WhatsApp 在您的手掌中：在哪裡以及如何找到法醫文物？

想知道不同作業系統中存在哪些類型的 WhatsApp 取證痕跡，以及它們的具體位置嗎？那麼您來對地方了。本文由 Group-IB 電腦鑑識實驗室的專家撰寫。 伊戈爾·米哈伊洛夫 開啟了一系列關於對 WhatsApp 進行取證研究以及透過分析該設備可以獲得哪些資訊的出版物。

需要注意的是，不同的作業系統儲存不同類型的 WhatsApp 數據，如果研究人員能夠從一台裝置中提取某些類型的 WhatsApp 數據，並不一定意味著能夠從另一台裝置中提取相同類型的數據。例如，如果運行作業系統的系統單元被移除。 Windows那麼，WhatsApp聊天記錄很可能不會出現在其硬碟上（iOS裝置備份除外，這些備份可能也位於同一硬碟上）。扣押筆記型電腦和行動裝置本身就充滿挑戰。我們來詳細討論一下。

WhatsApp 文物 Android-裝置

為了從運行作業系統的裝置中提取 WhatsApp 痕跡 Android研究人員必須擁有超級使用者權限（'根') 或能夠以其他方式提取裝置記憶體或檔案系統的實體轉儲（例如，透過利用特定行動裝置的軟體漏洞）。

應用程式檔案位於手機記憶體中儲存使用者資料的區域。通常，該區域稱為 '用戶資料'。子目錄和程式檔案位於以下路徑： '/data/data/com.whatsapp/'.

作業系統中包含 WhatsApp 取證痕跡的主要文件 Android 資料庫 'wa.db' и 'msgstore.db'.

在資料庫中 'wa.db' 包含 WhatsApp 用戶聯絡人的完整列表，包括他們的電話號碼、顯示名稱、時間戳記以及他們在註冊 WhatsApp 時提供的任何其他資訊。該文件 'wa.db' 位於路徑沿線： '/data/data/com.whatsapp/databases/' 並具有以下結構：

資料庫中最有趣的表 'wa.db' 對研究人員來說：

• 'wa_contacts'
  此表包含聯絡人的資訊：WhatsApp 聯絡人 ID、狀態資訊、使用者顯示名稱、時間戳記等。

  表格外觀：

  
  表結構

  欄位名稱	值
  _ID	記錄序數（在 SQL 表中）
  吉德	WhatsApp 聯絡人 ID，格式為 <電話號碼>@s.whatsapp.net
  是 whatsapp 用戶	如果聯絡人對應於實際的 WhatsApp 用戶，則包含“1”，否則包含“0”
  狀態	包含聯絡人狀態中顯示的文本
  狀態時間戳	包含 Unix 紀元時間（毫秒）格式的時間戳
  數	與聯絡人關聯的電話號碼
  raw_contact_id	聯繫序號
  DISPLAY_NAME	聯絡人顯示名稱
  手機類型	手機類型
  phone_label	與聯絡號碼關聯的標籤
  未見訊息計數	聯絡人發送但收件人未閱讀的訊息數量
  photo_ts	包含 Unix 紀元時間格式的時間戳
  thumb_ts	包含 Unix 紀元時間格式的時間戳
  照片ID時間戳	包含 Unix 紀元時間（毫秒）格式的時間戳
  給定的名稱	欄位值與每個聯絡人的“display_name”相符
  wa_名稱	WhatsApp 聯絡人姓名（顯示聯絡人個人資料中指定的姓名）
  排序名稱	排序操作中使用的聯絡人姓名
  暱稱	WhatsApp 聯絡人暱稱（顯示聯絡人個人資料中指定的暱稱）
  公司	本公司（顯示聯絡人個人資料中指定的公司）
  標題	地址（女士/先生；顯示聯絡人資料中設定的地址）
  抵消	偏壓

• 'sqlite_sequence'
  此表包含聯絡人數量的資訊；
• 'android_metadata'
  該表包含有關 WhatsApp 語言本地化的資訊。

在資料庫中 'msgstore.db' 包含傳輸的訊息的信息，例如聯絡電話、訊息文字、訊息狀態、時間戳記、訊息中包含的傳輸文件的詳細資訊等。文件 'msgstore.db' 位於路徑沿線： '/data/data/com.whatsapp/databases/' 並具有以下結構：

文件中最有趣的表格 'msgstore.db' 對研究人員來說：

• 'sqlite_sequence'
  該表包含有關此資料庫的一般信息，例如存儲的消息總數、聊天總數等。

  表格外觀：

  

• '訊息_fts_內容'
  包含已傳輸訊息的文字。

  表格外觀：

  

• “訊息”
  此表包含聯絡電話、訊息文字、訊息狀態、時間戳記、訊息中包含的傳輸檔案的詳細資訊等資訊。

  表格外觀：

  
  表結構

  欄位名稱	值
  _ID	記錄序數（在 SQL 表中）
  key_remote_jid	通訊夥伴的 WhatsApp ID
  來自我的密鑰	訊息方向：'0' - 傳入，'1' - 傳出
  密鑰 ID	唯一訊息標識符
  狀態	訊息狀態：'0' – 已送達，'4' – 等待中 服務器'5' – 已到達目的地，'6' – 控制訊息，'13' – 收件人已開啟（已讀）訊息
  需要推播	如果這是廣播訊息，則值為“2”，否則為“0”
  數據	訊息文字（當‘media_wa_type’參數為‘0’時）
  時間戳	包含 Unix 紀元時間（毫秒）格式的時間戳，該值取自設備時鐘
  媒體網址	包含正在傳輸的文件的 URL（當‘media_wa_type’參數為‘1’、‘2’、‘3’時）
  media_mime_type	傳輸檔案的 MIME 類型（當‘media_wa_type’參數為‘1’、‘2’、‘3’時）
  media_wa_type	訊息類型：'0' - 文本，'1' - 圖形文件，'2' - 音頻文件，'3' - 視頻文件，'4' - 聯繫卡，'5' - 地理數據
  媒體大小	傳輸檔案的大小（當‘media_wa_type’參數為‘1’、‘2’、‘3’時）
  媒體名稱	正在傳輸的檔案的名稱（當「media_wa_type」參數為「1」、「2」、「3」時）
  媒體標題	包含單字‘audio’、‘video’，對應參數‘media_wa_type’的值（當參數‘media_wa_type’為‘1’、‘3’時）
  media_hash	傳輸檔案的 base64 編碼雜湊值，使用 HAS-256 演算法計算（當「media_wa_type」參數為「1」、「2」、「3」時）
  媒體持續時間	媒體檔案的持續時間（以秒為單位）（當「media_wa_type」參數為「1」、「2」、「3」時）
  起源	如果這是廣播訊息，則值為“2”，否則為“0”
  緯度	地理資料：緯度（當「media_wa_type」參數為「5」時）
  經度	地理資料：經度（當「media_wa_type」參數為「5」時）
  縮圖	服務資訊
  遠端資源	寄件者 ID（僅適用於群組聊天）
  收到的時間戳	接收時間，包含 Unix 紀元時間（毫秒）格式的時間戳，值取自裝置時脈（當參數「key_from_me」為「0」、「-1」或其他值）
  傳送時間戳	未使用，通常值為“-1”
  收據伺服器時間戳	中央接收時間 服務器包含一個 Unix 時間戳記（毫秒），格式為 Unix Epoch Time，該值取自裝置時脈（當「key_from_me」參數為「1」、「-1」或其他值）。
  收據設備時間戳	另一個訂閱者收到訊息的時間，包含 Unix 紀元時間（毫秒）格式的時間戳，該值取自裝置時鐘（當「key_from_me」參數具有「1」、「-1」或其他值時）
  讀取設備時間戳	訊息開啟（閱讀）的時間，包含 Unix 紀元時間（毫秒）格式的時間戳，該值取自裝置時鐘
  播放設備時間戳	訊息播放時間，包含 Unix 紀元時間（毫秒）格式的時間戳，該值取自裝置時鐘
  原始數據	傳輸檔案的縮圖（當「media_wa_type」參數為「1」或「3」時）
  收件人數量	接收者數量（針對廣播訊息）
  參與者雜湊	用於傳輸帶有地理資料的訊息
  主演	沒用過
  quoted_row_id	未知，通常包含值“0”
  提到的_jids	沒用過
  多播ID	沒用過
  抵消	偏壓

  此欄位清單並非詳盡無遺。某些欄位可能存在，也可能不存在，這取決於 WhatsApp 的不同版本。其他欄位可能存在 'media_enc_hash', '編輯版本', '付款交易 ID' 等等

• '訊息縮圖'
  此表包含有關已傳輸映像和時間戳記的資訊。 「時間戳記」欄位以 Unix 紀元時間（毫秒）格式顯示時間。
• '聊天列表'
  該表包含有關聊天的資訊。

  表格外觀：

  

此外，在運行的行動裝置上研究 WhatsApp 時也需要注意這一點。 Android 請留意以下文件：

• 文件 'msgstore.db.cryptXX' （其中 XX 是 0 到 12 之間的一位或兩位數字，例如 msgstore.db.crypt12）。包含 WhatsApp 訊息的加密備份（備份文件 消息存儲庫). 文件（或多個文件） 'msgstore.db.cryptXX' 位於路徑沿線： '/資料/媒體/0/WhatsApp/資料庫/' （虛擬 SD 卡）， '/mnt/sdcard/WhatsApp/資料庫/ （物理 SD 卡）」。
• 文件 '鑰匙'. 包含加密金鑰。位於： '/data/data/com.whatsapp/files/'. 用於解密加密的 WhatsApp 備份。
• 文件 'com.whatsapp_preferences.xml'包含 WhatsApp 帳號個人資料的相關資訊。該文件位於： '/data/data/com.whatsapp/shared_prefs/'.

  文件內容片段

  <?xml version="1.0" encoding="ISO-8859-1"?>
  …
  <string name="ph">9123456789</string> (номер телефона, ассоциированный с аккаунтом WhatsApp)
  …
  <string name="version">2.17.395</string> (версия WhatsApp)
  …
  <string name="my_current_status">Hey there! I am using WhatsApp.</string> (сообщение, отображаемое в статусе аккаунта)
  …
  <string name="push_name">Alex</string> (имя владельца аккаунта)
  … 

• 文件 '註冊.RegisterPhone.xml'包含與 WhatsApp 帳號關聯的電話號碼的資訊。該文件位於： '/data/data/com.whatsapp/shared_prefs/'.

  文件內容

  <?xml version="1.0" encoding="ISO-8859-1"?>
  <map>
  <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string>
  <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/>
  <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string>
  <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/>
  <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string>
  <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string>
  </map>

• 文件 'axolotl.db'包含加密金鑰和其他用於識別帳戶所有者的資料。位於： '/data/data/com.whatsapp/databases/'.
• 文件 '聊天設定.db'. 包含有關應用程式設定的資訊。
• 文件 'wa.db'包含聯絡方式。非常有趣（從法醫角度而言）且資訊豐富的資料庫。其中可以找到已刪除聯絡人的詳細資訊。

您還應該注意以下目錄：

• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 圖片/'. 包含已傳輸的圖形檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 語音筆記/'.包含.OPUS 格式檔案中的語音訊息。
• Каталог '/data/data/com.whatsapp/cache/個人資料圖片/'. 包含圖形檔案 – 聯絡人影像。
• Каталог '/data/data/com.whatsapp/files/Avatars/'. 包含圖形檔案 - 觸點影像的縮圖。這些檔案的副檔名為“.j”，但實際上是 JPEG (JPG) 格式的圖形檔案。
• Каталог '/data/data/com.whatsapp/files/Avatars/'. 包含圖形檔案 - 帳戶擁有者設定為頭像的圖像和圖像縮圖。
• Каталог '/data/data/com.whatsapp/files/Logs/'. 包含程式的操作日誌（檔案「whatsapp.log」）和程式的操作日誌的備份副本（檔案名稱格式為 whatsapp-yyyy-mm-dd.1.log.gz）。

WhatsApp 日誌檔：

雜誌碎片2017-01-10 09：37：09.757 LL_I D [524：WhatsApp Worker #1] 未接來電通知/初始化計數：0 時間戳：0
2017-01-10 09：37：09.758 LL_I D [524：WhatsApp Worker #1] 未接來電通知/更新取消 true
2017-01-10 09：37：09.768 LL_I D [1：main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] 密碼檔案遺失或無法讀取
2017-01-10 09：37：09.782 LL_I D [1：main] 統計文字訊息：已發送 59 條，已接收 82 則 / 媒體訊息：已發送 1 個（0 位元組），已接收 0 條（9850158 位元組已發送 81 毫秒：延遲 19522 毫秒已發送訊息（ 116075 字節，已接收 211729 位元組 / Voip 呼叫：已撥出 1 通電話，已接聽 0 個電話，已發送 2492 字節，已接收 1530 字節 / Google Drive：已發送 0 字節，已接收 0 字節 1524 漫遊：已發送 1826 字節已接收 118567 字節總資料：已傳送 10063417 字節，已接收 XNUMX 字節
2017-01-10 09：37：09.785 LL_I D [1：main] 媒體狀態管理器/刷新媒體狀態/可寫媒體
2017-01-10 09：37：09.806 LL_I D [1：main] app-init/初始化/計時器/停止：24
2017-01-10 09：37：09.811 LL_I D [1：main] msgstore/checkhealth
2017-01-10 09：37：09.817 LL_I D [1：main] msgstore/checkhealth/journal/delete false
2017-01-10 09：37：09.818 LL_I D [1：main] msgstore/checkhealth/back/delete false
2017-01-10 09：37：09.818 LL_I D [1：main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09：37：09.819 LL_I D [1：main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09：37：09.820 LL_I D [1：main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09：37：09.820 LL_I D [1：main] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09：37：09.821 LL_I D [1：main] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09：37：09.821 LL_I D [1：main] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09：37：09.822 LL_I D [1：main] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09：37：09.823 LL_I D [1：main] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09：37：09.823 LL_I D [1：main] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09：37：09.824 LL_I D [1：main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09：37：09.825 LL_I D [1：main] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09：37：09.825 LL_I D [1：main] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09：37：09.826 LL_I D [1：main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09：37：09.826 LL_I D [1：main] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09：37：09.827 LL_I D [1：main] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09：37：09.838 LL_I D [1：main] msgstore/checkdb/版本 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09：37：09.846 LL_I D [1：main] msgstore/canquery/count 1
2017-01-10 09：37：09.847 LL_I D [1：main] msgstore/canquery/timer/stop：8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | 耗時：8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage 可用：1,345,622,016 總計：5,687,922,688

• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 音訊/'. 包含接收到的音訊檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/'. 包含已傳送的音訊檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 圖片/'. 包含接收到的圖形檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/'. 包含已提交的圖形檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 影片/'.包含接收到的視訊檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 影片/已發送/'. 包含已傳送的視訊檔案。
• Каталог '/data/media/0/WhatsApp/Media/WhatsApp 個人資料照片/'. 包含與 WhatsApp 帳戶擁有者相關的圖形檔案。
• 為了節省記憶體空間 Android- 部分 WhatsApp 資料可能儲存在您智慧型手機的 SD 卡上。 SD 卡的根目錄包含一個名為「WhatsApp」的目錄。 ‘Whatsapp’，其中可以找到該程式的以下工件：

  

• Каталог '。分享' ('/mnt/sdcard/WhatsApp/.Share/'）。包含已與其他 WhatsApp 使用者共用的檔案副本。
• Каталог '。垃圾' (“/mnt/sdcard/WhatsApp/.trash/”).包含已刪除的檔案。
• Каталог "資料庫" ('/mnt/sdcard/WhatsApp/資料庫/'）。包含加密備份。如果檔案存在，則可以解密。 '鑰匙'，從被分析設備的記憶體中提取。

  位於子目錄中的文件 "資料庫":

  

• Каталог '一半' ('/mnt/sdcard/WhatsApp/Media/'). 包含子目錄 '壁紙', WhatsApp 音訊, “WhatsApp 圖片”, “WhatsApp 個人資料照片”, WhatsApp 影片, WhatsApp 語音筆記，其中包含接收和傳輸的多媒體檔案（圖形檔案、視訊檔案、語音訊息、與 WhatsApp 帳戶擁有者的個人資料相關的照片、桌布）。
• Каталог “個人資料圖片” ('/mnt/sdcard/WhatsApp/個人資料圖片/'）。包含與 WhatsApp 帳號擁有者個人資料相關的圖形檔案。
• 有時 SD 卡上可能會有一個目錄 “文件” ('/mnt/sdcard/WhatsApp/Files/').此目錄包含儲存程式設定和使用者偏好設定的檔案。

部分型號行​​動裝置的資料儲存特點

在某些型號的運作作業系統的行動裝置中 Android WhatsApp 的資料可能儲存在不同的位置。這是由於行動裝置的系統軟體更改了應用程式的資料儲存空間所致。例如，小米行動裝置有一個名為「第二空間」的功能。啟用此功能後，資料位置會變更。例如，如果一台運行特定作業系統的普通行動​​裝置… Android 使用者資料儲存在目錄中 '/資料/使用者/0/' （這是對通常 '/數據/數據/'），那麼在第二個工作區中，應用程式資料儲存在目錄中 '/資料/使用者/10/'. 即使用檔案位置的範例 'wa.db':

• 在運行作業系統的普通智慧型手機上 Android: /data/user/0/com.whatsapp/databases/wa.db' （相當於 '/data/data/com.whatsapp/databases/wa.db');
• 在小米智慧型手機的第二個工作區： '/data/user/10/com.whatsapp/databases/wa.db'.

iOS 裝置上的 WhatsApp 偽影

不像 Android 在 iOS 系統中，WhatsApp 應用程式資料會傳輸到 iTunes 備份。因此，提取此應用程式的資料無需提取檔案系統或建立被檢裝置的實體記憶體轉儲。大部分相關資訊都包含在資料庫中。 '聊天儲存.sqlite'，位於以下路徑： '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' （在某些程式中此路徑顯示為 'AppDomainGroup-group.net.whatsapp.WhatsApp.shared').

結構 '聊天儲存.sqlite':

「ChatStorage.sqlite」資料庫中資訊量最大的表是 “ZWAMESSAGE” и “ZWAMEDIAITEM”.

表格外觀 “ZWAMESSAGE”:

'ZWAMESSAGE' 表的結構

表格外觀 “ZWAMEDIAITEM”:

表“ZWAMEDIAITEM”的結構

其他有趣的資料庫表 '聊天儲存.sqlite' 它們是：

• 'ZWAPROFILEPUSHNAME'. 將 WhatsApp ID 與聯絡人姓名相符；
• 'ZWAPROFILEPICTUREITEM'. 將 WhatsApp ID 與聯絡人頭像配對；
• 'Z_PRIMARYKEY'。該表包含有關此資料庫的一般信息，例如存儲的消息總數，聊天總數等。

此外，在執行 iOS 的行動裝置上檢查 WhatsApp 時，您應該注意以下檔案：

• 文件 '備份鍵值.sqlite'包含加密金鑰和其他用於識別帳戶所有者的資料。位於： /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• 文件 '聯絡人V2.sqlite'。包含用戶聯絡人的信息，例如姓名、電話號碼、聯絡狀態（文字形式）、WhatsApp ID 等。位於以下路徑： /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• 文件 “消費者版本”包含已安裝 WhatsApp 應用程式的版本號。位於： /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
• 文件 '當前桌布.jpg'包含 WhatsApp 程式的目前背景桌布。它位於： /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. 舊版的應用程式使用文件 '壁紙'，位於以下路徑： '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'.
• 文件 “blockedcontacts.dat”. 包含已封鎖聯絡人的資訊。位於： /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
• 文件 密碼.dat。包含加密密碼。位於： '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/'.
• 文件 'net.whatsapp.WhatsApp.plist' （或文件 'group.net.whatsapp.WhatsApp.shared.plist'包含 WhatsApp 帳號個人資料的相關資訊。該文件位於： '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/'.

檔案「group.net.whatsapp.WhatsApp.shared.plist」的內容
您還應該注意以下目錄：

• Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/'. 包含聯絡人、群組的縮圖（副檔名為 。大拇指)、聯絡人頭像、WhatsApp 帳戶擁有者頭像（文件 '照片.jpg').
• Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Message/Media/'. 包含多媒體檔案及其縮圖
• Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/'. 包含程式的工作日誌（文件 ‘calls.log’) 以及程式運行日誌的備份（文件 “呼叫備份日誌”).
• Каталог '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/'. 包含貼紙（文件格式 '.webp').
• Каталог '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/'. 包含程式運行日誌。

WhatsApp 文物 Windows

WhatsApp 文物 Windows 可以在多個位置找到。首先，這些是包含程式可執行檔和輔助檔案的目錄（用於）。 Windows 8/10):

• “C:\Program Files (x86)WhatsApp”
• 'C:\Users\%\User profile%\AppData\Local\WhatsApp'
• 'C:\Users\%\User profile%\AppData\Local\VirtualStore\Program Files (x86)\WhatsApp'

在目錄中 'C:\Users\%\User profile%\AppData\Local\WhatsApp' 日誌檔案位於 'SquirrelSetup.log'，其中包含有關檢查更新和安裝程式的資訊。

