Farklı işletim sistemlerinde ne tür WhatsApp adli yapılarının bulunduğunu ve bunların tam olarak nerede bulunabileceğini bilmek istiyorsanız burası tam size göre. Bu makale Grup-IB Bilgisayar Adli Tıp Laboratuvarı'ndaki bir uzmandan alınmıştır. Igor Mihaylov WhatsApp adli bilişimi ve cihazın analiz edilmesiyle hangi bilgilerin elde edilebileceği hakkında bir dizi gönderi başlıyor.
Farklı işletim sistemlerinin farklı türde WhatsApp yapıtlarını depoladığını hemen belirtelim; eğer bir araştırmacı bir cihazdan belirli türdeki WhatsApp verilerini çıkarabiliyorsa, bu, başka bir cihazdan benzer türde verilerin çıkarılabileceği anlamına gelmez. Örneğin, Windows işletim sistemi çalıştıran bir sistem birimi kaldırılırsa, WhatsApp sohbetleri muhtemelen disklerinde bulunamayacaktır (aynı sürücülerde bulunabilen iOS cihazlarının yedek kopyaları hariç). Dizüstü bilgisayarlara ve mobil cihazlara el konulmasının kendine has özellikleri olacaktır. Bu konuyu daha detaylı konuşalım.
Android cihazdaki WhatsApp yapıları
Bir Android cihazdan WhatsApp yapıtlarını çıkarmak için araştırmacının süper kullanıcı haklarına sahip olması gerekir ('kök') araştırılan cihazda veya cihazın veya dosya sisteminin fiziksel bellek dökümünü başka bir şekilde çıkarabilme (örneğin, belirli bir mobil cihazın yazılım açıklarını kullanarak).
Uygulama dosyaları telefonun hafızasında kullanıcı verilerinin kaydedildiği bölümde bulunur. Kural olarak bu bölüme şu ad verilir: 'Kullanıcı bilgisi'. Alt dizinler ve program dosyaları yol boyunca bulunur: '/veri/veri/com.whatsapp/'.
Android işletim sisteminde WhatsApp adli yapıtlarını içeren ana dosyalar veritabanlarıdır 'wa.db' и 'msgstore.db'.
veritabanında 'wa.db' telefon numarası, görünen ad, zaman damgaları ve WhatsApp'a kaydolurken sağlanan diğer bilgiler de dahil olmak üzere bir WhatsApp kullanıcısının tam iletişim listesini içerir. Dosya 'wa.db' yol boyunca bulunur: '/data/data/com.whatsapp/databases/' ve aşağıdaki yapıya sahiptir:
Veritabanındaki en ilginç tablolar 'wa.db' araştırmacı için:
- 'wa_contacts'
Bu tablo iletişim bilgilerini içerir: WhatsApp kişi kimliği, durum bilgileri, kullanıcı görünen adı, zaman damgaları vb.Tablo görünümü:
Tablo yapısıAlan adı Değer _ID kayıt sıra numarası (SQL tablosunda) jid <telefon numarası>@s.whatsapp.net biçiminde yazılmış WhatsApp kişi kimliği is_whatsapp_user Kişi gerçek bir WhatsApp kullanıcısına karşılık geliyorsa '1', aksi takdirde '0' içerir durum iletişim durumunda görüntülenen metni içerir status_timestamp Unix Dönem Saati (ms) biçiminde bir zaman damgası içerir numara kişiyle ilişkili telefon numarası raw_contact_id seri numarasıyla iletişime geçin display_name kişinin görünen adı telefon türü telefon türü telefon_etiketi iletişim numarasıyla ilişkili etiket unseen_msg_count bir kişi tarafından gönderilen ancak alıcı tarafından okunmayan mesaj sayısı fotoğraf_ts Unix Epoch Time formatında bir zaman damgası içerir Thumb_ts Unix Epoch Time formatında bir zaman damgası içerir photo_id_timestamp Unix Dönem Saati (ms) biçiminde bir zaman damgası içerir isim alan değeri her kişi için 'display_name' ile eşleşir wa_name WhatsApp kişi adı (kişinin profilinde belirtilen ad görüntülenir) sıralama_adı sıralama işlemlerinde kullanılan kişi adı rumuz Kişinin WhatsApp'taki takma adı (kişinin profilinde belirtilen takma ad görüntülenir) şirket şirket (kişinin profilinde belirtilen şirket görüntülenir) başlık unvan (Bayan/Bay; kişi profilinde yapılandırılan unvan görüntülenir) ofset deplasman - 'sqlite_sequence'
Bu tablo kişi sayısı hakkında bilgi içerir; - 'android_metadata'
Bu tabloda WhatsApp dil yerelleştirmesi hakkında bilgiler yer almaktadır.
