WhatsApp à vista: onde e como você pode coletar artefatos forenses
WhatsApp à vista: onde e como você pode coletar artefatos forenses
Igor Mikhailov
Analista forense digital no Laboratório de Pesquisa Forense e Código Malicioso do Grupo-IB
Se você deseja saber que tipos de artefatos forenses do WhatsApp existem em diferentes sistemas operacionais e onde exatamente eles podem ser encontrados, você veio ao lugar certo. Esta postagem é focada no forense do WhatsApp e em quais dados podem ser obtidos de um dispositivo durante a análise forense.
Devemos observar desde o início que os sistemas operacionais diferem nos tipos de artefatos que eles contêm, portanto, extrair certos tipos de dados do WhatsApp de um dispositivo não significa automaticamente que os mesmos dados podem ser extraídos de outro dispositivo. Por exemplo, se você tem um computador desktop executando o Windows, é improvável que encontre chats do WhatsApp em seus discos (a exceção serão as cópias de backup do iOS). Laptops e dispositivos móveis, por outro lado, têm suas próprias peculiaridades. Vamos discutir este tópico com mais detalhes.
Devemos observar desde o início que os sistemas operacionais diferem nos tipos de artefatos que eles contêm, portanto, extrair certos tipos de dados do WhatsApp de um dispositivo não significa automaticamente que os mesmos dados podem ser extraídos de outro dispositivo. Por exemplo, se você tem um computador desktop executando o Windows, é improvável que encontre chats do WhatsApp em seus discos (a exceção serão as cópias de backup do iOS). Laptops e dispositivos móveis, por outro lado, têm suas próprias peculiaridades. Vamos discutir este tópico com mais detalhes.
Artefatos do WhatsApp em dispositivos Android
Para extrair artefatos do WhatsApp de um dispositivo Android, um investigador precisa ter privilégios de superusuário (raiz) ou ser capaz de extrair um despejo de memória física do sistema de arquivos por outros meios (por exemplo, usando vulnerabilidades de software de um dispositivo específico).
Os arquivos do aplicativo estão localizados na memória do telefone na seção em que os dados do usuário são armazenados. Como regra, esta seção é chamada de Userdata . Os subdiretórios e os arquivos de programa estão localizados no caminho / data / data / com . whatsapp /.
Os arquivos do aplicativo estão localizados na memória do telefone na seção em que os dados do usuário são armazenados. Como regra, esta seção é chamada de Userdata . Os subdiretórios e os arquivos de programa estão localizados no caminho / data / data / com . whatsapp /.
O wa . db e msgstore . bancos de dados db são os principais arquivos que contêm artefatos do WhatsApp no Android.
O wa . O banco de dados db contém uma lista completa dos contatos do usuário do WhatsApp, incluindo números de telefone, nomes para exibição, carimbos de data e hora e outras informações mencionadas ao se registrar no WhatsApp. O wa . O arquivo db está localizado no caminho / data / data / com . whatsapp / database / e possui a seguinte estrutura:
O wa . O banco de dados db contém uma lista completa dos contatos do usuário do WhatsApp, incluindo números de telefone, nomes para exibição, carimbos de data e hora e outras informações mencionadas ao se registrar no WhatsApp. O wa . O arquivo db está localizado no caminho / data / data / com . whatsapp / database / e possui a seguinte estrutura:
As tabelas mais interessantes do wa . O banco de dados db para investigadores forenses é:
• wa _ contatos
Esta tabela contém informações sobre contatos do WhatsApp, como ID do contato, status, nome para exibição, registros de data e hora, etc. Captura de tela da tabela:
• wa _ contatos
Esta tabela contém informações sobre contatos do WhatsApp, como ID do contato, status, nome para exibição, registros de data e hora, etc. Captura de tela da tabela:
Estrutura da tabela:
Nome do campo | Significado | |
---|---|---|
_identidade | Número de sequência do registro (definido pelo SQLite) | |
jid | ID do contato do WhatsApp (uma sequência estruturada como | |
'x@s.whatsapp.net', em que 'x' é o número de telefone do | ||
contato) | ||
is_whatsapp_user | Contém '1' se o contato corresponder a um usuário real do WhatsApp, '0' caso contrário | |
status | Texto na linha de status do contato | |
status_timestamp | Contém um registro de data e hora no formato Unix Epoch Time (ms) | |
número | Número de telefone associado ao contato | |
raw_contact_id | Número de sequência do contato | |
Mostrar nome | Nome de exibição do contato | |
tipo de telefone | Tipo de telefone | |
phone_label | Etiqueta associada ao número de telefone | |
unseen_msg_count | Número de mensagens enviadas pelo contato que foram | |
recebidas, mas ainda não foram lidas | ||
photo_ts | Contém um registro de data e hora no formato Unix Epoch Time | |
thumb_ts | Contém um registro de data e hora no formato Unix Epoch Time | |
photo_id_timestamp | Contém um registro de data e hora no formato Unix Epoch Time (ms) | |
nome dado | O valor do campo é o mesmo que em display_name para cada contato | |
wa_name | Nome do contato do WhatsApp (conforme definido em seu perfil) | |
sort_name | Nome do contato usado nas operações de classificação | |
apelido | Apelido do contato do WhatsApp (conforme definido em seu perfil) | |
companhia | Empresa (conforme definido no perfil do contato) | |
título | Título (Senhor / Senhora / Senhora | conforme definido no perfil do contato) |
deslocamento | Deslocamento |
• sqlite _ seqüência
Esta tabela contém informações sobre o número de contatos.
• android_metadata
Esta tabela contém informações sobre a localização do idioma do WhatsApp.
O banco de dados msgstore .db contém informações sobre mensagens enviadas, como número de contato, conteúdo da mensagem, status, carimbos de data e hora, informações sobre arquivos anexados etc. O arquivo msgstore .db está localizado no caminho /data/data/com.whatsapp/databases / e tem a seguinte estrutura:
Esta tabela contém informações sobre o número de contatos.
• android_metadata
Esta tabela contém informações sobre a localização do idioma do WhatsApp.
