Chatsettingsbackup db crypt14 что это
Перейти к содержимому

Chatsettingsbackup db crypt14 что это

  • автор:

Какие данные хранятся в папке Databases WhatsApp на смартфоне, и как ее найти

databases whatsapp что это можно ли удалить

Полезно

При очистке памяти смартфона у пользователей часто появляются вопросы, касающиеся папки Databases WhatsApp: что это, можно ли удалить ее, будет ли после этого работать мессенджер и т. д. Этот раздел занимает много места и со временем только расширяется, поэтому я советую не игнорировать его.

Он может спровоцировать появление лагов и фризов. Однако чистить папку нужно с осторожностью, особенно если вы ведете деловые переписки через WhatsApp, т. к. вы рискуете потерять часть данных через мессенджер файлов.

Databases WhatsApp – что это за папка

Раздел Databases WhatsApp создается системой автоматически при установке приложения. Папка не является вирусной и не свидетельствует о заражении смартфона.

Она предназначена для хранения медиафайлов, которые передают вам другие пользователи, а также архивных копий чатов. Раздел используется для воспроизведения истории переписок, в т. ч. при переносе приложения на другое устройство.

В зависимости от настроек мессенджера файлы автоматически удаляются из папки после указанного пользователем срока или остаются в ней навсегда. Первый вариант предпочтительнее, т. к. он подразумевает очистку памяти смартфона.

Какие данные хранятся в папке, и как ими пользоваться

В папке Databases WhatsApp хранятся следующие файлы:

  • копии картинок, аудиозаписей, фрагментов видео;
  • история сообщений;
  • электронные документы;
  • голосовые сообщения;
  • инструкции по работе со встроенными алгоритмами и т. д.

Данные имеют формат crypt14. Открыть такие файлы встроенными средствами ОС смартфона нельзя, потребуется дополнительная установка WhatsApp Viewer.

При необходимости вы можете использовать файлы из папки Databases для восстановления истории сообщений. Для этого переименуйте самую свежую архивную версию в msgstore.db.crypt14, затем удалите и повторно установите приложение. При запуске программа автоматически предложит вам варианты восстановления истории переписок.

Если нужно восстановить переписку на другом устройстве, можно просто скопировать содержимое папки Databases в соответствующий раздел на новом смартфоне.

Для этого передайте данные любым доступным способом: через Bluetooth, электронную почту, мессенджеры и т. д. Советую избегать использования открытых файлообменников. Через них злоумышленники могут получить доступ к вашим архивам.

Советы, как найти Databases WhatsApp в телефоне

Чтобы найти Databases WhatsApp, сделайте следующее:

  1. Откройте файловый менеджер. В большинстве смартфонов он называется «Проводником». Если на вашем телефоне нет такой программы, установите ее через маркет приложений. К числу популярных файловых менеджеров для смартфонов относят Total Commander, File Expert, ASTRO и т. д.
  2. Выберите тот раздел, на который вы устанавливали WhatsApp. Чаще всего система автоматически записывает все программы на один носитель: внутренний или внешний. Выбор зависит от настроек. Например, в смартфонах Meizu все программы по умолчанию записываются в локальное хранилище.
  3. Найдите папку WhatsApp в корневом каталоге. В ней расположен раздел Databases.

При возникновении затруднений вы можете воспользоваться встроенной в файловый менеджер функцией поиска. Найдите ее в меню. Чаще всего для активации опции достаточно кликнуть по пиктограмме в виде лупы. Введите в поисковую строку слово databases. В окне появится список найденных папок с адресом их расположения.

Databases WhatsApp

Папка Databases WhatsApp содержит всю историю.

Возможно ли удалить папку, и стоит ли это делать

Удаление Databases может повлечь за собой исчезновение истории чатов, поэтому чистить раздел нужно с осторожностью. Если у вас активирована функция резервного копирования, можно не беспокоиться. В противном случае после чистки нельзя переустанавливать WhatsApp в течение суток.

Чтобы проверить, включено ли резервное копирование, сделайте следующее:

  1. Зайдите в WhatsApp.
  2. Откройте меню, кликнув по иконке в виде 3 точек.
  3. В выпадающем меню выберите пункт «Настройки».
  4. Нажмите на кнопку «Чаты».
  5. Прокрутите ползунок вниз. Кликните по строке «Резервная копия чатов».
  6. Убедитесь в том, что «Google Диск» подключен к мессенджеру.