veritabanında 'msgstore.db' gönderilen mesajlarla ilgili iletişim numarası, mesaj metni, mesaj durumu, zaman damgaları, mesajlara dahil edilen aktarılan dosyaların ayrıntıları vb. gibi bilgileri içerir. Dosya 'msgstore.db' yol boyunca bulunur: '/data/data/com.whatsapp/databases/' ve aşağıdaki yapıya sahiptir:
Dosyadaki en ilginç tablolar 'msgstore.db' araştırmacı için:
- 'sqlite_sequence'
Bu tablo, depolanan toplam mesaj sayısı, toplam sohbet sayısı vb. gibi bu veritabanı hakkında genel bilgiler içerir.Tablo görünümü:
- 'message_fts_content'
Gönderilen mesajların metnini içerir.Tablo görünümü:
- 'mesajlar'
Bu tabloda iletişim numarası, mesaj metni, mesaj durumu, zaman damgaları, mesajların içinde yer alan aktarılan dosyalara ilişkin bilgiler gibi bilgiler yer almaktadır.Tablo görünümü:
Tablo yapısıAlan adı Değer _ID kayıt sıra numarası (SQL tablosunda) key_remote_jid İletişim ortağının WhatsApp kimliği key_from_me mesaj yönü: '0' – gelen, '1' – giden KEY_ID benzersiz mesaj tanımlayıcı durum mesaj durumu: '0' – teslim edildi, '4' – sunucuda bekleniyor, '5' – varış noktasında alındı, '6' – kontrol mesajı, '13' – alıcı tarafından açılan mesaj (okundu) need_push bir yayın mesajıysa '2' değerine sahiptir, aksi halde '0' içerir veri mesaj metni ('media_wa_type' parametresi '0' olduğunda) zaman damgası Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer cihazın saatinden alınır medya_url'si aktarılan dosyanın URL'sini içerir ('media_wa_type' parametresi '1', '2', '3' olduğunda) media_mime_type Aktarılan dosyanın MIME türü ('media_wa_type' parametresi '1', '2', '3'e eşit olduğunda) media_wa_type mesaj türü: '0' - metin, '1' - grafik dosyası, '2' - ses dosyası, '3' - video dosyası, '4' - kişi kartı, '5' - coğrafi veri medya_boyutu aktarılan dosyanın boyutu ('media_wa_type' parametresi '1', '2', '3' olduğunda) medya_adı aktarılan dosyanın adı ('media_wa_type' parametresi '1', '2', '3' olduğunda) medya_başlığı 'media_wa_type' parametresinin karşılık gelen değerleri için 'audio', 'video' kelimelerini içerir ('media_wa_type' parametresi '1', '3' olduğunda) medya_hash HAS-64 algoritması kullanılarak hesaplanan, iletilen dosyanın base256 kodlu karması ('media_wa_type' parametresi '1', '2', '3'e eşit olduğunda) medya_duration medya dosyasının saniye cinsinden süresi ('media_wa_type', '1', '2', '3' olduğunda) köken bir yayın mesajıysa '2' değerine sahiptir, aksi halde '0' içerir enlem coğrafi veriler: enlem ('media_wa_type' parametresi '5' olduğunda) boylam coğrafi veriler: boylam ('media_wa_type' parametresi '5' olduğunda) başparmak_image servis bilgisi uzak_kaynak Gönderen Kimliği (yalnızca grup sohbetleri için) alınan_timestamp alınma zamanı, Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer aygıt saatinden alınır ('key_from_me' parametresi '0', '-1' veya başka bir değere sahip olduğunda) send_timestamp kullanılmaz, genellikle '-1' değerine sahiptir makbuz_sunucusu_zaman damgası merkezi sunucu tarafından alınan zaman, Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer cihaz saatinden alınır ('key_from_me' parametresi '1', '-1' veya başka bir değere sahip olduğunda) makbuz_device_timestamp mesajın başka bir abone tarafından alındığı zaman, Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer cihaz saatinden alınır ('key_from_me' parametresi '1', '-1' veya başka bir değere sahip olduğunda) read_device_timestamp mesajın açılma (okunma) zamanı, Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer cihazın saatinden alınır play_device_timestamp mesaj oynatma süresi, Unix Epoch Time (ms) formatında bir zaman damgası içerir, değer cihazın saatinden alınır işlenmemiş veri aktarılan dosyanın küçük resmi ('media_wa_type' parametresi '1' veya '3' olduğunda) alıcı_sayısı alıcı sayısı (yayın mesajları için) katılımcı_hash coğrafi verilerle mesaj iletirken kullanılır yıldız işaretli kullanılmamış alıntı_satır_id bilinmiyor, genellikle '0' değerini içerir bahsedilen_jids kullanılmamış çoklu yayın_id kullanılmamış ofset deplasman Bu alanların listesi kapsamlı değildir. WhatsApp'ın farklı sürümlerinde bazı alanlar mevcut veya mevcut olmayabilir. Ek olarak alanlar mevcut olabilir 'media_enc_hash', 'düzenleme_versiyonu', 'payment_transaction_id' vb
- 'mesajlar_küçük resimler'
Bu tablo aktarılan görüntüler ve zaman damgaları hakkında bilgi içerir. 'Zaman damgası' sütununda, zaman Unix Dönem Saati (ms) formatında gösterilir. - 'sohbet_listesi'
Bu tablo sohbetlerle ilgili bilgileri içerir.Tablo görünümü:
Ayrıca Android çalıştıran bir mobil cihazda WhatsApp'ı incelerken aşağıdaki dosyalara dikkat etmelisiniz:
- Dosya 'msgstore.db.cryptXX' (burada XX, 0'dan 12'ye kadar bir veya iki rakamdır; örneğin, msgstore.db.crypt12). WhatsApp mesajlarının şifrelenmiş bir yedeğini içerir (yedekleme dosyası msgstore.db). Dosyalar) 'msgstore.db.cryptXX' yol boyunca bulunur: '/data/media/0/WhatsApp/Veritabanları/' (sanal SD kart), '/mnt/sdcard/WhatsApp/Veritabanları/ (fiziksel SD kart)'.
- Dosya 'anahtar'. Bir şifreleme anahtarı içerir. Yol boyunca yer alan: '/data/data/com.whatsapp/files/'. Şifrelenmiş WhatsApp yedeklemelerinin şifresini çözmek için kullanılır.
- Dosya 'com.whatsapp_preferences.xml'. WhatsApp hesap profiliniz hakkında bilgi içerir. Dosya yol boyunca bulunur: '/data/data/com.whatsapp/shared_prefs/'.
Dosya içeriği parçası
<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp) … <string name="version">2.17.395</string> (версия WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта) … <string name="push_name">Alex</string> (имя владельца аккаунта) … - Dosya 'kayıt.RegisterPhone.xml'. WhatsApp hesabıyla ilişkili telefon numarası hakkında bilgi içerir. Dosya yol boyunca bulunur: '/data/data/com.whatsapp/shared_prefs/'.
Dosya içeriği
<?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map> - Dosya 'axolotl.db'. Hesap sahibini tanımlamak için gerekli olan şifreleme anahtarlarını ve diğer verileri içerir. Yol boyunca yer alan: '/data/data/com.whatsapp/databases/'.
- Dosya 'sohbet ayarları.db'. Uygulama yapılandırma bilgilerini içerir.
- Dosya 'wa.db'. İletişim bilgilerini içerir. Çok ilginç (adli açıdan) ve bilgilendirici bir veritabanı. Silinen kişiler hakkında ayrıntılı bilgi içerebilir.
Ayrıca aşağıdaki dizinlere de dikkat etmeniz gerekir:
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Görselleri/'. Aktarılan grafik dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Sesli Notları/'. .OPUS formatındaki dosyalardaki sesli mesajları içerir.
- Rehber '/data/data/com.whatsapp/cache/Profil Resimleri/'. Grafik dosyalarını (kişilerin resimlerini) içerir.
- Rehber '/data/data/com.whatsapp/files/Avatars/'. Grafik dosyalarını içerir - kişilerin küçük resimleri. Bu dosyalar '.j' uzantısına sahiptir ancak yine de JPEG (JPG) resim dosyalarıdır.
- Rehber '/data/data/com.whatsapp/files/Avatars/'. Grafik dosyalarını içerir - hesap sahibi tarafından avatar olarak ayarlanan bir resim ve resmin küçük resmi.
- Rehber '/data/data/com.whatsapp/files/Logs/'. Program işlem günlüğünü ('whatsapp.log' dosyası) ve program işlem günlüklerinin yedek kopyalarını (whatsapp-yyyy-aa-dd.1.log.gz biçiminde adlara sahip dosyalar) içerir.
WhatsApp Günlük Dosyaları:
Günlük parçası2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Çalışanı #1] cevapsız çağrı bildirimi/başlatma sayısı:0 zaman damgası:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Çalışanı #1] cevapsız çağrı bildirimi/güncelleme iptali doğru
2017-01-10 09:37:09.768 LL_I D [1:ana] uygulama-başlat/beni yükle
2017-01-10 09:37:09.772 LL_I D [1:ana] parola dosyası eksik veya okunamıyor
2017-01-10 09:37:09.782 LL_I D [1:ana] istatistikler Metin Mesajları: 59 gönderildi, 82 alındı / Medya Mesajları: 1 gönderildi (0 bayt), 0 alındı (9850158 bayt) / Çevrimdışı Mesajlar: 81 alındı ( 19522 msn ortalama gecikme) / Mesaj Hizmeti: 116075 gönderilen bayt, 211729 bayt alınan / Voip Aramaları: 1 giden çağrı, 0 gelen çağrı, 2492 gönderilen bayt, 1530 bayt alınan / Google Drive: 0 bayt gönderilen, 0 bayt alınan / Dolaşım: 1524 gönderilen bayt, alınan 1826 bayt / Toplam Veri: 118567 gönderilen bayt, 10063417 bayt alındı
2017-01-10 09:37:09.785 LL_I D [1:ana] medya durumu yöneticisi/yenileme-medya-durumu/yazılabilir-medya
2017-01-10 09:37:09.806 LL_I D [1:ana] uygulama başlatma/başlatma/zamanlayıcı/durdurma: 24
2017-01-10 09:37:09.811 LL_I D [1:ana] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:ana] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:ana] msgstore/checkhealth/geri/sil yanlış
2017-01-10 09:37:09.818 LL_I D [1:ana] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:ana] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:ana] msgstore/checkdb/versiyon 1
2017-01-10 09:37:09.839 LL_I D [1:ana] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:ana] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:ana] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:ana] msgstore/canquery 517 | harcanan zaman:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Çalışanı #3] medya durumu yöneticisi/yenileme-medya-durumu/dahili-depolama mevcut:1,345,622,016 toplam:5,687,922,688
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Ses/'. Alınan ses dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Ses/Gönderilenler/'. Gönderilen ses dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Görselleri/'. Ortaya çıkan grafik dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Görselleri/Gönderilenler/'. Gönderilen grafik dosyalarını içerir.
- Rehber '/veri/medya/0/WhatsApp/Medya/WhatsApp Videosu/'. Alınan video dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Medya/WhatsApp Videosu/Gönderildi/'. Gönderilen video dosyalarını içerir.
- Rehber '/data/media/0/WhatsApp/Media/WhatsApp Profil Fotoğrafları/'. WhatsApp hesabının sahibiyle ilişkili grafik dosyalarını içerir.
- Android akıllı telefonunuzda hafıza alanından tasarruf etmek için bazı WhatsApp verileri bir SD kartta saklanabilir. SD kartın kök dizininde bir dizin var 'Naber', bu programın aşağıdaki yapılarının bulunabileceği yer:
- Rehber '.Paylaşmak' ('/mnt/sdcard/WhatsApp/.Share/'). Diğer WhatsApp kullanıcılarıyla paylaşılan dosyaların kopyalarını içerir.
- Rehber '.çöp' ('/mnt/sdcard/WhatsApp/.trash/'). Silinen dosyaları içerir.
- Rehber 'Veritabanları' ('/mnt/sdcard/WhatsApp/Veritabanları/'). Şifrelenmiş yedeklemeler içerir. Dosya mevcutsa bunların şifresi çözülebilir 'anahtar', analiz edilen cihazın hafızasından çıkarıldı.
Bir alt dizinde bulunan dosyalar 'Veritabanları':
- Rehber 'Medya' ('/mnt/sdcard/WhatsApp/Media/'). Alt dizinleri içerir 'Duvar Kağıdı', 'WhatsApp Ses', 'WhatsApp Görselleri', 'WhatsApp Profil Fotoğrafları', 'WhatsApp Videosu', 'WhatsApp Sesli Notları'Alınan ve iletilen multimedya dosyalarını (grafik dosyaları, video dosyaları, sesli mesajlar, WhatsApp hesap sahibinin profiliyle ilişkili fotoğraflar, duvar kağıtları) içeren.
- Rehber 'Profil fotoğrafları' ('/mnt/sdcard/WhatsApp/Profil Resimleri/'). WhatsApp hesap sahibinin profiliyle ilişkili grafik dosyalarını içerir.
- Bazen SD kartta bir dizin bulunabilir 'Dosyalar' ('/mnt/sdcard/WhatsApp/Dosyalar/'). Bu dizin, program ayarlarını ve kullanıcı tercihlerini saklayan dosyaları içerir.
Bazı mobil cihaz modellerinde veri depolamanın özellikleri
Android işletim sistemi çalıştıran bazı mobil cihaz modelleri, WhatsApp yapıtlarını farklı bir konumda saklayabilir. Bunun nedeni, mobil cihazın sistem yazılımı tarafından uygulama verilerinin depolanma alanında yapılan değişikliklerdir. Örneğin, Xiaomi mobil cihazlarının ikinci bir çalışma alanı (“SecondSpace”) oluşturma işlevi vardır. Bu fonksiyon etkinleştirildiğinde verilerin konumu değişir. Yani, Android işletim sistemi çalıştıran normal bir mobil cihazda kullanıcı verileri dizinde saklanıyorsa '/veri/kullanıcı/0/' (bu her zamanki gibi bir referanstır) '/veri/veri/'), daha sonra ikinci çalışma alanında uygulama verileri dizinde saklanır '/veri/kullanıcı/10/'. Yani, dosya konumu örneğini kullanarak 'wa.db':
- Android işletim sistemi çalıştıran normal bir akıllı telefonda: /data/user/0/com.whatsapp/databases/wa.db' (bu eşdeğerdir '/data/data/com.whatsapp/databases/wa.db');
- Xiaomi akıllı telefonunun ikinci çalışma alanında: '/data/user/10/com.whatsapp/databases/wa.db'.
İOS cihazındaki WhatsApp eserleri
Android işletim sisteminin aksine, iOS'ta WhatsApp uygulama verileri bir yedek kopyaya (iTunes yedeklemesi) aktarılır. Bu nedenle, bu uygulamadan veri çıkarmak, dosya sisteminin çıkarılmasını veya incelenen cihazın fiziksel bellek dökümünün oluşturulmasını gerektirmez. İlgili bilgilerin çoğu veritabanında bulunur 'ChatStorage.sqlite', yol boyunca yer alan: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (bazı programlarda bu yol şu şekilde görünür: 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').
Yapı 'ChatStorage.sqlite':
'ChatStorage.sqlite' veritabanındaki en bilgilendirici tablolar şunlardır: 'ZWAMSAGE' и 'ZWAMEDIAITEM'.
Tablo görünümü 'ZWAMSAGE':
'ZWAMESSAGE' tablosunun yapısı
| Alan adı | Değer |
|---|---|
| Z_PK | kayıt sıra numarası (SQL tablosunda) |
| Z_ENT | tablo tanımlayıcısı '9' değerine sahiptir |
| Z_OPT | bilinmiyor, genellikle '1' ile '6' arasındaki değerleri içerir |
| ZCHILDMESSAGESDELIVEREDCOUNT | bilinmiyor, genellikle '0' değerini içerir |
| ZCHILDMESSAGESPLAYEDCOUNT | bilinmiyor, genellikle '0' değerini içerir |
| ZÇOCUK MESAJLARIOKUNMA SAYISI | bilinmiyor, genellikle '0' değerini içerir |
| ZDATAITEMVERSION | bilinmiyor, genellikle '3' değerini içerir, muhtemelen bir kısa mesaj göstergesidir |
| ZDOCID | bilinmeyen |
| ZENCRETRYCOUNT | bilinmiyor, genellikle '0' değerini içerir |
| ZFILTEREDRECIPIENTCOUNT | bilinmiyor, genellikle '0', '2', '256' değerlerini içerir |
| ZISFROMME | mesaj yönü: '0' – gelen, '1' – giden |
| ZMESSAGEERRORSTATUS | mesaj aktarım durumu. Mesaj gönderildiyse/alındıysa '0' değerine sahiptir. |
| ZMESSAGETYPE | iletilen mesajın türü |
| ZSORT | bilinmeyen |
| ZSPOTLIGHDURUMU | bilinmeyen |
| ZSTARRED | bilinmiyor, kullanılmıyor |
| ZCHATSOTURUMU | bilinmeyen |
| ZGROUPMBER | bilinmiyor, kullanılmıyor |
| ZSONOTURUM | bilinmeyen |
| ZMEDIAITEM | bilinmeyen |
| ZMESSAGEINFO | bilinmeyen |
| ZEBEVEYN MESAJI | bilinmiyor, kullanılmıyor |
| ZMESSAGEDATE | OS X Epoch Time biçiminde zaman damgası |
| ZGÖNDERİMTARİHİ | mesajın OS X Epoch Time formatında gönderildiği zaman |
| ZFROMJID | WhatsApp Gönderen Kimliği |
| ZMEDIASECTIONID | Medya dosyasının gönderildiği yılı ve ayı içerir |
| ZPHASH | bilinmiyor, kullanılmıyor |
| ZPUSHPAME | medya dosyasını UTF-8 formatında gönderen kişinin adı |
| ZSTANZİD | benzersiz mesaj tanımlayıcı |
| ZMETİN | Mesaj metni |
| ZTOJİD | Alıcının WhatsApp Kimliği |
| OFFSET | deplasman |
Tablo görünümü 'ZWAMEDIAITEM':
'ZWAMEDIAITEM' tablosunun yapısı
| Alan adı | Değer |
|---|---|
| Z_PK | kayıt sıra numarası (SQL tablosunda) |
| Z_ENT | tablo tanımlayıcısı '8' değerine sahiptir |
| Z_OPT | bilinmiyor, genellikle '1'den '3'e kadar değerler içeriyor. |
| ZCLOUDDURUMU | dosya yüklenmişse '4' değerini içerir. |
| ZFILESIZE | indirilen dosyalar için dosya uzunluğunu (bayt cinsinden) içerir |
| ZMEDIAORİJİN | bilinmiyor, genellikle '0' değerine sahiptir |
| ZMOVIEDURE | medya dosyasının süresi, pdf dosyaları için belgenin sayfa sayısını içerebilir |
| ZMESAJ | bir seri numarası içerir (numara 'Z_PK' sütununda belirtilenden farklıdır) |
| ZASPEKTRASYON | en boy oranı, kullanılmıyor, genellikle '0'a ayarlı |
| ZHACCURACY | bilinmiyor, genellikle '0' değerine sahiptir |
| ZLATTITUDE | piksel cinsinden genişlik |
| ZLONGTITUDE | piksel cinsinden yükseklik |
| ZMEDIAURLDATE | OS X Epoch Time biçiminde zaman damgası |
| ZAUTHORNAME | yazar (belgeler için dosya adını içerebilir) |
| ZCOLLECTIONNAME | kullanılmamış |
| ZMEDIALOCALPATH | cihazın dosya sistemindeki dosya adı (yol dahil) |
| ZMEDIAURL | Medya dosyasının bulunduğu URL. Bir dosya bir aboneden diğerine aktarıldıysa, şifrelenmiştir ve uzantısı aktarılan dosyanın uzantısı olarak belirtilecektir - .enc |
| ZTHUMBNAILLOCALPATH | cihazın dosya sistemindeki dosya küçük resminin yolu |
| ZTITLE | dosya başlığı |
| ZVCARDNAME | medya dosyasının karması; dosyayı bir gruba aktarırken gönderenin tanımlayıcısını içerebilir |
| ZVCARDSTRING | aktarılan dosyanın türü hakkında bilgi içerir (örneğin, resim/jpeg); bir gruba dosya aktarılırken alıcının tanımlayıcısını içerebilir |
| ZXMPPTHUMBPATH | cihazın dosya sistemindeki dosya küçük resminin yolu |
| ZMEDIAKEY | bilinmiyor, muhtemelen şifrelenmiş dosyanın şifresini çözecek anahtarı içerir. |
| ZMET VERİLERİ | İletilen mesajın meta verileri |
| Dengelemek | deplasman |
Diğer ilginç veritabanı tabloları 'ChatStorage.sqlite' şunlardır:
- 'ZWAPROFILEPUSHNAME'. WhatsApp kimliğini kişi adıyla eşleştirir;
- 'ZWAPROFİLRESİMÖĞESİ'. WhatsApp kimliğini kişi avatarıyla eşleştirir;
- 'Z_PRIMARYKEY'. Tablo, bu veritabanı hakkında, depolanan toplam mesaj sayısı, toplam sohbet sayısı vb. gibi genel bilgileri içerir.