O banco de dados msgstore .db contém informações sobre mensagens enviadas, como número de contato, conteúdo da mensagem, status, carimbos de data e hora, informações sobre arquivos anexados etc. O arquivo msgstore .db está localizado no caminho /data/data/com.whatsapp/databases / e tem a seguinte estrutura:
As tabelas mais interessantes no arquivo msgstore.db para investigadores forenses são:
• sqlite _ sequence
Esta tabela contém informações gerais sobre o banco de dados, por exemplo, o número total de mensagens armazenadas, número total de bate-papos etc. Captura de tela da tabela:
• sqlite _ sequence
Esta tabela contém informações gerais sobre o banco de dados, por exemplo, o número total de mensagens armazenadas, número total de bate-papos etc. Captura de tela da tabela:
- message_fts_content
- mensagens
Estrutura da tabela:
Nome do campo | Significado |
---|---|
_identidade | Número de sequência do registro (definido pelo SQLite) |
key_remote_jid | ID do WhatsApp do parceiro de comunicação |
key_from_me | Direção da mensagem: '0' = entrada, '1' = saída |
key_id | Identificador de mensagem exclusivo |
status | Status da mensagem: '0' = recebido, '4' = aguardando no |
servidor, '5' = recebido no destino, | |
'6' = mensagem de controle, '13' = mensagem aberta pelo destinatário (leitura) | |
need_push | '2' se transmitir mensagem, '0' caso contrário |
dados | Conteúdo da mensagem quando media_wa_type = '0' |
timestamp | Contém um registro de data e hora no formato Unix Epoch Time (ms), o valor é obtido no relógio do dispositivo |
media_url | URL do arquivo transmitido (quando media_wa_type = {'1', '2', '3'}) |
media_mime_type | Tipo MIME do arquivo transmitido (quando media_wa_type = {'1', '2', '3'}) |
media_wa_type | Tipo de mensagem: '0' = texto, '1' = imagem, '2' = áudio, '3' = vídeo, |
'4' = cartão de contato, '5' = posição geográfica) | |
media_size | Tamanho do arquivo transmitido (quando media_wa_type = {'1', '2', '3'}) |
media_name | Nome do arquivo transmitido (quando media_wa_type = {'1', '2', '3'}) |
media_caption | Contém as palavras "audio" e "video" para os valores correspondentes de media_wa_type (quando media_wa_type = {'1', '3'}) |
media_hash | O hash SHA-256 codificado em Base64 do arquivo transmitido (quando |
media_wa_type = {'1', '2', '3'}) | |
media_duration | Duração em seg. do arquivo de mídia transmitido (quando media_wa_type = {'1', '2', '3'}) |
origem | '2' se transmitir mensagem, '0' caso contrário |
latitude | Latitude do remetente da mensagem (quando media_wa_type = '5') |
longitude | Longitude do remetente da mensagem (quando media_wa_type = '5') |
thumb_image | Informações sobre arrumação |
remote_recource | ID do remetente (apenas para mensagens de bate-papo em grupo) |
received_timestamp | Hora do recebimento. Contém um registro de data e hora no formato Unix Epoch Time (ms). O valor é obtido do relógio do dispositivo (se key_from_me = '1', '-1', caso contrário |
send_timestamp | Não utilizado (sempre definido como '-1') |
receiver_server_timestamp | Hora do recebimento do servidor central ACK. Contém um registro de data e hora no formato Unix Epoch Time (ms). O valor é obtido do relógio do dispositivo (se key_from_me = '1', '-1' caso contrário) |
receiver_device_timestamp | Hora do recebimento do destinatário ACK. Contém um registro de data e hora no formato Unix Epoch Time (ms). O valor é obtido do relógio do dispositivo (se key_from_me = '1', '-1' caso contrário) |
read_device_timestamp | Hora de abrir (ler) a mensagem. Contém um registro de data e hora no formato Unix Epoch Time (ms). O valor é obtido no relógio do dispositivo |
plays_device_timestamp | Hora de reproduzir a mensagem. Contém um registro de data e hora no formato Unix Epoch Time (ms). O valor é obtido no relógio do dispositivo |
dados não tratados | Miniatura do arquivo transmitido quando media_wa_type = {'1', '3'} |
container_count | Número de destinatários (mensagem de difusão) |
participant_hash | Usado na transmissão de dados geográficos |
Estrelou | Não utilizado |
quoted_row_id | Desconhecido, geralmente contém o valor '0' |
named_jids | Não utilizado |
multicast_id | Não utilizado |
deslocamento | Deslocamento |
Esta lista de campos não é completa. Versões diferentes do WhatsApp podem ter ou não alguns dos campos. Além disso, pode haver os campos media _ enc _ hash , edit_version , payment_transaction_id , etc.
- mensagens _ miniaturas
- chat_list
Além disso, ao examinar o WhatsApp em um dispositivo Android, observe os seguintes arquivos:
- msgstore.db.cryptXX (onde XX é um ou dois dígitos de 0 a 12, por exemplo, msgstore.db.crypt12). O arquivo contém uma cópia de backup criptografado de mensagens WhatsApp (backup do msgstore . Db arquivo). O msgstore . db . O arquivo (ou arquivos) cryptXX está localizado no caminho / data / media / 0 / WhatsApp / Databases / (cartão SD virtual) e / mnt / sdcard / WhatsApp / Databases / (cartão SD físico).
- A chave O arquivo contém uma chave criptográfica e está localizado no caminho / data / data / com . whatsapp / arquivos / . É usado para descriptografar cópias de segurança do WhatsApp criptografadas.
- O arquivo com.whatsapp_preferences.xml contém informações sobre o perfil do WhatsApp e está localizado no caminho /data/data/com.whatsapp/shared_prefs/ .
Fragmento de arquivo:
\ <? Xml version = "1.0" encoding = "ISO-8859-1"?>… <String name = "ph"> 9123456789 </string> (o número de telefone associado à conta do WhatsApp)… <string name = "version"> 2.17.395 </string> (versão WhatsApp)… <string name = "my_current_status"> Olá! Estou usando o WhatsApp. </string> (a mensagem está sendo exibida na conta do usuário do WhatsApp)… <string name = "push_name"> Alex </string> (O nome de usuário do proprietário da conta do Whatsapp)
\ <? Xml version = "1.0" encoding = "ISO-8859-1"?>… <String name = "ph"> 9123456789 </string> (o número de telefone associado à conta do WhatsApp)… <string name = "version"> 2.17.395 </string> (versão WhatsApp)… <string name = "my_current_status"> Olá! Estou usando o WhatsApp. </string> (a mensagem está sendo exibida na conta do usuário do WhatsApp)… <string name = "push_name"> Alex </string> (O nome de usuário do proprietário da conta do Whatsapp)
- O arquivo registration.RegisterPhone.xml contém informações sobre o número de telefone associado à conta do WhatsApp e está localizado no caminho /data/data/com.whatsapp/shared_prefs/ .
Conteúdo do arquivo:
<? Xml version = "1.0" encoding = "ISO-8859-1"?> <map> <string name = "com.whatsapp.registration.RegisterPhone.phone_number"> 9123456789 </string> <int name = "com.whatsapp.registration.RegisterPhone.verification_state" value = "0" /> <int name = "com.whatsapp.registration.RegisterPhone.country_code_position" value = "- 1" /> <string name = "com.whatsapp. registration.RegisterPhone.input_phone_number "> 912 345-67-89 </string> <int name =" com.whatsapp.registration.RegisterPhone.phone_number_position "value =" 10 "/> <string name =" com.whatsapp.registration. RegisterPhone.input_country_code "> 7 </string> <string name =" com.whatsapp.registration.RegisterPhone.country_code "> 7 </string> </map>
<? Xml version = "1.0" encoding = "ISO-8859-1"?> <map> <string name = "com.whatsapp.registration.RegisterPhone.phone_number"> 9123456789 </string> <int name = "com.whatsapp.registration.RegisterPhone.verification_state" value = "0" /> <int name = "com.whatsapp.registration.RegisterPhone.country_code_position" value = "- 1" /> <string name = "com.whatsapp. registration.RegisterPhone.input_phone_number "> 912 345-67-89 </string> <int name =" com.whatsapp.registration.RegisterPhone.phone_number_position "value =" 10 "/> <string name =" com.whatsapp.registration. RegisterPhone.input_country_code "> 7 </string> <string name =" com.whatsapp.registration.RegisterPhone.country_code "> 7 </string> </map>
• o axolote . O arquivo db contém chaves criptográficas e outros dados necessários para identificar o proprietário da conta. O arquivo está localizado no caminho / data / data / com . whatsapp / bancos de dados / .
• As configurações de bate-papo . db O arquivo contém informações de configuração do aplicativo.
• O wa . db O arquivo contém detalhes de contato, que são muito informativos e interessantes de uma perspectiva forense. Pode revelar informações sobre contatos excluídos.
Verifique os seguintes diretórios:
• / data / media / 0 / WhatsApp / Media / WhatsApp Images / . Contém arquivos gráficos transferidos.
• / data / media / 0 / WhatsApp / Media / WhatsApp Voice Notes / . Contém mensagens de voz no formato .opus.
• /data/data/com.whatsapp/cache/Profile Pictures / .
Contém arquivos gráficos: fotos do perfil dos contatos.
• /data/data/com.whatsapp/files/Avatars/ .
Contém arquivos gráficos: miniaturas das fotos do perfil dos contatos. Esses arquivos têm a extensão .j, mas na verdade são arquivos JPEG (JPG).
• /data/data/com.whatsapp/files/Avatars/ .
Contém arquivos gráficos: a foto do perfil e sua miniatura configurada como avatar pelo proprietário da conta.
• / data / data / com . whatsapp / arquivos / Logs / .
Contém um log de operação do programa (o arquivo whatsapp . Log ) e cópias de backup dos logs da operação do programa (arquivos com os nomes no formato whatsapp-yyyy-mm-dd.1.log.gz).
Arquivos de log do WhatsApp:
• As configurações de bate-papo . db O arquivo contém informações de configuração do aplicativo.
• O wa . db O arquivo contém detalhes de contato, que são muito informativos e interessantes de uma perspectiva forense. Pode revelar informações sobre contatos excluídos.
Verifique os seguintes diretórios:
• / data / media / 0 / WhatsApp / Media / WhatsApp Images / . Contém arquivos gráficos transferidos.
• / data / media / 0 / WhatsApp / Media / WhatsApp Voice Notes / . Contém mensagens de voz no formato .opus.
• /data/data/com.whatsapp/cache/Profile Pictures / .
Contém arquivos gráficos: fotos do perfil dos contatos.
• /data/data/com.whatsapp/files/Avatars/ .
Contém arquivos gráficos: miniaturas das fotos do perfil dos contatos. Esses arquivos têm a extensão .j, mas na verdade são arquivos JPEG (JPG).
• /data/data/com.whatsapp/files/Avatars/ .
Contém arquivos gráficos: a foto do perfil e sua miniatura configurada como avatar pelo proprietário da conta.
• / data / data / com . whatsapp / arquivos / Logs / .
Contém um log de operação do programa (o arquivo whatsapp . Log ) e cópias de backup dos logs da operação do programa (arquivos com os nomes no formato whatsapp-yyyy-mm-dd.1.log.gz).
Arquivos de log do WhatsApp:
Conteúdo do registro:
2017-01-10 09: 37: 09.757 LL_I D [524: WhatsApp Worker # 1] notificação de chamada / contagem perdida: 0 timestamp: 0
2017-01-10 09: 37: 09.758 LL_I D [524: WhatsApp Worker # 1] notificação / atualização de cancelamento perdida true true
01-01-2017 09: 37: 09.768 LL_I D [1: principal] app-init / load-me
2017-01-10 09: 37: 09.772 LL_I D [1: principal] arquivo de senha ausente ou ilegível
2017-01-10 09: 37: 09.782 LL_I D [1: main] statistics Mensagens de texto: 59 enviadas, 82 recebidas / Mensagens de mídia: 1 enviada (0 bytes), 0 recebida (9850158 bytes) / Mensagens offline: 81 recebidas ( Atraso médio de 19522 ms) / Serviço de mensagens: 116075 bytes enviados, 211729 bytes recebidos / Chamadas Voip: 1 chamadas efetuadas, 0 chamadas recebidas, 2492 bytes enviados, 1530 bytes recebidos / Google Drive: 0 bytes enviados, 0 bytes recebidos / Roaming: 1524 bytes enviados, 1826 bytes recebidos / Total de dados: 118567 bytes enviados, 10063417 bytes recebidos
10-01-2017 09: 37: 09.785 LL_I D [1: principal] gerenciador de estado-de-mídia / refresh-media-state / media de gravação
2017 -01-10 09: 37: 09.806 LL_I D [1: principal] app-init / initialize / timer / stop: 24
2017-01-10 09: 37: 09.811 LL_I D [1: principal] msgstore / checkhealth
2017-01-10 09: 37: 09.817 LL_I D [1: principal] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: principal] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: principal] msgstore / checkdb / data / data / com.whatsapp / database / msgstore.db
2017-01-10 09: 37: 09.819 LL_I D [1: main ] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: principal] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09 : 37: 09.820 LL_I D [1: principal] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: principal] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: principal] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.822 LL_I D [1: principal] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09:37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.824 LL_I D [1: principal] msgstore / checkdb / list wa.db 69632 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db 4096 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09: 37: 09.827 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.838 LL_I D [1: principal] msgstore / checkdb / versão 1
2017-01-10 09: 37: 09.839 LL_I D [1: main] msgstore / canquery 10-01-2017
09: 37: 09.846 LL_I D [1: principal] msgstore / canquery / count 1
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery / timer / parada: 8
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery 517 | tempo gasto: 8
2017-01-10 09: 37: 09.848 LL_I D [529: WhatsApp Worker # 3] gerente de estado de mídia / estado de atualização de mídia / armazenamento interno disponível: 1.345.622.016 total: 5.687.922.688
2017-01-10 09: 37: 09.757 LL_I D [524: WhatsApp Worker # 1] notificação de chamada / contagem perdida: 0 timestamp: 0
2017-01-10 09: 37: 09.758 LL_I D [524: WhatsApp Worker # 1] notificação / atualização de cancelamento perdida true true
01-01-2017 09: 37: 09.768 LL_I D [1: principal] app-init / load-me
2017-01-10 09: 37: 09.772 LL_I D [1: principal] arquivo de senha ausente ou ilegível
2017-01-10 09: 37: 09.782 LL_I D [1: main] statistics Mensagens de texto: 59 enviadas, 82 recebidas / Mensagens de mídia: 1 enviada (0 bytes), 0 recebida (9850158 bytes) / Mensagens offline: 81 recebidas ( Atraso médio de 19522 ms) / Serviço de mensagens: 116075 bytes enviados, 211729 bytes recebidos / Chamadas Voip: 1 chamadas efetuadas, 0 chamadas recebidas, 2492 bytes enviados, 1530 bytes recebidos / Google Drive: 0 bytes enviados, 0 bytes recebidos / Roaming: 1524 bytes enviados, 1826 bytes recebidos / Total de dados: 118567 bytes enviados, 10063417 bytes recebidos
10-01-2017 09: 37: 09.785 LL_I D [1: principal] gerenciador de estado-de-mídia / refresh-media-state / media de gravação
2017 -01-10 09: 37: 09.806 LL_I D [1: principal] app-init / initialize / timer / stop: 24
2017-01-10 09: 37: 09.811 LL_I D [1: principal] msgstore / checkhealth
2017-01-10 09: 37: 09.817 LL_I D [1: principal] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: principal] msgstore / checkhealth / journal / delete false
2017-01-10 09: 37: 09.818 LL_I D [1: principal] msgstore / checkdb / data / data / com.whatsapp / database / msgstore.db
2017-01-10 09: 37: 09.819 LL_I D [1: main ] msgstore / checkdb / list _jobqueue-WhatsAppJobManager 16384 drw = 011
2017-01-10 09: 37: 09.820 LL_I D [1: principal] msgstore / checkdb / list _jobqueue-WhatsAppJobManager-journal 21032 drw = 011
2017-01-10 09 : 37: 09.820 LL_I D [1: principal] msgstore / checkdb / list axolotl.db 184320 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: principal] msgstore / checkdb / list axolotl.db-wal 436752 drw = 011
2017-01-10 09: 37: 09.821 LL_I D [1: principal] msgstore / checkdb / list axolotl.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.822 LL_I D [1: principal] msgstore / checkdb / list msgstore.db 540672 drw = 011
2017-01-10 09: 37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-wal 0 drw = 011
2017-01-10 09:37: 09.823 LL_I D [1: principal] msgstore / checkdb / list msgstore.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.824 LL_I D [1: principal] msgstore / checkdb / list wa.db 69632 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-wal 428512 drw = 011
2017-01-10 09: 37: 09.825 LL_I D [1: principal] msgstore / checkdb / list wa.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db 4096 drw = 011
2017-01-10 09: 37: 09.826 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db-wal 70072 drw = 011
2017-01-10 09: 37: 09.827 LL_I D [1: principal] msgstore / checkdb / list chatsettings.db-shm 32768 drw = 011
2017-01-10 09: 37: 09.838 LL_I D [1: principal] msgstore / checkdb / versão 1
2017-01-10 09: 37: 09.839 LL_I D [1: main] msgstore / canquery 10-01-2017
09: 37: 09.846 LL_I D [1: principal] msgstore / canquery / count 1
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery / timer / parada: 8
2017-01-10 09: 37: 09.847 LL_I D [1: principal] msgstore / canquery 517 | tempo gasto: 8
2017-01-10 09: 37: 09.848 LL_I D [529: WhatsApp Worker # 3] gerente de estado de mídia / estado de atualização de mídia / armazenamento interno disponível: 1.345.622.016 total: 5.687.922.688
• / data / media / 0 / WhatsApp / Media / WhatsApp Audio / Contém arquivos de áudio recebidos.
• / data / media / 0 / WhatsApp / Media / WhatsApp Audio / Enviado / Contém arquivos de áudio enviados.
• / data / media / 0 / WhatsApp / Media / WhatsApp Images / Contém arquivos gráficos recebidos.
• / dados / mídia / 0 / WhatsApp / Mídia / Imagens do WhatsApp / Enviado / Contém arquivos gráficos enviados.
• / data / media / 0 / WhatsApp / Media / WhatsApp Video / Contém arquivos de vídeo recebidos.
• / data / media / 0 / WhatsApp / Media / WhatsApp Video / Enviado / Contém arquivos de vídeo enviados.
• / data / media / 0 / WhatsApp / Media / Fotos de perfil do WhatsApp /Contém arquivos gráficos associados ao proprietário da conta do WhatsApp.
Para economizar espaço de memória em um dispositivo Android, alguns dados do WhatsApp podem ser armazenados em um cartão SD. Na raiz, o cartão SD pode ter o diretório WhatsApp , onde os seguintes artefatos podem ser encontrados:
• / data / media / 0 / WhatsApp / Media / WhatsApp Audio / Enviado / Contém arquivos de áudio enviados.
• / data / media / 0 / WhatsApp / Media / WhatsApp Images / Contém arquivos gráficos recebidos.
• / dados / mídia / 0 / WhatsApp / Mídia / Imagens do WhatsApp / Enviado / Contém arquivos gráficos enviados.
• / data / media / 0 / WhatsApp / Media / WhatsApp Video / Contém arquivos de vídeo recebidos.
• / data / media / 0 / WhatsApp / Media / WhatsApp Video / Enviado / Contém arquivos de vídeo enviados.
• / data / media / 0 / WhatsApp / Media / Fotos de perfil do WhatsApp /Contém arquivos gráficos associados ao proprietário da conta do WhatsApp.
Para economizar espaço de memória em um dispositivo Android, alguns dados do WhatsApp podem ser armazenados em um cartão SD. Na raiz, o cartão SD pode ter o diretório WhatsApp , onde os seguintes artefatos podem ser encontrados:
• Compartilhar ( /mnt/sdcard/WhatsApp/.Share/ ) Contém cópias de arquivos que foram enviados para outros usuários do WhatsApp.
• Lixeira ( /mnt/sdcard/WhatsApp/.trash/ ) Contém arquivos excluídos.
• Bancos de dados ( / mnt / sdcard / WhatsApp / Databases / ) Contém cópias de backup criptografadas. Eles podem ser descriptografados usando o arquivo de chave extraído da memória do dispositivo.
Arquivos localizados no subdiretório Databases :
• Lixeira ( /mnt/sdcard/WhatsApp/.trash/ ) Contém arquivos excluídos.
• Bancos de dados ( / mnt / sdcard / WhatsApp / Databases / ) Contém cópias de backup criptografadas. Eles podem ser descriptografados usando o arquivo de chave extraído da memória do dispositivo.
Arquivos localizados no subdiretório Databases :
• Mídia ( / mnt / sdcard / WhatsApp / Media / ) Contém os subdiretórios Papel de parede , WhatsApp áudio , WhatsApp Imagens , WhatsApp Perfil Fotos , WhatsApp vídeo , e WhatsApp notas de voz , que armazenam recebidos e enviados arquivos multimídia (gráficos, vídeos, mensagens de áudio , fotos associadas ao proprietário da conta do WhatsApp e papéis de parede).
• Imagens de perfil ( / mnt / sdcard / WhatsApp / Imagens de perfil / ) Contém arquivos gráficos associados ao perfil do proprietário da conta do WhatsApp.
• Às vezes, o cartão SD pode ter um diretório de arquivos ( /mnt / sdcard / WhatsApp / Arquivos / ), que contém arquivos que armazenam configurações do programa e preferências do usuário.
• Imagens de perfil ( / mnt / sdcard / WhatsApp / Imagens de perfil / ) Contém arquivos gráficos associados ao perfil do proprietário da conta do WhatsApp.
• Às vezes, o cartão SD pode ter um diretório de arquivos ( /mnt / sdcard / WhatsApp / Arquivos / ), que contém arquivos que armazenam configurações do programa e preferências do usuário.
Armazenamento de dados em alguns dispositivos móveis
Em alguns dispositivos móveis com Android, os artefatos do WhatsApp podem ser armazenados em um local diferente. Isso ocorre porque o software do sistema do dispositivo pode alterar o espaço de armazenamento dos dados do aplicativo. Por exemplo, os dispositivos móveis Xiaomi têm um recurso chamado Second Space, projetado para criar um segundo espaço de trabalho no dispositivo. Quando esse recurso é ativado, o local dos dados muda. Portanto, enquanto um dispositivo Android comum armazena dados do usuário no diretório / data / user / 0 / (que é um link para o usual / data / data / ), o segundo espaço de trabalho armazena dados do aplicativo em / data / user / 10 / . Vamos comparar ondewa . o db está localizado:
• Smartphone Android normal: /data/user/0/com.whatsapp/databases/wa.db (que é equivalente a /data/data/com.whatsapp/databases/wa.db )
• Xiaomi Second Space: /data/user/10/com.whatsapp/databases/wa.db .
• Smartphone Android normal: /data/user/0/com.whatsapp/databases/wa.db (que é equivalente a /data/data/com.whatsapp/databases/wa.db )
• Xiaomi Second Space: /data/user/10/com.whatsapp/databases/wa.db .
Artefatos do WhatsApp em dispositivos iOS
Ao contrário do sistema operacional Android, no iOS, os dados do WhatsApp são transferidos para uma cópia de backup (backup do iTunes), o que significa que a extração de dados do aplicativo não requer a extração do sistema de arquivos ou a criação de um despejo de memória física. A maioria das informações relevantes é armazenada no ChatStorage.sqlite banco de dados, localizado no caminho / private / var / mobile / Applications / group . net . whatsapp . WhatsApp . shared / (em alguns programas, esse caminho é exibido como AppDomainGroup - group . net . whatsapp . WhatsApp . shared ).
ChatStorage.sqlite estrutura:
ChatStorage.sqlite estrutura:
Maioria das peças informativas do ChatStorage.sqlite banco de dados são os ZWAMESSAGE e ZWAMEDIAITEM tabelas.
Captura de tela do ZWAMESSAGE tabela:
Captura de tela do ZWAMESSAGE tabela:
Captura de tela mostrando o que acontece depois que uma página de phishing é aberta
Estrutura da tabela ZWAMESSAGE:
Nome do campo | Significado |
---|---|
Z_PK | Número de sequência do registro (definido pelo SQLite) |
Z_ENT | Identificador de tabela, tem o valor '9' |
Z_OPT | Desconhecido, geralmente possui valores de '1' a '6' |
ZCHILDMESSAGESDELIVEREDCOUNT | Desconhecido, geralmente tem o valor '0' |
ZCHILDMESSAGESPLAYEDCOUNT | Desconhecido, geralmente tem o valor '0' |
ZCHILDMESSAGESREADCOUNT | Desconhecido, geralmente tem o valor '0' |
ZDATAITEMVERSION | Desconhecido, geralmente tem o valor '3' e pode ser um indicador de mensagem de texto |
ZDOCID | Desconhecido |
ZENCRETRYCOUNT | Desconhecido, geralmente tem o valor '0' |
ZFILTEREDRECIPIENTCOUNT | Desconhecido, geralmente possui valores '0', '2', '256' |
ZISFROMME | Direção da mensagem: '0' = entrada, '1' = saída |
ZMESSAGEERRORSTATUS | Status da mensagem. '0' se a mensagem foi enviada / recebida |
ZMESSAGETYPE | Tipo de mensagem |
ZSORT | Desconhecido |
ZSPOTLIGHSTATUS | Desconhecido |
ZSTARRED | Desconhecido e não utilizado |
ZCHATSESSION | Desconhecido |
ZGROUPMEMBER | Desconhecido e não utilizado |
ZLASTSESSION | Desconhecido |
ZMEDIAITEM | Desconhecido |
ZMESSAGEINFO | Desconhecido |
ZPARENTMESSAGE | Desconhecido e não utilizado |
ZMESSAGEDATE | Registro de data e hora no formato OS X Epoch Time |
ZSENTDATE | Hora em que a mensagem foi enviada no formato OS X Epoch Time |
ZFROMJID | ID do remetente do WhatsApp |
ZMEDIASECTIONID | Contém o mês e o ano em que o arquivo de mídia foi enviado |
ZPHASH | Desconhecido e não utilizado |
ZPUSHPAME | Nome do contato que enviou o arquivo de mídia no formato UTF-8 |
ZSTANZID | Identificador de mensagem exclusivo |
ZTEXT | Conteúdo da mensagem |
ZTOJID | ID do destinatário do WhatsApp |
OFFSET | Deslocamento |
Captura de tela da tabela ZWAMEDIAITEM :
Estrutura da tabela ZWAMEDIAITEM:
Nome do campo | Significado |
---|---|
Z_PK | Número de sequência do registro (definido pelo SQLite) |
Z_ENT | Identificador da tabela, tem o valor '8' |
Z_OPT | Desconhecido, geralmente possui valores de '1' a '3' |
ZCLOUDSTATUS | Tem o valor '4' se o arquivo foi baixado |
ZFILESIZE | Contém o tamanho do arquivo (em bytes) para os arquivos baixados |
ZMEDIAORIGIN | Desconhecido, geralmente tem o valor '0' |
ZMOVIEDURATION | O tamanho do arquivo de mídia, para arquivos .pdf, pode conter o número de páginas |
ZMESSAGE | Contém um número de sequência (diferente do especificado na coluna Z_PK) |
ZASPECTRATIO | A relação de aspecto, não utilizada, geralmente tem o valor '0' |
ZHACCURACY | Desconhecido, geralmente tem o valor '0' |
ZLATTITUDE | Largura em pixels |
ZLONGTITUDE | Altura em pixels |
ZMEDIAURLDATE | Registro de data e hora no formato OS X Epoch Time |
ZAUTHORNAME | Autor (para documentos pode conter nome de arquivo) |
ZCOLLECTIONNAME | Não utilizado |
ZMEDIALOCALPATH | Nome do arquivo (com o caminho especificado) no sistema de arquivos do dispositivo |
ZMEDIAURL | URL em que o arquivo de mídia estava localizado. Se o arquivo foi transferido de um usuário para outro, ele será criptografado e sua extensão será a do arquivo transferido - .enc |
ZTHUMBNAILLOCALPATH | Caminho para a miniatura do arquivo no sistema de arquivos do dispositivo |
ZTITLE | Cabeçalho do arquivo |
ZVCARDNAME | Hash do arquivo de mídia. Pode conter identificador de remetente se o arquivo foi enviado para um grupo |
ZVCARDSTRING | Contém informações sobre o tipo de arquivo transferido (por exemplo, imagem / jpeg). Pode conter identificador de remetente se o arquivo foi enviado para um grupo. |
ZXMPPTHUMBPATH | Caminho para a miniatura do arquivo no sistema de arquivos do dispositivo |
ZMEDIAKEY | Desconhecido. Pode conter a chave de criptografia de um arquivo criptografado. |
ZMETADATA | Metadados da mensagem transferida |
Deslocamento | Deslocamento |
Outras tabelas interessantes no banco de dados ChatStorage.sqlite são:
• ZWAPROFILEPUSHNAME . Associa o ID do WhatsApp a um nome de contato
• ZWAPROFILEPICTUREITEM . Associa o ID do WhatsApp ao avatar de um contato
• Z _ PRIMARYKEY . Contém informações gerais sobre o banco de dados, como o número total de mensagens armazenadas, número total de bate-papos etc.
Além disso, ao examinar o WhatsApp em um dispositivo móvel iOS, observe os seguintes arquivos:
• BackedUpKeyValue . sqlite Contém chaves criptográficas e outros dados necessários para a identificação do proprietário da conta. Está localizado abaixo do caminho/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
• ContactsV 2. sqlite Contém informações sobre os contatos do usuário, como nomes, números de telefone, status do contato (como texto), ID do WhatsApp etc. Ele está localizado no caminho / private / var / mobile / Applications / group . net . whatsapp . WhatsApp . compartilhado / .
• consumidor _ versão Contém o número da versão do WhatsApp e está localizado no caminho/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
• current_wallpaper.jpg Contém os papéis de parede atuais do plano de fundo do WhatsApp e está localizado no caminho /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ . Versões mais antigas do aplicativo usam o arquivo de papel de parede , localizado no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
• contatos bloqueados . dat Contém informações sobre contatos bloqueados e está localizado no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
• pw . dat. Contém uma senha criptografada e está localizada no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/ .
• net.whatsapp.WhatsApp.plist (ou group.net.whatsapp.WhatsApp.shared.plist ). Contém informações sobre o perfil do WhatsApp e está localizado no caminho /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/ .
• ZWAPROFILEPUSHNAME . Associa o ID do WhatsApp a um nome de contato
• ZWAPROFILEPICTUREITEM . Associa o ID do WhatsApp ao avatar de um contato
• Z _ PRIMARYKEY . Contém informações gerais sobre o banco de dados, como o número total de mensagens armazenadas, número total de bate-papos etc.
Além disso, ao examinar o WhatsApp em um dispositivo móvel iOS, observe os seguintes arquivos:
• BackedUpKeyValue . sqlite Contém chaves criptográficas e outros dados necessários para a identificação do proprietário da conta. Está localizado abaixo do caminho/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
• ContactsV 2. sqlite Contém informações sobre os contatos do usuário, como nomes, números de telefone, status do contato (como texto), ID do WhatsApp etc. Ele está localizado no caminho / private / var / mobile / Applications / group . net . whatsapp . WhatsApp . compartilhado / .
• consumidor _ versão Contém o número da versão do WhatsApp e está localizado no caminho/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ .
• current_wallpaper.jpg Contém os papéis de parede atuais do plano de fundo do WhatsApp e está localizado no caminho /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ . Versões mais antigas do aplicativo usam o arquivo de papel de parede , localizado no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
• contatos bloqueados . dat Contém informações sobre contatos bloqueados e está localizado no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ .
• pw . dat. Contém uma senha criptografada e está localizada no caminho /private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/ .
• net.whatsapp.WhatsApp.plist (ou group.net.whatsapp.WhatsApp.shared.plist ). Contém informações sobre o perfil do WhatsApp e está localizado no caminho /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/ .
Conteúdo do arquivo group.net.whatsapp.WhatsApp.shared.plist :
Certifique-se de examinar também os seguintes diretórios:
- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/ Contém miniaturas de contatos e grupos (arquivos com a extensão .thumb ), avatares de contato e o avatar do proprietário da conta do WhatsApp (a Foto arquivo .jpg ).
- / private / var / mobile / Applications / group . net . whatsapp . WhatsApp . shared / Message / Media / Contém arquivos multimídia e suas miniaturas.
- /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ Contém um log de operação do programa (as chamadas . log arquivo) e cópias de backup dos logs de operação do programa (as chamadas . backup . arquivo de log ).
- /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/ Contém adesivos (os arquivos .webp ).
- /private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/ Contém os logs de operação do programa .
Artefatos do WhatsApp no Windows
Os artefatos do WhatsApp no Windows podem ser encontrados em vários lugares. Mais importante ainda, são os diretórios que contêm arquivos executáveis e auxiliares (para Windows 8/10):
• \ Arquivos de Programas (x86) \ WhatsApp \
• \ Usuários \% Perfil do usuário% \ AppData \ Local \ WhatsApp \
• \ Usuários \% Perfil do usuário% \ AppData \ Local \ VirtualStore \ Arquivos de Programas (x86) \ WhatsApp \
O diretório \ Users \% User profile% \ AppData \ Local \ WhatsApp \ armazena o arquivo de log SquirrelSetup.log , que contém informações sobre verificações de atualizações e instalação do programa.
O \ Users \% Usuário O diretório % \ AppData \ Roaming \ WhatsApp \ do perfil possui vários subdiretórios:
• \ Arquivos de Programas (x86) \ WhatsApp \
• \ Usuários \% Perfil do usuário% \ AppData \ Local \ WhatsApp \
• \ Usuários \% Perfil do usuário% \ AppData \ Local \ VirtualStore \ Arquivos de Programas (x86) \ WhatsApp \
O diretório \ Users \% User profile% \ AppData \ Local \ WhatsApp \ armazena o arquivo de log SquirrelSetup.log , que contém informações sobre verificações de atualizações e instalação do programa.
O \ Users \% Usuário O diretório % \ AppData \ Roaming \ WhatsApp \ do perfil possui vários subdiretórios:
Estrutura da subpasta "domínio"
O arquivo main-process.log contém informações sobre a operação do WhatsApp.
O subdiretório de bancos de dados contém Databases.db . Este arquivo, no entanto, não possui nenhuma informação sobre bate-papos ou contatos.
Os arquivos mais interessantes de uma perspectiva forense são os encontrados no diretório Cache . Estes são arquivos com o nome f _ ******* (onde * é um número de 0 a 9) contendo arquivos e documentos multimídia criptografados. Alguns deles, no entanto, podem não ser criptografados. Os arquivos mais interessantes aqui são dados _0 , dados _1 , dados _2 e dados _3 , localizados no mesmo subdiretório. Esses arquivos contêm links externos para arquivos e documentos multimídia transferidos criptografados.
Exemplo de informações contidas no arquivo data_1:
O subdiretório de bancos de dados contém Databases.db . Este arquivo, no entanto, não possui nenhuma informação sobre bate-papos ou contatos.
Os arquivos mais interessantes de uma perspectiva forense são os encontrados no diretório Cache . Estes são arquivos com o nome f _ ******* (onde * é um número de 0 a 9) contendo arquivos e documentos multimídia criptografados. Alguns deles, no entanto, podem não ser criptografados. Os arquivos mais interessantes aqui são dados _0 , dados _1 , dados _2 e dados _3 , localizados no mesmo subdiretório. Esses arquivos contêm links externos para arquivos e documentos multimídia transferidos criptografados.
Exemplo de informações contidas no arquivo data_1:
Os dados _3 também podem conter arquivos gráficos.
data _2 contém avatares de contato (eles podem ser restaurados pesquisando cabeçalhos de arquivo).
Avatares contidos em data_2 :
data _2 contém avatares de contato (eles podem ser restaurados pesquisando cabeçalhos de arquivo).
Avatares contidos em data_2 :
Captura de tela do conteúdo do arquivo do kit de phishing, que envia credenciais roubadas para o endereço de e-mail do agente da ameaça
Não é possível encontrar bate-papos na memória do computador. No entanto, é possível encontrar:
• arquivos multimídia
• documentos transferidos via WhatsApp
• informações de contato sobre o proprietário da conta
• arquivos multimídia
• documentos transferidos via WhatsApp
• informações de contato sobre o proprietário da conta
Artefatos do WhatsApp no MacOS
O MacOS possui artefatos do WhatsApp semelhantes aos encontrados no sistema operacional Windows.
Para versões mais antigas do MacOS, os arquivos do programa estão localizados nos seguintes diretórios:
• \ Aplicativos \ WhatsApp.app
• \ Aplicativos \ ._ WhatsApp.app
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Preferências
• \ Usuários \% Perfil do Usuário% \ Biblioteca \ Logs \ WhatsApp
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Estado do Aplicativo Salvo \ WhatsApp.savedState
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Scripts do Aplicativo
• \ Usuários \% Perfil do Usuário% \ Biblioteca \ Suporte ao Aplicativo \ CloudDocs
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Suporte a Aplicativos \ WhatsApp.ShipIt
•\ Users \% Perfil do usuário% \ Library \ Containers \ com.rockysandstudio.app-for-whatsapp
• \ Users \% Perfil do usuário% \ Library \ Mobile Documents \ <variável de texto> WhatsApp \ Accounts
Este diretório contém subdiretórios cujos nomes são telefone números associados ao proprietário da conta do WhatsApp.
• \ Users \% Usuário perfil % \ Library \ Caches \ WhatsApp . ShipIt \
Este diretório contém informações sobre a instalação do programa.
• \ Users \% Usuário perfil % \ Imagens \ iPhoto . biblioteca de fotos \ Masters \ ; C : \ Usuários \% Usuário perfil % \ Imagens \ iPhoto . biblioteca de fotos \ Miniaturas \
Esses diretórios contêm os arquivos de serviço do programa, incluindo fotos e miniaturas dos contatos do WhatsApp.
\ Users \% Usuário profile % \ Library \ Caches \ WhatsApp \
Este diretório contém apenas vários bancos de dados SQLite, que são usados para armazenamento em cache de dados.
• \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp \
Este diretório contém vários subdiretórios:
Para versões mais antigas do MacOS, os arquivos do programa estão localizados nos seguintes diretórios:
• \ Aplicativos \ WhatsApp.app
• \ Aplicativos \ ._ WhatsApp.app
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Preferências
• \ Usuários \% Perfil do Usuário% \ Biblioteca \ Logs \ WhatsApp
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Estado do Aplicativo Salvo \ WhatsApp.savedState
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Scripts do Aplicativo
• \ Usuários \% Perfil do Usuário% \ Biblioteca \ Suporte ao Aplicativo \ CloudDocs
• \ Usuários \% Perfil do usuário% \ Biblioteca \ Suporte a Aplicativos \ WhatsApp.ShipIt
•\ Users \% Perfil do usuário% \ Library \ Containers \ com.rockysandstudio.app-for-whatsapp
• \ Users \% Perfil do usuário% \ Library \ Mobile Documents \ <variável de texto> WhatsApp \ Accounts
Este diretório contém subdiretórios cujos nomes são telefone números associados ao proprietário da conta do WhatsApp.
• \ Users \% Usuário perfil % \ Library \ Caches \ WhatsApp . ShipIt \
Este diretório contém informações sobre a instalação do programa.
• \ Users \% Usuário perfil % \ Imagens \ iPhoto . biblioteca de fotos \ Masters \ ; C : \ Usuários \% Usuário perfil % \ Imagens \ iPhoto . biblioteca de fotos \ Miniaturas \
Esses diretórios contêm os arquivos de serviço do programa, incluindo fotos e miniaturas dos contatos do WhatsApp.
\ Users \% Usuário profile % \ Library \ Caches \ WhatsApp \
Este diretório contém apenas vários bancos de dados SQLite, que são usados para armazenamento em cache de dados.
• \ Users \% Perfil do usuário% \ Library \ Application Support \ WhatsApp \
Este diretório contém vários subdiretórios:
Captura de tela da conta do ator de ameaças no fórum subterrâneo safeskyhacks.com
- \ Users \% Usuário perfil % \ Library \ Application Suporte \ WhatsApp \ Cache \ O diretório contém os arquivos dados _0 , dados _1 , dados _2 , dados _3 , bem como arquivos com os nomes f _ ******* (onde * é um número de 0 a 9). Para obter informações sobre que tipo de dados são armazenados nesses arquivos, consulte a seção "Artefatos do WhatsApp no Windows" deste artigo.
- \ Users \% Usuário perfil % \ Library \ Application Suporte \ WhatsApp \ IndexedDB \ O diretório pode conter arquivos multimídia (sem extensões).
- O arquivo main-process.log contém informações sobre a operação do WhatsApp.
Desde o OS X Yosemite, os artefatos podem estar localizados em novos locais:
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Suporte de Aplicativos \ WhatsApp \ Preferences
\ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Logs \ WhatsApp
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Estado do Aplicativo Salvo \ desktop.WhatsApp.savedState
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Application Scripts
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Application Support \ iCloud
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Application Support \ WhatsApp \ IndexedDB O diretório pode conter arquivos multimídia (sem extensões).
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Suporte de Aplicativos \ WhatsApp \ GPUCache
- \ Users \% Perfil do usuário% \ Library \ Containers \ desktop.WhatsApp \ Data \ Library \ Application Support \ WhatsApp \ Cache O diretório contém os arquivos com os nomes f _ ******* (onde * é um número de 0 9). Para obter informações sobre que tipo de dados são armazenados nesses arquivos, consulte a seção "Artefatos do WhatsApp no Windows" deste artigo.
Fontes
1. Análise forense do WhatsApp Messenger em smartphones Android, por Cosimo Anglano, 2014.
2. Whatsapp Forensics: Sistema de gerenciamento de dados e dados de base no aplicativo Android e iOS de Ahmad Pratama, 2014.
Comentários
Postar um comentário