Whatsapp databases где найти в смартфоне
Перейти к содержимому

Whatsapp databases где найти в смартфоне

  • автор:

Что это за «Databases» в WhatsApp, можно ли удалить папку?

Папка «Databases» в WhatsApp, что это такое, можно ли удалить хранящиеся внутри файлы? Пользователи Андроида должны понимать, какие данные лежат на устройстве – пора посмотреть глубже и разобраться в тонкостях работы мессенджера!

Что хранится?

WhatsApp Databases – это папка с «базой данных»! Простыми словами, именно здесь хранятся пользовательские данные из мессенджера. Попробуем разобраться подробнее, где находится хранилище и какие типы информации туда попадают.

Чтобы понять, что такое Databases в Ватсапе, нужно уточнить – эта информация актуальна только для владельцев устройств, работающих на ОС Андроид. На Айфоне файлового хранилища нет, операционная система устроена иначе и найти директорию просто невозможно.

Вернемся к главному: в этой папке лежат резервные копии чатов. Сюда попадает переписка (входящие и исходящие сообщения), все переданные и полученные медиафайлы, включая голосовые сообщения, все настройки пользовательского профиля. Если знать нюансы работы мессенджера, не придется гадать, для чего папка Databases в Ватсапе.

Ежедневно (около двух часов ночи) приложение автоматически создает резервную копию переписок, которые ведутся на данный момент. Пользователь не знает об этом, процесс происходит в невидимом режиме. Данные за последние сутки формируются в специальный файл, который и попадает в наше хранилище! Вот что содержится в папке Ватсап Databases – там лежат суточные резервные копии за последнюю неделю.

Ежедневно один файл, чей срок хранения превышает семидневный, удаляется – его заменяет более свежая версия. Идеальная система!

Очень удобно, что в названии каждого файла автоматически проставляется дата – это значительно облегчает поиски и дает возможность быстро заглянуть в нужный день. Впрочем, не спешите радоваться, для простого чтения эти файлы недоступны.

Как найти?

А где находится папка WhatsApp Databases и как посмотреть данные, которые в ней хранятся? Для поиска директории понадобится файловый менеджер – вы можете скачать любое понравившееся приложение в магазине Гугл Плей Маркет. Поверьте, на выбор пользователя масса бесплатных и функциональных программ. Главное, определиться!

Если у вас уже есть файловый менеджер – прекрасно, можно начинать разбираться, где искать папку WhatsApp Databases. Откройте приложение:

  • Найдите в системе раздел «Память устройства»;
  • Отыщите директорию с названием мессенджера;
  • Внутри находится несколько подпапок – здесь лежит нужное нам хранилище.

Есть несколько вариантов, где лежит WhatsApp Databases – SD Card или внутренняя память телефона. Зависит исключительно от вас, но по умолчанию приложение устанавливается в память смартфона. Некоторые пользователи переносят данные на стороннюю карту.

Разобрались, как найти WhatsApp Databases в телефоне или на SD Card. Вы за несколько секунд отыщете папку и сможете заглянуть внутрь. Как говорилось выше, там найдутся семь файлов за прошедшие семь дней.

Как пользоваться данными?

А теперь главный вопрос, который интересует читателей нашего обзора! Можно ли удалить папку WhatsApp Databases без неприятных последствий – или хранилище лучше не трогать?

Спешим заметить, вложенные файлы весят совсем немного – удалять данные, чтобы очистить пространство, не стоит. Вы рискуете лишиться важной информации, которая может вам понадобиться, в погоне за парой лишних мегабайт.

Если возникшее желание не перебороть, если вам хочется удалить данные по другой причине – пожалуйста! Вы можете выделить отдельные файлы или стереть папку полностью. За работоспособность мессенджера не переживайте, вы по-прежнему сможете пользоваться всеми доступными опциями, переписываться, общаться, читать историю сообщений и многое другое.

Если папка была удалена случайно – тем более не переживайте! Ведь уже ночью резервная копия будет автоматически создана вновь.

