🌔 👩🏽‍🍳 🤯 WhatsApp na palma da sua mão: onde e como você pode detectar artefatos forenses? 🍷 🤘🏿 👩🏿‍🎤

Se você deseja saber que tipos de artefatos forenses do WhatsApp existem em vários sistemas operacionais e onde exatamente eles podem ser detectados, aqui está você. Com este artigo, Igor Mikhailov, especialista no Laboratório de Informática Forense do Grupo-IB, abre uma série de publicações sobre a investigação forense do WhatsApp e quais informações podem ser obtidas através da análise do dispositivo.

Observe que diferentes tipos de artefatos do WhatsApp são armazenados em diferentes sistemas operacionais e, se um pesquisador puder extrair certos tipos de dados do WhatsApp de um dispositivo, isso não significa que esses tipos de dados possam ser extraídos de outro dispositivo. Por exemplo, se uma unidade do sistema executando o Windows for tomada, as conversas do WhatsApp provavelmente não serão encontradas em seus discos (exceto cópias de backup de dispositivos iOS que podem ser encontradas nas mesmas unidades). Ao remover laptops e dispositivos móveis, terão suas próprias características. Vamos falar sobre isso com mais detalhes.

Artefatos do WhatsApp em um dispositivo Android

Para extrair artefatos do WhatsApp de um dispositivo executando Android, o pesquisador deve ter privilégios de superusuário ( 'root' ) no dispositivo em estudo ou ser capaz de extrair o despejo físico da memória do dispositivo ou de seu sistema de arquivos (por exemplo, usando vulnerabilidades de software de um dispositivo móvel específico) dispositivos).

Os arquivos do aplicativo estão localizados na memória do telefone na seção em que os dados do usuário são salvos. Normalmente, esta seção é denominada 'userdata' . Os subdiretórios e os arquivos de programa estão localizados no caminho: '/data/data/com.whatsapp/' .

Os principais arquivos que contêm artefatos forenses do WhatsApp no sistema operacional Android são os bancos de dados 'wa.db' e 'msgstore.db' .

O banco de dados 'wa.db' contém uma lista completa de contatos de usuários do WhatsApp, incluindo número de telefone, nome para exibição, carimbos de data e hora e outras informações especificadas durante o registro no WhatsApp. O arquivo 'wa.db' está localizado no caminho: '/data/data/com.whatsapp/databases/' e possui a seguinte estrutura:

As tabelas mais interessantes no banco de dados 'wa.db' para o pesquisador são:

'wa_contacts'
Esta tabela contém informações de contato: ID do contato no WhatsApp, informações de status, nome de usuário exibido, carimbos de data e hora, etc.

Aparência da tabela:

Estrutura da tabela

Nome do campo	Valor
_id	número de série do registro (na tabela SQL)
jid	ID de contato do WhatsApp, escrito no formato <número de telefone> @ s.whatsapp.net
is_whatsapp_user	contém '1' se o usuário real do WhatsApp corresponder ao contato, '0' caso contrário
status	contém texto exibido no status do contato
status_timestamp	contém um registro de data e hora no formato Unix Epoch Time (ms)
numero	número de telefone associado ao contato
raw_contact_id	número de série do contato
display_name	nome de exibição do contato
phone_type	tipo de telefone
phone_label	etiqueta associada ao número de contato
unseen_msg_count	o número de mensagens enviadas pelo contato, mas não lidas pelo destinatário
photo_ts	contém um registro de data e hora no formato Unix Epoch Time
thumb_ts	contém um registro de data e hora no formato Unix Epoch Time
photo_id_timestamp	contém um registro de data e hora no formato Unix Epoch Time (ms)
given_name	o valor do campo corresponde a 'display_name' para cada contato
wa_name	Nome do contato do WhatsApp (exibe o nome especificado no perfil de contato)
sort_name	nome do contato usado nas operações de classificação
apelido	Apelido de contato do WhatsApp (exibe o apelido especificado no perfil de contato)
companhia	empresa (a empresa indicada no perfil de contato é exibida)
título	apelo (senhora / cavalheiro; o endereço configurado no perfil de contato é exibido)
deslocamento	deslocamento

'sqlite_sequence'
Esta tabela contém informações sobre o número de contatos;
'android_metadata'
Esta tabela contém informações de localização do idioma do WhatsApp.

