้ว/'. มีไฟล์เสียงที่ส่ง
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/'. ประกอบด้วยไฟล์กราฟิกที่ได้
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/รูปภาพ WhatsApp/ส่งแล้ว/'. มีไฟล์กราฟิกที่ส่ง
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/วิดีโอ WhatsApp/'. ประกอบด้วยไฟล์วิดีโอที่ได้รับ
  • ไดเรกทอรี '/data/media/0/WhatsApp/สื่อ/วิดีโอ WhatsApp/ส่งแล้ว/'. ประกอบด้วยไฟล์วิดีโอที่ส่ง
  • ไดเรกทอรี '/data/media/0/WhatsApp/Media/รูปภาพโปรไฟล์ WhatsApp/'. มีไฟล์กราฟิกที่เกี่ยวข้องกับเจ้าของบัญชี WhatsApp
  • เพื่อประหยัดพื้นที่หน่วยความจำบนสมาร์ทโฟน Android ของคุณ ข้อมูล WhatsApp บางส่วนสามารถจัดเก็บไว้ในการ์ด SD ได้ บนการ์ด SD ในไดเร็กทอรีรากจะมีไดเร็กทอรี 'วอทส์แอพ'โดยที่คุณจะพบสิ่งประดิษฐ์ต่อไปนี้ของโปรแกรมนี้:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

  • ไดเรกทอรี '.แบ่งปัน' ('/mnt/sdcard/WhatsApp/.Share/'). มีสำเนาของไฟล์ที่แชร์กับผู้ใช้ WhatsApp รายอื่น
  • ไดเรกทอรี '.ขยะ' ('/mnt/sdcard/WhatsApp/.trash/'). มีไฟล์ที่ถูกลบ
  • ไดเรกทอรี 'ฐานข้อมูล' ('/mnt/sdcard/WhatsApp/ฐานข้อมูล/'). มีการสำรองข้อมูลที่เข้ารหัส สามารถถอดรหัสได้หากมีไฟล์อยู่ 'สำคัญ'ดึงมาจากหน่วยความจำของอุปกรณ์ที่วิเคราะห์

    ไฟล์ที่อยู่ในไดเรกทอรีย่อย 'ฐานข้อมูล':

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?

  • ไดเรกทอรี 'ครึ่ง' ('/mnt/sdcard/WhatsApp/สื่อ/'). มีไดเร็กทอรีย่อย 'วอลล์เปเปอร์', 'เสียง WhatsApp', 'รูปภาพ WhatsApp', 'รูปโปรไฟล์ WhatsApp', 'วิดีโอ WhatsApp', 'บันทึกเสียง WhatsApp'ซึ่งมีไฟล์มัลติมีเดียที่ได้รับและส่ง (ไฟล์กราฟิก ไฟล์วิดีโอ ข้อความเสียง รูปภาพที่เกี่ยวข้องกับโปรไฟล์ของเจ้าของบัญชี WhatsApp วอลเปเปอร์)
  • ไดเรกทอรี 'รูปประจำตัว' ('/mnt/sdcard/WhatsApp/รูปภาพโปรไฟล์/'). มีไฟล์กราฟิกที่เกี่ยวข้องกับโปรไฟล์ของเจ้าของบัญชี WhatsApp
  • บางครั้งอาจมีไดเร็กทอรีอยู่ในการ์ด SD 'ไฟล์' ('/mnt/sdcard/WhatsApp/Files/'). ไดเร็กทอรีนี้ประกอบด้วยไฟล์ที่เก็บการตั้งค่าโปรแกรมและการตั้งค่าของผู้ใช้

