Geekly articles weekly

WhatsApp في راحة يدك: أين وكيف يمكنك اكتشاف التحف الجنائية؟



إذا كنت تريد معرفة أنواع القطع الأثرية في WhatsApp الموجودة في أنظمة التشغيل المختلفة وأين يمكن اكتشافها بالضبط ، فأنت هنا. مع هذه المقالة ، يفتح إيغور ميخائيلوف ، وهو متخصص في Group-IB Laboratory for Computer Forensics ، سلسلة من المنشورات حول التحقيق الجنائي WhatsApp وما هي المعلومات التي يمكن الحصول عليها عند تحليل الجهاز.

لاحظ فقط أنه يتم تخزين أنواع مختلفة من قطع أثرية WhatsApp في أنظمة تشغيل مختلفة ، وإذا كان بإمكان الباحث استخراج أنواع معينة من بيانات WhatsApp من جهاز واحد ، فإن هذا لا يعني أنه يمكن استخراج هذه الأنواع من البيانات من جهاز آخر. على سبيل المثال ، إذا تم الاستيلاء على وحدة نظام تقوم بتشغيل Windows ، فمن المحتمل عدم العثور على محادثات WhatsApp على أقراصها (باستثناء النسخ الاحتياطية من أجهزة iOS التي يمكن العثور عليها على نفس محركات الأقراص). عند إزالة أجهزة الكمبيوتر المحمولة والأجهزة المحمولة سيكون لها خصائصها الخاصة. دعنا نتحدث عن هذا بمزيد من التفصيل.

آثار WhatsApp على جهاز Android


لاستخراج عناصر WhatsApp من جهاز يعمل بنظام أندرويد ، يجب أن يتمتع الباحث بامتيازات المستخدم الخارق ( 'الجذر' ) على الجهاز قيد الدراسة أو أن يكون قادرًا على استخراج ملف التفريغ المادي لذاكرة الجهاز أو نظام الملفات الخاص به (على سبيل المثال ، باستخدام الثغرات البرمجية لجهاز محمول معين الأجهزة).

توجد ملفات التطبيق في ذاكرة الهاتف في القسم حيث يتم حفظ بيانات المستخدم. عادةً ما يسمى هذا القسم "بيانات المستخدم" . توجد الدلائل الفرعية وملفات البرنامج على طول المسار: '/data/data/com.whatsapp/' .

بديل الصورة

الملفات الرئيسية التي تحتوي على التحاليل الجنائية WhatsApp في نظام التشغيل Android هي قواعد البيانات "wa.db" و "msgstore.db" .

تحتوي قاعدة البيانات "wa.db" على قائمة كاملة بجهات اتصال مستخدمي WhatsApp ، بما في ذلك رقم الهاتف واسم العرض والطوابع الزمنية وأي معلومات أخرى محددة أثناء التسجيل باستخدام WhatsApp. يوجد الملف "wa.db" على طول المسار: '/data/data/com.whatsapp/databases/' ويحتوي على البنية التالية:

بديل الصورة

الجداول الأكثر إثارة للاهتمام في قاعدة البيانات "wa.db" للباحث هي:

  • "wa_contacts"
    يحتوي هذا الجدول على معلومات جهة الاتصال: معرف جهة الاتصال في WhatsApp ، ومعلومات الحالة ، واسم المستخدم المعروض ، والطوابع الزمنية ، إلخ.

    مظهر الجدول:

    بديل الصورة

    هيكل الجدول
    اسم الحقلقيمة
    _IDسجل الرقم التسلسلي (في جدول SQL)
    المعهد الدبلوماسيمعرف جهة اتصال WhatsApp ، مكتوب بالتنسيق <رقم الهاتف> @ s.whatsapp.net
    is_whatsapp_userيحتوي على "1" إذا كان مستخدم WhatsApp الفعلي يطابق جهة الاتصال ، "0" على خلاف ذلك
    وضعيحتوي على النص المعروض في حالة الاتصال
    status_timestampيحتوي على طابع زمني بتنسيق Unix Epoch Time (ms)
    عددرقم الهاتف المرتبط بجهة الاتصال
    raw_contact_idالاتصال الرقم التسلسلي
    DISPLAY_NAMEاسم عرض الاتصال
    PHONE_TYPEنوع الهاتف
    phone_labelالتسمية المرتبطة برقم الاتصال
    unseen_msg_countعدد الرسائل التي تم إرسالها بواسطة جهة الاتصال ولكن لم يقرأها المستلم
    photo_tsيحتوي على طابع زمني بتنسيق Unix Epoch Time
    thumb_tsيحتوي على طابع زمني بتنسيق Unix Epoch Time
    photo_id_timestampيحتوي على طابع زمني بتنسيق Unix Epoch Time (ms)
    GIVEN_NAMEتطابق قيمة الحقل "اسم العرض" لكل جهة اتصال
    wa_nameاسم جهة اتصال WhatsApp (يعرض الاسم المحدد في ملف تعريف جهة الاتصال)
    sort_nameاسم جهة الاتصال المستخدمة في عمليات الفرز
    كنيةالاسم المستعار لجهة اتصال WhatsApp (يعرض الاسم المستعار المحدد في ملف تعريف جهة الاتصال)
    شركةالشركة (يتم عرض الشركة المشار إليها في ملف تعريف جهة الاتصال)
    لقبنداء (عشيقة / رجل نبيل ؛ يتم عرض العنوان الذي تم تكوينه في ملف تعريف جهة الاتصال)
    عوضالإزاحة
  • "sqlite_sequence"
    يحتوي هذا الجدول على معلومات حول عدد جهات الاتصال ؛
  • "android_metadata"
    يحتوي هذا الجدول على معلومات توطين لغة WhatsApp.