O banco de dados 'msgstore.db' contém informações sobre mensagens transmitidas, como número de contato, texto da mensagem, status da mensagem, carimbos de data e hora, informações sobre arquivos transferidos incluídos nas mensagens, etc. O arquivo 'msgstore.db' está localizado no caminho: '/data/data/com.whatsapp/databases/' e possui a seguinte estrutura:

As tabelas mais interessantes no arquivo 'msgstore.db' para o pesquisador são:

'sqlite_sequence'
Esta tabela contém informações gerais sobre esse banco de dados, por exemplo, o número total de mensagens armazenadas, o número total de bate-papos etc.

Aparência da tabela:
'message_fts_content'
Contém o texto das mensagens transmitidas.

Aparência da tabela:

'mensagens'
Esta tabela contém informações como número de contato, texto da mensagem, status da mensagem, carimbos de data e hora, informações sobre os arquivos transferidos incluídos nas mensagens.

Aparência da tabela:

Estrutura da tabela

Nome do campo	Valor
_id	número de série do registro (na tabela SQL)
key_remote_jid	ID do parceiro de comunicação do WhatsApp
key_from_me	direção da mensagem: '0' - recebido, '1' - enviado
key_id	identificador exclusivo da mensagem
status	status da mensagem: '0' - entregue, '4' - aguardando no servidor, '5' - recebido no destino, '6' - mensagem de controle, '13' - mensagem aberta pelo destinatário (leitura)
need_push	tem o valor '2' se for uma mensagem de difusão, caso contrário, contém '0'
dados	texto da mensagem (quando o parâmetro 'media_wa_type' for '0')
timestamp	contém um carimbo de data e hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo
media_url	contém o URL do arquivo transmitido (quando o parâmetro 'media_wa_type' for '1', '2', '3')
media_mime_type	Tipo MIME do arquivo transferido (quando o parâmetro 'media_wa_type' for igual a '1', '2', '3')
media_wa_type	tipo de mensagem: '0' - texto, '1' - arquivo de imagem, '2' - arquivo de áudio, '3' - arquivo de vídeo, '4' - cartão de contato, '5' - geodata
media_size	tamanho da transferência de arquivo (quando o parâmetro 'media_wa_type' for '1', '2', '3')
media_name	nome do arquivo transferido (quando o parâmetro 'media_wa_type' for '1', '2', '3')
media_caption	Contém as palavras 'audio', 'video' para os valores correspondentes do parâmetro 'media_wa_type' (quando o parâmetro 'media_wa_type' for igual a '1', '3')
media_hash	hash codificado em base64 do arquivo transmitido, calculado de acordo com o algoritmo HAS-256 (quando o parâmetro 'media_wa_type' for '1', '2', '3')
media_duration	duração em segundos para o arquivo de mídia (quando o parâmetro 'media_wa_type' for '1', '2', '3')
origem	tem o valor '2' se for uma mensagem de difusão, caso contrário, contém '0'
latitude	geodata: latitude (quando o parâmetro 'media_wa_type' for '5')
longitude	geodata: longitude (quando o parâmetro 'media_wa_type' for '5')
thumb_image	informações de serviço
remote_recource	ID do remetente (somente bate-papo em grupo)
received_timestamp	receber hora, contém um registro de data e hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo (quando o parâmetro 'key_from_me' possui '0', '-1' ou outro valor)
send_timestamp	não usado, geralmente tem um valor de '-1'
receiver_server_timestamp	hora recebida pelo servidor central, contém um carimbo de data / hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo (quando o parâmetro 'key_from_me' possui '1', '-1' ou outro valor
receiver_device_timestamp	na hora em que a mensagem foi recebida por outro assinante, contém um carimbo de data / hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo (quando o parâmetro 'key_from_me' possui '1', '-1' ou outro valor
read_device_timestamp	hora de abertura (leitura) da mensagem, contém um carimbo de data / hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo
plays_device_timestamp	tempo de reprodução da mensagem, contém um carimbo de data / hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo
raw_data	miniatura do arquivo transmitido (quando o parâmetro 'media_wa_type' for igual a '1' ou '3')
container_count	número de destinatários (para mensagens de difusão)
participant_hash	usado ao enviar mensagens com dados geográficos
estrelou	não usado
quoted_row_id	desconhecido, geralmente contém o valor '0'
named_jids	não usado
multicast_id	não usado
deslocamento	deslocamento

Esta lista de campos não é completa. Para versões diferentes do WhatsApp, alguns dos campos podem ou não estar presentes. Além disso, os campos 'media_enc_hash' , 'edit_version' , 'payment_transaction_id' etc. podem estar presentes.

'messages_thumbnails'
Esta tabela contém informações sobre imagens transferidas e carimbos de hora. Na coluna 'timestamp', a hora está no formato Unix Epoch Time (ms).
'chat_list'
Esta tabela contém informações de bate-papo.

Aparência da tabela:

Além disso, ao pesquisar o WhatsApp em um dispositivo móvel com Android, você deve prestar atenção aos seguintes arquivos:

Arquivo 'msgstore.db.cryptXX' (onde XX é um ou dois dígitos de 0 a 12, por exemplo, msgstore.db.crypt12). Contém um backup criptografado de mensagens do WhatsApp (backup do arquivo msgstore.db ). O arquivo (ou arquivos) 'msgstore.db.cryptXX' está localizado no caminho: '/ data / media / 0 / WhatsApp / Databases /' (cartão SD virtual), '/ mnt / sdcard / WhatsApp / Databases / (SD físico - cartão) '.
O arquivo é 'chave' . Contém uma chave criptográfica. Ele está localizado no caminho: '/data/data/com.whatsapp/files/' . Usado para descriptografar backups do WhatsApp criptografados.

Arquivo 'com.whatsapp_preferences.xml' . Contém informações sobre o perfil da conta do WhatsApp. O arquivo está localizado no caminho: '/data/data/com.whatsapp/shared_prefs/' .

Snippet de conteúdo do arquivo

<?xml version="1.0" encoding="ISO-8859-1"?> … <string name="ph">9123456789</string> ( ,    WhatsApp) … <string name="version">2.17.395</string> ( WhatsApp) … <string name="my_current_status">Hey there! I am using WhatsApp.</string> (,    ) … <string name="push_name">Alex</string> (  ) …

Arquivo 'registration.RegisterPhone.xml' . Contém informações de número de telefone associadas a uma conta do WhatsApp. O arquivo está localizado no caminho: '/data/data/com.whatsapp/shared_prefs/' .

Conteúdo do arquivo

 <?xml version="1.0" encoding="ISO-8859-1"?> <map> <string name="com.whatsapp.registration.RegisterPhone.phone_number">9123456789</string> <int name="com.whatsapp.registration.RegisterPhone.verification_state" value="0"/> <int name="com.whatsapp.registration.RegisterPhone.country_code_position" value="-1"/> <string name="com.whatsapp.registration.RegisterPhone.input_phone_number">912 345-67-89</string> <int name="com.whatsapp.registration.RegisterPhone.phone_number_position" value="10"/> <string name="com.whatsapp.registration.RegisterPhone.input_country_code">7</string> <string name="com.whatsapp.registration.RegisterPhone.country_code">7</string> </map>

Arquivo 'axolotl.db' . Contém chaves criptográficas e outros dados necessários para identificar o proprietário da conta. Ele está localizado no caminho: '/data/data/com.whatsapp/databases/' .
Arquivo 'chatsettings.db' . Contém informações de configuração do aplicativo.
O arquivo 'wa.db' . Contém detalhes de contato. Um banco de dados muito interessante (no aspecto forense) e informativo. Nele, informações detalhadas sobre contatos excluídos podem ser encontradas.

Você também deve prestar atenção aos seguintes diretórios:

Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Images /' . Contém os arquivos de imagem transferidos.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Voice Notes /' . Contém mensagens de voz em arquivos no formato .OPUS.
Diretório '/data/data/com.whatsapp/cache/Profile Pictures /' . Contém arquivos gráficos - imagens de contatos.
Diretório '/data/data/com.whatsapp/files/Avatars/' . Contém arquivos de imagem - miniaturas de imagens de contato. Esses arquivos têm a extensão '.j', mas, no entanto, são arquivos de imagem no formato JPEG (JPG).
Diretório '/data/data/com.whatsapp/files/Avatars/' . Contém arquivos de imagem - imagem e miniatura da imagem instalada como avatar pelo proprietário da conta.
Diretório '/data/data/com.whatsapp/files/Logs/' . Ele contém o log de operação do programa (arquivo 'whatsapp.log') e cópias de backup dos logs de operação do programa (arquivos com os nomes de formato whatsapp-yyyy-mm-dd.1.log.gz).

Arquivos de log do WhatsApp:

Fragmento de revista

2017-01-10 09: 37: 09.757 LL_I D [524: WhatsApp Worker # 1] notificação de chamada / contagem de inicialização perdida: 0 carimbo de data / hora: 0
2017-01-10 09: 37: 09.758 LL_I D [524: Trabalhador do WhatsApp # 1] notificação / atualização perdida de chamada / cancelamento true
2017-01-10 09: 37: 09.768 LL_I D [1: principal] app-init / load-me
2017-01-10 09: 37: 09.772 LL_I D [1: main] arquivo de senha ausente ou ilegível
2017-01-10 09: 37: 09.782 LL_I D [1: main] statistics Mensagens de texto: 59 enviadas, 82 recebidas / Mensagens de mídia: 1 enviada (0 bytes), 0 recebida (9850158 bytes) / Mensagens offline: 81 recebidas ( Atraso médio de 19522 ms) / Serviço de mensagens: 116075 bytes enviados, 211729 bytes recebidos / Chamadas de VoIP: 1 chamadas efetuadas, 0 chamadas recebidas, 2492 bytes enviados, 1530 bytes recebidos / Google Drive: 0 bytes enviados, 0 bytes recebidos / Roaming: 1524 bytes enviados, 1826 bytes recebidos / Total de dados: 118567 bytes enviados, 10063417 bytes recebidos
2017-01-10 09: 37: 09.785 LL_I D [1: main] gerente de estado da mídia / estado da mídia de atualização / mídia gravável
2017-01-10 09: 37: 09.806 LL_I D [1: principal] app-init / initialize / timer / stop: 24
2017-01-10 09: 37: 09.811 LL_I D [1: principal] msgstore / checkhealth
2017-01-10 09: 37: 09.817 LL_I D [1: main] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkhealth / back / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: main] msgstore / checkdb / data / data / com.whatsapp / database / msgstore.db
2017-01-10 09: 37: 09.819 LL_I D [1: principal] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: main] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: main] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.822 LL_I D [1: principal] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.824 LL_I D [1: principal] msgstore / checkdb / list wa.db 69632 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db 4096 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09: 37: 09.827 LL_I D [1: main] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.838 LL_I D [1: principal] msgstore / checkdb / versão 1
2017-01-10 09: 37: 09.839 LL_I D [1: principal] msgstore / canquery
2017-01-10 09: 37: 09.846 LL_I D [1: principal] msgstore / canquery / count 1
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery / timer / stop: 8
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery 517 | tempo gasto: 8
2017-01-10 09: 37: 09.848 LL_I D [529: WhatsApp Worker # 3] gerente de estado de mídia / estado de atualização de mídia / armazenamento interno disponível: 1.345.622.016 total: 5.687.922.688

Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Audio /' . Contém arquivos de áudio recebidos.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Audio / Sent /' . Contém arquivos de áudio enviados.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Images /' . Contém os arquivos de imagem recebidos.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Images / Sent /' . Contém arquivos de imagem enviados.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Video /' . Contém arquivos de vídeo recebidos.
Diretório '/ data / media / 0 / WhatsApp / Media / WhatsApp Video / Sent /' . Contém arquivos de vídeo enviados.
Diretório '/ data / media / 0 / WhatsApp / Media / Fotos de perfil do WhatsApp /' . Contém arquivos de imagem associados ao proprietário da conta do WhatsApp.
Para economizar espaço na memória do smartphone Android, alguns dados do WhatsApp podem ser armazenados no cartão SD. No cartão SD, no diretório raiz, existe um diretório 'WhatsApp' onde podem ser encontrados os seguintes artefatos deste programa:
Diretório '.Share' ( '/mnt/sdcard/WhatsApp/.Share/' ). Contém cópias de arquivos que foram transferidos para outros usuários do WhatsApp.
Diretório '.trash' ( '/mnt/sdcard/WhatsApp/.trash/' ). Contém arquivos excluídos.
Diretório 'Bancos de dados' ( '/ mnt / sdcard / WhatsApp / Databases /' ). Contém backups criptografados. Eles podem ser descriptografados na presença do arquivo 'chave' , extraído da memória do dispositivo analisado.

Arquivos no subdiretório 'Bancos de dados' :
Diretório 'Mídia' ( '/ mnt / sdcard / WhatsApp / Mídia /' ). Contém os subdiretórios 'WallPaper' , 'WhatsApp Audio' , 'WhatsApp Images' , 'WhatsApp Profile Photos' , 'WhatsApp Video' , 'WhatsApp Voice Notes' , nos quais os arquivos multimídia recebidos e transmitidos (arquivos de imagem, arquivos de vídeo, mensagens de voz, fotos associadas ao perfil do titular da conta do WhatsApp, papel de parede).
Diretório 'Imagens de perfil' ( '/ mnt / sdcard / WhatsApp / Imagens de perfil /' ). Contém arquivos de imagem associados ao perfil do titular da conta do WhatsApp.
Às vezes, o diretório 'arquivos' ( '/ mnt / sdcard / WhatsApp / Arquivos /' ) pode estar presente no cartão SD. Este diretório contém arquivos que armazenam configurações do programa e preferências do usuário.

Recursos de armazenamento de dados em alguns modelos de dispositivos móveis

Em alguns dispositivos móveis Android, os artefatos do WhatsApp podem ser armazenados em outros lugares. Isso ocorre devido a uma alteração no espaço de armazenamento dos dados do aplicativo pelo software do sistema do dispositivo móvel. Assim, por exemplo, os dispositivos móveis da Xiaomi têm a função de criar um segundo espaço de trabalho (“SecondSpace”). Quando esta função é ativada, a localização dos dados muda. Portanto, se em um dispositivo móvel comum executando dados do usuário do Android OS estiver armazenado no diretório '/ data / user / 0 /' (que é um link para o habitual '/ data / data /' ), na segunda área de trabalho os dados do aplicativo serão armazenados no diretório '/ data / user / 10 /' . Por exemplo, o local do arquivo 'wa.db' :

em um smartphone Android normal: /data/user/0/com.whatsapp/databases/wa.db ' (que é equivalente a ' /data/data/com.whatsapp/databases/wa.db ') ;
no segundo espaço de trabalho do smartphone Xiaomi: '/data/user/10/com.whatsapp/databases/wa.db' .

Artefatos do WhatsApp no dispositivo iOS

Diferentemente do sistema operacional Android, no iOS, os dados do aplicativo WhatsApp são transferidos para uma cópia de backup (backup do iTunes). Portanto, a extração de dados desse aplicativo não requer a extração do sistema de arquivos ou a criação de um despejo de memória física do dispositivo sob investigação. A maioria das informações relevantes está contida no banco de dados 'ChatStorage.sqlite' , localizado no caminho: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/' (em alguns programas, esse caminho é exibido como 'AppDomainGroup -group.net.whatsapp.WhatsApp.shared ' ).

A estrutura do 'ChatStorage.sqlite' :

As mais informativas no banco de dados ChatStorage.sqlite são as tabelas ZWAMESSAGE e ZWAMEDIAITEM .

Aparência da tabela 'ZWAMESSAGE' :

Estrutura da mesa 'ZWAMESSAGE'

Nome do campo	Valor
Z_PK	número de série do registro (na tabela SQL)
Z_ENT	identificador da tabela, valor '9'
Z_OPT	desconhecido, geralmente contém valores de '1' a '6'
ZCHILDMESSAGESDELIVEREDCOUNT	desconhecido, geralmente contém o valor '0'
ZCHILDMESSAGESPLAYEDCOUNT	desconhecido, geralmente contém o valor '0'
ZCHILDMESSAGESREADCOUNT	desconhecido, geralmente contém o valor '0'
ZDATAITEMVERSION	desconhecido, geralmente contém o valor '3', provavelmente um ponteiro de mensagem de texto
ZDOCID	é desconhecido
ZENCRETRYCOUNT	desconhecido, geralmente contém o valor '0'
ZFILTEREDRECIPIENTCOUNT	desconhecido, geralmente contém os valores '0', '2', '256'
Zisfromme	direção da mensagem: '0' - recebido, '1' - enviado
ZMESSAGEERRORSTATUS	status de transferência de mensagens. Se a mensagem for enviada / recebida, ela terá o valor '0'
ZMESSAGETYPE	tipo de mensagem
Zsort	é desconhecido
ZSPOTLIGHSTATUS	é desconhecido
ZSTARRED	desconhecido não usado
Zchatsession	é desconhecido
ZGROUPMEMBER	desconhecido não usado
ZLASTSESSION	é desconhecido
ZMEDIAITEM	é desconhecido
ZMESSAGEINFO	é desconhecido
ZPARENTMESSAGE	desconhecido não usado
ZMESSAGEDATE	Registro de data e hora da época do OS X
ZSENTDATE	Horário de envio da mensagem do OS X Epoch Time
ZFROMJID	ID do remetente do WhatsApp
ZMEDIASECTIONID	contém o ano e o mês do envio do arquivo de mídia
Zphash	desconhecido não usado
ZPUSHPAME	nome do contato que enviou o arquivo de mídia UTF-8
ZSTANZID	identificador exclusivo da mensagem
ZTEXT	texto da mensagem
ZTOJID	Destinatário do WhatsApp ID
OFFSET	deslocamento

Aparência da tabela 'ZWAMEDIAITEM' :

Estrutura da mesa 'ZWAMEDIAITEM'

Nome do campo	Valor
Z_PK	número de série do registro (na tabela SQL)
Z_ENT	identificador da tabela, valor '8'
Z_OPT	desconhecido, geralmente contém valores de '1' a '3'.
ZCLOUDSTATUS	contém o valor '4' se o arquivo for carregado.
ZFILESIZE	contém o comprimento do arquivo (em bytes) para os arquivos baixados
ZMEDIAORIGIN	desconhecido, geralmente '0'
ZMOVIEDURATION	a duração do arquivo de mídia, pois os arquivos pdf podem conter o número de páginas do documento
ZMESSAGE	contém um número de série (o número difere do indicado na coluna 'Z_PK')
ZASPECTRATIO	relação de aspecto, não usada, geralmente definida como '0'
ZHACCURACY	desconhecido, geralmente '0'
ZLATTITUDE	largura em pixels
ZLONGTITUDE	altura em pixels
ZMEDIAURLDATE	Registro de data e hora da época do OS X
ZAUTHORNAME	autor (para documentos, pode conter nome do arquivo)
ZCOLLECTIONNAME	não usado
ZMEDIALOCALPATH	nome do arquivo (com caminho) no sistema de arquivos do dispositivo
ZMEDIAURL	A URL em que o arquivo de mídia estava localizado. Se o arquivo foi transferido de um assinante para outro, ele foi criptografado e sua extensão será indicada como a extensão do arquivo transferido - .enc
ZTHUMBNAILLOCALPATH	caminho para a miniatura do arquivo no sistema de arquivos do dispositivo
ZTITLE	cabeçalho do arquivo
ZVCARDNAME	hash do arquivo de mídia; ao transferir um arquivo para um grupo, ele pode conter o ID do remetente
ZVCARDSTRING	contém informações sobre o tipo de arquivo que está sendo transferido (por exemplo, imagem / JPEG); ao transferir um arquivo para um grupo, ele pode conter o identificador de destinatário
ZXMPPTHUMBPATH	caminho para a miniatura do arquivo no sistema de arquivos do dispositivo
ZMEDIAKEY	desconhecido, provavelmente contém a chave para descriptografar o arquivo criptografado.
ZMETADATA	metadados da mensagem
Deslocamento	deslocamento

Outras tabelas interessantes do banco de dados 'ChatStorage.sqlite' são:

'ZWAPROFILEPUSHNAME' . Corresponde ao ID do WhatsApp com o nome do contato;
«ZWAPROFILEPICTUREITEM» . Correlaciona o WhatsApp ID com o avatar do contato;
'Z_PRIMARYKEY' . A tabela contém informações gerais sobre esse banco de dados, como o número total de mensagens armazenadas, o número total de bate-papos etc.

Além disso, ao pesquisar o WhatsApp em um dispositivo móvel executando iOS, você precisa prestar atenção nos seguintes arquivos:

Arquivo 'BackedUpKeyValue.sqlite' . Contém chaves criptográficas e outros dados necessários para identificar o proprietário da conta. Ele está localizado no caminho: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
Arquivo 'ContactsV2.sqlite' . Ele contém informações sobre os contatos do usuário, como nome completo, número de telefone, status do contato (na forma de texto), ID do WhatsApp etc. Ele está localizado no caminho: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
Arquivo 'consumer_version' . Contém o número da versão do aplicativo WhatsApp instalado. Ele está localizado no caminho: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
Arquivo 'current_wallpaper.jpg' . Contém o atual plano de fundo do WhatsApp. Ele está localizado no caminho: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ . Nas versões mais antigas do aplicativo, é usado o arquivo 'wallpaper' , localizado no caminho: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/' .
Arquivo 'lockedcontacts.dat' . Contém informações sobre contatos bloqueados. Ele está localizado no caminho: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
Arquivo 'pw.dat' . Contém uma senha criptografada. Está localizado no caminho: '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/' .
Arquivo 'net.whatsapp.WhatsApp.plist' (ou arquivo 'group.net.whatsapp.WhatsApp.shared.plist' ). Contém informações sobre o perfil da conta do WhatsApp. O arquivo está localizado no caminho: '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/' .

O conteúdo do arquivo 'group.net.whatsapp.WhatsApp.shared.plist'

Você também deve prestar atenção aos seguintes diretórios:

Diretório '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/' . Ele contém miniaturas de contatos, grupos (arquivos com extensão .thumb ), avatares de contatos, um avatar do proprietário da conta do WhatsApp (arquivo 'Photo.jpg' ).
Diretório '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ Message / Media /' . Contém arquivos multimídia e suas miniaturas
Diretório '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/' . Ele contém o log do programa (arquivo 'calls.log' ) e cópias de backup dos logs do programa (arquivo 'calls.backup.log' ).
Catálogo '/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/' . Contém adesivos (arquivos no formato '.webp' ).
O diretório '/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/' . Contém os logs do programa.

Artefatos do WhatsApp no Windows

Artefatos do WhatsApp no Windows pode ser encontrado em vários lugares. Antes de tudo, são os diretórios que contêm arquivos executáveis e auxiliares do programa (para Windows 8/10):

'C: \ Arquivos de programas (x86) \ WhatsApp \'
'C: \ Users \% Perfil do usuário% \ AppData \ Local \ WhatsApp \'
'C: \ Usuários \% Perfil do usuário% \ AppData \ Local \ VirtualStore \ Arquivos de Programas (x86) \ WhatsApp \'

No diretório 'C: \ Usuários \% Perfil do usuário% \ AppData \ Local \ WhatsApp \' está localizado o arquivo de log 'SquirrelSetup.log' , que contém informações sobre a verificação de atualizações e a instalação do programa.

No diretório 'C: \ Usuários \% Perfil do usuário% \ AppData \ Roaming \ WhatsApp \', existem vários subdiretórios:

O arquivo 'main-process.log' contém informações sobre a operação do programa WhatsApp.

O subdiretório 'database' contém o arquivo 'Databases.db' , mas esse arquivo não contém nenhuma informação sobre bate-papos ou contatos.

O mais interessante do ponto de vista forense são os arquivos localizados no diretório 'Cache' . Basicamente, esses são arquivos com os nomes 'f _ *******' (onde * é um número de 0 a 9) contendo arquivos e documentos criptografados de multimídia, mas entre eles também há arquivos não criptografados. De particular interesse são os arquivos 'dados_0' , 'dados_1' , 'dados_2' , 'dados_3' localizados no mesmo subdiretório. Os arquivos 'data_0' , 'dados_1' , 'dados_3' contêm links externos para arquivos e documentos criptografados de multimídia transmitidos.

Exemplo de informações contidas no arquivo 'data_1'

Além disso, o arquivo 'data_3' pode conter arquivos de imagem.

O arquivo 'data_2' contém avatares de contato (pode ser restaurado pesquisando os cabeçalhos dos arquivos).

Avatares contidos no arquivo 'data_2' :

Portanto, as conversas em si não podem ser encontradas na memória do computador, mas você pode encontrar:

arquivos multimídia;
Documentos transmitidos usando o WhatsApp
Informações sobre os contatos do proprietário da conta.

Artefatos do WhatsApp no MacOS

No MacOS, você pode encontrar tipos de artefatos do WhatsApp semelhantes aos encontrados no Windows.

Os arquivos de programa estão localizados nos diretórios:

'C: \ Applications \ WhatsApp.app \'
'C: \ Aplicativos \ ._ WhatsApp.app \'
'C: \ Users \% Perfil do usuário% \ Library \ Preferences \'
'C: \ Users \% Perfil do usuário% \ Library \ Logs \ WhatsApp \'
'C: \ Usuários \% Perfil do usuário% \ Biblioteca \ Estado do Aplicativo Salvo \ WhatsApp.savedState \'
'C: \ Users \% Perfil do usuário% \ Library \ Application Scripts \'
'C: \ Users \% Perfil do usuário% \ Library \ Application Support \ CloudDocs \'
'C: \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp.ShipIt \'
'C: \ Users \% Perfil do usuário% \ Library \ Containers \ com.rockysandstudio.app-for-whatsapp \'
'C: \ Usuários \% Perfil do usuário% \ Biblioteca \ Documentos Móveis \ <variável de texto> WhatsApp \ Contas'
Este diretório contém subdiretórios cujos nomes são números de telefone associados ao proprietário da conta do WhatsApp.
'C: \ Users \% Perfil do usuário% \ Library \ Caches \ WhatsApp.ShipIt \'
Este diretório contém informações sobre a instalação do programa.
'C: \ Usuários \% Perfil do usuário% \ Imagens \ Biblioteca do iPhoto.photolibrary \ Masters \' , 'C: \ Usuários \% Perfil do usuário% \ Imagens \ Biblioteca do iPhoto.photolibrary \ Foto \ Miniaturas \'
Esses diretórios contêm arquivos utilitários para o programa, incluindo fotos e miniaturas de contatos do WhatsApp.
'C: \ Users \% Perfil do usuário% \ Library \ Caches \ WhatsApp \'
Este diretório contém vários bancos de dados SQLite que são usados para armazenar dados em cache.
'C: \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp \'
Este diretório contém vários subdiretórios:

O diretório 'C: \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp \ Cache \' contém os arquivos 'data_0' , 'data_1' , 'data_2' , 'data_3' e os arquivos com os nomes 'f _ **** *** ' (onde * é um número de 0 a 9). As informações sobre quais informações esses arquivos contêm estão descritas na seção “Artefatos do Windows WhatsApp”.

O diretório 'C: \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp \ IndexedDB \' pode conter arquivos multimídia (os arquivos não têm extensões).

O arquivo 'main-process.log' contém informações sobre a operação do programa WhatsApp.

Fontes

Análise forense do WhatsApp Messenger em smartphones Android, por Cosimo Anglano, 2014.
Whatsapp Forensics: sistema de gerenciamento de dados e dados de base no aplicativo Android e iOS de Ahmad Pratama, 2014.

Os seguintes artigos desta série:

Descriptografia de bancos de dados WhatsApp criptografados

Um artigo que fornecerá informações sobre como a chave de criptografia do WhatsApp é gerada e são apresentados exemplos práticos que mostram como descriptografar os bancos de dados criptografados desse aplicativo.

Extrair dados do WhatsApp do armazenamento em nuvem

Um artigo no qual descrevemos quais dados do WhatsApp são armazenados nas nuvens e descrevemos métodos para extrair esses dados do armazenamento na nuvem.

Extração de dados do WhatsApp: estudos de caso

Um artigo que descreve passo a passo quais programas e como extrair dados do WhatsApp de vários dispositivos.

O Grupo IB sabe tudo sobre crimes cibernéticos, mas conta as coisas mais interessantes.

O canal do Telegram, repleto de ação (https://t.me/Group_IB), sobre segurança da informação, hackers e ataques cibernéticos, hacktivistas e piratas da Internet. Investigações do crime cibernético sensacional por etapas, casos práticos usando as tecnologias do Grupo-IB e, é claro, recomendações sobre como evitar se tornar uma vítima na Internet.

Grupo de Canais do YouTube -IB
Grupo-IB Photowire no Instagram www.instagram.com/group_ib
Notícias curtas do Twitter twitter.com/GroupIB

O Group-IB é um dos principais desenvolvedores de soluções para detectar e prevenir ataques cibernéticos, detectar fraudes e proteger a propriedade intelectual em uma rede sediada em Cingapura.

WhatsApp na palma da sua mão: onde e como você pode detectar artefatos forenses?

Artefatos do WhatsApp em um dispositivo Android

Recursos de armazenamento de dados em alguns modelos de dispositivos móveis

Artefatos do WhatsApp no ​​dispositivo iOS

Artefatos do WhatsApp no ​​Windows

Artefatos do WhatsApp no ​​MacOS

More articles:

Artefatos do WhatsApp no dispositivo iOS

Artefatos do WhatsApp no Windows

Artefatos do WhatsApp no MacOS