У этой опции есть определенное назначение. Вы можете восстановить чаты из локальной резервной копии. Если меняете смартфон, просто скопируйте файл и перекиньте его на новый мобильный телефон. Затем установите мессенджер – система сама подгрузит резервную копию, и вы сможете полностью восстановить все настройки и историю, которые были доступны на старом девайсе.

В рамках одного устройства вы можете «откатить» мессенджер назад, до определенной даты – в рамках одной недели. Для этого просто найдите файл с нужной датой, переименуйте его с «msgstore-ГГГГ-ММ-ЧЧ.1.db.crypt12» на «msgstore.db.crypt12», затем удалите и переустановите приложение.

Рассказали, что это за папка WhatsApp Databases и где ее искать. Внутри лежат действительно важные данные, которые могут пригодиться, поэтому стоит знать, как работать с хранилищем. Недооценивать опцию резервного копирования нельзя – это очень удобный инструмент, которым рано или поздно воспользуется каждый.

Где Ватсап хранит резервные копии на телефоне: ищем и находим!

Где Ватсап хранит резервные копии на телефоне, куда сохраняются файлы истории сообщений? Если вы не до конца понимаете, как работает механизм переноса данных – расскажем подробно!

Где лежит резервная копия

В мессенджере есть отличная функция – вы можете перенести всю историю сообщений, включая медиафайлы, в облачное хранилище (как на Айфоне, так и на Андроиде)! Прекрасная возможность сохранить переписку в целости – при необходимости она легко восстанавливается, что особенно актуально, если телефон потерян или был сломан.

Для Андроида облачным хранилищем является Гугл Диск, также есть встроенная опция локального копирования внутри памяти смартфона. На Айфоне файлы сохраняются только в облако iCloud.

Пора разобраться, где хранится резервная копия WhatsApp – мы дали самую общую информацию, но стоит поискать более внимательно!

На Андроиде

Начать стоит с ответа на очень важный вопрос – как посмотреть резервную копию WhatsApp? К сожалению, открыть и пролистать файл вы не сможете, так как он хранится в зашифрованном формате – большинство смартфонов и компьютеров просто не поддерживают чтение таких документов.

Переживать не о чем, если вы решите восстановить данные (например, после потери смартфона), система автоматически расшифрует переписки и медиафайлы – вы не потеряете ни одной буквы и цифры.

Вы уже знаете, где хранится резервная копия WhatsApp на Андроид – на Гугл Диске. Это облачное хранилище, которое по умолчанию подключено к вашему устройству. Если у вас не было соответствующей учетной записи (что случается редко), система заставит ее создать при активации опции переноса данных.

Найти скопированный файл легко:

  • Зайдите на Гугл Диск и найдите иконку «Хранилище» снизу слева;
  • Внутри ищите кнопку «Резервные копии» , она находится в верхнем правом углу;
  • Перед вами список созданных файлов. Отыщите нужный по названию мессенджера Ватсап.

Если вы хотите удалить РК, напомним, она не расходует место на Гугл Диске – при этом каждый следующий файл автоматически заменяет предыдущий. После удаления документ не подлежит восстановлению.

Где лежит резервная копия WhatsApp локального масштаба? Каждую ночь ваш смартфон автоматически делает сохранение данных и прячет документ во внутреннюю память (в два часа ночи). Файлы хранятся неделю, постепенно заменяясь новыми актуальными.

Чтобы разобраться, как найти резервную копию WhatsApp, нужно установить из Плэй Маркета любой файловый менеджер:

  • Запустите приложение и найдите вкладку с названием мессенджера;
  • Внутри ищите папку «Databases» ;
  • Здесь лежат интересующие вас данные – их можно стереть или использовать для последующего восстановления.

Узнали, где хранится резервная копия Ватсап на Андроиде – уверены, эта информация была для вас новой! Переходим к следующей операционной системе.

На Айфоне

В отличие от владельцев Андроида, пользователи Айфона лишены опции локального копирования – данные во внутренней памяти не хранятся, это особенности ОС.

Поэтому долго искать, где хранится резервная копия WhatsApp на iPhone, не придется. Данные автоматически переносятся в облако iCloud, другие хранилища подключить нельзя.

Перед тем, как настраивать копирование, вы обязательно подключите iCloud Drive. Поэтому теперь самое время заглянуть туда:

  • Найдите системное приложение «Файлы» ;
  • Внутри есть папка «iCloud Drive» ;
  • Ищите директорию с названием мессенджера.

По аналогии можно найти РК в Айклауде на компьютере. Не забудьте авторизоваться с помощью Apple ID!

Определились, где найти резервную копию Ватсап на телефоне – при необходимости можете управлять данными! Если захотите, удаляйте сохраненные переписки или восстанавливайте их при утрате смартфона на новом устройстве. Все в ваших руках!

Где и сколько хранится переписка WhatsApp на Android и на iPhone

Эта тема охватывает сразу два вопроса — о безопасности личных данных и предотвращении утери пересылаемой пользователями информации. Где и сколько хранится переписка Whatsapp, по какому принципу организуется процесс копирования — все это интересно любому пользователю мессенджера. Мы собрали для вас всю информацию на эту тему и предлагаем с ней ознакомиться.

Где и каким образом сохраняется переписка WhatsApp

Начнем с первого вопроса: сколько хранятся сообщения в Whatsapp на сервере? Согласно политике конфиденциальности этого мессенджера, все сообщения, которые пересылаются через него, удаляются с серверов сразу, как только они будут доставлены адресату. Таким образом, если нет проблем со связью, речь идет о паре секунд, не более.

Все данные, которыми мы обмениваемся, хранятся только на наших мобильных устройствах — тех, на которых WhatsApp подключен в качестве основного аккаунта. Копирование чатов происходит автоматически, один раз в сутки — в 2 часа утра (согласно информации с оф. сайта).

Сколько хранится переписка в Ватсапе на телефоне? Каждая локальная копия хранится на устройстве 7 дней и удаляется на восьмой. Всего одновременно — 8 копий.

Также обратите внимание на то, что не доставленные сообщения сохраняются на серверах мессенджера до тех пор, пока адресат не появится в сети. Однако хранение это не бесконечное, максимальный срок — 30 дней. Далее сообщение удаляется без возможности восстановления.

Если вы хотите сохранить переписку на более долгий срок, вы можете сделать экспорт чата в Ватсапе.

Место хранения переписки WhatsApp на Android

Путь к месту, где сохраняется все сообщения WhatsApp в телефоне, зависит от того, используется ли на устройстве SD-карта:

  • Нет SD-карты. Меню → Мои файлы → Телефон → Память устройства* → WhatsApp → Databases.

  • Есть SD-карта . Меню — Мои файлы → Карта памяти → WhatsApp → Databases.

*В зависимости от марки смартфона и версии его ОС этот раздел может называться также “Основная память” или “Внутренняя память”.

Также отвечаем на интересующий некоторых пользователей Андроид вопрос: “Что за папка Sent в WhatsApp и для чего она нужна”. Папка Sent — это место хранения копий медиафайлов, которые отправляли вы сами. Используется Sent, как и прочие папки с файлами, находящиеся в Databases и Media, для восстановления истории сохраненных переписок.

Место хранения переписки WhatsApp на iPhone

Все без исключения устройства, работающие на платформе iOS, имеют закрытую файловую систему. То есть на Айфоне нет раздела “Мои файлы”, как на Андроид, где можно было бы посмотреть, куда копируются сообщения с Ватсапа. Также нельзя установить и использовать файловые менеджеры из сторонних источников.

Точнее можно, но для этого придется подвергнуть устройство процедуре Jailbreak — мы такой вариант не рассматриваем, так как считаем его небезопасным для устройства.

Для пользователей история сообщений WhatsApp на Айфонах доступна только в облачном хранилище. Создание копий на iCloud может осуществляться каждый раз вручную или в автоматическом режиме, с заданной периодичностью — все зависит от того, каким образом вы настроите раздел резервного копирования. Сделать это можно тут: запустить мессенджер → Настройки → Чаты → Резервная копия → Создать копию.

WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?

Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

image alt

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

image alt

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

    ‘wa_contacts’
    Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

image alt

Структура таблицы

Имя поля Значение
_id порядковый номер записи (в SQL таблице)
jid WhatsApp ID контакта, записывается в формате @s.whatsapp.net
is_whatsapp_user содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае
status содержит текст, отображаемый в статусе контакта
status_timestamp содержит временную метку в формате Unix Epoch Time (ms)
number номер телефона, ассоциированный с контактом
raw_contact_id порядковый номер контакта
display_name отображаемое имя контакта
phone_type тип телефона
phone_label метка, ассоциированная с номером контакта
unseen_msg_count количество сообщений которые были отправлены контактом но небыли прочитаны получателем
photo_ts содержит временную метку в формате Unix Epoch Time
thumb_ts содержит временную метку в формате Unix Epoch Time
photo_id_timestamp содержит временную метку в формате Unix Epoch Time (ms)
given_name значение поля совпадает с ‘display_name’ для каждого контакта
wa_name имя контакта в WhatsApp (отображается имя, указанное в профиле контакта)
sort_name имя контакта, используемое в операциях сортировки
nickname ник контакта в WhatsApp (отображается ник, указанный в профиле контакта)
company компания (отображается компания, указанная в профиле контакта)
title обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта)
offset смещение

image alt

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

    ‘sqlite_sequence’
    Эта таблица содержит общую информацию об этой базе данных, например, общее число хранимых сообщений, общее число чатов и т.д.

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Структура таблицы

Имя поля Значение
_id порядковый номер записи (в SQL таблице)
key_remote_jid WhatsApp ID партнера по коммуникации
key_from_me направление сообщения: ‘0’ – входящее, ‘1’ — исходящее
key_id уникальный идентификатор сообщения
status статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано)
need_push имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’
data текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’)
timestamp содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
media_url содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_mime_type MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_wa_type тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные
media_size размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_name имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_caption Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’)
media_hash закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_duration продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
origin имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’
latitude геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’)
longitude геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’)
thumb_image служебная информация
remote_recource ID отправителя (только для групповых чатов)
received_timestamp время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение)
send_timestamp не используется, обычно имеет значение ‘-1’
receipt_server_timestamp время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение
receipt_device_timestamp время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение
read_device_timestamp время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
played_device_timestamp время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
raw_data миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’)
recipient_count количество получателей (для широковещательных сообщений)
participant_hash используется при передаче сообщений с геоданными
starred не используется
quoted_row_id неизвестно, обычно содержит значение ‘0’
mentioned_jids не используется
multicast_id не используется
offset смещение

Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

  • Файл ‘msgstore.db.cryptXX’ (где XX – одна или две цифры от 0 до 12, например, msgstore.db.crypt12). Содержит зашифрованную резервную копию сообщений WhatsApp (резервная копия файла msgstore.db). Файл (или файлы) ‘msgstore.db.cryptXX’ располагается по пути: ‘/data/media/0/WhatsApp/Databases/’ (виртуальная SD-карта), ‘/mnt/sdcard/WhatsApp/Databases/ (физическая SD-карта)’.
  • Файл ‘key’. Содержит криптографический ключ. Располагается по пути: ‘/data/data/com.whatsapp/files/’. Используется для расшифровки зашифрованных резервных копий WhatsApp.
  • Файл ‘com.whatsapp_preferences.xml’. Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/data/data/com.whatsapp/shared_prefs/’.

Фрагмент содержимого файла

9123456789 (номер телефона, ассоциированный с аккаунтом WhatsApp) … 2.17.395 (версия WhatsApp) … Hey there! I am using WhatsApp. (сообщение, отображаемое в статусе аккаунта) … Alex (имя владельца аккаунта) … 

Содержимое файла

  9123456789  912 345-67-89 7 7 
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит переданные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/’. Содержит голосовые сообщения в файлах формата .OPUS.
  • Каталог ‘/data/data/com.whatsapp/cache/Profile Pictures/’. Содержит графические файлы – изображения контактов.
  • Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – миниатюры изображения контактов. Эти файлы имеют расширение ‘.j’, но, тем не менее, являются графическими файлами формата JPEG (JPG).
  • Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – изображение и миниатюру изображения, установленного как аватар владельцем аккаунта.
  • Каталог ‘/data/data/com.whatsapp/files/Logs/’. Содержит журнал работы программы (файл ‘whatsapp.log’) и резервные копии журналов работы программы (файлы с именами формата whatsapp-гггг-мм-дд.1.log.gz).

image alt

Фрагмент журнала

2017-01-10 09:37:09.757 LL_I D [524:WhatsApp Worker #1] missedcallnotification/init count:0 timestamp:0
2017-01-10 09:37:09.758 LL_I D [524:WhatsApp Worker #1] missedcallnotification/update cancel true
2017-01-10 09:37:09.768 LL_I D [1:main] app-init/load-me
2017-01-10 09:37:09.772 LL_I D [1:main] password file missing or unreadable
2017-01-10 09:37:09.782 LL_I D [1:main] statistics Text Messages: 59 sent, 82 received / Media Messages: 1 sent (0 bytes), 0 received (9850158 bytes) / Offline Messages: 81 received (19522 msec average delay) / Message Service: 116075 bytes sent, 211729 bytes received / Voip Calls: 1 outgoing calls, 0 incoming calls, 2492 bytes sent, 1530 bytes received / Google Drive: 0 bytes sent, 0 bytes received / Roaming: 1524 bytes sent, 1826 bytes received / Total Data: 118567 bytes sent, 10063417 bytes received
2017-01-10 09:37:09.785 LL_I D [1:main] media-state-manager/refresh-media-state/writable-media
2017-01-10 09:37:09.806 LL_I D [1:main] app-init/initialize/timer/stop: 24
2017-01-10 09:37:09.811 LL_I D [1:main] msgstore/checkhealth
2017-01-10 09:37:09.817 LL_I D [1:main] msgstore/checkhealth/journal/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkhealth/back/delete false
2017-01-10 09:37:09.818 LL_I D [1:main] msgstore/checkdb/data/data/com.whatsapp/databases/msgstore.db
2017-01-10 09:37:09.819 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager 16384 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list _jobqueue-WhatsAppJobManager-journal 21032 drw=011
2017-01-10 09:37:09.820 LL_I D [1:main] msgstore/checkdb/list axolotl.db 184320 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-wal 436752 drw=011
2017-01-10 09:37:09.821 LL_I D [1:main] msgstore/checkdb/list axolotl.db-shm 32768 drw=011
2017-01-10 09:37:09.822 LL_I D [1:main] msgstore/checkdb/list msgstore.db 540672 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-wal 0 drw=011
2017-01-10 09:37:09.823 LL_I D [1:main] msgstore/checkdb/list msgstore.db-shm 32768 drw=011
2017-01-10 09:37:09.824 LL_I D [1:main] msgstore/checkdb/list wa.db 69632 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-wal 428512 drw=011
2017-01-10 09:37:09.825 LL_I D [1:main] msgstore/checkdb/list wa.db-shm 32768 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db 4096 drw=011
2017-01-10 09:37:09.826 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-wal 70072 drw=011
2017-01-10 09:37:09.827 LL_I D [1:main] msgstore/checkdb/list chatsettings.db-shm 32768 drw=011
2017-01-10 09:37:09.838 LL_I D [1:main] msgstore/checkdb/version 1
2017-01-10 09:37:09.839 LL_I D [1:main] msgstore/canquery
2017-01-10 09:37:09.846 LL_I D [1:main] msgstore/canquery/count 1
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery/timer/stop: 8
2017-01-10 09:37:09.847 LL_I D [1:main] msgstore/canquery 517 | time spent:8
2017-01-10 09:37:09.848 LL_I D [529:WhatsApp Worker #3] media-state-manager/refresh-media-state/internal-storage available:1,345,622,016 total:5,687,922,688

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
  • Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

image alt

Файлы, находящиеся в подкаталоге ‘Databases’:

image alt

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

  • в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
  • во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).

Структура ‘ChatStorage.sqlite’:

image alt

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

image alt

Структура таблицы ‘ZWAMESSAGE’

Имя поля Значение
Z_PK порядковый номер записи (в SQL таблице)
Z_ENT идентификатор таблицы, имеет значение ‘9’
Z_OPT неизвестно, обычно содержит значения от ‘1’ до ‘6’
ZCHILDMESSAGESDELIVEREDCOUNT неизвестно, обычно содержит значение ‘0’
ZCHILDMESSAGESPLAYEDCOUNT неизвестно, обычно содержит значение ‘0’
ZCHILDMESSAGESREADCOUNT неизвестно, обычно содержит значение ‘0’
ZDATAITEMVERSION неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения
ZDOCID неизвестно
ZENCRETRYCOUNT неизвестно, обычно содержит значение ‘0’
ZFILTEREDRECIPIENTCOUNT неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’
ZISFROMME направление сообщения: ‘0’ – входящее, ‘1’ — исходящее
ZMESSAGEERRORSTATUS статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’
ZMESSAGETYPE тип передаваемого сообщения
ZSORT неизвестно
ZSPOTLIGHSTATUS неизвестно
ZSTARRED неизвестно, не используется
ZCHATSESSION неизвестно
ZGROUPMEMBER неизвестно, не используется
ZLASTSESSION неизвестно
ZMEDIAITEM неизвестно
ZMESSAGEINFO неизвестно
ZPARENTMESSAGE неизвестно, не используется
ZMESSAGEDATE временная отметка в формате OS X Epoch Time
ZSENTDATE время отправки сообщения в формате OS X Epoch Time
ZFROMJID WhatsApp ID отправителя
ZMEDIASECTIONID содержит год и месяц отправки медиафайла
ZPHASH неизвестно, не используется
ZPUSHPAME имя контакта отправившего медиафайл в формате UTF-8
ZSTANZID уникальный идентификатор сообщения
ZTEXT текст сообщения
ZTOJID WhatsApp ID получателя
OFFSET смещение

Внешний вид таблицы ‘ZWAMEDIAITEM’:

image alt

Структура таблицы ‘ZWAMEDIAITEM’

Имя поля Значение
Z_PK порядковый номер записи (в SQL таблице)
Z_ENT идентификатор таблицы, имеет значение ‘8’
Z_OPT неизвестно, обычно содержит значения от ‘1’ до ‘3’.
ZCLOUDSTATUS содержит значение ‘4’ если файл загружен.
ZFILESIZE содержит длину файла (в байтах) для загруженных файлов
ZMEDIAORIGIN неизвестно, обычно имеет значение ‘0’
ZMOVIEDURATION продолжительность медиафайла, для pdf файлов может содержать число страниц документа
ZMESSAGE содержит порядковый номер (номер отличается от того, который указан в колонке ‘Z_PK’)
ZASPECTRATIO соотношение сторон, не используется, обычно имеет значение ‘0’
ZHACCURACY неизвестно, обычно имеет значение ‘0’
ZLATTITUDE ширина в пикселях
ZLONGTITUDE высота в пикселях
ZMEDIAURLDATE временная метка в формате OS X Epoch Time
ZAUTHORNAME автор (для документов, может содержать название файла)
ZCOLLECTIONNAME не используется
ZMEDIALOCALPATH имя файла (с указанием пути) в файловой системе устройства
ZMEDIAURL URL, по которому находился медиафайл. Если файл передавался от одного абонента другому, он был зашифрован, и его расширение будет указано как расширение передаваемого файла — .enc
ZTHUMBNAILLOCALPATH путь до миниатюры файла в файловой системе устройства
ZTITLE заголовок файла
ZVCARDNAME хеш медиафайла, при передаче файла в группу может содержать идентификатор отправителя
ZVCARDSTRING содержит информацию о типе передаваемого файла (например, image/jpeg), при передаче файла в группу может содержать идентификатор получателя
ZXMPPTHUMBPATH путь до миниатюры файла в файловой системе устройства
ZMEDIAKEY неизвестно, вероятно, содержит ключ для расшифровки зашифрованного файла.
ZMETADATA метаданные передаваемого сообщения
Offset смещение

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

  • ‘ZWAPROFILEPUSHNAME’. Соотносит WhatsApp ID с именем контакта;
  • ‘ZWAPROFILEPICTUREITEM’. Соотносит WhatsApp ID с аватаркой контакта;
  • ‘Z_PRIMARYKEY’. Таблица содержит общую информацию об этой базе данных, такую как общее число хранимых сообщений, общее число чатов и т.д.
  • Файл ‘BackedUpKeyValue.sqlite’. Содержит криптографические ключи и иные данные, которые необходимы для идентификации владельца аккаунта. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘ContactsV2.sqlite’. Содержит информацию о контактах пользователя, такую как ФИО, номер телефона, статус контакта (в виде текста), WhatsApp ID и т.д. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘consumer_version’. Содержит номер версии установленного приложения WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘current_wallpaper.jpg’. Содержит текущие обои фона программы WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. В старых версиях приложения используется файл ‘wallpaper’, который располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’.
  • Файл ‘blockedcontacts.dat’. Содержит информацию о заблокированных контактах. Располагается по пути: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • Файл ‘pw.dat’. Содержит зашифрованный пароль. Располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/’.
  • Файл ‘net.whatsapp.WhatsApp.plist’ (или файл ‘group.net.whatsapp.WhatsApp.shared.plist’). Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/’.

Содержимое файла ‘group.net.whatsapp.WhatsApp.shared.plist’

image alt

Также нужно обращать внимание на следующие каталоги:

  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/’. Содержит миниатюры контактов, групп (файлы с расширением .thumb), аватары контактов, аватар владельца аккаунта WhatsApp (файл ‘Photo.jpg’).
  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ Message/Media/’. Содержит мультимедиа-файлы и их миниатюры
  • Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’. Содержит журнал работы программы (файл ‘calls.log’) и резервные копии журналов работы программы (файл ‘calls.backup.log’).
  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/’. Содержит стикеры (файлы в формате ‘.webp’).
  • Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/’. Содержит журналы работы программы.

Артефакты WhatsApp в Windows

  • ‘C:\Program Files (x86)\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

image alt

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

Пример информации, содержащейся в файле ‘data_1’

image alt

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

image alt

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

  • мультимедиа-файлы;
  • документы, передававшиеся с помощью WhatsApp;
  • информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

  • ‘C:\Applications\WhatsApp.app\’
  • ‘C:\Applications\._WhatsApp.app\’
  • ‘C:\Users\%User profile%\Library\Preferences\’
  • ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
  • ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
  • ‘C:\Users\%User profile%\Library\Application Scripts\’
  • ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
  • ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
  • ‘C:\Users\%User profile%\ Library\ Mobile Documents\ WhatsApp\ Accounts’
    В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
    В этом каталоге содержится информация об инсталляции программы.
  • ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
    В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
    В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
    В этом каталоге находится несколько подкаталогов:

image alt

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

Источники

  1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Расшифровка зашифрованных баз WhatsApp

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения.

Извлечение данных WhatsApp из облачных хранилищ

Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ.

Извлечение данных WhatsApp: практические примеры

Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.

YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

  • security
  • информационная безопасность
  • group-ib
  • criminalistics
  • киберпреступления
  • криминалистика
  • WhatsApp
  • криминалистическая экспертиза
  • cybercrime
  • cybersecurity
  • Блог компании F.A.C.C.T.
  • Информационная безопасность
  • Исследования и прогнозы в IT
  • Аналитика мобильных приложений

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *