Msgstore db crypt 14 чем открыть на компьютере
WhatsApp: как восстановить удаленные сообщения? Или все-таки переписка утеряна навсегда?
Случайно удалили чат WhatsApp, и сразу пожалели об этом? Или напротив, вы чистили WhatsApp, а теперь нужно вернуть сообщения годовалой давности? В большинстве случаев ситуация поправима. Читайте ниже как все вернуть.
Резервное копирование истории чатов в WhatsApp
Прежде чем приступить к применению наших советов, вы должны понимать, что восстановить переписку Ватсап без резервной копии невозможно. То есть если резервные данные никогда не сохранялись, и эта опция не была установлена в вашем приложении, вы не вернете стертые сообщения из чатов.
Другой важный момент, который нужно знать: все наши варианты реконструкции сохраненной резервной копии данных вернут только те сообщения и чаты, которые были в созданной резервной копии. Получается, что вы не сможете вернуть сообщения, полученные после создания такой копии мессенджером. Это также означает, что при восстановлении древних чатов, новые данные будут утеряны. Впрочем, эту проблему также можно решить, использовав функцию «Экспорт чата».
Если вы до сих пор не установили резервное копирование истории переписки, то сделайте это скорее, так как никогда не знаешь, когда понадобится восстановление чата. А такое может случится не только из-за неосторожного удаления сообщений, но и из-за потери телефона. Чтобы активировать регулярное создание резервных копий, откройте мессенджер, в верхнем правом углу тапните на иконку меню (три вертикальные точки) и пройдите такой путь:
«Настройки» > «Чаты» > «Резервная копия чатов»
В этом разделе находятся все параметры резервного сохранения данных. Так вы можете выбрать частоту создания копий:
Но помимо этого вам придется сделать привязку к облаку, где вы будете хранить данные. Ватсап для Андроида предлагает делать это только на Google Диске, соответственно вам нужно иметь аккаунт в Google. Если у вас смартфон на Android, то скорее всего для вас это не станет проблемой.
Если вы используете iPhone, то в настройках частоты создания копий вам нужно выбрать «создать резервную копию сейчас», чтобы в ручном режиме заархивировать историю переписок в iCloud.
Восстановление переписки WhatsApp из облака на телефоне Android или iPhone
Если вы установили автоматическое сохранение чатов, то вполне возможно, что нужный чат был сохранен в облако и его можно будет вернуть. Например, регулярное резервное копирование в облако на iCloud или Google Диск было сделано в полночь, а на следующий день вы удалили переписку. Весь образ истории чатов на момент сохранения резервной копии будет сохранен. Однако если какие-то сообщения в мессенджере пришли уже утром, то они будут утеряны. Что пошагово нужно сделать, чтобы из облака восстановить чат:
Эти простые шаги вернут вам всю историю чатов, которую вы нечаянно стерли.
Восстановление удаленных сообщений на Android из локальной резервной копии
Такой метод восстановления применим только для Андроидов, то есть для таких телефонов как Honor, Samsung, Xiaomi, Redmi и так далее. Если же смартфон на iOS (он же Айфон), то этот вариант не подойдет.
Также важно, чтобы у вас осталась резервная копия не только на Google Диске, но и локально в памяти смартфона. Так вы сможете восстановить даже тот чат, который был удален год назад. Далее действуем так:
Так вы сможете вернуть удаленные чаты из любого отрезка времени.
Экспорт чата и возврат к последней резервной копии
Возвращаясь к резервной копии, сделанной давно, вы можете потерять важные переписки, которые происходили после создания резервной копии. Чтобы сохранить и их, вы можете экспортировать полученные сообщения чата, а затем восстановить WhatsApp до последней резервной копии. Это не так сложно, как кажется.
Чтобы экспортировать сообщения, откройте меню (три вертикальные точки), а далее «Настройки». Там нам нужен раздел «Чаты» и подраздел «История чатов». Здесь вы сразу увидите функцию «Экспорт чата». Мессенджер может сохранить только 1 чат за раз. Выберите нужную переписку и коснитесь ее, затем система предупредит вас, что добавление медиафайлов увеличит размер экспортируемого чата, и предложит два варианта решения: без медиафайлов и включить медиафайлы. Затем вам нужно будет выбрать куда отправить и где сохранить экспортируемый файл. Вы можете отправить это себе по электронке, сохранить в облаке или выбрать другой приемлемый для вас вариант.
Продублируйте эти же действия для других важных чатов, которые вы хотели бы сохранить. Как только это будет сделано, снова выполните действия, описанные в предыдущем описании. Когда вы перейдете к переименованию файлов в папке Databases, сделайте таким образом:
Удалите WhatsApp, также сотрите резервную копию в хранилище на Google Диске, заново скачайте и установите мессенджер и восстановите из локальной резервной копии. Теперь ваш чат с заблокированным контактом вновь появится.
Как перенести историю чатов WhatsApp на новый телефон
Если вы счастливый обладатель нового смартфона, но ваше счастье немного омрачается отсутствием важной информации в чатах WhatsApp – не переживайте, их можно восстановить.
Если же в облачном хранилище Google Диска данные WhatsApp не сохранились, но на старом телефоне осталась локальная резервная копия, то можно сделать восстановление из нее. Для этого через файловый проводник перенесите нужные файлы с одного устройства на другое. А далее следуйте инструкции по восстановлению из локальной копии WhatsApp, которую мы подробно описывали выше. Как мы уже говорили такой вариант возвращения чатов на место подходит только для смартфонов на Android.
Как вернуть чат с заблокированным контактом в WhatsApp
Если вы по ошибке заблокировали контакт, коснувшись «В СПАМ И ЗАБЛОКИРОВАТЬ», то этот чат исчезнет. Если была сделана резервная копия, содержащая этот чат, то его можно будет восстановить вот так:
Использование специальных приложений для восстановления данных WhatsApp через компьютер без резервной копии
Когда вы ищете в Google или Яндекс помощь в восстановлении утраченных фото и видео в WhatsApp, вы, наверняка, встречаете десятки утилит, которые обещают разрешение вашей проблемы. Поют преимущества они красиво, но вот на деле все не так.
Почти абсолютное число таких программ для «восстановления» вас не спасут. У программного обеспечения есть такие большие проблемы, как: требование root-прав (для Android), оплата за использование и т.д.
Как читать зашифрованные сообщения WhatsApp на Android без ключей
Но иногда даже владелец телефона не может получить доступ к своим телефонам из-за технических сбоев. Если вы не можете получить доступ к своему собственному телефону, можете ли вы по-прежнему читать зашифрованные сообщения WhatsApp?
Типы шифрования сообщений WhatsApp
В сентябре 2012 года WhatsApp представила шифрование данных в качестве одной из функций безопасности. Этот шаг предпринят, чтобы предотвратить перехват сеанса и анализ пакетов, которые часто случались раньше. И WhatsApp использует формы crypt2, crypt5, crypt7 и crypt8 для шифрования всех данных. Это означает, что взломать файлы базы данных для чтения всех сообщений чата стало практически невозможно.
Но есть приемы, которые вы можете использовать для расшифровки базы данных без ключей и вспомогательных файлов. Вы можете использовать этот метод для доступа к своим разговорам.
Как расшифровать базу данных WhatsApp crypt12 / 8 без ключей?
Прежде чем мы начнем, обратите внимание, что этот прием работает на устройствах Android.
Следующим шагом является расшифровка базы данных в нечто понятное человеку. Для этого мы можем воспользоваться помощью одного из приложений для расшифровки, доступных в магазине Google Play.
После загрузки приложения откройте его так же, как обычно открывайте другие приложения.
Вы увидите интерфейс приложения с несколькими опциями.
После того, как база данных расшифрована, нам нужно извлечь ее в формат, понятный человеку. Для этого перейдите на WhatCrypt.com и загрузите туда файлы, а затем нажмите «Process / Download Zip», чтобы продолжить.
Резервное копирование данных WhatsApp
Даже при том, что мы не касаемся исходных баз данных, всегда есть вероятность, что наши действия разрушат их. Поэтому всегда лучше иметь второе и третье (или более) резервное копирование ваших данных.
Чтобы помочь вам сделать резервную копию и восстановить все ваши данные WhatsApp, вы можете использовать помощь UltData for Android. Это приложение для восстановления WhatsApp поможет вам создавать резервные копии и восстанавливать сообщения и контакты WhatsApp с устройств Android.
Шаг 1 После того, как вы загрузили программное обеспечение, вы переходите к основному интерфейсу ниже:
Шаг 2 Затем вам нужно авторизоваться и отладить usb на вашем телефоне Android для правильного подключения.
Шаг 3 Теперь пришло время отсканировать и просмотреть, какие данные были перечислены. Просто выберите то, что вы хотите восстановить.
Шаг 4 Наконец, успешно сохраните файлы на свой компьютер или устройство и присмотритесь к ним.
Обновление 2020-03-30 / Обновление для Исправление проблемы WhatsApp
Папки Whatsapp: databases, sent, msgstore db crypt12
Папка msgstore db crypt12 что это и как ее открыть?
Папка с наименованием «msgstore db crypt12» хранится в директории базы данных (Databases). Файл с наименованием msgstore непосредственно представляет собой набор данных за определенный промежуток времени, он формируется и сохраняется в процессе создания резервной копии в локальном хранилище.
Данный файл можно открыть на персональном компьютере при помощи специального программного обеспечения «Hetman».
Стоит учесть, что в папке, которая по большому счету представляет собой локальную базу данных, есть несколько файлов msgstore, в названии каждого из них присутствует дата, это как раз день создания резервной копии. Для восстановления рекомендуется выбираться последнюю копию.
Максимальное количество этих файлов в папке может достигать семи. Резервная копия не хранится более недели в локальном хранилище во внутренней памяти устройства.
Для восстановления требуется:
Whatsapp databases что это за папка и можно ли её удалить?
Папка Databases в директории со всеми файлами Ватсап хранит данные мессенджера и учетной записи, в основном текстовые переписки и чаты. Удалять данную папку не рекомендуется, так как при переустановке приложения или потере данных при помощи файлов резервной копии будет возможность восстановить часть информации.
Что за папка sent в whatsapp и как ее удалить?
Папка Сент представляет собой хранилище всех отправленных данных при помощи мессенджера Вастап, установленного на смартфон.
Для поиска информации необходимо:
Для очистки этой папки достаточно почистить кэш мобильного устройства:
Как восстановить данные Ватсап
Мессенджеры давно перестали использоваться только для повседневного общения, теперь их можно назвать полноценным инструментом для ведения бизнеса. И крайне важно не потерять переписку со знакомыми, клиентами или коллегами, ведь она может содержать ценную информацию. В этой статье мы расскажем, как восстановить Ватсап на телефоне при «переезде» на новое устройство, обновлении прошивки, или если необходимо сделать сброс настроек. В каждом конкретном случае инструкция будет отличаться.
Когда нужно восстановление Ватсап
Под этим вопросом подразумевается возможность вернуть доступ к своей учетной записи со списком контактов и всеми переписками. Для этого пользователю достаточно иметь под рукой SIM-карту, установленную в смартфон или планшет. Второе условие –возможность принимать сообщения на нее.
Но при необходимости восстановить ещё и чаты со всей историей переписки и медиафайлами также требуется, чтобы было соблюдено как минимум одно из условий:
Необходимость восстановить Ватсап может возникнуть по различным причинам. Например, телефон заражен вирусами, и его нужно сбросить до заводских настроек. Или вы решили сменить гаджет, в этом случае также потребуется перенос чатов истории переписки учетной записи.
Инструкция по восстановлению Ватсап из резервной копии
WhatsApp по умолчанию каждую ночь создает бэкап истории сообщений на смартфоне. Файлы с такими копиями хранятся во внутренней памяти в папке WhatsApp/Databases.
При случайном удалении каких-то сообщений или диалога целиком в течении одной недели можно без проблем восстановить всю историю переписки буквально в несколько кликов. Если диалог был удалён более 7 дней назад то, к сожалению, восстановить чат сообщениями уже будет невозможно.
Инструкция, как восстановить Вацап:
Вышеописанное инструкция будет актуальна при случайно удаленном сообщении или переписке полностью. При этом не прошло более одного дня. При попытке восстановить данные, удалённые два-три дня и более потребуется внести некоторые изменения в файлы резервных копий перед восстановлением.
Восстановление истории переписки, удалённой более 1 дня назад
Для успешного выполнения данной задачи потребуется менеджер файлов или проводник. Как правило, он установлен на большинстве смартфонов под управлением Android. Но даже если на каком-то устройстве файлового менеджера нет его можно скачать из «Play Маркета» и с его помощью получить доступ к файловой системе Android.
В ней находятся до семи файлов. Один из них имеет название msgstore.db.crypt14. Остальные – msgstore-YYYY-MM-DD.db.crypt14, где YYYY – это год, MM – месяц, и DD – день. По дате, указанной в названии файла резервной копии, можно определить, какой файл нам нужен, чтобы восстановить историю переписки на состояние определенного дня, когда она еще не была удалена.
Например, история переписки, которая нам важна была удалена 3 дня назад. Находим здесь файл с соответствующей датой. Меняем имя файла msgstore.db.crypt14 на какое-нибудь другое (можно задать произвольный набор символов в имени файлов, только не менять расширение db.crypt14). А файл с указанной датой переименуем на msgstore.db.crypt14.
Дальше удалите и переустановите приложение, как мы писали выше, Авторизуйтесь под вашим номером телефона, к которой привязана учётная запись и выдайте разрешение на доступ к хранилищу, чтобы приложение смогло обнаружить резервную копию и восстановить WhatsApp.
Восстановление Ватсап, если нет резервной копии на телефоне
При необходимости восстановить WhatsApp на другом устройстве в случае его утери или просто, если вы сменили гаджет, потребуется восстановление резервной копии, которая хранится на облаке Google Диск (для устройств Android). Но всё это будет бессмысленно, если такое резервирование предварительно не настроить.
Настройка резервного копирования на Google Drive:
При восстановлении истории переписки из Google-облака, вам достаточно установить приложение WhatsApp на любой телефон Android и авторизоваться со старым номером телефона. В процессе установки и активации приложения WhatsApp обнаружат на Google облаке резервную копию и предложит её восстановить.
Естественно, сам смартфон должен быть привязан к учётной записи Google, где хранится бэкап WhatsApp.
Восстановление истории переписки WhatsApp в случае сброса настроек или перепрошивки
Бывают случаи, когда необходимо сбросить настройки из-за вирусной активности на смартфоне или совсем заменить прошивку. В этом случае можно предварительно сохранить резервную копию на компьютере, а после перепрошивки или сброса настроек восстановить WhatsApp со всеми хранящимися в нём данными, чатами, историей переписки, аудиозаписями, видео, документами и пр.
В таком случае по предложенной ранее инструкции настройте резервное копирование данных, включите опцию «Добавить видео» и подтвердите выполнение процедуры.
Затем на обновленном устройстве установите мессенджер из магазина приложений, войдите с помощью своего телефонного номера и подтвердите возврат данных.
Можно ли восстановить Ватсап на другом телефоне
Чтобы восстановить архив WhatsApp на новом телефоне, можно воспользоваться одним из способов, которые мы расписали выше в этой статье.
Также если в обоих телефонах есть слот для съёмного накопителя папку с резервными копиями и медиа можно скопировать бэкапы на него.
Как удалить переписку в Ватсап
Если вы не знаете, как удалить переписку в Ватсапе без возможности восстановления на случай, чтобы кто-то из домочадцев не смог прочитать ваши чаты, достаточно удалить сам чат или очистить историю в самом приложении, а после удалить резервные копии из папки Databases. Если на телефоне настроено резервирование в облако также понадобится удалить резервные копии оттуда. Как это сделать мы писали в другой нашей статье.
Подробности про удаление сообщений в мессенджере вы можете изучить в этой статье.
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.