主持人 > 博客 > 網絡新聞 > WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

如果您想了解不同作業系統上存在哪些類型的 WhatsApp 取證工件以及到底在哪裡可以找到它們,那麼這裡就是您的最佳選擇。 本文來自 Group-IB 電腦鑑識實驗室的專家 伊戈爾·米哈伊洛夫 開始了一系列有關 WhatsApp 取證以及透過分析設備可以獲得哪些資訊的貼文。

讓我們立即註意到,不同的作業系統儲存不同類型的 WhatsApp 工件,如果研究人員可以從一台裝置提取某些類型的 WhatsApp 數據,這並不意味著可以從另一台裝置提取類似類型的數據。 例如,如果刪除執行 Windows 作業系統的系統單元,則可能在其磁碟上找不到 WhatsApp 聊天記錄(iOS 裝置的備份副本除外,可以在同一磁碟機上找到它們)。 筆記型電腦和行動裝置的查獲都有其自身的特點。 讓我們更詳細地討論一下這個問題。

Android 裝置中的 WhatsApp 工件

為了從 Android 裝置中提取 WhatsApp 工件,研究人員必須擁有超級使用者權限('根')在正在調查的裝置上,或能夠以其他方式提取裝置或其檔案系統的實體記憶體轉儲(例如,使用特定行動裝置的軟體漏洞)。

應用程式檔案位於手機記憶體中保存使用者資料的部分。 通常,此部分被命名為 '用戶資料'。 子目錄和程式檔案位於以下路徑: '/data/data/com.whatsapp/'.

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
Android 作業系統中包含 WhatsApp 取證工件的主要檔案是資料庫 'wa.db' и 'msgstore.db'.

在資料庫中 'wa.db' 包含 WhatsApp 用戶的完整聯絡人列表,包括電話號碼、顯示名稱、時間戳記以及註冊 WhatsApp 時提供的任何其他資訊。 文件 'wa.db' 位於路徑沿線: '/data/data/com.whatsapp/databases/' 並具有以下結構:

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
資料庫中最有趣的表 'wa.db' 對研究人員來說:

  • 'wa_聯絡人'
    此表包含聯絡人資訊:WhatsApp 聯絡人 ID、狀態資訊、使用者顯示名稱、時間戳記等。

    桌子外觀:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
    表結構

    字段名稱
    _ID 記錄序號(在SQL表中)
    吉德 WhatsApp 聯絡人 ID,格式為<電話號碼>@s.whatsapp.net
    is_whatsapp_user 如果聯絡人對應於實際的 WhatsApp 用戶,則包含“1”,否則包含“0”
    狀態 包含聯絡人狀態中顯示的文本
    狀態時間戳 包含 Unix Epoch Time (ms) 格式的時間戳
    與聯絡人關聯的電話號碼
    原始聯絡人 ID 聯繫序號
    DISPLAY_NAME 聯絡人顯示名稱
    電話類型 電話類型
    電話標籤 與聯絡號碼關聯的標籤
    未見訊息數 聯絡人發送但收件人未閱讀的訊息數
    照片_ts 包含 Unix Epoch Time 格式的時間戳
    拇指_ts 包含 Unix Epoch Time 格式的時間戳
    照片_id_時間戳 包含 Unix Epoch Time (ms) 格式的時間戳
    給定的名稱 欄位值與每個聯絡人的“display_name”相符
    wa_名稱 WhatsApp 聯絡人姓名(顯示聯絡人個人資料中指定的姓名)
    排序名稱 排序操作中使用的聯絡人姓名
    暱稱 聯絡人在 WhatsApp 中的暱稱(顯示聯絡人個人資料中指定的暱稱)
    公司 本公司(顯示聯絡人個人資料中指定的公司)
    標題 職稱(女士/先生;顯示聯絡人個人資料中配置的職稱)
    抵消 偏壓
  • 'sqlite_sequence'
    此表包含有關聯絡人數量的資訊;
  • 'android_元數據'
    此表包含有關 WhatsApp 語言本地化的資訊。

