Prohoster > Blog > tin tức mạng > WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

Nếu bạn muốn biết loại hiện vật pháp y nào của WhatsApp tồn tại trên các hệ điều hành khác nhau và chính xác chúng có thể được tìm thấy ở đâu, thì đây là nơi dành cho bạn. Bài viết này là của chuyên gia tại Phòng thí nghiệm Pháp y Máy tính Group-IB Igor Mikhailov bắt đầu một loạt bài đăng về pháp y WhatsApp và những thông tin nào có thể thu được từ việc phân tích thiết bị.

Hãy lưu ý ngay rằng các hệ điều hành khác nhau lưu trữ các loại tạo phẩm WhatsApp khác nhau và nếu nhà nghiên cứu có thể trích xuất một số loại dữ liệu WhatsApp nhất định từ một thiết bị, điều này không có nghĩa là các loại dữ liệu tương tự có thể được trích xuất từ ​​một thiết bị khác. Ví dụ: nếu một đơn vị hệ thống chạy hệ điều hành Windows bị xóa, các cuộc trò chuyện WhatsApp có thể sẽ không được tìm thấy trên đĩa của nó (ngoại trừ các bản sao lưu của thiết bị iOS có thể được tìm thấy trên cùng một ổ đĩa). Việc tịch thu laptop, thiết bị di động sẽ có những đặc điểm riêng. Hãy nói về điều này chi tiết hơn.

Hiện vật WhatsApp trong thiết bị Android

Để trích xuất các tạo phẩm WhatsApp từ thiết bị Android, nhà nghiên cứu phải có quyền siêu người dùng ('nguồn gốc') trên thiết bị đang được nghiên cứu hoặc có thể trích xuất kết xuất vật lý của bộ nhớ hoặc hệ thống tệp của thiết bị theo cách khác (ví dụ: sử dụng lỗ hổng phần mềm của một thiết bị di động cụ thể).

Các tệp ứng dụng được đặt trong bộ nhớ điện thoại trong phần lưu dữ liệu người dùng. Theo quy định, phần này được đặt tên 'dữ liệu người dùng'. Các thư mục con và tệp chương trình nằm dọc theo đường dẫn: '/data/data/com.whatsapp/'.

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Các tệp chính chứa các tạo phẩm pháp y WhatsApp trong hệ điều hành Android là cơ sở dữ liệu 'wa.db' и 'msgstore.db'.

Trong cơ sở dữ liệu 'wa.db' chứa danh sách liên hệ đầy đủ của người dùng WhatsApp, bao gồm số điện thoại, tên hiển thị, dấu thời gian và bất kỳ thông tin nào khác được cung cấp khi đăng ký WhatsApp. Tài liệu 'wa.db' nằm dọc theo đường dẫn: '/data/data/com.whatsapp/databases/' và có cấu trúc sau:

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Các bảng thú vị nhất trong cơ sở dữ liệu 'wa.db' cho người nghiên cứu là:

  • 'wa_contacts'
    Bảng này chứa thông tin liên hệ: id liên hệ WhatsApp, thông tin trạng thái, tên hiển thị của người dùng, dấu thời gian, v.v.

    Sự xuất hiện của bảng:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
    Cấu trúc bảng

    Tên trường Giá trị
    _Tôi số thứ tự bản ghi (trong bảng SQL)
    jid ID liên hệ WhatsApp, được viết ở định dạng <số điện thoại>@s.whatsapp.net
    is_whatsapp_user chứa '1' nếu liên hệ tương ứng với người dùng WhatsApp thực tế, nếu không thì '0'
    tình trạng chứa văn bản hiển thị trong trạng thái liên hệ
    trạng thái_dấu thời gian chứa dấu thời gian ở định dạng Unix Epoch Time (ms)
    con số số điện thoại được liên kết với liên hệ
    raw_contact_id số sê-ri liên hệ
    display_name tên hiển thị liên hệ
    loại điện thoại loại điện thoại
    nhãn_điện thoại nhãn liên kết với số liên lạc
    unseen_msg_count số tin nhắn được gửi bởi một liên hệ nhưng người nhận không đọc được
    ảnh_ts chứa dấu thời gian ở định dạng Unix Epoch Time
    ngón tay cái_ts chứa dấu thời gian ở định dạng Unix Epoch Time
    ảnh_id_timestamp chứa dấu thời gian ở định dạng Unix Epoch Time (ms)
    Tên giá trị trường khớp với 'display_name' cho mỗi liên hệ
    wa_name Tên liên hệ WhatsApp (tên được chỉ định trong hồ sơ của liên hệ được hiển thị)
    tên_sắp xếp tên liên hệ được sử dụng trong các hoạt động sắp xếp
    biệt danh biệt danh của liên hệ trong WhatsApp (biệt hiệu được chỉ định trong hồ sơ của liên hệ được hiển thị)
    công ty công ty (công ty được chỉ định trong hồ sơ của người liên hệ sẽ được hiển thị)
    tiêu đề chức danh (Bà/Mr.; chức danh được cấu hình trong hồ sơ liên hệ được hiển thị)
    bù đắp Thiên kiến
  • 'sqlite_sequence'
    Bảng này chứa thông tin về số lượng liên hệ;
  • 'android_metadata'
    Bảng này chứa thông tin về bản địa hóa ngôn ngữ WhatsApp.

Trong cơ sở dữ liệu 'msgstore.db' chứa thông tin về tin nhắn đã gửi, chẳng hạn như số liên lạc, nội dung tin nhắn, trạng thái tin nhắn, dấu thời gian, chi tiết về các tệp được truyền có trong tin nhắn, v.v. Tài liệu 'msgstore.db' nằm dọc theo đường dẫn: '/data/data/com.whatsapp/databases/' và có cấu trúc sau:

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Các bảng thú vị nhất trong tập tin 'msgstore.db' cho người nghiên cứu là:

  • 'sqlite_sequence'
    Bảng này chứa thông tin chung về cơ sở dữ liệu này, chẳng hạn như tổng số tin nhắn được lưu trữ, tổng số cuộc trò chuyện, v.v.

    Sự xuất hiện của bảng:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

  • 'tin nhắn_fts_content'
    Chứa nội dung tin nhắn đã gửi.

    Sự xuất hiện của bảng:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

  • 'tin nhắn'
    Bảng này chứa các thông tin như số liên lạc, nội dung tin nhắn, trạng thái tin nhắn, dấu thời gian, thông tin về các tập tin được truyền có trong tin nhắn.

    Sự xuất hiện của bảng:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
    Cấu trúc bảng

    Tên trường Giá trị
    _Tôi số thứ tự bản ghi (trong bảng SQL)
    key_remote_jid ID WhatsApp của đối tác truyền thông
    key_from_me hướng tin nhắn: '0' – đến, '1' – gửi đi
    key_id mã nhận dạng tin nhắn duy nhất
    tình trạng trạng thái tin nhắn: '0' – đã gửi, '4' – đang chờ trên máy chủ, '5' – đã nhận ở đích, '6' – tin nhắn điều khiển, '13' – tin nhắn được mở bởi người nhận (đã đọc)
    cần_push có giá trị '2' nếu đó là tin nhắn quảng bá, nếu không thì chứa '0'
    dữ liệu văn bản tin nhắn (khi tham số 'media_wa_type' là '0')
    dấu thời gian chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ thiết bị
    media_url chứa URL của tệp được chuyển (khi tham số 'media_wa_type' là '1', '2', '3')
    media_mime_type Loại MIME của tệp được truyền (khi tham số 'media_wa_type' bằng '1', '2', '3')
    media_wa_type loại thông báo: '0' - văn bản, '1' - tệp đồ họa, '2' - tệp âm thanh, '3' - tệp video, '4' - thẻ liên hệ, '5' - dữ liệu địa lý
    media_size kích thước của tệp được truyền (khi tham số 'media_wa_type' là '1', '2', '3')
    tên phương tiện tên của file được chuyển (khi tham số 'media_wa_type' là '1', '2', '3')
    media_caption Chứa các từ “audio”, “video” cho các giá trị tương ứng của tham số “media_wa_type” (khi tham số “media_wa_type” là “1”, “3”)
    media_hash hàm băm được mã hóa base64 của tệp được truyền, được tính bằng thuật toán HAS-256 (khi tham số 'media_wa_type' bằng '1', '2', '3')
    media_duration thời lượng tính bằng giây cho tệp phương tiện (khi 'media_wa_type' là '1', '2', '3')
    nguồn gốc có giá trị '2' nếu đó là tin nhắn quảng bá, nếu không thì chứa '0'
    vĩ độ geodata: vĩ độ (khi tham số 'media_wa_type' là '5')
    kinh độ geodata: kinh độ (khi tham số 'media_wa_type' là '5')
    hình ảnh ngón tay cái thông tin dịch vụ
    remote_resource ID người gửi (chỉ dành cho trò chuyện nhóm)
    đã nhận_timestamp thời điểm nhận, chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ của thiết bị (khi tham số 'key_from_me' có '0', '-1' hoặc giá trị khác)
    gửi_dấu thời gian không được sử dụng, thường có giá trị '-1'
    biên nhận_server_timestamp thời gian mà máy chủ trung tâm nhận được, chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ của thiết bị (khi tham số 'key_from_me' có '1', '-1' hoặc giá trị khác
    biên lai_thiết bị_timestamp thời gian tin nhắn được người đăng ký khác nhận, chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ của thiết bị (khi tham số 'key_from_me' có '1', '-1' hoặc giá trị khác
    read_device_timestamp thời gian mở (đọc) tin nhắn, chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ của thiết bị
    đã chơi_device_timestamp thời gian phát lại tin nhắn, chứa dấu thời gian ở định dạng Unix Epoch Time (ms), giá trị được lấy từ đồng hồ của thiết bị
    dữ liệu thô hình thu nhỏ của tệp được truyền (khi tham số 'media_wa_type' là '1' hoặc '3')
    người nhận_count số lượng người nhận (đối với tin nhắn quảng bá)
    người tham gia_hash được sử dụng khi truyền tin nhắn với geodata
    đóng vai chính không được sử dụng
    trích dẫn_row_id không xác định, thường chứa giá trị '0'
    đã đề cập_jids không được sử dụng
    multicast_id không được sử dụng
    bù đắp Thiên kiến

    Danh sách các trường này không đầy đủ. Đối với các phiên bản khác nhau của WhatsApp, một số trường có thể có hoặc không có. Ngoài ra, các trường có thể có mặt 'media_enc_hash', 'edit_version', 'thanh toán_transaction_id' vv

  • 'tin nhắn_thumbnails'
    Bảng này chứa thông tin về hình ảnh được truyền và dấu thời gian. Trong cột 'dấu thời gian', thời gian được biểu thị ở định dạng Unix Epoch Time (ms).
  • 'danh sách trò chuyện'
    Bảng này chứa thông tin về các cuộc trò chuyện.

    Sự xuất hiện của bảng:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

Ngoài ra, khi kiểm tra WhatsApp trên thiết bị di động chạy Android, bạn nên chú ý đến các tệp sau:

  • hồ sơ 'msgstore.db.cryptXX' (trong đó XX là một hoặc hai chữ số từ 0 đến 12, ví dụ: msgstore.db.crypt12). Chứa bản sao lưu được mã hóa của tin nhắn WhatsApp (tệp sao lưu msgstore.db). Các tập tin) 'msgstore.db.cryptXX' nằm dọc theo đường dẫn: '/data/media/0/WhatsApp/Cơ sở dữ liệu/' (thẻ SD ảo), '/mnt/sdcard/WhatsApp/Cơ sở dữ liệu/ (thẻ SD vật lý)'.
  • hồ sơ 'Chìa khóa'. Chứa khóa mật mã. Nằm dọc theo con đường: '/data/data/com.whatsapp/files/'. Được sử dụng để giải mã các bản sao lưu WhatsApp được mã hóa.
  • hồ sơ 'com.whatsapp_preferences.xml'. Chứa thông tin về hồ sơ tài khoản WhatsApp của bạn. Tệp nằm dọc theo đường dẫn: '/data/data/com.whatsapp/shared_prefs/'.

    Đoạn nội dung tập tin

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • hồ sơ 'đăng ký.RegisterPhone.xml'. Chứa thông tin về số điện thoại được liên kết với tài khoản WhatsApp. Tệp nằm dọc theo đường dẫn: '/data/data/com.whatsapp/shared_prefs/'.

    Nội dung tập tin 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • hồ sơ 'axolotl.db'. Chứa khóa mật mã và dữ liệu khác cần thiết để xác định chủ sở hữu tài khoản. Nằm dọc theo con đường: '/data/data/com.whatsapp/databases/'.
  • hồ sơ 'chatsettings.db'. Chứa thông tin cấu hình ứng dụng.
  • hồ sơ 'wa.db'. Chứa chi tiết liên lạc. Một cơ sở dữ liệu rất thú vị (từ khía cạnh pháp y) và nhiều thông tin. Nó có thể chứa thông tin chi tiết về các liên hệ đã bị xóa.

Bạn cũng cần chú ý đến các thư mục sau:

  • Thư mục '/data/media/0/WhatsApp/Media/Hình ảnh WhatsApp/'. Chứa các tập tin đồ họa được chuyển.
  • Thư mục '/data/media/0/WhatsApp/Media/Ghi chú giọng nói của WhatsApp/'. Chứa tin nhắn thoại ở định dạng .OPUS.
  • Thư mục '/data/data/com.whatsapp/cache/Ảnh hồ sơ/'. Chứa các tập tin đồ họa – hình ảnh của danh bạ.
  • Thư mục '/data/data/com.whatsapp/files/Avatars/'. Chứa các tập tin đồ họa – hình ảnh thu nhỏ của danh bạ. Các tệp này có phần mở rộng '.j' nhưng vẫn là tệp hình ảnh JPEG (JPG).
  • Thư mục '/data/data/com.whatsapp/files/Avatars/'. Chứa các tệp đồ họa - hình ảnh và hình thu nhỏ của hình ảnh được chủ tài khoản đặt làm hình đại diện.
  • Thư mục '/data/data/com.whatsapp/files/Logs/'. Chứa nhật ký vận hành chương trình (tệp 'whatsapp.log') và bản sao lưu của nhật ký vận hành chương trình (tệp có tên ở định dạng whatsapp-yyyy-mm-dd.1.log.gz).

Tệp nhật ký WhatsApp:

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Đoạn nhật ký2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] thông báo cuộc gọi nhỡ/số lần khởi tạo:0 dấu thời gian:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] cuộc gọi nhỡthông báo/cập nhật hủy đúng
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] tệp mật khẩu bị thiếu hoặc không thể đọc được
2017-01-10 09:37:09.782 Thống kê LL_I D [1:main] Tin nhắn văn bản: 59 đã gửi, 82 đã nhận / Tin nhắn phương tiện: 1 đã gửi (0 byte), 0 đã nhận (9850158 byte) / Tin nhắn ngoại tuyến: 81 đã nhận ( Độ trễ trung bình là 19522 mili giây) / Dịch vụ tin nhắn: 116075 byte đã gửi, 211729 byte đã nhận / Cuộc gọi Voip: 1 cuộc gọi đi, 0 cuộc gọi đến, 2492 byte đã gửi, 1530 byte đã nhận / Google Drive: 0 byte đã gửi, 0 byte đã nhận / Chuyển vùng: 1524 byte đã gửi, 1826 byte đã nhận / Tổng dữ liệu: 118567 byte đã gửi, 10063417 byte đã nhận
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] ứng dụng-init/khởi tạo/hẹn giờ/dừng: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/xóa sai
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | thời gian sử dụng:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage có sẵn:1,345,622,016 tổng số:5,687,922,688

  • Thư mục '/data/media/0/WhatsApp/Media/WhatsApp Audio/'. Chứa các tập tin âm thanh đã nhận.
  • Thư mục '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. Chứa các tập tin âm thanh đã gửi.
  • Thư mục '/data/media/0/WhatsApp/Media/Hình ảnh WhatsApp/'. Chứa các tập tin đồ họa kết quả.
  • Thư mục '/data/media/0/WhatsApp/Media/Hình ảnh WhatsApp/Đã gửi/'. Chứa các tập tin đồ họa được gửi.
  • Thư mục '/data/media/0/WhatsApp/Media/WhatsApp Video/'. Chứa các tập tin video đã nhận.
  • Thư mục '/data/media/0/WhatsApp/Media/WhatsApp Video/Đã gửi/'. Chứa các tập tin video đã gửi.
  • Thư mục '/data/media/0/WhatsApp/Media/Ảnh hồ sơ WhatsApp/'. Chứa các tệp đồ họa được liên kết với chủ sở hữu tài khoản WhatsApp.
  • Để tiết kiệm dung lượng bộ nhớ trên điện thoại thông minh Android của bạn, một số dữ liệu WhatsApp có thể được lưu trữ trên thẻ SD. Trên thẻ SD, trong thư mục gốc có thư mục 'Whatsapp', nơi có thể tìm thấy các tạo phẩm sau của chương trình này:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

  • Thư mục '.Chia sẻ' ('/mnt/sdcard/WhatsApp/.Share/'). Chứa bản sao của các tệp đã được chia sẻ với những người dùng WhatsApp khác.
  • Thư mục '.rác' ('/mnt/sdcard/WhatsApp/.trash/'). Chứa các tập tin đã bị xóa.
  • Thư mục 'Cơ sở dữ liệu' ('/mnt/sdcard/WhatsApp/Cơ sở dữ liệu/'). Chứa các bản sao lưu được mã hóa. Chúng có thể được giải mã nếu có tệp 'Chìa khóa', được trích xuất từ ​​bộ nhớ của thiết bị được phân tích.

    Các tập tin nằm trong thư mục con 'Cơ sở dữ liệu':

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?