คุณสมบัติการจัดเก็บข้อมูลในอุปกรณ์มือถือบางรุ่น

อุปกรณ์เคลื่อนที่บางรุ่นที่ใช้ระบบปฏิบัติการ Android อาจจัดเก็บสิ่งประดิษฐ์ WhatsApp ไว้ในตำแหน่งอื่น นี่เป็นเพราะการเปลี่ยนแปลงพื้นที่จัดเก็บข้อมูลแอปพลิเคชันโดยซอฟต์แวร์ระบบของอุปกรณ์มือถือ ตัวอย่างเช่น อุปกรณ์มือถือ Xiaomi มีฟังก์ชันสำหรับสร้างพื้นที่ทำงานที่สอง (“SecondSpace”) เมื่อเปิดใช้งานฟังก์ชันนี้ ตำแหน่งของข้อมูลจะเปลี่ยนไป ดังนั้นหากในอุปกรณ์เคลื่อนที่ทั่วไปที่ใช้ระบบปฏิบัติการ Android ข้อมูลผู้ใช้จะถูกเก็บไว้ในไดเร็กทอรี '/ข้อมูล/ผู้ใช้/0/' (ซึ่งเป็นการอ้างอิงถึงเรื่องปกติ '/ข้อมูล/ข้อมูล/') จากนั้นข้อมูลแอปพลิเคชันพื้นที่ทำงานที่สองจะถูกจัดเก็บไว้ในไดเร็กทอรี '/ข้อมูล/ผู้ใช้/10/'. นั่นคือโดยใช้ตัวอย่างตำแหน่งไฟล์ 'wa.db':

  • ในสมาร์ทโฟนทั่วไปที่ใช้ระบบปฏิบัติการ Android: /data/user/0/com.whatsapp/databases/wa.db' (ซึ่งเทียบเท่า. '/data/data/com.whatsapp/databases/wa.db');
  • ในพื้นที่ทำงานที่สองของสมาร์ทโฟน Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

สิ่งประดิษฐ์ WhatsApp ในอุปกรณ์ iOS

ต่างจากระบบปฏิบัติการ Android ใน iOS ข้อมูลแอปพลิเคชัน WhatsApp จะถูกถ่ายโอนไปยังสำเนาสำรอง (การสำรองข้อมูล iTunes) ดังนั้นการแยกข้อมูลจากแอปพลิเคชันนี้จึงไม่จำเป็นต้องแยกระบบไฟล์หรือสร้างดัมพ์หน่วยความจำกายภาพของอุปกรณ์ที่อยู่ระหว่างการตรวจสอบ ข้อมูลที่เกี่ยวข้องส่วนใหญ่มีอยู่ในฐานข้อมูล 'ChatStorage.sqlite'ซึ่งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (ในบางโปรแกรมเส้นทางนี้จะปรากฏเป็น 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

โครงสร้าง 'ChatStorage.sqlite':

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ตารางที่ให้ข้อมูลมากที่สุดในฐานข้อมูล 'ChatStorage.sqlite' ได้แก่ 'ซวาเมสเสจ' и 'ZWAMEDIAITEM'.

ลักษณะของตาราง 'ซวาเมสเสจ':

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
โครงสร้างของตาราง 'ZWAMESSAGE'

ชื่อฟิลด์ มูลค่า
Z_PK หมายเลขลำดับการบันทึก (ในตาราง SQL)
Z_ENT ตัวระบุตาราง มีค่า '9'
Z_OPT ไม่ทราบ โดยปกติจะมีค่าตั้งแต่ '1' ถึง '6'
ZCHILDMESSAGESDELIVEREDCOUNT ไม่ทราบ โดยปกติจะมีค่า '0'
ZCHILDMESSAGESPLAYEDCOUNT ไม่ทราบ โดยปกติจะมีค่า '0'
ZCHILDMESSAGESREADCOUNT ไม่ทราบ โดยปกติจะมีค่า '0'
ZDATAITEMVERSION ไม่ทราบ โดยปกติจะมีค่า '3' ซึ่งอาจเป็นตัวบ่งชี้ข้อความ
ซโดซิด ไม่เป็นที่รู้จัก
ZENCRETRYCOUNT ไม่ทราบ โดยปกติจะมีค่า '0'
ZFILTEREDRECIPIENTCOUNT ไม่ทราบ โดยปกติจะมีค่า '0', '2', '256'
ซิสฟรอมมี ทิศทางของข้อความ: '0' – ขาเข้า, '1' – ขาออก
ZMESSAGEERRORSTATUS สถานะการส่งข้อความ หากข้อความถูกส่ง/รับ จะมีค่า '0'
ZMESSAGETYPE ประเภทของข้อความที่กำลังส่ง
สซอร์ต ไม่เป็นที่รู้จัก
สถานะสปอตไลต์ ไม่เป็นที่รู้จัก
สสตาร์เรด ไม่รู้จักไม่ได้ใช้
ZCHATSESSION ไม่เป็นที่รู้จัก
ZGROUPMEMBER ไม่รู้จักไม่ได้ใช้
ซลาสต์เซสชั่น ไม่เป็นที่รู้จัก
ZMEDIAITEM ไม่เป็นที่รู้จัก
ZMESSAGEINFO ไม่เป็นที่รู้จัก
ZPARENTข้อความ ไม่รู้จักไม่ได้ใช้
ZMESSAGEDATE การประทับเวลาในรูปแบบ OS X Epoch Time
ZSENTDATE เวลาที่ข้อความถูกส่งในรูปแบบ OS X Epoch Time
ซฟรอมจิด รหัสผู้ส่ง WhatsApp
ZMEDIASECTIONID ประกอบด้วยปีและเดือนที่ไฟล์สื่อถูกส่ง
สฟาช ไม่รู้จักไม่ได้ใช้
ZPUSHPAME ชื่อของผู้ติดต่อที่ส่งไฟล์สื่อในรูปแบบ UTF-8
ซสแตนซิด ตัวระบุข้อความที่ไม่ซ้ำ
แซทเท็กซ์ ข้อความ
สโตจิด ID WhatsApp ของผู้รับ
OFFSET อคติ

ลักษณะของตาราง 'ZWAMEDIAITEM':

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
โครงสร้างของตาราง 'ZWAMEDIAITEM'

ชื่อฟิลด์ มูลค่า
Z_PK หมายเลขลำดับการบันทึก (ในตาราง SQL)
Z_ENT ตัวระบุตาราง มีค่า '8'
Z_OPT ไม่ทราบ โดยปกติจะมีค่าตั้งแต่ '1' ถึง '3'
ZCLOUDSTATUS มีค่า '4' หากโหลดไฟล์แล้ว
ZFILESIZE มีความยาวไฟล์ (เป็นไบต์) สำหรับไฟล์ที่ดาวน์โหลด
ZMEDIAORIGIN ไม่ทราบ โดยปกติจะมีค่า '0'
Zภาพยนตร์ระยะเวลา ระยะเวลาของไฟล์มีเดีย สำหรับไฟล์ pdf อาจมีจำนวนหน้าของเอกสารได้
ZMESSAGE มีหมายเลขซีเรียล (หมายเลขแตกต่างจากหมายเลขที่ระบุในคอลัมน์ 'Z_PK')
สเปกเทรติโอ อัตราส่วนภาพ ไม่ได้ใช้ โดยปกติจะตั้งค่าเป็น '0'
จาคคูซีซี ไม่ทราบ โดยปกติจะมีค่า '0'
ซลัตติจูด ความกว้างเป็นพิกเซล
สลองติจูด ความสูงเป็นพิกเซล
ZMEDIAURLDATE การประทับเวลาในรูปแบบ OS X Epoch Time
ซอธอร์เนม ผู้แต่ง (สำหรับเอกสารอาจมีชื่อไฟล์)
ZCOLLECTIONNAME ไม่ได้ใช้
สมีเดียโลคัลพาธ ชื่อไฟล์ (รวมถึงเส้นทาง) ในระบบไฟล์ของอุปกรณ์
ZMEDIAURL URL ที่มีไฟล์สื่ออยู่ หากไฟล์ถูกถ่ายโอนจากผู้สมัครสมาชิกรายหนึ่งไปยังอีกรายหนึ่ง ไฟล์นั้นจะถูกเข้ารหัสและนามสกุลของไฟล์จะถูกระบุว่าเป็นนามสกุลของไฟล์ที่ถ่ายโอน - .enc
ZTHUMBNAILLOCALPATH เส้นทางไปยังภาพขนาดย่อของไฟล์ในระบบไฟล์ของอุปกรณ์
ZTITLE ส่วนหัวของไฟล์
ZVCARDNAME แฮชของไฟล์สื่อ เมื่อถ่ายโอนไฟล์ไปยังกลุ่มอาจมีตัวระบุผู้ส่ง
ZVCARDSTRING มีข้อมูลเกี่ยวกับประเภทของไฟล์ที่กำลังถ่ายโอน (เช่น รูปภาพ/jpeg) เมื่อถ่ายโอนไฟล์ไปยังกลุ่ม อาจมีตัวระบุของผู้รับ
ZXMPPTHUMBPATH เส้นทางไปยังภาพขนาดย่อของไฟล์ในระบบไฟล์ของอุปกรณ์
ซีมีเดียคีย์ ไม่ทราบ อาจมีกุญแจสำหรับถอดรหัสไฟล์ที่เข้ารหัส
ซเมตาดาต้า ข้อมูลเมตาของข้อความที่ส่ง
สาขา อคติ

ตารางฐานข้อมูลอื่นๆ ที่น่าสนใจ 'ChatStorage.sqlite' พวกเขาคือ

  • 'ZWAPROFILEPUSHNAME'. จับคู่ WhatsApp ID กับชื่อผู้ติดต่อ
  • 'ZWAPROFILEPICTUREITEM'. จับคู่ WhatsApp ID กับอวาตาร์ผู้ติดต่อ
  • 'Z_PRIMARYKEY'. ตารางประกอบด้วยข้อมูลทั่วไปเกี่ยวกับฐานข้อมูลนี้ เช่น จำนวนข้อความทั้งหมดที่จัดเก็บ จำนวนการแชททั้งหมด เป็นต้น

นอกจากนี้ เมื่อตรวจสอบ WhatsApp บนอุปกรณ์มือถือที่ใช้ iOS คุณควรใส่ใจกับไฟล์ต่อไปนี้:

  • ไฟล์ 'BackedUpKeyValue.sqlite'. ประกอบด้วยคีย์เข้ารหัสและข้อมูลอื่น ๆ ที่จำเป็นในการระบุตัวเจ้าของบัญชี ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ไฟล์ 'ผู้ติดต่อ V2.sqlite'. ประกอบด้วยข้อมูลเกี่ยวกับผู้ติดต่อของผู้ใช้ เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ สถานะการติดต่อ (ในรูปแบบข้อความ) WhatsApp ID เป็นต้น ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ไฟล์ 'ผู้บริโภค_เวอร์ชัน'. มีหมายเลขเวอร์ชันของแอปพลิเคชัน WhatsApp ที่ติดตั้ง ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • ไฟล์ 'current_wallpaper.jpg'. มีวอลเปเปอร์พื้นหลัง WhatsApp ปัจจุบัน ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. แอปพลิเคชันเวอร์ชันเก่าใช้ไฟล์นี้ 'วอลล์เปเปอร์'ซึ่งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • ไฟล์ 'blockedcontacts.dat'. มีข้อมูลเกี่ยวกับผู้ติดต่อที่ถูกบล็อก ตั้งอยู่ริมเส้นทาง: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • ไฟล์ 'pw.dat'. ประกอบด้วยรหัสผ่านที่เข้ารหัส ตั้งอยู่ริมเส้นทาง: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • ไฟล์ 'net.whatsapp.WhatsApp.plist' (หรือไฟล์ 'group.net.whatsapp.WhatsApp.shared.plist'). มีข้อมูลเกี่ยวกับโปรไฟล์บัญชี WhatsApp ของคุณ ไฟล์ตั้งอยู่ตามเส้นทาง: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

เนื้อหาของไฟล์ 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
คุณต้องใส่ใจกับไดเร็กทอรีต่อไปนี้ด้วย:

  • ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. ประกอบด้วยภาพขนาดย่อของผู้ติดต่อ กลุ่ม (ไฟล์ที่มีนามสกุล . นิ้วหัวแม่มือ), ติดต่ออวตาร, อวตารของเจ้าของบัญชี WhatsApp (ไฟล์ 'รูปภาพ.jpg').
  • ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. ประกอบด้วยไฟล์มัลติมีเดียและภาพขนาดย่อ
  • ไดเรกทอรี '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. มีบันทึกการทำงานของโปรแกรม (ไฟล์ 'calls.log') และสำเนาสำรองของบันทึกการทำงานของโปรแกรม (ไฟล์ 'calls.backup.log').
  • ไดเรกทอรี '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. มีสติ๊กเกอร์ (ไฟล์ในรูปแบบ '.เว็บพี').
  • ไดเรกทอรี '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. มีบันทึกการทำงานของโปรแกรม

สิ่งประดิษฐ์ WhatsApp บน Windows

สิ่งประดิษฐ์ WhatsApp บน Windows สามารถพบได้ในหลายแห่ง ก่อนอื่นนี่คือไดเร็กทอรีที่มีไฟล์ปฏิบัติการและไฟล์โปรแกรมเสริม (สำหรับ Windows 8/10):

  • 'C: ไฟล์โปรแกรม (x86) WhatsApp'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataLocalWhatsApp'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% ไฟล์โปรแกรม AppDataLocalVirtualStore (x86) WhatsApp'

ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataLocalWhatsApp' ไฟล์บันทึกตั้งอยู่ 'SquirrelSetup.log'ซึ่งมีข้อมูลเกี่ยวกับการตรวจสอบการอัพเดตและการติดตั้งโปรแกรม

ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% AppDataRoamingWhatsApp' มีหลายไดเรกทอรีย่อย:

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ไฟล์ 'main-process.log' มีข้อมูลเกี่ยวกับการทำงานของโปรแกรม WhatsApp

ไดเรกทอรีย่อย 'ฐานข้อมูล' มีไฟล์ 'ฐานข้อมูล.db'แต่ไฟล์นี้ไม่มีข้อมูลใดๆ เกี่ยวกับการแชทหรือผู้ติดต่อ

สิ่งที่น่าสนใจที่สุดจากมุมมองทางนิติวิทยาศาสตร์คือไฟล์ที่อยู่ในไดเร็กทอรี 'แคช'. โดยทั่วไปแล้วไฟล์เหล่านี้จะมีชื่อว่า 'ฉ*********' (โดยที่ * คือตัวเลขตั้งแต่ 0 ถึง 9) ที่มีไฟล์มัลติมีเดียและเอกสารที่เข้ารหัส แต่ก็มีไฟล์ที่ไม่ได้เข้ารหัสอยู่ด้วย สิ่งที่น่าสนใจเป็นพิเศษคือไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_2', 'ข้อมูล_3'ซึ่งอยู่ในไดเรกทอรีย่อยเดียวกัน ไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_3' มีลิงก์ภายนอกไปยังไฟล์มัลติมีเดียและเอกสารที่เข้ารหัสที่ส่ง

ตัวอย่างข้อมูลที่อยู่ในไฟล์ 'data_1'WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ไฟล์อีกด้วย 'ข้อมูล_3' อาจมีไฟล์กราฟิก

ไฟล์ 'ข้อมูล_2' มีอวาตาร์ผู้ติดต่อ (สามารถกู้คืนได้โดยค้นหาด้วยส่วนหัวของไฟล์)

อวตารที่มีอยู่ในไฟล์ 'ข้อมูล_2':

WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
ดังนั้นจึงไม่พบการแชทในหน่วยความจำของคอมพิวเตอร์ แต่คุณสามารถค้นหา:

  • ไฟล์มัลติมีเดีย
  • เอกสารที่ส่งผ่าน WhatsApp;
  • ข้อมูลเกี่ยวกับการติดต่อของเจ้าของบัญชี

สิ่งประดิษฐ์ WhatsApp บน MacOS

ใน MacOS คุณสามารถค้นหาประเภทของสิ่งประดิษฐ์ WhatsApp ที่คล้ายกับที่พบใน Windows OS

ไฟล์โปรแกรมอยู่ในไดเร็กทอรีต่อไปนี้:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:Applications._WhatsApp.app'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryPreferences'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryLogsWhatsApp'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% สถานะแอปพลิเคชัน LibrarySavedWhatsApp.savedState'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% สคริปต์แอปพลิเคชันไลบรารี'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportCloudDocs'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsApp.ShipIt'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% เอกสารมือถือไลบรารี <ตัวแปรข้อความ> บัญชี WhatsApp'
    ไดเรกทอรีนี้ประกอบด้วยไดเรกทอรีย่อยที่มีชื่อเป็นหมายเลขโทรศัพท์ที่เชื่อมโยงกับเจ้าของบัญชี WhatsApp
  • 'C: Users% โปรไฟล์ผู้ใช้% LibraryCachesWhatsApp.ShipIt'
    ไดเร็กทอรีนี้มีข้อมูลเกี่ยวกับการติดตั้งโปรแกรม
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% PicturesiPhoto Library.photolibraryMasters', 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% PicturesiPhoto Library.photolibraryThumbnails'
    ไดเรกทอรีเหล่านี้มีไฟล์บริการของโปรแกรม รวมถึงรูปภาพและภาพขนาดย่อของผู้ติดต่อ WhatsApp
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryCachesWhatsApp'
    ไดเร็กทอรีนี้มีฐานข้อมูล SQLite หลายฐานข้อมูลที่ใช้สำหรับการแคชข้อมูล
  • 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsApp'
    ไดเร็กทอรีนี้มีหลายไดเร็กทอรีย่อย:

    WhatsApp อยู่ในมือคุณ: คุณจะพบสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ได้ที่ไหนและอย่างไร?
    ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsAppCache' มีไฟล์ 'ข้อมูล_0', 'ข้อมูล_1', 'ข้อมูล_2', 'ข้อมูล_3' และไฟล์ที่มีชื่อ 'ฉ*********' (โดยที่ * คือตัวเลขตั้งแต่ 0 ถึง 9) สำหรับข้อมูลเกี่ยวกับข้อมูลที่มีอยู่ในไฟล์เหล่านี้ โปรดดูที่ WhatsApp Artifact บน Windows

    ในแคตตาล็อก 'C: ผู้ใช้% โปรไฟล์ผู้ใช้% LibraryApplication SupportWhatsAppIndexedDB' อาจมีไฟล์มัลติมีเดีย (ไฟล์ไม่มีนามสกุล)

    ไฟล์ 'main-process.log' มีข้อมูลเกี่ยวกับการทำงานของโปรแกรม WhatsApp

แหล่งที่มา

  1. การวิเคราะห์ทางนิติเวชของ WhatsApp Messenger บนสมาร์ทโฟน Android โดย Cosimo Anglano, 2014
  2. Whatsapp Forensics: ระบบขั้นสูงพร้อมข้อมูลพื้นฐานสำหรับ Android และ iOS โดย Ahmad Pratama, 2014

ในบทความต่อไปนี้ในชุดนี้:

การถอดรหัสฐานข้อมูล WhatsApp ที่เข้ารหัสบทความที่จะให้ข้อมูลเกี่ยวกับวิธีการสร้างคีย์เข้ารหัส WhatsApp และตัวอย่างเชิงปฏิบัติที่แสดงวิธีถอดรหัสฐานข้อมูลที่เข้ารหัสของแอปพลิเคชันนี้
แยกข้อมูล WhatsApp จากที่เก็บข้อมูลบนคลาวด์บทความที่เราจะบอกคุณว่าข้อมูล WhatsApp ใดถูกเก็บไว้ในคลาวด์และอธิบายวิธีการดึงข้อมูลนี้จากที่เก็บข้อมูลบนคลาวด์
การแยกข้อมูล WhatsApp: ตัวอย่างที่ใช้งานได้จริงบทความที่จะอธิบายทีละขั้นตอนว่าโปรแกรมใดบ้างและวิธีแยกข้อมูล WhatsApp จากอุปกรณ์ต่างๆ

ที่มา: will.com

เพิ่มความคิดเห็น