在目錄中 'C:\Users\%使用者資料\%AppData\Roaming\WhatsApp' 有幾個子目錄：

文件 '主程序.log' 包含有關 WhatsApp 程式運行的資訊。

子目錄 "資料庫" 包含文件 '資料庫.db'，但該文件不包含任何有關聊天或聯絡人的信息。

從取證角度來看，最有趣的文件是位於目錄中的文件 '快取'. 這些主要是帶有名稱的文件 「操」 （其中 * 為 0 到 9 之間的數字），包含加密的多媒體文件和文檔，但其中也包含未加密的文件。特別值得關注的是以下文件 ‘數據_0’, ‘數據_1’, ‘數據_2’, ‘數據_3’，位於同一子目錄中。文件 ‘數據_0’, ‘數據_1’, ‘數據_3’ 包含傳輸的加密多媒體檔案和文件的外部連結。

文件“data_1”中包含的資訊範例
還文件 ‘數據_3’ 可能包含圖形檔案。

文件 ‘數據_2’ 包含聯絡人頭像（可以透過搜尋文件標題恢復）。

文件中包含的頭像 ‘數據_2’:

因此，您無法在電腦記憶體中找到聊天內容本身，但可以找到：

• 多媒體檔案；
• 透過 WhatsApp 傳輸的檔案；
• 有關帳戶所有者的聯絡人的資訊。

MacOS 上的 WhatsApp Artifacts

在 macOS 中，您可以找到與作業系統中類似的 WhatsApp 痕跡類型。 Windows.

程式檔案位於以下目錄：

• “C:\Applications\WhatsApp.app”
• “C:\應用程式\WhatsApp.app”
• 'C:\Users\%User profile\%LibraryPreferences'
• 'C:\Users\%用戶資料\%Library\Logs\WhatsApp'
• 'C:\Users\%\User profile\%\Library\Saved\Application State\WhatsApp.savedState'
• 'C:\Users\%User profile\%Library\Application Scripts'
• 'C:\Users\%\User profile\%\Library\Application\Support\CloudDocs'
• 'C:\Users\%\User profile\%\Library\Application Support\WhatsApp.ShipIt'
• 'C:\Users\%使用者資料\%LibraryContainers\com.rockysandstudio.app-for-whatsapp'
• 'C:Users%用戶資料%圖書館行動文件<文字變數>WhatsApp 帳號'
  此目錄包含子目錄，其名稱代表與 WhatsApp 帳戶擁有者關聯的電話號碼。
• 'C:\Users\%使用者資料\%LibraryCaches\WhatsApp.ShipIt'
  該目錄包含有關程式安裝的資訊。
• 'C:\Users\%User profile\%Picturesi\Photo Library.photolibraryMasters', 'C:\Users\%User profile\%Picturesi\Photo Library.photolibraryThumbnails'
  這些目錄包含程式服務文件，包括 WhatsApp 聯絡人的照片和縮圖。
• 'C:\Users\%使用者資料\%LibraryCaches\WhatsApp'
  該目錄包含幾個用於資料快取的 SQLite 資料庫。
• 'C:\Users\%\User profile\%\Library\Application\Support\WhatsApp'
  該目錄包含幾個子目錄：

  
  在目錄中 'C:\Users\%\User profile\%\Library\Application Support\WhatsAppCache' 文件位於 ‘數據_0’, ‘數據_1’, ‘數據_2’, ‘數據_3’ 以及帶有名稱的文件 「操」 （其中 * 為 0 到 9 之間的數字）。有關這些文件包含哪些信息的詳細信息，請參閱“WhatsApp 工件”部分。 Windows“。

  在目錄中 'C:\Users\%\User profile\%\Library\Application Support\WhatsAppIndexedDB' 可能包含多媒體檔案（檔案沒有副檔名）。

  文件 '主程序.log' 包含有關 WhatsApp 程式運行的資訊。

來源

1. 對 WhatsApp Messenger 進行法證分析 Android 智慧型手機，作者：Cosimo Anglano，2014 年。
2. Whatsapp Forensics：Eksplorasi 系統和基礎資料應用程式 Android 和 iOS，作者：Ahmad Pratama，2014 年。

在本系列的以下文章中：

解密加密的 WhatsApp 資料庫這篇文章將提供有關如何產生 WhatsApp 加密金鑰的信息，並提供實際範例來展示如何解密此應用程式的加密資料庫。
從雲端儲存提取 WhatsApp 數據在本文中，我們將告訴您 WhatsApp 在雲端中儲存了哪些數據，並描述從雲端儲存中提取這些數據的方法。
WhatsApp 資料擷取：實際範例本文將逐步描述哪些程式以及如何從各種裝置中提取 WhatsApp 資料。

來源： www.habr.com