Ayrıca iOS çalıştıran bir mobil cihazda WhatsApp’ı incelerken aşağıdaki dosyalara dikkat etmelisiniz:
- Dosya 'BackedUpKeyValue.sqlite'. Hesap sahibini tanımlamak için gerekli olan şifreleme anahtarlarını ve diğer verileri içerir. Yol boyunca yer alan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Dosya 'KişilerV2.sqlite'. Kullanıcının kişileri hakkında tam ad, telefon numarası, iletişim durumu (metin biçiminde), WhatsApp Kimliği vb. gibi bilgileri içerir. Yol boyunca yer alan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Dosya 'tüketici_versiyonu'. Yüklü WhatsApp uygulamasının sürüm numarasını içerir. Yol boyunca yer alan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Dosya 'current_wallpaper.jpg'. Geçerli WhatsApp arka plan duvar kağıdını içerir. Yol boyunca yer alan: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Uygulamanın eski sürümleri dosyayı kullanıyor 'duvar kağıdı', yol boyunca yer alan: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
- Dosya 'engellenen kişiler.dat'. Engellenen kişiler hakkında bilgi içerir. Yol boyunca yer alan: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- Dosya 'pw.dat'. Şifrelenmiş bir parola içerir. Yol boyunca yer alan: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
- Dosya 'net.whatsapp.WhatsApp.plist' (veya dosya 'group.net.whatsapp.WhatsApp.shared.plist'). WhatsApp hesap profiliniz hakkında bilgi içerir. Dosya yol boyunca bulunur: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.
'group.net.whatsapp.WhatsApp.shared.plist' dosyasının içeriği
Ayrıca aşağıdaki dizinlere de dikkat etmeniz gerekir:
- Rehber '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Kişilerin, grupların (uzantısına sahip dosyalar) küçük resimlerini içerir .baş parmak), iletişim avatarları, WhatsApp hesap sahibi avatarı (dosya 'Fotoğraf.jpg').
- Rehber '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Multimedya dosyalarını ve bunların küçük resimlerini içerir
- Rehber '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Program işlem günlüğünü içerir (dosya 'çağrılar.log') ve program işlem günlüklerinin yedek kopyaları (dosya 'çağrılar.yedekleme.log').
- Rehber '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Çıkartmalar içerir (formattaki dosyalar) '.webp').
- Rehber '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Program işlem günlüklerini içerir.
Windows'ta WhatsApp yapıları
Windows'taki WhatsApp yapıları çeşitli yerlerde bulunabilir. Her şeyden önce bunlar çalıştırılabilir ve yardımcı program dosyalarını içeren dizinlerdir (Windows 8/10 için):
- 'C:Program Dosyaları (x86)WhatsApp'
- 'C:Kullanıcılar%Kullanıcı profili% AppDataLocalWhatsApp'
- 'C:Kullanıcılar%Kullanıcı profili% AppDataLocalVirtualStore Program Dosyaları (x86)WhatsApp'
Kataloğunda 'C:Kullanıcılar%Kullanıcı profili% AppDataLocalWhatsApp' günlük dosyası bulunur 'SquirrelSetup.log'Güncellemelerin kontrol edilmesi ve programın kurulmasıyla ilgili bilgiler içeren.
Kataloğunda 'C:Kullanıcılar%Kullanıcı profili% AppDataRoamingWhatsApp' Birkaç alt dizin vardır:
Dosya 'ana-işlem.log' WhatsApp programının işleyişi hakkında bilgiler içerir.
Alt dizin 'veritabanları' bir dosya içerir 'Veritabanları.db'ancak bu dosya sohbetler veya kişiler hakkında herhangi bir bilgi içermiyor.
Adli açıdan en ilginç olanı dizinde bulunan dosyalardır. 'Önbellek'. Bunlar temel olarak adlandırılan dosyalardır. 'F_*******' (burada * 0'dan 9'a kadar bir sayıdır) şifrelenmiş multimedya dosyaları ve belgeleri içerir, ancak bunların arasında şifrelenmemiş dosyalar da vardır. Dosyalar özellikle ilgi çekicidir 'veri_0', 'veri_1', 'veri_2', 'veri_3', aynı alt dizinde bulunur. Dosyalar 'veri_0', 'veri_1', 'veri_3' iletilen şifrelenmiş multimedya dosyalarına ve belgelere harici bağlantılar içerir.
'data_1' dosyasında yer alan bilgilere örnek
Ayrıca dosya 'veri_3' grafik dosyaları içerebilir.
Dosya 'veri_2' kişi avatarlarını içerir (dosya başlıklarına göre arama yapılarak geri yüklenebilir).
Dosyanın içerdiği avatarlar 'veri_2':
Bu nedenle, sohbetlerin kendisi bilgisayarın belleğinde bulunamaz, ancak şunları bulabilirsiniz:
- multimedya dosyaları;
- WhatsApp aracılığıyla iletilen belgeler;
- hesap sahibinin kişileri hakkında bilgi.
MacOS'ta WhatsApp yapıları
MacOS'ta, Windows işletim sistemindekilere benzer WhatsApp yapıtları türleri bulabilirsiniz.
Program dosyaları aşağıdaki dizinlerde bulunur:
- 'C:UygulamalarWhatsApp.app'
- 'C:Applications._WhatsApp.app'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryPreferences'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryLogsWhatsApp'
- 'C:Users%Kullanıcı profili%LibrarySaved Uygulama DurumuWhatsApp.savedState'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryApplication Komut Dosyaları'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryApplication SupportCloudDocs'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryApplication SupportWhatsApp.ShipIt'
- 'C:Kullanıcılar%Kullanıcı profili%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
- 'C:Kullanıcılar%Kullanıcı profili% Kütüphane Mobil Belgeleri <metin değişkeni> WhatsApp Hesapları'
Bu dizin, adları WhatsApp hesabının sahibiyle ilişkili telefon numaraları olan alt dizinleri içerir. - 'C:Kullanıcılar%Kullanıcı profili%LibraryCachesWhatsApp.ShipIt'
Bu dizin programın kurulumuyla ilgili bilgileri içerir. - 'C:Kullanıcılar%Kullanıcı profili%PicturesiPhoto Library.photolibraryMasters', 'C:Kullanıcılar%Kullanıcı profili%PicturesiPhoto Library.photolibraryThumbnails'
Bu dizinler, WhatsApp kişilerinin fotoğrafları ve küçük resimleri de dahil olmak üzere programın hizmet dosyalarını içerir. - 'C:Kullanıcılar%Kullanıcı profili%LibraryCachesWhatsApp'
Bu dizin, veri önbelleğe alma için kullanılan çeşitli SQLite veritabanlarını içerir. - 'C:Kullanıcılar%Kullanıcı profili%LibraryApplication SupportWhatsApp'
Bu dizin birkaç alt dizin içerir:
Kataloğunda 'C:Kullanıcılar%Kullanıcı profili%LibraryApplication SupportWhatsAppCache' dosyalar var 'veri_0', 'veri_1', 'veri_2', 'veri_3' ve adları olan dosyalar 'F_*******' (burada * 0'dan 9'a kadar bir sayıdır). Bu dosyaların hangi bilgileri içerdiği hakkında bilgi edinmek için Windows'ta WhatsApp Yapıları konusuna bakın.Kataloğunda 'C:Users%Kullanıcı profili%LibraryApplication SupportWhatsAppIndexedDB' multimedya dosyaları içerebilir (dosyaların uzantısı yoktur).
Dosya 'ana-işlem.log' WhatsApp programının işleyişi hakkında bilgiler içerir.
kaynaklar
- Android akıllı telefonlarda WhatsApp Messenger'ın adli analizi, Cosimo Anglano, 2014.
- Whatsapp Forensics: Android ve iOS'ta temel veri uygulamaları ve sistem desteği, Ahmad Pratama, 2014.
Bu serideki aşağıdaki makalelerde:
Şifrelenmiş WhatsApp veritabanlarının şifresinin çözülmesiWhatsApp şifreleme anahtarının nasıl oluşturulduğu hakkında bilgi verecek ve bu uygulamanın şifrelenmiş veritabanlarının şifresinin nasıl çözüleceğini gösteren pratik örnekler verecek bir makale.
WhatsApp verilerini bulut depolama alanından çıkarmaSize bulutlarda hangi WhatsApp verilerinin saklandığını anlatacağımız ve bu verileri bulut depolarından alma yöntemlerini anlatacağımız bir makale.
WhatsApp Veri Çıkarma: Pratik ÖrneklerHangi programların ve WhatsApp verilerinin çeşitli cihazlardan nasıl çıkarılacağını adım adım açıklayacak bir makale.
Kaynak: habr.com