Что такое databases в ватсапе в памяти
Что такое Databases WhatsApp и можно ли это удалить
Те, кто просматривал на своем мобильном устройстве содержимое файлов мессенджера WhatsApp, могли заметить папку с названием “Databases”. Что в ней находится и зачем это нужно? Что будет, если ее удалить и стоит ли выполнять очистку? Обо всем этом прочитайте далее.
Предназначение папки
В папке Databases WhatsApp хранятся резервные копии чатов пользователя. Помимо текстовых сообщений, здесь находятся отправленные и полученные фото, видео и аудиофайлы. Цель их сбережения – сделать возможным восстановление истории переписок. Необходимость в этом может возникнуть в следующих случаях:
Обычно резервные копии чатов создаются ежедневно и хранятся в памяти устройства. Это происходит автоматически около 2-х часов ночи. Папка Databases содержит историю переписок за последние 7 дней. Дата создания очередного дубликата прописана в названии соответствующего файла. При сохранении новой копии самая старая удаляется.
Как найти папку с архивами чатов? Для этого необходимо:
Здесь и находится директория “Databases”.
Удалять или нет
У некоторых пользователей может возникнуть искушение удалить содержимое папки “Базы данных”. Это может быть вызвано желанием освободить дополнительное место в памяти мобильного устройства. Хотя проблема нехватки полезного пространства на смартфоне знакома многим, но ее решение за счет удаления папки “Databases” не приведет к желаемым результатам. Объясняется это тем, что каждый файл архивов занимает всего около 1 МБ. Стерев их, много не сэкономишь.
Чтобы очистить телефон от ненужных данных можно воспользоваться встроенной функцией оптимизации устройства. Удаление неиспользуемых программ и ненужных медиафайлов также поможет освободить место в памяти мобильного устройства.
И все же: можно ли удалить папку Databases в WhatsApp? В принципе, возможно. Сделать это несложно. Для этого нужно:
1. Открыть файловый менеджер.
2. Перейти в раздел “Память устройства”.
3. Войти в папку “WhatsApp”.
4. Нажать и удерживать палец на папке “Databases”.
5. Тапнуть на появившейся команде “Удалить”.
6. Подтвердить свое решение, снова нажав “Удалить”.
Так можно убрать директорию с базами данных в Ватсапе. Но стоит ли это делать и чем это чревато?
По большому счету в устранении архивов переписок нет особого смысла. Тем более что после их удаления восстановление резервных копий чатов станет невозможным. Так что лучше не стирайте папку “Databases”!
А если это произошло
Если вы случайно или намеренно удалили папку с историей переписок, то что делать в таком случае? В первую очередь, не волнуйтесь! Сам факт устранения базы данных не вредит ни мессенджеру WhatsApp, ни вашему девайсу.
Папка “Databases” будет автоматически создана при очередном резервном копировании данных. Ночью это сделает система или же можете осуществить процедуру самостоятельно. Для этого необходимо проделать 6 шагов:
Подождите немного и дубликат ваших переписок, имеющихся на данный момент, будет сохранен в двух местах: в памяти смартфона и в облачном хранилище на Google Диске. Далее система продолжит ежедневно создавать резервные копии чатов. Они будут помещены в папку “Databases”.
ВНИМАНИЕ! В WhatsApp можно настроить автоматическое сохранение истории чатов на Google Диске. Архив может формироваться ежедневно, еженедельно или ежемесячно.
Как восстановить удаленные архивы
Что если вы стерли папку с базами данных Ватсапа, но хотите восстановить созданную ранее резервную копию. Это возможно в двух случаях. Первый – существует архив на Google Диске. Второй – вы сохранили файл с дубликатами чатов, например, на sd-карте, флешке или другом носителе.
Чтобы восстановить на мессенджере переписку, сохраненную на Гугл Диске, сначала потребуется удалить WhatsApp. Для этого нужно:
1. Войдите в настройки устройства.
2. Перейдите в раздел “Приложения”.
3. Найдите WhatsApp и тапните на него.
4. Нажмите на кнопку “Удалить”.
5. Подтвердите свое решение нажатием “ОК”.
Теперь нужно переустановить мессенджер. Для этого выполните следующие действия:
Далее завершите процесс восстановления данных.
ВАЖНО! Воссоздавая архив чатов при помощи Google Диска, нужно использовать ранее зарегистрированный телефонный номер и аккаунт в Гугл.
Если необходимо возобновить в Ватсапе историю переписок, сохраненную на съемном носителе или в отдельной папке памяти устройства, тогда вы можете это сделать так:
САМОЕ ВАЖНОЕ! Папка Databases в мессенджере WhatsApp содержит архивные файлы с историей переписок. Удалять ее не рекомендуется. Если все же это произошло, то существуют методы по восстановлению созданных ранее резервных копий чатов. Советы статьи по решению данной проблемы помогут вам возобновить стертые сообщения и медифайлы.
Databases WhatsApp – что это, можно ли удалить
Мессенджер Ватсап любим многими пользователями и до сих пор остается самым популярным в мире. Хоть те же Телеграм и Вайбер набирают аудиторию, они далеко не такие распространенные. Связано это во многом с тем, что WhatsApp появился одним из первых, и вот уже больше 10 лет активно улучшается разработчиками. Но некоторые моменты в нем можно назвать устаревшими, например, странные папки в памяти телефона. В данной статье мы поговорим про папку Databases WhatsApp – что это, можно ли удалить. Разберемся со всем более подробно.
Database WhatsApp – описание, что за папка
После установки мессенджера, система автоматически создает несколько папок для хранения данных своих данных и пользовательских медиафайлов. Это не очень удобно, так как в процессе использование растет и количество временных файлов. Она появляется в корне внутренней памяти или SD-карты. Выглядит примерно так:
Поэтому многие пользователи и спрашивают, что за каталог Databases внутри нее и что будет с работоспособностью мессенджера ее удаления.
Что сохраняется в этой папке, какие файлы и документы
Как мы уже сказали, система в соответствующей папке хранит свои данные и пользовательскую информацию. Конкретно в Databases находятся резервные копии ваших переписок. Их количество доходит до 7 файлов, в названии которых присутствует msgstore и дата создания:
Также стоит отметить, что Databases – не единственная папка из каталога WhatsApp. Также там хранятся следующие объекты:
Как видим, объектов довольно много. И такое количество объясняется автоматическим сохранением медиафайлов после их воспроизведения. Не совсем понятно, зачем разработчики активировали подобный функционал по умолчанию, однако он быстро заполняет внутреннее хранилище смартфона.
Если с этим пока вопросов не возникает, тогда двигаемся дальше.
Можно ли ее удалить с телефона
Однозначный ответ – да, можно. Таким образом вы освободите часть памяти устройства, а также очистите систему от временных файлов и мусора. После определенного эксплуатационного периода, сделать это даже полезно.
Что касается сохранности персональных данных, то не переживайте, если у вас актина функция резервного копирования, то информация останется нетронутой. Это удобно, ведь получить копии данных можно получить с серверов проекта.
Но если вы не настроили резервное копирование, то после стирания этого каталога нельзя переустанавливать приложение в течение 24 часов. Иначе все переписки и другие данные можно потерять. Проверить работоспособность функции резервного копирования можно так:
Теперь приступаем к очистке персональной информации. Для претворения задуманного в жизнь:
В каком случае удаляется папка Database
Теперь вы знаете, что это за папка WhatsApp Databases и что ее можно удалить для очистки места. А вот медиафайлы, хранящиеся в Media, мы все же трогать не рекомендуем из-за специфики работы мессенджера.
Какие еще есть папки
Теперь вкратце пройдемся по другим каталогам, с которыми можно встретиться.
Папка Sent в WhatsApp – что это
Поговорим про то, что такое папка Sent в WhatsApp, для чего она нужна. Если очень вкратце, то это отправленные вами медиафайлы и другие данные. Например, вы поделились с собеседником забавной картинкой, и ее уменьшенная копия сразу же появилась по пути WhatsApp/Media/WhatsApp Image/Sent. Выглядит это примерно так:
Папка Shared
Вкратце упомянем папку Shared в WhatsApp, что это такое и зачем нужно. В ней хранятся те данные, которые вы пересылали другим пользователям из чата в чат с помощью функции «Поделиться».
Это все звучит несколько нелогично, но в мессенджере Вацап довольно устаревшая система хранения данных, и выглядит она именно так, как мы ее описываем.
Mgstore WhatsApp – что это
Файл msgstore в Ватсап – что это? Повторим вопрос из заголовка. Вы можете найти подобный файл в системной папке приложения.
Перед вами резервные копии персональной информации. Поэтому можно оставить эти данные, так как они не занимают много места в памяти устройства.
Завершение
Мы постарались максимально понятно разобраться с WhatsApp Databases, что это за папка такая и для чего она нужна. Если очень упростить, то мессенджер некоторую часть своих данных хранит на устройстве пользователя, в отдельном каталоге. Там можно найти резервные копии чатов, отправленные и полученные файлы, просмотренные видеоролики, аватарки пользователей, на которые вы смотрели, и многое другое.
Чтобы вы не путались, мы вкратце прошлись по отдельным местоположениям и разобрались с ними, а также особое внимание уделили чистки данных Вацапа, чтобы освободить место на смартфоне. Надеемся, что наша статья оказалась для вас полезной.
Databases WhatsApp — что это за папка и можно ли удалить
Databases – для чего нужна эта папка
Многие пользователи сталкивались с ситуацией, когда на устройстве не хватает свободного места. Эта проблема требует быстрого решения, часто вынуждая устройство получить доступ к системным настройкам. Работая с настройками смартфона, вы можете столкнуться с папкой со странным названием Databases WhatsApp, что переводится как «база данных WhatsApp». Прежде чем трогать эту папку, следует понять, что в ней хранится, для каких целей, если есть возможность удалять, редактировать файлы внутри. В противном случае существует риск потери необходимых данных без возможности восстановления или повреждения системы.
Что собой представляет «Датабазис» «Вотсап»
Создатели мессенджера WhatsApp предлагают пользователям высокий уровень конфиденциальности, отказываясь хранить данные на общих серверах. Резервные копии чатов, изображений, видеофайлов сохраняются в облачном хранилище или загружаются в память мобильного устройства. В частности, сохранение осуществляется в специальной папке базы данных, которая является архивом данных WhatsApp».
«База данных» содержит резервные копии, информацию о сообщениях, отправленных или полученных другими подписчиками, фото и видео файлы. Базы данных помогут вам при необходимости восстановить удаленные данные.
Предназначение папки
В папке базы данных WhatsApp хранятся резервные копии чатов пользователя. Помимо текстовых сообщений отправляются и принимаются фото, видео и аудио файлы. Цель их сохранения — позволить восстановить историю переписки. Необходимость в этом может возникнуть в следующих случаях:
Чаты обычно сохраняются ежедневно и хранятся в памяти устройства. Это происходит автоматически около 2 часов ночи. В папке «База данных» хранится история переписки за последние 7 дней. Дата создания следующего дубликата указывается в соответствующем имени файла. При сохранении новой копии самая старая удаляется.
Как мне найти папку с архивами чата? Это требует:
Здесь вы найдете каталог «База данных”.
Как попасть в databases Whatsapp?
Чтобы получить доступ к папке, вы должны использовать проводник. Расположение: корневой каталог WhatsApp.
Здесь вы найдете необходимые базы данных.
Переходим к папке с резервными копиями WhatsApp
«База данных» — это основная папка мессенджера WhatsApp, находящаяся во внутренней памяти мобильного устройства, если пользователь не менял настройки по умолчанию.
Чтобы найти папку и открыть ее содержимое, вам необходимо сделать следующее:
Выполнив действия, описанные выше, вы можете проверить целостность сохраненных данных; просматривать, редактировать или удалять нужные файлы. Это может быть полезно, например, для восстановления случайно удаленного диалога в мессенджере.
Можно ли ее удалить и стоит ли это делать
Эта папка содержит все резервные копии, медиафайлы и другую информацию, которая вам нужна, поэтому удалите ее с большой осторожностью. Если вы будете действовать неосторожно, вы рискуете потерять всю переписку, если она не сохранена в облаке. Если вам нужно освободить место на смартфоне или программа начинает вести себя странно и некорректно, вам все равно нужно удалить папку.
.jpg "Что такое databases в ватсапе в памяти. Смотреть фото Что такое databases в ватсапе в памяти. Смотреть картинку Что такое databases в ватсапе в памяти. Картинка про Что такое databases в ватсапе в памяти. Фото Что такое databases в ватсапе в памяти")
Не рекомендуется удалять папку таким способом — это приведет к удалению всей информации чата в WhatsApp.
При проблемах с перегрузкой памяти нет необходимости удалять все данные WhatsApp. Вы можете очистить кеш или воспользоваться специальной утилитой для удаления ненужных файлов, например CCleaner.
Для этого выполните следующие действия.
Через минуту память освободится от мусора и ненужных данных. Это позволит вам использовать свой смартфон без грубого вмешательства во внутреннюю файловую систему.
Если это не сработает, вам нужно удалить содержимое баз данных.
Эти действия не повредят приложению: папка будет автоматически воссоздана, как только вы выберете место для резервной копии. Для этого нужно открыть мессенджер и зайти в настройки.
Восстанавливаем удаленную папку «датабазис»
В случае, если «база данных» была удалена по ошибке или под воздействием вредоносной программы, появившейся на устройстве, вы можете в кратчайшие сроки восстановить папку, используя методы, описанные ниже:
В остальных случаях необходимо прибегать к помощи специальных программ, установив их на персональный компьютер. Hitman Partition Recovery — пример такой программы. Процедура:
Через несколько минут удаленные данные будут восстановлены на устройстве. Мессенджер нужно будет снова загрузить, установить и восстановить в резервную копию сообщений.
Очистить историю ватсап. Где хранится история переписки (архив) в WhatsApp
Вы удалили сообщение или чат и не знаете, как сейчас восстановить разговор в WhatsApp? Это довольно просто, если вы будете следовать нашим инструкциям, но вы должны спешить, чтобы иметь в наличии только одну неделю, если вы используете Android, тогда будет слишком поздно.
Восстанавливаем переписку в Вотсапе на Андроиде
Восстановить можно только переписку за последнюю неделю, если позже вы удалили переписку в чате и не делали резервные копии самостоятельно, к сожалению, она утеряна навсегда.
Восстановление давнейших данных с помощью программы
Этот метод немного сложнее предыдущих, но в некоторых случаях помогает восстановить даже самые старые и самые удаленные сообщения в «WhatsApp». Принцип прост: вы подключаете телефон к компьютеру, активируете режим передачи данных, после чего компьютер воспринимает смартфон как жесткий диск.
Найдите папку «WhattsApp» в папке «База данных» и попробуйте восстановить данные из резервной копии, которые были там ранее удалены. Сразу скажу, что не всегда эти программы помогают. Поэтому отвечу на вопрос: можно ли его восстановить? — Ага! Но вероятность не стопроцентная. Все зависит от модели телефона и от того, как долго удалялась резервная копия.
Сейчас самое сложное — найти программу «Android Data Recovery». Их довольно много, и все они работают по-разному. Есть платные и бесплатные приложения. Мы просто находим похожие программы в Интернете, скачиваем их, устанавливаем и запускаем. Принцип тот же, выберите свой телефон и опцию «восстановить WhatsApp». Во время сканирования вам может потребоваться включить отладку по USB с помощью отпечатка пальца электронного ключа.
Проверьте Архив
В каком случае удаляется папка Database
Теперь вы знаете, что это за папка базы данных WhatsApp и что вы можете удалить ее, чтобы очистить место. Но мы не рекомендуем трогать медиафайлы, хранящиеся в Медиа, из-за специфики мессенджера.
Какие еще есть папки
Теперь давайте кратко рассмотрим другие каталоги, с которыми вы можете столкнуться.
Папка Sent в WhatsApp – что это
Поговорим о том, что такое папка «Отправленные» в WhatsApp и для чего она нужна. Короче говоря, это медиа и другие данные, которые вы отправили. Например, вы поделились с собеседником забавной картинкой, и ее уменьшенная копия сразу же появилась по маршруту WhatsApp / Media / WhatsAppImage / Sent. Кажется так: 
Папка Shared
Кратко упомянем общую папку в WhatsApp, что это такое и зачем она нужна. Хранит данные, которые вы отправили другим пользователям из чата в чат с помощью функции «Поделиться».
Все это звучит несколько нелогично, но Watsap Messenger имеет довольно устаревшую систему хранения данных и выглядит именно так, как мы ее описываем.
Mgstore WhatsApp – что это
Что такое файл msgstore в WhatsApp? Повторим вопрос, озаглавленный. Вы можете найти аналогичный файл в системной папке приложения. 
Вот резервные копии вашей личной информации. Поэтому вы можете оставить эти данные, так как они не занимают много места в памяти устройства.
Однако вы можете удалить их, так как другая копия будет отправлена на серверы проекта, если вы включили функцию резервного копирования.
Где сохраняется резервная копия WhatsApp?
Скопируйте локальную резервную копию из репозитория
Локальная резервная копия чатов на смартфоне Android находится в папке WhatsApp / Database. Его можно хранить в локальной памяти или на SD-карте. Резервная копия называется msgstore db.
Что за файл Msgstore?
Описание расширения CRYPT12
Как удалить все резервные копии WhatsApp?
Файлы резервных копий с историей чата хранятся в папке / sdcard / WhatsApp / Database/.
…
Чтобы удалить резервные копии:
Как заблокировать сохранение в системной памяти файлов из WhatsApp?
Заключение
Воспользуйтесь приведенными выше советами, чтобы освободить внутреннюю память телефона от различных файлов, загруженных из WhatsApp. Хотя само приложение устанавливается только в системную память и занимает мало места, медиафайлы и резервные копии чатов могут занимать много памяти смартфона.
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.