تحتوي قاعدة البيانات "msgstore.db" على معلومات حول الرسائل المرسلة ، مثل رقم جهة الاتصال ، نص الرسالة ، حالة الرسالة ، الطوابع الزمنية ، معلومات حول الملفات المنقولة المضمنة في الرسائل ، إلخ. يوجد الملف 'msgstore.db' على طول المسار: '/data/data/com.whatsapp/databases/' ويحتوي على البنية التالية:

بديل الصورة

الجداول الأكثر إثارة للاهتمام في ملف 'msgstore.db' للباحث هي:

  • "sqlite_sequence"
    يحتوي هذا الجدول على معلومات عامة حول قاعدة البيانات هذه ، على سبيل المثال ، إجمالي عدد الرسائل المخزنة ، إجمالي عدد الدردشات ، إلخ.

    مظهر الجدول:

    بديل الصورة
  • "message_fts_content"
    يحتوي على نص الرسائل المرسلة.

    مظهر الجدول:

    بديل الصورة
  • 'الرسائل'
    يحتوي هذا الجدول على معلومات مثل رقم جهة الاتصال ونص الرسالة وحالة الرسالة وطوابع التوقيت ومعلومات حول الملفات المنقولة المدرجة في الرسائل.

    مظهر الجدول:

    بديل الصورة

    هيكل الجدول
    اسم الحقلقيمة
    _IDسجل الرقم التسلسلي (في جدول SQL)
    key_remote_jidمعرف شريك اتصال WhatsApp
    key_from_meاتجاه الرسالة: '0' - واردة ، '1' - صادرة
    KEY_IDمعرف فريد للرسالة
    وضعحالة الرسالة: '0' - تم التسليم ، '4' - في انتظار على الخادم ، '5' - تم استلامه في الوجهة ، '6' - رسالة تحكم ، '13' - رسالة تم فتحها بواسطة المستلم (اقرأ)
    need_pushلها القيمة "2" إذا كانت رسالة بث ، وإلا فإنها تحتوي على "0"
    معطياتنص الرسالة (عندما تكون المعلمة 'media_wa_type' هي '0')
    الطابع الزمنييحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم الحصول على القيمة من ساعة الجهاز
    MEDIA_URLيحتوي على عنوان URL للملف المنقول (عندما تكون المعلمة 'media_wa_type' هي '1' ، '2' ، '3')
    media_mime_typeنوع MIME للملف المنقول (عندما تساوي المعلمة 'media_wa_type' '1' ، '2' ، '3')
    media_wa_typeنوع الرسالة: "0" - نص ، "1" - ملف صورة ، "2" - ملف صوت ، "3" - ملف فيديو ، "4" - بطاقة اتصال ، "5" - بيانات جغرافية
    media_sizeحجم نقل الملف (عندما تكون المعلمة 'media_wa_type' هي '1' ، '2' ، '3')
    MEDIA_NAMEاسم الملف المنقول (عندما تكون المعلمة 'media_wa_type' هي '1' ، '2' ، '3')
    media_captionيحتوي على الكلمات 'الصوت' ، 'الفيديو' للقيم المقابلة للمعلمة 'media_wa_type' (عندما تكون المعلمة 'media_wa_type' هي '1' ، '3')
    media_hashbase64 التجزئة المشفرة للملف المرسل ، محسوبة وفقًا لخوارزمية HAS-256 (عندما تكون المعلمة 'media_wa_type' هي '1' ، '2' ، '3')
    media_durationالمدة بالثواني لملف الوسائط (عندما تكون المعلمة 'media_wa_type' هي '1' ، '2' ، '3')
    الأصللها القيمة "2" إذا كانت رسالة بث ، وإلا فإنها تحتوي على "0"
    خط العرضالبيانات الجغرافية: خط العرض (عندما تكون المعلمة 'media_wa_type' هي '5')
    خط الطولالبيانات الجغرافية: خط الطول (عندما تكون المعلمة 'media_wa_type' هي '5')
    thumb_imageمعلومات الخدمة
    remote_recourceمعرف المرسل (دردشة جماعية فقط)
    received_timestampوقت الاستلام ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم أخذ القيمة من ساعة الجهاز (عندما تكون المعلمة 'key_from_me' لها '0' أو '-1' أو قيمة أخرى)
    send_timestampغير مستخدم ، عادةً ما تكون له قيمة "-1"
    receipt_server_timestampالوقت المستلم من قبل الخادم المركزي ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم الحصول على القيمة من ساعة الجهاز (عندما تكون المعلمة 'key_from_me' لها '1' ، '-1' أو قيمة أخرى
    receipt_device_timestampوقت استلام الرسالة من قبل مشترك آخر ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم أخذ القيمة من ساعة الجهاز (عندما تكون المعلمة 'key_from_me' لها '1' أو '-1' أو قيمة أخرى
    read_device_timestampوقت فتح (قراءة) الرسالة ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم الحصول على القيمة من ساعة الجهاز
    played_device_timestampوقت تشغيل الرسالة ، يحتوي على طابع زمني بتنسيق Unix Epoch Time (ms) ، يتم الحصول على القيمة من ساعة الجهاز
    raw_dataصورة مصغرة للملف المرسل (عندما تكون المعلمة 'media_wa_type' تساوي '1' أو '3')
    RECIPIENT_COUNTعدد المستلمين (لرسائل البث)
    participant_hashتستخدم عند إرسال الرسائل مع البيانات الجغرافية
    بطولتهغير مستخدم
    quoted_row_idغير معروف ، يحتوي عادةً على القيمة "0"
    mentioned_jidsغير مستخدم
    multicast_idغير مستخدم
    عوضالإزاحة

    قائمة الحقول هذه ليست شاملة. بالنسبة للإصدارات المختلفة من WhatsApp ، قد تكون أو لا تكون بعض الحقول موجودة. بالإضافة إلى ذلك ، قد تكون الحقول "media_enc_hash" ، و "edit_version" ، و "payment_transaction_id" ، إلخ.
  • "messages_thumbnails"
    يحتوي هذا الجدول على معلومات حول الصور المنقولة والطوابع الزمنية. في عمود "الطابع الزمني" ، يكون الوقت بتنسيق Unix Epoch Time (ms).
  • "chat_list"
    يحتوي هذا الجدول على معلومات الدردشة.

    مظهر الجدول:

    بديل الصورة

أيضًا ، عند البحث في WhatsApp في جهاز محمول يعمل بنظام Android ، يجب عليك الانتباه إلى الملفات التالية:

  • ملف "msgstore.db.cryptXX" (حيث XX يتكون من رقم واحد أو رقمين من 0 إلى 12 ، على سبيل المثال ، msgstore.db.crypt12). يحتوي على نسخة احتياطية مشفرة من رسائل WhatsApp (نسخة احتياطية من ملف msgstore.db ). يوجد الملف (أو الملفات) 'msgstore.db.cryptXX' على طول المسار: '/ data / media / 0 / WhatsApp / Databases /' (بطاقة SD افتراضية) ، '/ mnt / sdcard / WhatsApp / Databases / (الفعلية SD- بطاقة).
  • الملف هو "مفتاح" . يحتوي على مفتاح التشفير. إنه موجود على طول المسار: '/data/data/com.whatsapp/files/' . تستخدم لفك تشفير النسخ الاحتياطية WhatsApp المشفرة.
  • ملف "com.whatsapp_preferences.xml" . يحتوي على معلومات حول ملف تعريف حساب WhatsApp. يوجد الملف على المسار: '/data/data/com.whatsapp/shared_prefs/' .

    ملف مقتطف المحتوى
    <?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> ( ,    WhatsApp) … <string name="version">2.17.395</string> ( WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (,    ) … <string name="push_name">Alex</string> (  ) …
  • ملف "registration.RegisterPhone.xml" . يحتوي على معلومات رقم الهاتف المرتبطة بحساب WhatsApp. يوجد الملف على المسار: '/data/data/com.whatsapp/shared_prefs/' .

    محتويات الملف
     <?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>
  • ملف 'axolotl.db' . يحتوي على مفاتيح التشفير وغيرها من البيانات اللازمة لتحديد صاحب الحساب. إنه موجود على طول المسار: '/data/data/com.whatsapp/databases/' .
  • ملف "chatsettings.db" . يحتوي على معلومات تكوين التطبيق.
  • الملف 'wa.db' . يحتوي على تفاصيل الاتصال. مثيرة للاهتمام للغاية (في الجانب الشرعي) وقاعدة بيانات مفيدة. في ذلك ، يمكن العثور على معلومات مفصلة حول جهات الاتصال المحذوفة.

يجب أيضًا الانتباه إلى الدلائل التالية:

  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Images /' . يحتوي على ملفات الصور المنقولة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Voice Notes /' . يحتوي على رسائل صوتية في ملفات بتنسيق .OPUS.
  • الدليل '/data/data/com.whatsapp/cache/Profile Pictures /' . يحتوي على ملفات الرسوم - صور جهات الاتصال.
  • الدليل '/data/data/com.whatsapp/files/Avatars/' . يحتوي على ملفات صور - صور مصغرة لصور جهات الاتصال. تحتوي هذه الملفات على الامتداد ".j" ، ومع ذلك ، فهي ملفات صور بتنسيق JPEG (JPG).
  • الدليل '/data/data/com.whatsapp/files/Avatars/' . يحتوي على ملفات الصور - الصورة والصورة المصغرة للصورة المثبتة كأفاتار من قبل صاحب الحساب.
  • الدليل '/data/data/com.whatsapp/files/Logs/' . يحتوي على سجل تشغيل البرنامج (ملف 'whatsapp.log') ونسخ احتياطية من سجلات تشغيل البرنامج (ملفات ذات أسماء التنسيق whatsapp-yyyy-mm-dd.1.log.gz).

ملفات سجل WhatsApp:

بديل الصورة

جزء مجلة
2017-01-10 09: 37: 09.757 LL_I D [524: WhatsApp Worker # 1] لم تخطئ / عدد التهيئة: 0 الطابع الزمني: 0
2017-01-10 09: 37: 09.758 LL_I D [524: WhatsApp Worker # 1] إخطارك / التحديث إلغاء صحيح
2017-01-10 09: 37: 09.768 LL_I D [1: main] app-init / load-me
2017-01-10 09: 37: 09.772 LL_I D [1: رئيسي] ملف كلمة المرور مفقود أو غير قابل للقراءة
2017-01-10 09: 37: 09.782 LL_I D [1: main] إحصائيات رسائل نصية: 59 مرسلة ، 82 مستلمة / رسائل وسائط: 1 مرسلة (0 بايت) ، 0 مستلمة (9850158 بايت) / رسائل غير متصل: 81 مستلمة ( 19522 ميللي ثانية للتأخير) / خدمة الرسائل: 116075 بايت تم إرسالها ، 211729 بايت تم استلامها / مكالمات عبر بروتوكول الإنترنت: 1 مكالمات صادرة ، 0 مكالمات واردة ، 2492 بايت مرسلة ، 1530 بايت مستلمة / Google Drive: 0 بايت مُرسلة ، 0 بايت مستلمة / التجوال: 1524 البايتات المرسلة ، 1826 بايت المستلمة / إجمالي البيانات: 118567 البايتات المرسلة ، 10063417 البايتات المستلمة
2017-01-10 09: 37: 09.785 LL_I D [1: رئيسي] مدير حالة الوسائط / تحديث حالة الوسائط / وسائط قابلة للكتابة
2017-01-10 09: 37: 09.806 LL_I D [1: main] app-init / initialize / timer / stop: 24
2017-01-10 09: 37: 09.811 LL_I D [1: main] msgstore / checkhealth
2017-01-10 09: 37: 09.817 LL_I D [1: main] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkhealth / back / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkdb / data / data / com.whatsapp / database / msgstore.db
2017-01-10 09: 37: 09.819 LL_I D [1: main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.822 LL_I D [1: main] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: main] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: main] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.824 LL_I D [1: main] msgstore / checkdb / list wa.db 69632 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: main] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: main] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db 4096 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09: 37: 09.827 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.838 LL_I D [1: main] msgstore / checkdb / version 1
2017-01-10 09: 37: 09.839 LL_I D [1: main] msgstore / canquery
2017-01-10 09: 37: 09.846 LL_I D [1: main] msgstore / canquery / count 1
2017-01-10 09: 37: 09.847 LL_I D [1: main] msgstore / canquery / timer / stop: 8
2017-01-10 09: 37: 09.847 LL_I D [1: main] msgstore / canquery 517 | الوقت المستغرق: 8
2017-01-10 09: 37: 09.848 LL_I D [529: WhatsApp Worker # 3] مدير حالة الوسائط / تحديث حالة الوسائط / تخزين داخلي متاح: 1،345،622،016 المجموع: 5،687،922،688

  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Audio /' . يحتوي على الملفات الصوتية المستلمة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Audio / Sent /' . يحتوي على الملفات الصوتية المرسلة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Images /' . يحتوي على ملفات الصور المستلمة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Images / Sent /' . يحتوي على ملفات الصور المرسلة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Video /' . يحتوي على ملفات الفيديو المستلمة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Video / Sent /' . يحتوي على ملفات الفيديو المحملة.
  • الدليل '/ data / media / 0 / WhatsApp / Media / WhatsApp Profile Photos /' . يحتوي على ملفات صور مرتبطة بمالك حساب WhatsApp.
  • لتوفير مساحة في ذاكرة هاتف Android الذكي ، يمكن تخزين بعض بيانات WhatsApp على بطاقة SD. على بطاقة SD ، في الدليل الجذر ، يوجد دليل "WhatsApp" حيث يمكن العثور على القطع الأثرية التالية لهذا البرنامج:

    بديل الصورة
  • الدليل ".Share" ( '/mnt/sdcard/WhatsApp/.Share/' ). يحتوي على نسخ من الملفات التي تم نقلها إلى مستخدمي WhatsApp الآخرين.
  • الدليل ".trash" ( '/mnt/sdcard/WhatsApp/.trash/' ). يحتوي على الملفات المحذوفة.
  • دليل "قواعد البيانات" ( '/ mnt / sdcard / WhatsApp / Databases /' ). يحتوي على نسخ احتياطية مشفرة. يمكن فك تشفيرها في وجود ملف "المفتاح" ، المستخرج من ذاكرة الجهاز الذي تم تحليله.

    الملفات الموجودة في الدليل الفرعي "قواعد البيانات" :

    بديل الصورة
  • دليل 'الوسائط' ( '/ mnt / sdcard / WhatsApp / Media /' ). يحتوي على الدلائل الفرعية "WallPaper" ، "WhatsApp Audio" ، "WhatsApp Images" ، "WhatsApp Profile Photos" ، "WhatsApp Video" ، "WhatsApp Voice Notes" ، والتي فيها ملفات الوسائط المتعددة المستلمة والمرسلة (ملفات الصور ، ملفات الفيديو ، الرسائل الصوتية ، الصور المرتبطة بملف تعريف صاحب حساب WhatsApp ، وورق الحائط).
  • دليل "صور الملف الشخصي" ( '/ mnt / sdcard / WhatsApp / Profile Photos /' ). يحتوي على ملفات صور مرتبطة بملف تعريف صاحب حساب WhatsApp.
  • في بعض الأحيان ، قد يكون الدليل 'files' ( '/ mnt / sdcard / WhatsApp / Files /' ) موجودًا على بطاقة SD. يحتوي هذا الدليل على ملفات تخزن إعدادات البرنامج وتفضيلات المستخدم.

ميزات تخزين البيانات في بعض طرز الأجهزة المحمولة


على بعض الأجهزة المحمولة التي تعمل بنظام Android ، قد يتم تخزين عناصر WhatsApp في مكان آخر. هذا بسبب التغير في مساحة تخزين بيانات التطبيق بواسطة برنامج نظام الجهاز المحمول. لذلك ، على سبيل المثال ، تتمتع أجهزة Xiaomi المحمولة بوظيفة إنشاء مساحة عمل ثانية ("SecondSpace"). عند تنشيط هذه الوظيفة ، يتغير موقع البيانات. لذلك ، إذا كان في جهاز محمول عادي يعمل بنظام التشغيل Android OS ، يتم تخزين بيانات المستخدم في الدليل '/ data / user / 0 /' (وهو رابط إلى المعتاد / / data / data / ' ) ، ثم يتم تخزين بيانات تطبيق مساحة العمل الثانية في الدليل '/ data / user / 10 /' . هذا هو ، على سبيل المثال ، موقع الملف 'wa.db' :

  • في هاتف ذكي Android عادي: /data/user/0/com.whatsapp/databases/wa.db ' (أي ما يعادل ' /data/data/com.whatsapp/databases/wa.db ') ؛
  • في مساحة العمل الثانية لهاتف Xiaomi الذكي: '/data/user/10/com.whatsapp/databases/wa.db' .

التحف واتساب على جهاز iOS


على عكس Android OS ، في تطبيق iOS WhatsApp يتم نقل بيانات التطبيق إلى نسخة احتياطية (iTunes backup). لذلك ، لا يتطلب استخراج البيانات من هذا التطبيق استخراج نظام الملفات أو إنشاء ملف تفريغ ذاكرة فعلي للجهاز قيد التحقيق. يتم تضمين معظم المعلومات ذات الصلة في قاعدة بيانات "ChatStorage.sqlite" ، والتي تقع على طول المسار: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (في بعض البرامج ، يتم عرض هذا المسار باسم "AppDomainGroup" -group.net.whatsapp.WhatsApp.shared ' ).

هيكل 'ChatStorage.sqlite' :

بديل الصورة

الأكثر إفادة في قاعدة بيانات ChatStorage.sqlite هي الجداول ZWAMESSAGE و ZWAMEDIAITEM .

مظهر الجدول "ZWAMESSAGE" :

بديل الصورة

هيكل الجدول "ZWAMESSAGE"
اسم الحقلقيمة
Z_PKسجل الرقم التسلسلي (في جدول SQL)
Z_ENTمعرف الجدول ، القيمة "9"
Z_OPTغير معروف ، يحتوي عادةً على قيم من "1" إلى "6"
ZCHILDMESSAGESDELIVEREDCOUNTغير معروف ، يحتوي عادةً على القيمة "0"
ZCHILDMESSAGESPLAYEDCOUNTغير معروف ، يحتوي عادةً على القيمة "0"
ZCHILDMESSAGESREADCOUNTغير معروف ، يحتوي عادةً على القيمة "0"
ZDATAITEMVERSIONغير معروف ، يحتوي عادةً على القيمة "3" ، وربما مؤشر رسالة نصية
ZDOCIDغير معروف
ZENCRETRYCOUNTغير معروف ، يحتوي عادةً على القيمة "0"
ZFILTEREDRECIPIENTCOUNTغير معروف ، يحتوي عادةً على القيم "0" ، "2" ، "256"
ZISFROMMEاتجاه الرسالة: '0' - واردة ، '1' - صادرة
ZMESSAGEERRORSTATUSحالة نقل الرسالة. إذا تم إرسال / استلام الرسالة ، فستكون قيمة "0"
ZMESSAGETYPEنوع الرسالة
ZSORTغير معروف
ZSPOTLIGHSTATUSغير معروف
ZSTARREDغير معروف غير مستخدم
ZCHATSESSIONغير معروف
ZGROUPMEMBERغير معروف غير مستخدم
ZLASTSESSIONغير معروف
ZMEDIAITEMغير معروف
ZMESSAGEINFOغير معروف
ZPARENTMESSAGEغير معروف غير مستخدم
ZMESSAGEDATEOS X عصر الوقت الطابع الزمني
ZSENTDATEOS X عصر الوقت إرسال رسالة الوقت
ZFROMJIDمعرف مرسل WhatsApp
ZMEDIASECTIONIDيحتوي على سنة وشهر إرسال ملف الوسائط
ZPHASHغير معروف غير مستخدم
ZPUSHPAMEاسم جهة الاتصال التي أرسلت ملف وسائط UTF-8
ZSTANZIDمعرف فريد للرسالة
ZTEXTنص الرسالة
ZTOJIDمعرف Whatsapp مستلم
أوفستالإزاحة

ظهور الجدول "ZWAMEDIAITEM" :

بديل الصورة

هيكل الجدول "ZWAMEDIAITEM"
اسم الحقلقيمة
Z_PKسجل الرقم التسلسلي (في جدول SQL)
Z_ENTمعرف الجدول ، القيمة "8"
Z_OPTغير معروف ، يحتوي عادةً على قيم من "1" إلى "3".
ZCLOUDSTATUSيحتوي على القيمة "4" إذا تم تحميل الملف.
ZFILESIZEيحتوي على طول الملف (بالبايت) للملفات التي تم تنزيلها
ZMEDIAORIGINغير معروف ، عادةً ما يكون "0"
ZMOVIEDURATIONمدة ملف الوسائط ، قد تحتوي ملفات pdf على عدد صفحات المستند
ZMESSAGEيحتوي على رقم تسلسلي (يختلف الرقم عن الرقم المشار إليه في عمود "Z_PK")
ZASPECTRATIOنسبة العرض إلى الارتفاع ، غير المستخدمة ، يتم ضبطها عادةً على "0"
ZHACCURACYغير معروف ، عادةً ما يكون "0"
ZLATTITUDEالعرض بالبكسل
ZLONGTITUDEالارتفاع بالبكسل
ZMEDIAURLDATEOS X عصر الوقت الطابع الزمني
ZAUTHORNAMEالمؤلف (للمستندات ، قد يحتوي على اسم الملف)
ZCOLLECTIONNAMEغير مستخدم
ZMEDIALOCALPATHاسم الملف (مع المسار) في نظام ملفات الجهاز
ZMEDIAURLعنوان URL الذي يوجد به ملف الوسائط. إذا تم نقل الملف من مشترك إلى آخر ، فسيتم تشفيره ، وسيتم الإشارة إلى امتداده على أنه امتداد الملف المنقول - .enc
ZTHUMBNAILLOCALPATHالطريق إلى ملف الصورة المصغرة في نظام ملفات الجهاز
ZTITLEرأس الملف
ZVCARDNAMEتجزئة ملف الوسائط ؛ عند نقل ملف إلى مجموعة ، قد يحتوي على معرف المرسل
ZVCARDSTRINGيحتوي على معلومات حول نوع الملف الذي يتم نقله (على سبيل المثال ، صورة / jpeg) ؛ عند نقل ملف إلى مجموعة ، قد يحتوي على معرف المستلم
ZXMPPTHUMBPATHالطريق إلى ملف الصورة المصغرة في نظام ملفات الجهاز
ZMEDIAKEYغير معروف ، ربما يحتوي على مفتاح فك تشفير الملف المشفر.
ZMETADATAالبيانات الوصفية للرسالة
عوضالإزاحة

جداول قاعدة البيانات الأخرى المهمة "ChatStorage.sqlite" هي:

  • "ZWAPROFILEPUSHNAME" . يتوافق مع معرف WhatsApp مع اسم جهة الاتصال ؛
  • "ZWAPROFILEPICTUREITEM" . يرتبط معرف WhatsApp مع الاتصال الرمزية ؛
  • "Z_PRIMARYKEY" . يحتوي الجدول على معلومات عامة حول قاعدة البيانات هذه ، مثل إجمالي عدد الرسائل المخزنة ، إجمالي عدد الدردشات ، إلخ.

أيضًا ، عند البحث في WhatsApp على جهاز محمول يعمل بنظام iOS ، يلزمك الانتباه إلى الملفات التالية:

  • ملف "BackedUpKeyValue.sqlite" . يحتوي على مفاتيح التشفير وغيرها من البيانات اللازمة لتحديد صاحب الحساب. إنه موجود على طول المسار: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
  • ملف "ContactsV2.sqlite" . يحتوي على معلومات حول جهات اتصال المستخدم ، مثل الاسم الكامل ورقم الهاتف وحالة الاتصال (في شكل نص) ، معرف WhatsApp ، إلخ. إنه موجود على طول المسار: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
  • ملف "Consumer_version" . يحتوي على رقم إصدار تطبيق WhatsApp المثبت. إنه موجود على طول المسار: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
  • ملف 'current_wallpaper.jpg' . يحتوي على خلفية خلفية WhatsApp الحالية. إنه موجود على طول المسار: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ . في الإصدارات القديمة من التطبيق ، يتم استخدام الملف "خلفية" ، والذي يقع على طول المسار: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/' .
  • ملف "blockcontacts.dat" . يحتوي على معلومات حول جهات الاتصال المحظورة. إنه موجود على طول المسار: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
  • ملف "pw.dat" . يحتوي على كلمة مرور مشفرة. إنه موجود على طول الطريق: "/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/" .
  • ملف 'net.whatsapp.WhatsApp.plist' (أو ملف 'group.net.whatsapp.WhatsApp.shared.plist' ). يحتوي على معلومات حول ملف تعريف حساب WhatsApp. يوجد الملف على المسار: "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/" .

محتويات الملف 'group.net.whatsapp.WhatsApp.shared.plist'
بديل الصورة

يجب أيضًا الانتباه إلى الدلائل التالية:

  • الدليل '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/' . يحتوي على صور مصغرة لجهات الاتصال ، والمجموعات (ملفات ذات ملحق الإبهام ) ، وأفاتار جهات الاتصال ، وآلهة لصاحب حساب WhatsApp (ملف 'Photo.jpg' ).
  • الدليل '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ الرسائل / الوسائط /' . يحتوي على ملفات الوسائط المتعددة والصور المصغرة الخاصة بهم
  • دليل '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/' . يحتوي على سجل البرنامج (ملف 'calls.log' ) ونسخ احتياطية لسجلات البرنامج (ملف 'calls.backup.log' ).
  • الكتالوج "/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/" . يحتوي على ملصقات (ملفات بتنسيق ".webp" ).
  • دليل '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/' . يحتوي على سجلات البرنامج.

WhatsApp القطع الأثرية على ويندوز


WhatsApp القطع الأثرية على ويندوز يمكن العثور عليها في عدة أماكن. بادئ ذي بدء ، هذه دلائل تحتوي على ملفات قابلة للتنفيذ ومساعدة البرنامج (لنظام التشغيل Windows 8/10):
  • 'C: \ ملفات البرنامج (x86) \ WhatsApp \'
  • 'C: \ Users \٪ ملف تعريف المستخدم٪ \ AppData \ Local \ WhatsApp \'
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ AppData \ Local \ VirtualStore \ Program Files (x86) \ WhatsApp \'

في الدليل 'C: \ Users \٪ ملف تعريف المستخدم٪ \ AppData \ Local \ WhatsApp \' يوجد ملف السجل 'SquirrelSetup.log' ، والذي يحتوي على معلومات حول التحقق من التحديثات وتثبيت البرنامج.

في الدليل 'C: \ Users \٪ ملف تعريف المستخدم٪ \ AppData \ Roaming \ WhatsApp \' هناك عدة أدلة فرعية:

بديل الصورة

يحتوي الملف 'main-process.log' على معلومات حول تشغيل برنامج WhatsApp.

يحتوي الدليل الفرعي "قواعد البيانات" على الملف "Databases.db" ، لكن هذا الملف لا يحتوي على أي معلومات حول الدردشات أو جهات الاتصال.

الأكثر إثارة للاهتمام من وجهة نظر الطب الشرعي هي الملفات الموجودة في دليل "ذاكرة التخزين المؤقت" . في الأساس ، هذه ملفات لها أسماء 'f _ *******' (حيث * عبارة عن رقم من 0 إلى 9) تحتوي على ملفات ووثائق متعددة الوسائط مشفرة ، ولكن من بينها أيضًا ملفات غير مشفرة. هناك أهمية خاصة للملفات "data_0" و "data_1" و "data_2" و "data_3" الموجودة في نفس الدليل الفرعي. تحتوي الملفات "data_0" و "data_1" و "data_3" على روابط خارجية لملفات ومستندات الوسائط المتعددة المشفرة المنقولة.

مثال على المعلومات الموجودة في الملف 'data_1'
بديل الصورة

أيضًا ، قد يحتوي الملف 'data_3' على ملفات صور.

يحتوي الملف 'data_2' على تجسدات جهات الاتصال (يمكن استعادتها من خلال البحث في رؤوس الملفات).