Если файлы сохраняются только локально, при их удалении доступ к истории сообщений может быть утрачен. Перед чисткой памяти я рекомендую подключить «Google Диск» и провести внеочередное резервное копирование через одноименную кнопку.

Ответ на вопрос о том, стоит ли удалять файлы, зависит от обстоятельств. Если у вас много памяти, а раздел занимает мало места, вы можете пренебречь этой процедурой.

При нехватке места на носителях, активном использовании мессенджера и быстром увеличении объема папки желательно периодически удалять файлы. Это поможет освободить до 150 Мб пространства и ускорить работу смартфона.

При ответе на вопросы о том, безопасна ли папка Databases WhatsApp, что это и можно ли удалять ее, важно уточнить, что этот раздел необходим для корректной работы мессенджера.

По этой причине не стирайте ее из памяти полностью, очищайте только содержимое. Если вы не подключили «Google Диск», лучше оставлять 2–3 свежие архивные версии.

Способы восстановления

Самый удобный способ восстановления данных – через резервную копию. Ее можно загрузить с «Google Диска» или любого другого хранилища, на которое вы передали файлы. В первом случае можно просто переустановить приложение и подключить восстановление истории.

Если вы не сделали резервную копию, придется воспользоваться сторонним ПО для восстановления файлов. С этой задачей может справиться, например, Hitman Partition Recovery, однако получить положительный результат удается не всегда, поэтому по возможности лучше заранее подстраховаться и создать архив.

chatsettingsbackup.db.crypt1 — что это за файл и как открыть?

chatsettingsbackup.db.crypt1 — резервная копия настроек чата WhatsApp, которую можно найти например на внешней SD-карте памяти.

Расшифровать данный файл можно без наличия root-прав. Хотя по другим данным — рут все таки нужен.

Предположительное расположение файла:

Важно понимать: в данной ситуации файл .crypt1 — это зашифрованная база данных, созданная мессенджером WhatsApp. Содержит 256-битную зашифрованную резервную копию данных, среди которых могут быть загруженные пакеты стикеров (stickers.db.crypt1).

Также вы можете обнаружить файл statusranking.db.crypt1 — это некий рейтинг состояния (точной информации нет). Файл — wallpaper.bkup это видимо резервная копия фоновых изображений.

chatsettingsbackup.db.crypt1 — как расшифровать?

Проще всего расшифровать файл на устройстве Android, необходимый ключ для расшифровки там хранится просто в виде файла, обычно расположен в этой папке:

По некоторым данным доступ к директории data возможен только на рутированном смартфоне.

Данный ключ генерируется при первом создании резервной копии в облаке.

Чтобы расшифровать файл можно использовать программу Crypt12 Database Decrypter, для работы которой необходимо чтобы была установлена на ПК Java-машина (это бесплатное ПО). При отсутствии — посетите веб-сайт java.com и загрузите. Мини инструкция расшифровки с использованием Crypt12 Database Decrypter:

  1. Откройте директорию где находится файл базы (crypt1) и файл ключа.
  2. Поместите в эту папку приложение, которое состоит из модулей decrypt12.jar и decrypt12.java.
  3. Запустите командную строку или PowerShell именно из этого места. Для этого можно открыть командную строку (Win + R > cmd) и командой CD перейти в текущую открытую папку, прописав cd путь (путь берем в кавычки). Но есть способ намного проще (однако может не работать) — просто зажмите кнопку Shift в папке по пустому месту, потом правый клик мышки > выберите нужный пункт (здесь можно попробовать и PowerShell).
  4. После запуска командной строки — используйте команду java -jar decrypt12.jar key chatsettingsbackup.db.crypt1 Output.db PS: Output.db — это название выходного файла, то есть результат работы команды.
  5. Если все успешно — вы получите такую же базу chatsettingsbackup.db.crypt1, только она будет уже полностью расшифрована и под названием Output.db (или другое вами указанное).

Программа WhatsApp Decrypter. Суть такая же, только здесь вместо команд нужно использовать кнопки, данный способ может быть кому-то легче:

WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?

Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

image alt

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

image alt

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

    ‘wa_contacts’
    Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

image alt

Имя поля Значение
_id порядковый номер записи (в SQL таблице)
jid WhatsApp ID контакта, записывается в формате <номер телефона>@s.whatsapp.net
is_whatsapp_user содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае
status содержит текст, отображаемый в статусе контакта
status_timestamp содержит временную метку в формате Unix Epoch Time (ms)
number номер телефона, ассоциированный с контактом
raw_contact_id порядковый номер контакта
display_name отображаемое имя контакта
phone_type тип телефона
phone_label метка, ассоциированная с номером контакта
unseen_msg_count количество сообщений которые были отправлены контактом но небыли прочитаны получателем
photo_ts содержит временную метку в формате Unix Epoch Time
thumb_ts содержит временную метку в формате Unix Epoch Time
photo_id_timestamp содержит временную метку в формате Unix Epoch Time (ms)
given_name значение поля совпадает с ‘display_name’ для каждого контакта
wa_name имя контакта в WhatsApp (отображается имя, указанное в профиле контакта)
sort_name имя контакта, используемое в операциях сортировки
nickname ник контакта в WhatsApp (отображается ник, указанный в профиле контакта)
company компания (отображается компания, указанная в профиле контакта)
title обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта)
offset смещение

image alt

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

    ‘sqlite_sequence’
    Эта таблица содержит общую информацию об этой базе данных, например, общее число хранимых сообщений, общее число чатов и т.д.

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Имя поля Значение
_id порядковый номер записи (в SQL таблице)
key_remote_jid WhatsApp ID партнера по коммуникации
key_from_me направление сообщения: ‘0’ – входящее, ‘1’ — исходящее
key_id уникальный идентификатор сообщения
status статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано)
need_push имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’
data текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’)
timestamp содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
media_url содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_mime_type MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_wa_type тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные
media_size размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_name имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_caption Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’)
media_hash закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
media_duration продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’)
origin имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’
latitude геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’)
longitude геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’)
thumb_image служебная информация
remote_recource ID отправителя (только для групповых чатов)
received_timestamp время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение)
send_timestamp не используется, обычно имеет значение ‘-1’
receipt_server_timestamp время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение
receipt_device_timestamp время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение
read_device_timestamp время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
played_device_timestamp время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства
raw_data миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’)
recipient_count количество получателей (для широковещательных сообщений)
participant_hash используется при передаче сообщений с геоданными
starred не используется
quoted_row_id неизвестно, обычно содержит значение ‘0’
mentioned_jids не используется
multicast_id не используется
offset смещение

Внешний вид таблицы:

  • Файл ‘msgstore.db.cryptXX’ (где XX – одна или две цифры от 0 до 12, например, msgstore.db.crypt12). Содержит зашифрованную резервную копию сообщений WhatsApp (резервная копия файла msgstore.db). Файл (или файлы) ‘msgstore.db.cryptXX’ располагается по пути: ‘/data/media/0/WhatsApp/Databases/’ (виртуальная SD-карта), ‘/mnt/sdcard/WhatsApp/Databases/ (физическая SD-карта)’.
  • Файл ‘key’. Содержит криптографический ключ. Располагается по пути: ‘/data/data/com.whatsapp/files/’. Используется для расшифровки зашифрованных резервных копий WhatsApp.
  • Файл ‘com.whatsapp_preferences.xml’. Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/data/data/com.whatsapp/shared_prefs/’.

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит переданные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/’. Содержит голосовые сообщения в файлах формата .OPUS.
  • Каталог ‘/data/data/com.whatsapp/cache/Profile Pictures/’. Содержит графические файлы – изображения контактов.
  • Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – миниатюры изображения контактов. Эти файлы имеют расширение ‘.j’, но, тем не менее, являются графическими файлами формата JPEG (JPG).
  • Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – изображение и миниатюру изображения, установленного как аватар владельцем аккаунта.
  • Каталог ‘/data/data/com.whatsapp/files/Logs/’. Содержит журнал работы программы (файл ‘whatsapp.log’) и резервные копии журналов работы программы (файлы с именами формата whatsapp-гггг-мм-дд.1.log.gz).

image alt

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
  • Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

image alt

Файлы, находящиеся в подкаталоге ‘Databases’:

image alt

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

  • в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
  • во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).

Структура ‘ChatStorage.sqlite’:

image alt

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

image alt

Имя поля Значение
Z_PK порядковый номер записи (в SQL таблице)
Z_ENT идентификатор таблицы, имеет значение ‘9’
Z_OPT неизвестно, обычно содержит значения от ‘1’ до ‘6’
ZCHILDMESSAGESDELIVEREDCOUNT неизвестно, обычно содержит значение ‘0’
ZCHILDMESSAGESPLAYEDCOUNT неизвестно, обычно содержит значение ‘0’
ZCHILDMESSAGESREADCOUNT неизвестно, обычно содержит значение ‘0’
ZDATAITEMVERSION неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения
ZDOCID неизвестно
ZENCRETRYCOUNT неизвестно, обычно содержит значение ‘0’
ZFILTEREDRECIPIENTCOUNT неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’
ZISFROMME направление сообщения: ‘0’ – входящее, ‘1’ — исходящее
ZMESSAGEERRORSTATUS статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’
ZMESSAGETYPE тип передаваемого сообщения
ZSORT неизвестно
ZSPOTLIGHSTATUS неизвестно
ZSTARRED неизвестно, не используется
ZCHATSESSION неизвестно
ZGROUPMEMBER неизвестно, не используется
ZLASTSESSION неизвестно
ZMEDIAITEM неизвестно
ZMESSAGEINFO неизвестно
ZPARENTMESSAGE неизвестно, не используется
ZMESSAGEDATE временная отметка в формате OS X Epoch Time
ZSENTDATE время отправки сообщения в формате OS X Epoch Time
ZFROMJID WhatsApp ID отправителя
ZMEDIASECTIONID содержит год и месяц отправки медиафайла
ZPHASH неизвестно, не используется
ZPUSHPAME имя контакта отправившего медиафайл в формате UTF-8
ZSTANZID уникальный идентификатор сообщения
ZTEXT текст сообщения
ZTOJID WhatsApp ID получателя
OFFSET смещение

Внешний вид таблицы ‘ZWAMEDIAITEM’:

image alt

Имя поля Значение
Z_PK порядковый номер записи (в SQL таблице)
Z_ENT идентификатор таблицы, имеет значение ‘8’
Z_OPT неизвестно, обычно содержит значения от ‘1’ до ‘3’.
ZCLOUDSTATUS содержит значение ‘4’ если файл загружен.
ZFILESIZE содержит длину файла (в байтах) для загруженных файлов
ZMEDIAORIGIN неизвестно, обычно имеет значение ‘0’
ZMOVIEDURATION продолжительность медиафайла, для pdf файлов может содержать число страниц документа
ZMESSAGE содержит порядковый номер (номер отличается от того, который указан в колонке ‘Z_PK’)
ZASPECTRATIO соотношение сторон, не используется, обычно имеет значение ‘0’
ZHACCURACY неизвестно, обычно имеет значение ‘0’
ZLATTITUDE ширина в пикселях
ZLONGTITUDE высота в пикселях
ZMEDIAURLDATE временная метка в формате OS X Epoch Time
ZAUTHORNAME автор (для документов, может содержать название файла)
ZCOLLECTIONNAME не используется
ZMEDIALOCALPATH имя файла (с указанием пути) в файловой системе устройства
ZMEDIAURL URL, по которому находился медиафайл. Если файл передавался от одного абонента другому, он был зашифрован, и его расширение будет указано как расширение передаваемого файла — .enc
ZTHUMBNAILLOCALPATH путь до миниатюры файла в файловой системе устройства
ZTITLE заголовок файла
ZVCARDNAME хеш медиафайла, при передаче файла в группу может содержать идентификатор отправителя
ZVCARDSTRING содержит информацию о типе передаваемого файла (например, image/jpeg), при передаче файла в группу может содержать идентификатор получателя
ZXMPPTHUMBPATH путь до миниатюры файла в файловой системе устройства
ZMEDIAKEY неизвестно, вероятно, содержит ключ для расшифровки зашифрованного файла.
ZMETADATA метаданные передаваемого сообщения
Offset смещение

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

  • ‘ZWAPROFILEPUSHNAME’. Соотносит WhatsApp ID с именем контакта;
  • ‘ZWAPROFILEPICTUREITEM’. Соотносит WhatsApp ID с аватаркой контакта;
  • ‘Z_PRIMARYKEY’. Таблица содержит общую информацию об этой базе данных, такую как общее число хранимых сообщений, общее число чатов и т.д.
  • Файл ‘BackedUpKeyValue.sqlite’. Содержит криптографические ключи и иные данные, которые необходимы для идентификации владельца аккаунта. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘ContactsV2.sqlite’. Содержит информацию о контактах пользователя, такую как ФИО, номер телефона, статус контакта (в виде текста), WhatsApp ID и т.д. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘consumer_version’. Содержит номер версии установленного приложения WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
  • Файл ‘current_wallpaper.jpg’. Содержит текущие обои фона программы WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. В старых версиях приложения используется файл ‘wallpaper’, который располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’.
  • Файл ‘blockedcontacts.dat’. Содержит информацию о заблокированных контактах. Располагается по пути: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
  • Файл ‘pw.dat’. Содержит зашифрованный пароль. Располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/’.
  • Файл ‘net.whatsapp.WhatsApp.plist’ (или файл ‘group.net.whatsapp.WhatsApp.shared.plist’). Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/’.

image alt

Также нужно обращать внимание на следующие каталоги:

  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/’. Содержит миниатюры контактов, групп (файлы с расширением .thumb), аватары контактов, аватар владельца аккаунта WhatsApp (файл ‘Photo.jpg’).
  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ Message/Media/’. Содержит мультимедиа-файлы и их миниатюры
  • Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’. Содержит журнал работы программы (файл ‘calls.log’) и резервные копии журналов работы программы (файл ‘calls.backup.log’).
  • Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/’. Содержит стикеры (файлы в формате ‘.webp’).
  • Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/’. Содержит журналы работы программы.

Артефакты WhatsApp в Windows

  • ‘C:\Program Files (x86)\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

image alt

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

image alt

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

image alt

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

  • мультимедиа-файлы;
  • документы, передававшиеся с помощью WhatsApp;
  • информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

  • ‘C:\Applications\WhatsApp.app\’
  • ‘C:\Applications\._WhatsApp.app\’
  • ‘C:\Users\%User profile%\Library\Preferences\’
  • ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
  • ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
  • ‘C:\Users\%User profile%\Library\Application Scripts\’
  • ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
  • ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
  • ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
    В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
    В этом каталоге содержится информация об инсталляции программы.
  • ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
    В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
    В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
    В этом каталоге находится несколько подкаталогов:

image alt

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

  1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.

YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

Как восстановить историю чатов и медиафайлы в WhatsApp

В данной статье мы рассмотрим способы восстановления истории, контактов, чатов и переписки, а также присланных или отправленных файлов и изображений одного из самых популярных мессенджеров – WhatsApp.

Как восстановить историю чатов и медиафайлы в WhatsApp

Как восстановить историю чатов, контакты, сообщения и файлы в WhatsApp 💬📁⚕️

C необходимостью восстановления данных WhatsApp пользователи сталкиваются в случае замены смартфона на другой, после случайного удаления какого-то из чатов или всех их, в результате сброса памяти смартфона или форматирования карты памяти (на которую как правило и сохраняется история переписки приложения).

Добро пожаловать в WhatsApp

Восстановление переписки или чата в случае удаления из приложения

Восстановление недавней переписки

Чтобы восстановить переписку, которая была осуществлена не более чем 7 дней назад, достаточно просто переустановить приложение на вашем мобильном устройстве: сначала удалить, затем установить заново. WhatsApp автоматически создаёт резервную копию ваших данных каждый день и сохраняет её на карту памяти смартфона.

После переустановки, приложение предложит восстановить историю сообщений из созданной раннее резервной копии. Достаточно просто нажать кнопку «Восстановить» и программа в процессе установки автоматически восстановит данные за последние 7 дней.

Найдена резервная копия чата

Восстановление более давней переписки

Восстановление чатов, которые старше чем 7 дней – это более сложный процесс. Для этого, перейдите в папку на карте памяти вашего устройства в которой WhatsApp сохраняет резервные копии чатов пользователя:
/sdcard/WhatsApp/Databases.

/sdcard/WhatsApp/Databases

Если перейти в эту папку вы увидите в ней один файл с названием msgstore.db.crypt12, и ещё несколько файлов с названиями, как msgstore-2016-11-08.1.db.crypt12.

msgstore.db.crypt12 – это файл с последней резервной копией чатов WhatsApp. Именно из данного файла происходит автоматическое восстановление чатов и контактов после переустановки WhatsApp.

msgstore-2016-11-08.1.db.crypt12 – это резервная копия чатов приложения на конкретную дату, которая указана в названии файла. В нашем случае – это резервная копия чатов на 08 ноября 2016 г.

Поэтому, если необходимо восстановить чаты по состоянию на определённую дату, найдите файл, в названии которого указана эта дата и переименуйте его в msgstore.db.crypt12.

После этого удалите WhatsApp с вашего устройства и установите его заново. В процессе установки программа предложит восстановить обнаруженную резервную копию чатов и контактов, как описано в предыдущем разделе. Восстановите её, и восстановится история из переименованного ранее файла.

Восстановить историю чата

Только имейте ввиду, что в результате проделанной процедуры с вашего устройства будет удалена текущая история чатов. Чтобы восстановить её, необходимо проделать всё в обратном порядке.

Примечание. Если вы создаёте резервную копию чатов вручную, то она также сохраняется в файл с названием msgstore.db.crypt12. Поэтому, чтобы не потерять файл с резервной копией чатов, которую вы создали вручную, переименуйте его и сохраните в удобное место. А в случае необходимости восстановления чатов именно из него, переименуйте данный файл обратно в msgstore.db.crypt12.

Создать резервную копию чатов вручную можно с помощью меню WhatsApp Настройки / Чаты / Резервное копирование чатов.

Настройки WhatsApp

Как восстановить чаты WhatsApp после очистки или форматирования карты памяти

Если произошел сбой карты памяти устройства, вы её очистили или отформатировали то восстановить историю чатов WhatsApp также можно. .

Для этого, подключите смартфон к компьютеру или подключите карту памяти к ПК с помощью кард-ридера. Запустите Hetman Partition Recovery и просканируйте с её помощью карту памяти. Перейдите с помощью программы в папку вашей карты памяти /sdcard/WhatsApp/Databases и вы увидите в ней созданные WhatsApp файлы с историей чатов.

Hetman Partition Recovery. Результат анализа

Восстановите содержимое папки Databases. Перенесите необходимый вам файл истории чатов в папку карты памяти устройства с WhatsApp. После этого повторите процедуру, как в случае с восстановлением более давней переписки чатов (раздел «Восстановление более давней переписки»).

Восстановление или перенос данных из одного смартфона на другой

Если вы поменяли смартфон на новый и вам необходимо восстановить на нём историю переписки вашего старого устройства, для этого перенесите файлы из папки /sdcard/WhatsApp/Databases старого телефонов в новый. Во время установки WhatsApp приложение обнаружит резервную копию чатов и предложит её восстановить.

Бэкап и восстановление Viber, WhatsApp на Windows ПК, Android или iOS телефоне, планшете в 2019

Восстановление удалённых из WhatsApp изображений, видео или аудио файлов

Все отправленные или принятые с помощью WhatsApp файлы (изображения, аудио, видео, документы и и.д.) также сохраняются приложением на карту памяти в папку /sdcard/WhatsApp/Media. В случае удаления таких файлов из чата, они продолжают хранится в указанной папке. Достаточно перейти в /sdcard/WhatsApp/Media, открыть папку, соответствующую типу искомого файла.

Media. Отправленные или принятые с помощью WhatsApp файлы

Если необходимо восстановить изображение, видео или аудио файл из чатов WhatsApp после форматирования или очистки карты памяти устройства, то сделать это можно следующим образом.

Подключите смартфон к компьютеру или карту памяти к ПК с помощью кард-ридера. Запустите Hetman Partition Recovery и просканируйте с её помощью карту памяти. Перейдите с помощью программы в папку вашей карты памяти /sdcard/WhatsApp/Media, и вы увидите в ней папки с отправленными или принятыми с помощью WhatsApp файлы, которые отсортированы в соответствии с типом файла.

Hetman Partition Recovery. Предварительный просмотр восстанавливаемого файла

Перенесите необходимые файлы в Список восстановления и восстановите в удобное место.

Дополнено в январе 2019 года

Обратите внимание, что в последних версиях WhatsApp уже не хранит никакие данные на карте памяти устройства (смартфона или планшета).

Поэтому, для восстановления переписок и чатов более чем семидневной давности, перейдите в папку в памяти вашего устройства в которой WhatsApp сохраняет резервные копии чатов пользователя:

Также, все отправленные или принятые с помощью WhatsApp файлы (изображения, аудио, видео, документы и и.д.) сохраняются приложением не в память устройства, а в папку:

В случае удаления таких файлов из чата, они продолжают хранится в указанной папке. Достаточно перейти в /WhatsApp/Media, открыть папку, соответствующую типу искомого файла.

Vladimir Mareev

Автор: Vladimir Mareev, Технический писатель

Владимир Мареев — автор и переводчик технических текстов в компании Hetman Software. Имеет тринадцатилетний опыт в области разработки программного обеспечения для восстановления данных, который помогает ему создавать понятные статьи для блога компании. Спектр публикаций довольно широк и не ограничивается только лишь темой программирования. Статьи включают также разнообразные обзоры новинок рынка компьютерных устройств, популярных операционных систем, руководства по использованию распространенных и специфических программ, примеры решений возникающих системных или аппаратных проблем и многие другие виды публикаций. Подробнее

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *