Что такое msgstore db crypt
990x.top
Простой компьютерный блог для души)
msgstore.db.crypt12 — что это можно ли удалить?
msgstore.db.crypt12 — файл (база данных) последней резервной копии чатов мессенджера WhatsApp.
Цифра в конце названия — это версия шифрования.
Является зашифрованным с использованием алгоритмома 256-bit AES. По умолчанию хранится здесь:
Данный файл используется при автоматическом восстановлении диалогов/контактов после переустановки приложения Ватсап.
Также у вас может быть файл с примерно таким названием — msgstore-2016-11-08.1.db.crypt12, в нем хранится тоже резервная копия диалогов, но уже на определенную дату, которая как видите указана в самом названии файла.
Собственно сами файлы:
msgstore.db.crypt12 создается при использовании функции Резервное копирование чатов, которая находится в разделе Настройки > Чаты:
Также вы можете заметить msgstore.db — это тоже резервная копия чата, только она незашифрованная, который обычно хранится на Гугл диске.
По поводу расшифровки я уже писал, поэтому если интересно — информация есть здесь:
Надеюсь данная информация оказалась полезной. Удачи.
Как читать зашифрованные сообщения WhatsApp на Android без ключей
Но иногда даже владелец телефона не может получить доступ к своим телефонам из-за технических сбоев. Если вы не можете получить доступ к своему собственному телефону, можете ли вы по-прежнему читать зашифрованные сообщения WhatsApp?
Типы шифрования сообщений WhatsApp
В сентябре 2012 года WhatsApp представила шифрование данных в качестве одной из функций безопасности. Этот шаг предпринят, чтобы предотвратить перехват сеанса и анализ пакетов, которые часто случались раньше. И WhatsApp использует формы crypt2, crypt5, crypt7 и crypt8 для шифрования всех данных. Это означает, что взломать файлы базы данных для чтения всех сообщений чата стало практически невозможно.
Но есть приемы, которые вы можете использовать для расшифровки базы данных без ключей и вспомогательных файлов. Вы можете использовать этот метод для доступа к своим разговорам.
Как расшифровать базу данных WhatsApp crypt12 / 8 без ключей?
Прежде чем мы начнем, обратите внимание, что этот прием работает на устройствах Android.
Следующим шагом является расшифровка базы данных в нечто понятное человеку. Для этого мы можем воспользоваться помощью одного из приложений для расшифровки, доступных в магазине Google Play.
После загрузки приложения откройте его так же, как обычно открывайте другие приложения.
Вы увидите интерфейс приложения с несколькими опциями.
После того, как база данных расшифрована, нам нужно извлечь ее в формат, понятный человеку. Для этого перейдите на WhatCrypt.com и загрузите туда файлы, а затем нажмите «Process / Download Zip», чтобы продолжить.
Резервное копирование данных WhatsApp
Даже при том, что мы не касаемся исходных баз данных, всегда есть вероятность, что наши действия разрушат их. Поэтому всегда лучше иметь второе и третье (или более) резервное копирование ваших данных.
Чтобы помочь вам сделать резервную копию и восстановить все ваши данные WhatsApp, вы можете использовать помощь UltData for Android. Это приложение для восстановления WhatsApp поможет вам создавать резервные копии и восстанавливать сообщения и контакты WhatsApp с устройств Android.
Шаг 1 После того, как вы загрузили программное обеспечение, вы переходите к основному интерфейсу ниже:
Шаг 2 Затем вам нужно авторизоваться и отладить usb на вашем телефоне Android для правильного подключения.
Шаг 3 Теперь пришло время отсканировать и просмотреть, какие данные были перечислены. Просто выберите то, что вы хотите восстановить.
Шаг 4 Наконец, успешно сохраните файлы на свой компьютер или устройство и присмотритесь к ним.
Обновление 2020-03-30 / Обновление для Исправление проблемы WhatsApp
Папки Whatsapp: databases, sent, msgstore db crypt12
Папка msgstore db crypt12 что это и как ее открыть?
Папка с наименованием «msgstore db crypt12» хранится в директории базы данных (Databases). Файл с наименованием msgstore непосредственно представляет собой набор данных за определенный промежуток времени, он формируется и сохраняется в процессе создания резервной копии в локальном хранилище.
Данный файл можно открыть на персональном компьютере при помощи специального программного обеспечения «Hetman».
Стоит учесть, что в папке, которая по большому счету представляет собой локальную базу данных, есть несколько файлов msgstore, в названии каждого из них присутствует дата, это как раз день создания резервной копии. Для восстановления рекомендуется выбираться последнюю копию.
Максимальное количество этих файлов в папке может достигать семи. Резервная копия не хранится более недели в локальном хранилище во внутренней памяти устройства.
Для восстановления требуется:
Whatsapp databases что это за папка и можно ли её удалить?
Папка Databases в директории со всеми файлами Ватсап хранит данные мессенджера и учетной записи, в основном текстовые переписки и чаты. Удалять данную папку не рекомендуется, так как при переустановке приложения или потере данных при помощи файлов резервной копии будет возможность восстановить часть информации.
Что за папка sent в whatsapp и как ее удалить?
Папка Сент представляет собой хранилище всех отправленных данных при помощи мессенджера Вастап, установленного на смартфон.
Для поиска информации необходимо:
Для очистки этой папки достаточно почистить кэш мобильного устройства:
Msgstore db crypt12 что это можно удалить
В данной статье мы рассмотрим способы восстановления истории, контактов, чатов и переписки, а также присланных или отправленных файлов и изображений одного из самых популярных мессенджеров – WhatsApp.
C необходимостью восстановления данных WhatsApp пользователи сталкиваются в случае замены смартфона на другой, после случайного удаления какого-то из чатов или всех их, в результате сброса памяти смартфона или форматирования карты памяти (на которую как правило и сохраняется история переписки приложения).
Восстановление переписки или чата в случае удаления из приложения
Восстановление недавней переписки
Чтобы восстановить переписку, которая была осуществлена не более чем 7 дней назад, достаточно просто переустановить приложение на вашем мобильном устройстве: сначала удалить, затем установить заново. WhatsApp автоматически создаёт резервную копию ваших данных каждый день и сохраняет её на карту памяти смартфона.
После переустановки, приложение предложит восстановить историю сообщений из созданной раннее резервной копии. Достаточно просто нажать кнопку «Восстановить» и программа в процессе установки автоматически восстановит данные за последние 7 дней.
Восстановление более давней переписки
Восстановление чатов, которые старше чем 7 дней – это более сложный процесс. Для этого, перейдите в папку на карте памяти вашего устройства в которой WhatsApp сохраняет резервные копии чатов пользователя:
/sdcard/WhatsApp/Databases.
Если перейти в эту папку вы увидите в ней один файл с названием msgstore.db.crypt12, и ещё несколько файлов с названиями, как msgstore-2016-11-08.1.db.crypt12.
msgstore.db.crypt12 – это файл с последней резервной копией чатов WhatsApp. Именно из данного файла происходит автоматическое восстановление чатов и контактов после переустановки WhatsApp.
msgstore-2016-11-08.1.db.crypt12 – это резервная копия чатов приложения на конкретную дату, которая указана в названии файла. В нашем случае – это резервная копия чатов на 08 ноября 2016 г.
Поэтому, если необходимо восстановить чаты по состоянию на определённую дату, найдите файл, в названии которого указана эта дата и переименуйте его в msgstore.db.crypt12.
После этого удалите WhatsApp с вашего устройства и установите его заново. В процессе установки программа предложит восстановить обнаруженную резервную копию чатов и контактов, как описано в предыдущем разделе. Восстановите её, и восстановится история из переименованного ранее файла.
Только имейте ввиду, что в результате проделанной процедуры с вашего устройства будет удалена текущая история чатов. Чтобы восстановить её, необходимо проделать всё в обратном порядке.
Примечание. Если вы создаёте резервную копию чатов вручную, то она также сохраняется в файл с названием msgstore.db.crypt12. Поэтому, чтобы не потерять файл с резервной копией чатов, которую вы создали вручную, переименуйте его и сохраните в удобное место. А в случае необходимости восстановления чатов именно из него, переименуйте данный файл обратно в msgstore.db.crypt12.
Создать резервную копию чатов вручную можно с помощью меню WhatsApp Настройки / Чаты / Резервное копирование чатов.
Как восстановить чаты WhatsApp после очистки или форматирования карты памяти
Для этого, подключите смартфон к компьютеру или подключите карту памяти к ПК с помощью кард-ридера. Запустите Hetman Partition Recovery и просканируйте с её помощью карту памяти. Перейдите с помощью программы в папку вашей карты памяти /sdcard/WhatsApp/Databases и вы увидите в ней созданные WhatsApp файлы с историей чатов.
Восстановите содержимое папки Databases. Перенесите необходимый вам файл истории чатов в папку карты памяти устройства с WhatsApp. После этого повторите процедуру, как в случае с восстановлением более давней переписки чатов (раздел «Восстановление более давней переписки»).
Восстановление или перенос данных из одного смартфона на другой
Если вы поменяли смартфон на новый и вам необходимо восстановить на нём историю переписки вашего старого устройства, для этого перенесите файлы из папки /sdcard/WhatsApp/Databases старого телефонов в новый. Во время установки WhatsApp приложение обнаружит резервную копию чатов и предложит её восстановить.
Восстановление удалённых из WhatsApp изображений, видео или аудио файлов
Все отправленные или принятые с помощью WhatsApp файлы (изображения, аудио, видео, документы и и.д.) также сохраняются приложением на карту памяти в папку /sdcard/WhatsApp/Media. В случае удаления таких файлов из чата, они продолжают хранится в указанной папке. Достаточно перейти в /sdcard/WhatsApp/Media, открыть папку, соответствующую типу искомого файла.
Если необходимо восстановить изображение, видео или аудио файл из чатов WhatsApp после форматирования или очистки карты памяти устройства, то сделать это можно следующим образом.
Подключите смартфон к компьютеру или карту памяти к ПК с помощью кард-ридера. Запустите Hetman Partition Recovery и просканируйте с её помощью карту памяти. Перейдите с помощью программы в папку вашей карты памяти /sdcard/WhatsApp/Media, и вы увидите в ней папки с отправленными или принятыми с помощью WhatsApp файлы, которые отсортированы в соответствии с типом файла.
Перенесите необходимые файлы в Список восстановления и восстановите в удобное место.
Дополнено в январе 2019 года
Обратите внимание, что в последних версиях WhatsApp уже не хранит никакие данные на карте памяти устройства (смартфона или планшета).
Поэтому, для восстановления переписок и чатов более чем семидневной давности, перейдите в папку в памяти вашего устройства в которой WhatsApp сохраняет резервные копии чатов пользователя:
Также, все отправленные или принятые с помощью WhatsApp файлы (изображения, аудио, видео, документы и и.д.) сохраняются приложением не в память устройства, а в папку:
В случае удаления таких файлов из чата, они продолжают хранится в указанной папке. Достаточно перейти в /WhatsApp/Media, открыть папку, соответствующую типу искомого файла.
whatsapp databases что это за папка и можно ли ее удалить – вопрос, часто возникаюший у любопытных пользователей, любящих порыться в настройках программ и папках в телефоне. Ватсап трепетно относится к политике конфиденциальности совего продукта и личных данных пользователей: вся информация храниться на носителях пользователей, не сохраняясь на сервере. Папка databases – прямой помощник в этом деле, в нее копируются все данные, обрабатываемые програмой. Рассмотрим подробнее, что это и как с ней работать.
Что такое databases whatsapp
Это папка, в которой храниться информация переписок и звонков, мультимедийные файлы, создается автоматически, если при выборе места хранения информации были указаны память телефона или SD-карта. Внутри находятся файлы с записями по датам, указанных в названиях.
Database – большой архив; из него можно извлечь информацию за любой период времени. При случайном удалении приложения или смене телефона, данные можно восстановить при помощи информации, хранящейся на этой папке.
Как попасть в databases whatsapp
Папка Databases всегда находится в корневом каталоге Whatsapp. Попасть в каталог можно при помощи проводника:
Можно ли ее удалить и стоит ли это делать?
Просто так ее удалять не рекомендуется – это сотрет всю информацию о чатах в ватсапе. Однако, если вы решили почистить память телефона или избавиться от данных ватсапа – смело удаляйте ее и компоненты в ней. Папка автоматически создастся в том же месте при выборе места хранения резервной копии.
Как восстановить папку?
Если папка удалена с телефона, ее нельзя восстановить без помощи компьютера. Для восстановления необходимо подключить телефон к ПК и запустить программу Hetman Partition Recovery. Ищите при помощи проводника папку Whatsapp, в ней – указанную папку. Нажмите “Восстановить” – папка вернется в память телефона или карты. Зайдите на телефоне в ватсап и восстановите переписки уже непосредственно из папки и файлов в ней.
Папка msgstore db crypt12 что это и как ее открыть?
Папка с наименованием «msgstore db crypt12» хранится в директории базы данных (Databases). Файл с наименованием msgstore непосредственно представляет собой набор данных за определенный промежуток времени, он формируется и сохраняется в процессе создания резервной копии в локальном хранилище.
Данный файл можно открыть на персональном компьютере при помощи специального программного обеспечения «Hetman».
Стоит учесть, что в папке, которая по большому счету представляет собой локальную базу данных, есть несколько файлов msgstore, в названии каждого из них присутствует дата, это как раз день создания резервной копии. Для восстановления рекомендуется выбираться последнюю копию.
Максимальное количество этих файлов в папке может достигать семи. Резервная копия не хранится более недели в локальном хранилище во внутренней памяти устройства.
Для восстановления требуется:
Whatsapp databases что это за папка и можно ли её удалить?
Папка Databases в директории со всеми файлами Ватсап хранит данные мессенджера и учетной записи, в основном текстовые переписки и чаты. Удалять данную папку не рекомендуется, так как при переустановке приложения или потере данных при помощи файлов резервной копии будет возможность восстановить часть информации.
Что за папка sent в whatsapp и как ее удалить?
Папка Сент представляет собой хранилище всех отправленных данных при помощи мессенджера Вастап, установленного на смартфон.
Для поиска информации необходимо:
Для очистки этой папки достаточно почистить кэш мобильного устройства:
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.