الصور الرمزية الموجودة في الملف 'data_2' :

بديل الصورة

وبالتالي ، لا يمكن العثور على الدردشات نفسها في ذاكرة الكمبيوتر ، ولكن يمكنك العثور على:

  • ملفات الوسائط المتعددة ؛
  • المستندات المرسلة باستخدام WhatsApp
  • معلومات حول جهات اتصال صاحب الحساب.

أعمال WhatsApp على MacOS


على MacOS ، يمكنك العثور على أنواع WhatsApp الفنية مثل تلك الموجودة على Windows.

توجد ملفات البرنامج في الدلائل:

  • 'C: \ Applications \ WhatsApp.app \'
  • 'C: \ Applications \ ._ WhatsApp.app \'
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ التفضيلات \'
  • "C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Logs \ WhatsApp \ '
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ حالة التطبيق المحفوظة \ WhatsApp.savedState \'
  • "C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ البرامج النصية للتطبيق \"
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ دعم التطبيق \ CloudDocs \'
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ دعم التطبيق \ WhatsApp.ShipIt \'
  • "C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Containers \ com.rockysandstudio.app-for-whatsapp \ '
  • "C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Mobile Documents \ <text variable> WhatsApp \ Accounts"
    يحتوي هذا الدليل على أدلة فرعية أسماءها أرقام هواتف مرتبطة بمالك حساب WhatsApp.
  • 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Caches \ WhatsApp.ShipIt \'
    يحتوي هذا الدليل على معلومات حول تثبيت البرنامج.
  • 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Pictures \ iPhoto.photolibrary Library \ Masters \' ، 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Pictures \ iPhoto.photolibrary Library \ Photo \ Thumbnails \'
    تحتوي هذه الدلائل على ملفات مساعدة للبرنامج ، بما في ذلك الصور والصور المصغرة لجهات اتصال WhatsApp.
  • 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Caches \ WhatsApp \'
    يحتوي هذا الدليل على العديد من قواعد بيانات SQLite التي يتم استخدامها لتخزين البيانات مؤقتًا.
  • 'C: \ المستخدمون \٪ ملف تعريف المستخدم٪ \ المكتبة \ دعم التطبيق \ WhatsApp \'
    يحتوي هذا الدليل على عدة أدلة فرعية:

    بديل الصورة

    يحتوي الدليل 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Application Support \ WhatsApp \ Cache \' على الملفات 'data_0' و 'data_1' و 'data_2' و 'data_3' والملفات ذات الأسماء 'f _ **** *** ' (حيث * هو رقم من 0 إلى 9). تم توضيح المعلومات حول المعلومات التي تحتويها هذه الملفات في قسم "WhatsApp Windows Artifacts".

    قد يحتوي الدليل 'C: \ Users \٪ ملف تعريف المستخدم٪ \ Library \ Application Support \ WhatsApp \ IndexedDB \' على ملفات وسائط متعددة (لا تحتوي الملفات على ملحقات).

    يحتوي الملف 'main-process.log' على معلومات حول تشغيل برنامج WhatsApp.

مصادر
  1. تحليل الطب الشرعي لـ WhatsApp Messenger على الهواتف الذكية التي تعمل بنظام Android ، من خلال Cosimo Anglano ، 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan أساس بيانات pada aplikasi Android dan iOS من أحمد براتاما ، 2014.



المقالات التالية في هذه السلسلة:

فك تشفير قواعد بيانات WhatsApp المشفرة
توفر هذه المقالة معلومات حول كيفية إنشاء مفتاح تشفير WhatsApp وإعطاء أمثلة عملية توضح كيفية فك تشفير قواعد البيانات المشفرة لهذا التطبيق.

استخراج بيانات WhatsApp من التخزين السحابي
مقالة نصف فيها بيانات WhatsApp المخزنة في السحب وتصف طرق استخراج هذه البيانات من التخزين السحابي.

استخراج بيانات WhatsApp: دراسات الحالة
توضح المقالة التي ستوضح خطوة بخطوة البرامج وكيفية استخراج بيانات WhatsApp من الأجهزة المختلفة.


Group-IB تعرف كل شيء عن الجريمة السيبرانية ، لكنها تحكي عن الأشياء الأكثر إثارة للاهتمام.

قناة Telegram المليئة بالإثارة (https://t.me/Group_IB) حول أمن المعلومات والمتسللين والهجمات الإلكترونية وقراصنة الإنترنت وقراصنة الإنترنت. التحقيق في الجريمة السيبرانية المثيرة عن طريق الخطوات والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، توصيات حول كيفية تجنب الوقوع ضحية على الإنترنت.

قناة YouTube Group-IB
Group-IB Photowire on Instagram www.instagram.com/group_ib
تويتر أخبار قصيرة twitter.com/GroupIB

Group-IB هي واحدة من المطورين الرائدين لحلول الكشف عن الهجمات السيبرانية ومنعها واكتشاف الاحتيال وحماية الملكية الفكرية في شبكة مقرها في سنغافورة.

Source: https://habr.com/ru/post/ar447592/

More articles:


All Articles