在資料庫中 'msgstore.db' 包含已傳送訊息的訊息,例如聯絡人號碼、訊息文字、訊息狀態、時間戳記、訊息中包含的傳輸檔案的詳細資訊等。 文件 'msgstore.db' 位於路徑沿線: '/data/data/com.whatsapp/databases/' 並具有以下結構:

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
文件中最有趣的表 'msgstore.db' 對研究人員來說:

  • 'sqlite_sequence'
    該表包含有關該資料庫的一般信息,例如存儲的消息總數、聊天總數等。

    桌子外觀:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

  • 'message_fts_content'
    包含已發送訊息的文字。

    桌子外觀:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

  • “訊息”
    此表包含諸如聯絡號碼、訊息文字、訊息狀態、時間戳記、訊息中包含的已傳輸檔案的資訊等資訊。

    桌子外觀:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
    表結構

    字段名稱
    _ID 記錄序號(在SQL表中)
    key_remote_jid 通訊夥伴的 WhatsApp ID
    來自我的密鑰 訊息方向:'0' - 傳入,'1' - 傳出
    密鑰 ID 唯一的訊息標識符
    狀態 訊息狀態:'0' - 已傳送,'4' - 在伺服器上等待,'5' - 在目的地收到,'6' - 控制訊息,'13' - 收件者開啟的訊息(已讀)
    需要推播 如果是廣播訊息,則值為“2”,否則包含“0”
    數據 訊息文字(當「media_wa_type」參數為「0」時)
    時間戳 包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時鐘
    媒體位址 包含傳輸檔案的URL(當'media_wa_type'參數為'1'、'2'、'3'時)
    媒體mime_類型 傳輸檔案的MIME類型(當'media_wa_type'參數等於'1'、'2'、'3'時)
    媒體類型 訊息類型:「0」- 文字、「1」- 圖形檔案、「2」- 音訊檔案、「3」- 視訊檔案、「4」- 聯絡人卡片、「5」- 地理數據
    媒體大小 傳輸檔案的大小(當'media_wa_type'參數為'1'、'2'、'3'時)
    媒體名稱 傳輸檔案的名稱(當「media_wa_type」參數為「1」、「2」、「3」時)
    媒體標題 包含單字'audio'、'video'為'media_wa_type'參數對應的值(當'media_wa_type'參數為'1'、'3'時)
    媒體哈希值 傳輸檔案的 Base64 編碼哈希,使用 HAS-256 演算法計算(當「media_wa_type」參數等於「1」、「2」、「3」時)
    媒體持續時間 媒體檔案的持續時間(以秒為單位)(當「media_wa_type」為「1」、「2」、「3」時)
    起源 如果是廣播訊息,則值為“2”,否則包含“0”
    緯度 地理資料:緯度(當「media_wa_type」參數為「5」時)
    經度 地理資料:經度(當「media_wa_type」參數為「5」時)
    拇指影像 服務資訊
    遠端資源 寄件者 ID(僅適用於群組聊天)
    收到的時間戳 接收時間,包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時脈(當 'key_from_me' 參數為 '0'、'-1' 或其他值)
    傳送時間戳 未使用,通常值為“-1”
    收據伺服器時間戳 中央伺服器接收到的時間,包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時脈(當 'key_from_me' 參數為 '1'、'-1' 或其他值時
    收據_設備_時間戳 另一個訂閱者收到訊息的時間,包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時脈(當 'key_from_me' 參數具有 '1'、'-1' 或其他值時
    讀取設備時間戳 開啟(讀取)訊息的時間,包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時鐘
    播放設備時間戳 訊息播放時間,包含 Unix Epoch Time (ms) 格式的時間戳,該值取自裝置時鐘
    原始數據 傳輸檔案的縮圖(當「media_wa_type」參數為「1」或「3」時)
    收件者數 接收者數量(對於廣播訊息)
    參與者雜湊值 傳送帶有地理資料的訊息時使用
    主演 沒用過
    引用行 ID 未知,通常包含值“0”
    提到的jids 沒用過
    多播ID 沒用過
    抵消 偏壓

    此字段列表並不詳盡。 對於不同版本的 WhatsApp,某些欄位可能存在或不存在。 此外,也可能存在字段 'media_enc_hash', '編輯版本', '付款交易ID' 等等

  • '訊息縮圖'
    此表包含有關傳輸的圖像和時間戳記的資訊。 在「時間戳記」欄位中,時間以 Unix 紀元時間 (ms) 格式指示。
  • '聊天列表'
    該表包含有關聊天的資訊。

    桌子外觀:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

此外,在運行 Android 的行動裝置上檢查 WhatsApp 時,您應該注意以下檔案:

  • 文件 'msgstore.db.cryptXX' (其中 XX 是 0 到 12 之間的一位或兩位數字,例如 msgstore.db.crypt12)。 包含 WhatsApp 訊息的加密備份(備份文件 消息存儲庫)。 文件 'msgstore.db.cryptXX' 位於路徑沿線: '/data/media/0/WhatsApp/資料庫/' (虛擬SD卡), '/mnt/sdcard/WhatsApp/資料庫/ (物理 SD 卡)'。
  • 文件 '鑰匙'。 包含加密金鑰。 位於路徑沿線: '/data/data/com.whatsapp/files/'。 用於解密加密的 WhatsApp 備份。
  • 文件 'com.whatsapp_preferences.xml'。 包含您的 WhatsApp 帳號個人資料的資訊。 該檔案位於以下路徑: '/data/data/com.whatsapp/shared_prefs/'.

    文件內容片段

    <?xml version="1.0" encoding="ISO-8859-1"?>
…
<string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
…
<string name="version">2.17.395</string> (версия WhatsApp)
…
<string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
…
<string name="push_name">Alex</string> (имя владельца аккаунта)
…
  • 文件 '註冊.RegisterPhone.xml'。 包含與 WhatsApp 帳戶關聯的電話號碼的資訊。 該檔案位於以下路徑: '/data/data/com.whatsapp/shared_prefs/'.

    文件內容 

    <?xml version="1.0" encoding="ISO-8859-1"?>
<map>
<string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
<int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
<int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
<string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
<int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
<string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
<string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
</map>
  • 文件 '蠑螈.db'。 包含識別帳戶擁有者所需的加密金鑰和其他資料。 位於路徑沿線: '/data/data/com.whatsapp/databases/'.
  • 文件 '聊天設定.db'。 包含應用程式設定資訊。
  • 文件 'wa.db'。 包含聯絡方式。 一個非常有趣(從法醫方面來看)且內容豐富的資料庫。 它可以包含有關已刪除聯絡人的詳細資訊。

您還需要注意以下目錄:

  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 圖片/'。 包含傳輸的圖形檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 語音筆記/'。 包含 .OPUS 格式檔案中的語音訊息。
  • Каталог '/data/data/com.whatsapp/cache/個人資料圖片/'。 包含圖形檔案 - 聯絡人圖像。
  • Каталог '/data/data/com.whatsapp/files/Avatars/'。 包含圖形檔案 - 聯絡人的縮圖。 這些檔案具有「.j」副檔名,但仍是 JPEG (JPG) 影像檔案。
  • Каталог '/data/data/com.whatsapp/files/Avatars/'。 包含圖形檔案 - 由帳戶擁有者設定為頭像的圖像和圖像的縮圖。
  • Каталог '/data/data/com.whatsapp/files/Logs/'。 包含程式操作日誌(檔案「whatsapp.log」)和程式操作日誌的備份副本(名稱格式為 Whatsapp-yyyy-mm-dd.1.log.gz 的檔案)。

WhatsApp 日誌檔:

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
日記片段2017-01-10 09:37:09.757 LL_ID [524:WhatsApp Worker #1] 未接來電通知/初始化計數:0 時間戳:0
2017-01-10 09:37:09.758 LL_ID [524:WhatsApp Worker #1] 未接來電通知/更新取消 true
2017-01-10 09:37:09.768 LL_ID [1:main] 應用程式初始化/載入我
2017-01-10 09:37:09.772 LL_ID [1:main] 密碼檔案遺失或不可讀
2017-01-10 09:37:09.782 LL_ID [1:main] 統計簡訊:發送59 條,接收82 條/ 媒體訊息:發送1 條(0 位元組),接收0 條(9850158 位元組) / 離線訊息:接收81 個(平均延遲19522 毫秒) / 訊息服務:發送116075 字節,接收211729 字節/ Voip 呼叫:1 次撥出呼叫,0 次來電,發送2492 字節,接收1530 字節/ Google Drive:發送0 字節,接收0 位元組/ 漫遊:1524發送的字節,接收的 1826 位元組/總資料:發送的 118567 字節,接收的 10063417 位元組
2017-01-10 09:37:09.785 LL_ID [1:main] 媒體狀態管理器/刷新媒體狀態/可寫媒體
2017-01-10 09:37:09.806 LL_ID [1:main] 應用程式初始化/初始化/計時器/停止:24
2017-01-10 09:37:09.811 LL_ID [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_ID [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_ID [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_ID [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_ID [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_ID [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_ID [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_ID [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_ID [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_ID [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_ID [1:main] msgstore/checkdb/版本 1
2017-01-10 09:37:09.839 LL_ID [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_ID [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_ID [1:main] msgstore/canquery 517 | 花費時間:8
2017-01-10 09:37:09.848 LL_ID [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage 可用:1,345,622,016 總計:5,687,922,688

  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 音訊/'。 包含收到的音訊檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 音訊/已傳送/'。 包含發送的音訊檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 圖片/'。 包含生成的圖形檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 圖片/已發送/'。 包含發送的圖形檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 影片/'。 包含收到的影片檔。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 影片/已發送/'。 包含發送的視訊檔案。
  • Каталог '/data/media/0/WhatsApp/Media/WhatsApp 個人資料照片/'。 包含與 WhatsApp 帳戶擁有者關聯的圖形檔案。
  • 為了節省 Android 智慧型手機的儲存空間,一些 WhatsApp 資料可以儲存在 SD 卡上。 在SD卡上,根目錄下有目錄 ‘Whatsapp’,其中可以找到該程式的以下工件:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

  • Каталог '。分享' ('/mnt/sdcard/WhatsApp/.Share/')。 包含已與其他 WhatsApp 使用者共用的檔案的副本。
  • Каталог '。垃圾' ('/mnt/sdcard/WhatsApp/.trash/')。 包含已刪除的檔案。
  • Каталог "資料庫" ('/mnt/sdcard/WhatsApp/資料庫/')。 包含加密備份。 如果檔案存在,則可以解密它們 '鑰匙',從被分析設備的記憶體中提取。

    位於子目錄中的文件 "資料庫":

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?

  • Каталог '一半' ('/mnt/sdcard/WhatsApp/Media/')。 包含子目錄 '壁紙', “WhatsApp 音訊”, “WhatsApp 圖片”, “WhatsApp 個人資料照片”, “WhatsApp 影片”, “WhatsApp 語音筆記”,其中包含接收和傳輸的多媒體檔案(圖形檔案、視訊檔案、語音訊息、與 WhatsApp 帳戶擁有者的個人資料相關的照片、桌布)。
  • Каталог “個人資料圖片” ('/mnt/sdcard/WhatsApp/個人資料圖片/')。 包含與 WhatsApp 帳戶擁有者的個人資料關聯的圖形檔案。
  • 有時SD卡上可能存在一個目錄 “文件” ('/mnt/sdcard/WhatsApp/檔案/')。 此目錄包含儲存程式設定和使用者首選項的檔案。

部分型號行​​動裝置的資料儲存特點

某些運行 Android 作業系統的行動裝置型號可能會將 WhatsApp 工件儲存在不同的位置。 這是由於行動裝置的系統軟體改變了應用資料的儲存空間。 例如,小米行動裝置具有建立第二個工作空間(「SecondSpace」)的功能。 啟動此功能後,資料的位置會改變。 因此,如果在運行 Android 作業系統的常規行動裝置中,用戶資料會儲存在該目錄中 '/資料/使用者/0/' (這是對通常的參考 '/數據/數據/'),然後在第二個工作區中應用程式資料儲存在目錄中 '/資料/使用者/10/'。 也就是說,使用檔案位置的範例 'wa.db':

  • 在運行 Android 作業系統的普通智慧型手機中: /data/user/0/com.whatsapp/databases/wa.db' (這相當於 '/data/data/com.whatsapp/databases/wa.db');
  • 在小米智慧型手機的第二個工作區: '/data/user/10/com.whatsapp/databases/wa.db'.

iOS 裝置中的 WhatsApp 工件

與 Android 作業系統不同,iOS WhatsApp 應用程式資料會傳輸到備份副本(iTunes 備份)。 因此,從此應用程式提取資料不需要提取檔案系統或建立所調查設備的實體記憶體轉儲。 大部分相關資訊都包含在資料庫中 '聊天儲存.sqlite',它位於路徑上: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (在某些程式中,該路徑顯示為 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

結構 '聊天儲存.sqlite':

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
「ChatStorage.sqlite」資料庫中資訊最豐富的表格是 'ZWA訊息' и 'ZWAMEDIAITEM'.

檯面外觀 'ZWA訊息':

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
表“ZWAMESSAGE”的結構

字段名稱
Z_PK 記錄序號(在SQL表中)
Z_ENT 表標識符,值為“9”
Z_OPT 未知,通常包含從'1'到'6'的值
ZChildMessagesDeliveredCOUNT 未知,通常包含值“0”
ZChildMessagesPlayedCount 未知,通常包含值“0”
ZChildmessagesreadcount 未知,通常包含值“0”
ZDATAIT版本 未知,通常包含值“3”,可能是簡訊指示符
ZDOCID 不明
ZENCRYCOUNT 未知,通常包含值“0”
ZFILTERED收件者計數 未知,通常包含值'0'、'2'、'256'
齊斯弗洛姆 訊息方向:'0' - 傳入,'1' - 傳出
Z訊息錯誤狀態 訊息傳輸狀態。 如果訊息已發送/接收,則其值為“0”
Z訊息類型 正在傳輸的訊息類型
零排序 不明
ZSpotlight狀態 不明
Z星紅 未知,未使用過
Z聊天會話 不明
Z集團成員 未知,未使用過
ZLAST會話 不明
ZMEDIATEM 不明
Z訊息訊息 不明
Z家長留言 未知,未使用過
Z訊息日期 OS X Epoch Time 格式的時間戳
發送日期 以 OS X Epoch Time 格式傳送訊息的時間
ZFROMJID WhatsApp 寄件者 ID
ZMediaSectionID 包含發送媒體檔案的年份和月份
ZPHASH 未知,未使用過
ZPUSHPAME 發送 UTF-8 格式媒體檔案的聯絡人姓名
茲斯坦茲 唯一的訊息標識符
中文字 留言內容
中通吉德 收件人的 WhatsApp ID
OFFSET 偏壓

檯面外觀 'ZWAMEDIAITEM':

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
表“ZWAMEDIAITEM”的結構

字段名稱
Z_PK 記錄序號(在SQL表中)
Z_ENT 表標識符,值為“8”
Z_OPT 未知,通常包含從“1”到“3”的值。
ZCloud狀態 如果檔案已加載,則包含值「4」。
Z檔案大小 包含下載檔案的檔案長度(以位元組為單位)
ZMedia起源 未知,通常值為“0”
Z電影教育時長 媒體文件的持續時間,對於 pdf 文件,可能包含文件的頁數
Z訊息 包含序號(該數字與「Z_PK」列中指示的數字不同)
縱橫比 長寬比,未使用,通常設定為“0”
準確度 未知,通常值為“0”
緯度 寬度(以像素為單位)
中龍緯度 高度(以像素為單位)
ZMedia URL日期 OS X Epoch Time 格式的時間戳
作者姓名 作者(對於文檔,可能包含文件名稱)
Z集合名稱 沒用過
ZMediaLocalPath 設備檔案系統中的檔案名稱(包括路徑)
ZMediaURL 媒體檔案所在的 URL。 如果檔案從一個訂閱者傳輸到另一個訂閱者,則會對其進行加密,並且其副檔名將指示為傳輸檔案的副檔名 - .enc
Z縮圖本地路徑 設備檔案系統中檔案縮圖的路徑
標題 文件頭
ZV卡名 媒體檔案哈希;將檔案傳輸到群組時,它可能包含發送者標識符
ZV卡串 包含有關正在傳輸的文件類型的資訊(例如,image/jpeg);將文件傳輸到群組時,它可能包含接收者的識別符
ZXMPPT拇指路徑 設備檔案系統中檔案縮圖的路徑
ZMEDIAKEY 未知,可能包含解密加密檔案的金鑰。
元數據 傳輸訊息的元數據
抵銷 偏壓

其他有趣的資料庫表 '聊天儲存.sqlite' 它們是:

  • 'ZWAPROFILEPUSHNAME'。 將 WhatsApp ID 與聯絡人姓名相符;
  • 'ZWA個人資料圖片項目'。 將 WhatsApp ID 與聯絡人頭像相符;
  • 'Z_PRIMARYKEY'。 該表包含有關該資料庫的一般信息,例如存儲的消息總數、聊天總數等。

此外,在執行 iOS 的行動裝置上檢查 WhatsApp 時,您應該注意以下檔案:

  • 文件 'BackedUpKeyValue.sqlite'。 包含識別帳戶擁有者所需的加密金鑰和其他資料。 位於路徑沿線: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • 文件 'ContactsV2.sqlite'。 包含有關用戶聯絡人的信息,例如全名、電話號碼、聯絡狀態(文字形式)、WhatsApp ID 等。 位於路徑沿線: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • 文件 '消費者版本'。 包含已安裝的 WhatsApp 應用程式的版本號。 位於路徑沿線: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • 文件 '當前_壁紙.jpg'。 包含目前 WhatsApp 背景桌布。 位於路徑沿線: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/。 舊版的應用程式使用該文件 '壁紙',它位於路徑上: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
  • 文件 'blockedcontacts.dat'。 包含有關被封鎖的聯絡人的資訊。 位於路徑沿線: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • 文件 'pw.dat'。 包含加密的密碼。 位於路徑沿線: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
  • 文件 'net.whatsapp.WhatsApp.plist' (或文件 'group.net.whatsapp.WhatsApp.shared.plist')。 包含您的 WhatsApp 帳號個人資料的資訊。 該檔案位於以下路徑: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

檔案「group.net.whatsapp.WhatsApp.shared.plist」的內容 WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
您還需要注意以下目錄:

  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'。 包含聯絡人、群組的縮圖(副檔名為 。拇指)、聯絡人頭像、WhatsApp 帳戶擁有者頭像(文件 '照片.jpg').
  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'。 包含多媒體檔案及其縮圖
  • Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'。 包含程式運行日誌(文件 '通話記錄')和程序操作日誌的備份副本(文件 '通話.備份.日誌').
  • Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'。 包含貼紙(格式為的文件 '.webp').
  • Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'。 包含程式運行日誌。

Windows 上的 WhatsApp 工件

Windows 上的 WhatsApp 工件可以在多個地方找到。 首先,這些是包含程式的可執行檔和輔助檔案的目錄(適用於 Windows 8/10):

  • 'C:Program Files (x86)WhatsApp'
  • 'C:Users%用戶個人資料%AppDataLocalWhatsApp'
  • 'C:Users%用戶個人資料%AppDataLocalVirtualStore程式檔案(x86)WhatsApp'

在目錄中 'C:Users%用戶個人資料%AppDataLocalWhatsApp' 日誌檔案位於 'SquirrelSetup.log',其中包含有關檢查更新和安裝程式的資訊。

在目錄中 'C:Users%用戶個人資料%AppDataRoamingWhatsApp' 有幾個子目錄:

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
文件 '主程序.log' 包含 WhatsApp 程式操作的資訊。

子目錄 "資料庫" 包含一個文件 '資料庫.db',但此文件不包含有關聊天或聯絡人的任何資訊。

從取證的角度來看,最有趣的是位於目錄中的文件 '快取'。 這些基本上是名為 'F_*******' (其中*是0到9的數字)包含加密的多媒體文件和文檔,但其中也有未加密的文件。 特別感興趣的是文件 “數據_0”, “數據_1”, “數據_2”, “數據_3”,位於同一子目錄中。 文件 “數據_0”, “數據_1”, “數據_3” 包含傳輸的加密多媒體檔案和文件的外部連結。

文件“data_1”中包含的資訊範例WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
還歸檔 “數據_3” 可能包含圖形檔案。

文件 “數據_2” 包含聯絡人頭像(可以透過文件頭搜尋來恢復)。

文件中包含的頭像 “數據_2”:

WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
因此,聊天本身無法在電腦記憶體中找到,但您可以找到:

  • 多媒體檔案;
  • 透過 WhatsApp 傳輸的檔案;
  • 有關帳戶所有者的聯絡人的資訊。

MacOS 上的 WhatsApp 工件

在 MacOS 中,您可以找到與 Windows 作業系統中類似的 WhatsApp 工件類型。

程式檔案位於以下目錄:

  • 'C:ApplicationsWhatsApp.app'
  • 'C:應用程式._WhatsApp.app'
  • 'C:Users%用戶設定檔%LibraryPreferences'
  • 'C:Users%用戶個人資料%LibraryLogsWhatsApp'
  • 'C:Users%用戶個人資料%LibrarySaved應用程式狀態WhatsApp.savedState'
  • 'C:Users%用戶設定檔%LibraryApplication Scripts'
  • 'C:Users%用戶設定檔%LibraryApplication SupportCloudDocs'
  • 'C:Users%用戶個人資料%LibraryApplication SupportWhatsApp.ShipIt'
  • 'C:Users%使用者個人資料%LibraryContainerscom.rockysandstudio.app-for-whatsapp'
  • 'C:Users%用戶個人資料%庫行動文件 <文字變數> WhatsApp 帳號'
    此目錄包含子目錄,其名稱是與 WhatsApp 帳戶擁有者關聯的電話號碼。
  • 'C:Users%用戶個人資料%LibraryCachesWhatsApp.ShipIt'
    該目錄包含有關安裝程式的資訊。
  • 'C:Users%用戶個人資料%PicturesiPhoto Library.photolibraryMasters', 'C:Users%用戶個人資料%PicturesiPhoto Library.photolibraryThumbnails'
    這些目錄包含程式的服務文件,包括 WhatsApp 聯絡人的照片和縮圖。
  • 'C:Users%用戶個人資料%LibraryCachesWhatsApp'
    此目錄包含多個用於資料快取的 SQLite 資料庫。
  • 'C:Users%用戶個人資料%LibraryApplication SupportWhatsApp'
    該目錄包含幾個子目錄:

    WhatsApp 在您的手掌中:在哪裡以及如何找到法醫文物?
    在目錄中 'C:Users%用戶個人資料%LibraryApplication SupportWhatsAppCache' 有文件 “數據_0”, “數據_1”, “數據_2”, “數據_3” 以及帶有名稱的文件 'F_*******' (其中 * 是 0 到 9 之間的數字)。 有關這些文件包含哪些信息的信息,請參閱 Windows 上的 WhatsApp Artifacts。

    在目錄中 'C:Users%用戶個人資料%LibraryApplication SupportWhatsAppIndexedDB' 可能包含多媒體檔案(檔案沒有副檔名)。

    文件 '主程序.log' 包含 WhatsApp 程式操作的資訊。

來源

  1. Android 智慧型手機上 WhatsApp Messenger 的取證分析,作者:Cosimo Anglano,2014 年。
  2. Whatsapp 取證:Eksplorasi 系統和基礎資料應用程式 Android 和 iOS 作者:Ahmad Pratama,2014 年。

在本系列的以下文章中:

加密 WhatsApp 資料庫的解密這篇文章將提供有關如何產生 WhatsApp 加密金鑰的資訊以及展示如何解密該應用程式的加密資料庫的實際範例。
從雲端儲存提取 WhatsApp 數據在一篇文章中,我們將告訴您 WhatsApp 資料儲存在雲端中,並描述從雲端儲存中檢索這些資料的方法。
WhatsApp 資料擷取:實例這篇文章將逐步介紹哪些程式以及如何從各種裝置中提取 WhatsApp 資料。

來源: www.habr.com

添加評論