  • Thư mục 'Một nửa' ('/mnt/sdcard/WhatsApp/Media/'). Chứa thư mục con 'Hình nền', 'Âm thanh WhatsApp', 'Hình ảnh WhatsApp', 'Ảnh hồ sơ WhatsApp', 'Video WhatsApp', 'Ghi chú bằng giọng nói của WhatsApp', chứa các tệp đa phương tiện đã nhận và truyền (tệp đồ họa, tệp video, tin nhắn thoại, ảnh được liên kết với hồ sơ của chủ sở hữu tài khoản WhatsApp, hình nền).
  • Thư mục 'Ảnh đại diện' ('/mnt/sdcard/WhatsApp/Ảnh hồ sơ/'). Chứa các tệp đồ họa được liên kết với hồ sơ của chủ sở hữu tài khoản WhatsApp.
  • Đôi khi có thể có một thư mục trên thẻ SD 'các tập tin' ('/mnt/sdcard/WhatsApp/Files/'). Thư mục này chứa các tệp lưu trữ cài đặt chương trình và tùy chọn của người dùng.

Tính năng lưu trữ dữ liệu trong một số kiểu thiết bị di động

Một số kiểu thiết bị di động chạy hệ điều hành Android có thể lưu trữ các tạo phẩm WhatsApp ở một vị trí khác. Điều này là do phần mềm hệ thống của thiết bị di động thay đổi không gian lưu trữ dữ liệu ứng dụng. Ví dụ: thiết bị di động Xiaomi có chức năng tạo không gian làm việc thứ hai (“SecondSpace”). Khi chức năng này được kích hoạt, vị trí của dữ liệu sẽ thay đổi. Vì vậy, nếu trên một thiết bị di động thông thường chạy hệ điều hành Android, dữ liệu người dùng được lưu trữ trong thư mục '/dữ liệu/người dùng/0/' (đó là một tham chiếu đến thông thường '/dữ liệu/dữ liệu/'), thì trong không gian làm việc thứ hai, dữ liệu ứng dụng được lưu trữ trong thư mục '/dữ liệu/người dùng/10/'. Nghĩa là, sử dụng ví dụ về vị trí tệp 'wa.db':

  • trong điện thoại thông minh thông thường chạy hệ điều hành Android: /data/user/0/com.whatsapp/databases/wa.db' (tương đương '/data/data/com.whatsapp/databases/wa.db');
  • trong không gian làm việc thứ hai của điện thoại thông minh Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db'.

Hiện vật WhatsApp trong thiết bị iOS

Không giống như hệ điều hành Android, dữ liệu ứng dụng WhatsApp trên iOS được chuyển sang bản sao lưu (bản sao lưu iTunes). Do đó, việc trích xuất dữ liệu từ ứng dụng này không yêu cầu giải nén hệ thống tệp hoặc tạo kết xuất bộ nhớ vật lý của thiết bị đang được điều tra. Hầu hết các thông tin liên quan được chứa trong cơ sở dữ liệu 'ChatStorage.sqlite', nằm dọc theo đường dẫn: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (trong một số chương trình, đường dẫn này xuất hiện dưới dạng 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

Cấu trúc 'ChatStorage.sqlite':

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Các bảng chứa nhiều thông tin nhất trong cơ sở dữ liệu 'ChatStorage.sqlite' là 'ZWAMESSAGE' и 'ZWAMEDIAITEM'.

Xuất hiện bảng 'ZWAMESSAGE':

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Cấu trúc của bảng 'ZWAMESSAGE'

Tên trường Giá trị
Z_PK số thứ tự bản ghi (trong bảng SQL)
Z_ENT mã định danh bảng, có giá trị '9'
Z_OPT không xác định, thường chứa các giá trị từ '1' đến '6'
ZCHILDMAGESDELIVEREDCOUNT không xác định, thường chứa giá trị '0'
ZCHILDMESSAGESPLAYEDCOUNT không xác định, thường chứa giá trị '0'
ZCHILDMESSAGESREADCOUNT không xác định, thường chứa giá trị '0'
PHIÊN BẢN ZDATA không xác định, thường chứa giá trị '3', có thể là chỉ báo tin nhắn văn bản
ZDOCID không biết
ZENCRETRYCOUNT không xác định, thường chứa giá trị '0'
ZFILTEREDRECIPIENTCOUNT không xác định, thường chứa các giá trị '0', '2', '256'
ZISFROMME hướng tin nhắn: '0' – đến, '1' – gửi đi
ZMESSAGEERRORSTATUS trạng thái truyền tin nhắn. Nếu tin nhắn được gửi/nhận thì nó có giá trị '0'
ZMESSAGETYPE loại tin nhắn được truyền đi
ZSORT không biết
TÌNH TRẠNG ZSPOTLIGHT không biết
ZSTARRED chưa biết, chưa sử dụng
PHIÊN ZCHATS không biết
ZGROUPTHÀNH VIÊN chưa biết, chưa sử dụng
PHẦN Z CUỐI CÙNG không biết
ZMEDIAITEM không biết
THÔNG TIN ZMESSAGE không biết
ZPARENTTIN NHẮN chưa biết, chưa sử dụng
ZMESSAGEDATE dấu thời gian ở định dạng OS X Epoch Time
ZSENTDATE thời gian tin nhắn được gửi ở định dạng OS X Epoch Time
ZFROMJID ID người gửi WhatsApp
ZMEDIASECTIONID chứa năm và tháng tệp phương tiện được gửi
ZPHASH chưa biết, chưa sử dụng
ZPUSHPAME tên của người liên hệ đã gửi tệp phương tiện ở định dạng UTF-8
ZSTANZID mã nhận dạng tin nhắn duy nhất
ZTEXT Tin nhắn văn bản
ZTOJID ID WhatsApp của người nhận
OFFSET Thiên kiến

Xuất hiện bảng 'ZWAMEDIAITEM':

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Cấu trúc bảng 'ZWAMEDIAITEM'

Tên trường Giá trị
Z_PK số thứ tự bản ghi (trong bảng SQL)
Z_ENT mã định danh bảng, có giá trị '8'
Z_OPT không xác định, thường chứa các giá trị từ '1' đến '3'.
ZCLOUDSTATUS chứa giá trị '4' nếu tệp được tải.
KÍCH THƯỚC chứa độ dài tệp (tính bằng byte) cho các tệp đã tải xuống
ZMEDIAORIGIN không xác định, thường có giá trị '0'
ZPHIM THỜI LƯỢNG thời lượng của tệp phương tiện, đối với tệp pdf có thể chứa số trang của tài liệu
ZMESSAGE chứa một số sê-ri (số này khác với số được chỉ định trong cột 'Z_PK')
ZASPECTRATIO tỷ lệ khung hình, không được sử dụng, thường được đặt thành '0'
ZHACCURACY không xác định, thường có giá trị '0'
Zlattitude chiều rộng tính bằng pixel
ZLONGTITUDE chiều cao tính bằng pixel
ZMEDIAURLDATE dấu thời gian ở định dạng OS X Epoch Time
TÊN ZAUTHOR tác giả (đối với tài liệu, có thể chứa tên tệp)
ZCOLLECTIONNAME không được sử dụng
ZMEDIALOCALPATH tên tệp (bao gồm đường dẫn) trong hệ thống tệp của thiết bị
ZMEDIAURL URL nơi chứa tệp phương tiện. Nếu một tệp được chuyển từ người đăng ký này sang người đăng ký khác, tệp đó đã được mã hóa và phần mở rộng của nó sẽ được chỉ định là phần mở rộng của tệp được chuyển - .enc
ZTHUMBNAILLOCALPATH đường dẫn tới hình thu nhỏ của tệp trong hệ thống tệp của thiết bị
ZTITLE tiêu đề tập tin
ZVCARDNAME hàm băm của tệp phương tiện; khi chuyển tệp sang một nhóm, nó có thể chứa mã định danh người gửi
ZVCARDSTRING chứa thông tin về loại tệp đang được chuyển (ví dụ: hình ảnh/jpeg); khi chuyển tệp sang một nhóm, nó có thể chứa mã định danh của người nhận
ZXMPPTHUMBPATH đường dẫn tới hình thu nhỏ của tệp trong hệ thống tệp của thiết bị
ZMEDIAKEY không xác định, có thể chứa chìa khóa để giải mã tập tin được mã hóa.
ZMETADATA siêu dữ liệu của tin nhắn được truyền đi
Bù đắp Thiên kiến

Các bảng cơ sở dữ liệu thú vị khác 'ChatStorage.sqlite' là:

  • 'ZWAPROFILEPUSHNAME'. Khớp ID WhatsApp với tên liên hệ;
  • 'ZWAPROFILEPICTUREITEM'. Khớp ID WhatsApp với hình đại diện liên hệ;
  • 'Z_PRIMARYKEY'. Bảng chứa thông tin chung về cơ sở dữ liệu này, chẳng hạn như tổng số tin nhắn được lưu trữ, tổng số cuộc trò chuyện, v.v.

Ngoài ra, khi kiểm tra WhatsApp trên thiết bị di động chạy iOS, bạn nên chú ý đến các tệp sau:

  • hồ sơ 'BackedUpKeyValue.sqlite'. Chứa khóa mật mã và dữ liệu khác cần thiết để xác định chủ sở hữu tài khoản. Nằm dọc theo con đường: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • hồ sơ 'Danh bạV2.sqlite'. Chứa thông tin về danh bạ của người dùng, chẳng hạn như tên đầy đủ, số điện thoại, trạng thái liên hệ (ở dạng văn bản), ID WhatsApp, v.v. Nằm dọc theo con đường: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • hồ sơ 'người tiêu dùng_version'. Chứa số phiên bản của ứng dụng WhatsApp đã cài đặt. Nằm dọc theo con đường: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • hồ sơ 'current_wallpaper.jpg'. Chứa hình nền nền WhatsApp hiện tại. Nằm dọc theo con đường: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. Các phiên bản cũ hơn của ứng dụng sử dụng tệp 'hình nền', nằm dọc theo đường dẫn: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • hồ sơ 'blockedcontacts.dat'. Chứa thông tin về các liên hệ bị chặn. Nằm dọc theo con đường: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • hồ sơ 'pw.dat'. Chứa mật khẩu được mã hóa. Nằm dọc theo con đường: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • hồ sơ 'net.whatsapp.WhatsApp.plist' (hoặc tập tin 'group.net.whatsapp.WhatsApp.shared.plist'). Chứa thông tin về hồ sơ tài khoản WhatsApp của bạn. Tệp nằm dọc theo đường dẫn: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

Nội dung của tệp 'group.net.whatsapp.WhatsApp.shared.plist' WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Bạn cũng cần chú ý đến các thư mục sau:

  • Thư mục '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. Chứa hình thu nhỏ của các liên hệ, nhóm (tệp có phần mở rộng .thumb), hình đại diện liên hệ, hình đại diện của chủ tài khoản WhatsApp (tệp 'Ảnh.jpg').
  • Thư mục '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. Chứa các tập tin đa phương tiện và hình thu nhỏ của chúng
  • Thư mục '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. Chứa nhật ký hoạt động của chương trình (tệp 'cuộc gọi.log') và bản sao lưu nhật ký hoạt động của chương trình (tệp 'cuộc gọi.backup.log').
  • Thư mục '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. Chứa nhãn dán (tệp ở định dạng '.webp').
  • Thư mục '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. Chứa nhật ký hoạt động của chương trình.

Hiện vật WhatsApp trên Windows

Bạn có thể tìm thấy các tạo phẩm WhatsApp trên Windows ở một số nơi. Trước hết, đây là những thư mục chứa các tệp chương trình thực thi và phụ trợ (dành cho Windows 8/10):

  • 'C:Tệp chương trình (x86)WhatsApp'
  • 'C:Người dùng%Hồ sơ người dùng% AppDataLocalWhatsApp'
  • 'C:Người dùng%Hồ sơ người dùng%Tệp chương trình AppDataLocalVirtualStore (x86)WhatsApp'

Trong danh mục 'C:Người dùng%Hồ sơ người dùng% AppDataLocalWhatsApp' tập tin nhật ký được đặt 'SquirrelSetup.log', chứa thông tin về việc kiểm tra các bản cập nhật và cài đặt chương trình.

Trong danh mục 'C:Người dùng%Hồ sơ người dùng% AppDataRoamingWhatsApp' Có một số thư mục con:

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
hồ sơ 'main-process.log' chứa thông tin về hoạt động của chương trình WhatsApp.

Thư mục con 'cơ sở dữ liệu' chứa một tập tin 'Cơ sở dữ liệu.db', nhưng tệp này không chứa bất kỳ thông tin nào về cuộc trò chuyện hoặc danh bạ.

Điều thú vị nhất theo quan điểm pháp y là các tập tin nằm trong thư mục 'Bộ nhớ đệm'. Về cơ bản đây là những tập tin có tên 'f_*********' (trong đó * là một số từ 0 đến 9) chứa các tệp và tài liệu đa phương tiện được mã hóa, nhưng trong số đó cũng có các tệp không được mã hóa. Điều đặc biệt quan tâm là các tập tin 'dữ liệu_0', 'dữ liệu_1', 'dữ liệu_2', 'dữ liệu_3', nằm trong cùng thư mục con. Các tập tin 'dữ liệu_0', 'dữ liệu_1', 'dữ liệu_3' chứa các liên kết bên ngoài đến các tập tin và tài liệu đa phương tiện được mã hóa được truyền đi.

Ví dụ về thông tin chứa trong tệp 'data_1'WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Ngoài ra tập tin 'dữ liệu_3' có thể chứa các tập tin đồ họa.

hồ sơ 'dữ liệu_2' chứa hình đại diện liên hệ (có thể được khôi phục bằng cách tìm kiếm theo tiêu đề tệp).

Hình đại diện có trong tập tin 'dữ liệu_2':

WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
Do đó, không thể tìm thấy các cuộc trò chuyện trong bộ nhớ máy tính, nhưng bạn có thể tìm thấy:

  • tập tin đa phương tiện;
  • tài liệu được truyền qua WhatsApp;
  • thông tin về địa chỉ liên lạc của chủ tài khoản.

Hiện vật WhatsApp trên MacOS

Trong MacOS, bạn có thể tìm thấy các loại tạo phẩm WhatsApp tương tự như các loại tạo phẩm được tìm thấy trong HĐH Windows.

Các tập tin chương trình được đặt trong các thư mục sau:

  • 'C:Ứng dụngWhatsApp.app'
  • 'C:Ứng dụng._WhatsApp.app'
  • 'C:Người dùng%Hồ sơ người dùng%LibraryPreferences'
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnLogsWhatsApp'
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnTrạng thái ứng dụng đã lưuWhatsApp.savedState'
  • 'C:Người dùng%Hồ sơ người dùng%Tập lệnh ứng dụng thư viện'
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnHỗ trợ ứng dụngCloudDocs'
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnHỗ trợ ứng dụngWhatsApp.ShipIt'
  • 'C:Người dùng%Hồ sơ người dùng%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Người dùng%Hồ sơ người dùng% Thư viện Tài liệu di động <biến văn bản> Tài khoản WhatsApp'
    Thư mục này chứa các thư mục con có tên là số điện thoại được liên kết với chủ sở hữu tài khoản WhatsApp.
  • 'C:Người dùng%Hồ sơ người dùng%LibraryCachesWhatsApp.ShipIt'
    Thư mục này chứa thông tin về cách cài đặt chương trình.
  • 'C:Người dùng%Hồ sơ người dùng%PicturesiPhoto Library.photolibraryMasters', 'C:Người dùng%Hồ sơ người dùng%PicturesiPhoto Library.photolibraryThumbnails'
    Các thư mục này chứa các tệp dịch vụ của chương trình, bao gồm ảnh và hình thu nhỏ của danh bạ WhatsApp.
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnCachesWhatsApp'
    Thư mục này chứa một số cơ sở dữ liệu SQLite được sử dụng để lưu trữ dữ liệu.
  • 'C:Người dùng%Hồ sơ người dùng%Thư việnHỗ trợ ứng dụngWhatsApp'
    Thư mục này chứa một số thư mục con:

    WhatsApp trong lòng bàn tay bạn: bạn có thể tìm thấy hiện vật pháp y ở đâu và như thế nào?
    Trong danh mục 'C:Người dùng%Hồ sơ người dùng%Thư việnHỗ trợ ứng dụngWhatsAppCache' có tập tin 'dữ liệu_0', 'dữ liệu_1', 'dữ liệu_2', 'dữ liệu_3' và các tập tin có tên 'f_*********' (trong đó * là một số từ 0 đến 9). Để biết thông tin về những thông tin mà các tệp này chứa, hãy xem Hiện vật WhatsApp trên Windows.

    Trong danh mục 'C:Người dùng%Hồ sơ người dùng%Thư việnHỗ trợ ứng dụngWhatsAppIndexedDB' có thể chứa các tệp đa phương tiện (tệp không có phần mở rộng).

    hồ sơ 'main-process.log' chứa thông tin về hoạt động của chương trình WhatsApp.

nguồn

  1. Phân tích pháp y về WhatsApp Messenger trên điện thoại thông minh Android, của Cosimo Anglano, 2014.
  2. Điều tra Whatsapp: Hệ thống phân tích dữ liệu cơ bản và ứng dụng Android và iOS của Ahmad Pratama, 2014.

Trong các bài viết sau trong loạt bài này:

Giải mã cơ sở dữ liệu WhatsApp được mã hóaMột bài viết sẽ cung cấp thông tin về cách tạo khóa mã hóa WhatsApp và các ví dụ thực tế chỉ ra cách giải mã cơ sở dữ liệu được mã hóa của ứng dụng này.
Trích xuất dữ liệu WhatsApp từ bộ nhớ đám mâyBài viết trong đó chúng tôi sẽ cho bạn biết dữ liệu WhatsApp nào được lưu trữ trên đám mây và mô tả các phương pháp truy xuất dữ liệu này từ kho lưu trữ đám mây.
Khai thác dữ liệu WhatsApp: Ví dụ thực tếMột bài viết sẽ mô tả từng bước những chương trình nào và cách trích xuất dữ liệu WhatsApp từ nhiều thiết bị khác nhau.

Nguồn: www.habr.com

Thêm một lời nhận xét