Por que WhatsApp é importante para o Forensics Celular nas Investigações?

Bem como outras aplicações móveis de chat, contatos WhatsApp, mensagens e anexos podem ser valiosas para examinadores procuram recuperar evidência para uma variedade de diferentes tipos de investigação. Se você está analisando o dispositivo móvel de um suspeito ou uma vítima, esses artefatos de bate-papo pode conter informações valiosas para ajudar a resolver um caso.

Os artefatos-chave que precisam ser encontrada quando Investigando WhatsApp

Android

Para dispositivos Android, existem duas bases de dados SQLite de valor para os investigadores recuperando artefatos WhatsApp: msgstore.db e wa.db. O msgstore.db contém detalhes sobre as conversas entre um usuário e seus contatos. Wa.db armazena informações sobre todos os contatos do usuário WhatsApp. Ambos os bancos de dados podem ser encontrados na pasta de bancos de dados nos seguintes locais:

/data/data/com.whatsapp/databases/msgstore.db

/data/data/com.whatsapp/databases/wa.db

O msgstore.db é um banco de dados SQLite relativamente simples com duas tabelas: chat_list e mensagens. A tabela mensagens contém uma lista de todas as mensagens que um usuário envia ou recebe de seu / sua contatos. Ao contrário de Kik ou BBM, onde um usuário é obrigado a ter um nome de utilizador ou PIN exclusivo, WhatsApp utiliza o número de telefone do usuário como um identificador único para o usuário e seus contatos. Este quadro irá incluir o número do telefone de contato, o conteúdo da mensagem, o status da mensagem, data e hora, e todos os detalhes ao redor anexos incluídos na mensagem. Anexos sendo enviados através WhatsApp têm a sua própria entrada da tabela e o conteúdo da mensagem irá conter uma entrada nula com uma miniatura e link para a foto / imagem que está sendo compartilhado. Este anexo é armazenado diretamente no arquivo msgstore.db. Além disso, a tabela pode conter coordenadas de latitude e longitude para mensagens enviadas, permitindo que o investigador para mapear os detalhes de localização geográfica de um usuário.

A tabela chat_list contém uma lista de todos os números de telefone que um usuário se comunicavam com; no entanto, esta não é uma lista completa de contatos do usuário. Para isso temos que olhar para o wa.db.

O wa.db contém uma lista completa de contatos de um usuário WhatsApp incluindo número de telefone, nome de exibição, timestamp, e qualquer outra informação dada aquando do registo com WhatsApp.

A fim de ter acesso a a msgstore.db e wa.db, um investigador deve torcer ou obter uma aquisição física do dispositivo Android em contrário, WhatsApp também armazena uma cópia do msgstore.db no cartão SD, que é usado para backups no seguinte local:

/sdcard/WhatsApp/Databases/msgstore.db.crypt

Uma ressalva a este arquivo é que ele é criptografado e deve ser descriptografado antes da análise. WhatsApp utiliza vários tipos diferentes de criptografia nesta base de dados, dependendo da versão do WhatsApp a ser utilizado.

Recuperar contatos WhatsApp, mensagens e anexos no Android é relativamente simples uma vez que você tem acesso a bancos de dados apropriados. O processo é semelhante em iOS com algumas pequenas diferenças.

iOS

Ao contrário do Android, que usa vários bancos de dados SQLite, lojas iOS todos os dados WhatsApp relevantes em um banco de dados chamado ChatStorage.sqlite, armazenados no seguinte local:

net.whatsapp.WhatsApp / Documentos / ChatStorage.sqlite

As tabelas ZWAMESSAGE e ZWAMEDIAITEM são excelentes locais para a coleta de itens de valor probatório incluindo mensagens, remetente, destinatário, data e hora, dados de geolocalização, eo caminho / localização de qualquer mídia que está sendo compartilhado entre dois contatos. Muitos dos mesmos artefatos mencionados para Android são encontrados nesses locais; No entanto, os nomes de tabela e estrutura pode ser diferente.

Para além da base de dados ChatStorage.sqlite, há também uma base de dados Contacts.sqlite no mesmo local. Embora existam alguns detalhes adicionais sobre contatos WhatsApp de um usuário, este banco de dados não inclui a JID para cada contato que identifica o usuário para os servidores WhatsApp.

Fazendo Análise WhatsApp mais fácil com Evidence Internet Finder (IEF)

IEF suporta a recuperação de mensagens, contatos e anexos de conversas WhatsApp no ​​Android e iOS. Ele irá analisar e esculpir os artefatos mencionados acima e organizá-los para o investigador em um formato que é fácil de ler e analisar. Abaixo está um exemplo de saída de uma mensagem WhatsApp Android:

1. Emissor e receptor detalhes
2. O conteúdo da mensagem
3. status da mensagem
4. Todas as marcas de tempo disponíveis
5. dados de geolocalização (se disponível)
6. Imagem em miniatura / apego e detalhes

Além de recuperar as informações listadas acima, IEF também tem uma característica única que ajuda os investigadores automaticamente classificar e exibir bate-papos WhatsApp assim como o suspeito ou vítima teria viram-los em seu dispositivo.Esse recurso é chamado bate-papo Threading.

O exemplo acima mostra uma conversa de bate-papo WhatsApp como seria visto usando o recurso de bate-papo IEF Threading, que suporta tanto para conversas Android iOS e.

Usando IEF para recuperar artefatos WhatsApp de iOS e dispositivos Android pode ajudar examinadores analisar rapidamente conversas que podem ser valiosas para uma investigação. Ao pesquisar e organizar as bases de dados SQLite em colunas classificáveis, e usando recursos como bate-papo de Threading, os investigadores podem facilmente avaliar os dados.

Como sempre, por favor, deixe-me saber se você tiver quaisquer dúvidas, sugestões ou pedidos. Posso ser contatado pelo e-mailjamie.mcquaid@magnetforensics.com .

Aqui estão alguns recursos relacionados você também pode estar interessado em:

1. Leia o próximo blog em nossa série: Recuperando BlackBerry Messenger Artifacts Forense
2. Veja o que IEF é tudo sobre:  Participar de uma demonstração
3. Tente IEF para livre:
   • Novo para IEF:  Pedir um teste de 30 dias

Jamie McQuaid
Forensics Consultant, ímã Forensics

Artigos Relacionados:

1. Recuperando BlackBerry Messenger Artifacts Forense
2. Recuperando Kik Mensageiro Artifacts Forense
3. Recuperando artefatos forenses de chat móveis com IEF 6.3: Um vídeo tutorial
4. The Rise of Mobile bate-papo Apps: Recuperando Evidências de Kik Messenger, WhatsApp e BBM
5. https://www.magnetforensics.com/mobile-forensics/recovering-whatsapp-forensic-artifacts/

Mais sobre 

http://pt.slideshare.net/AnimeshShawRana/whatsapp-forensic


Ferramentas

Como pegar as conversas?

Tutorial completo abaixo para pegar conversas do WhatsApp do Android ou iOS - tutorial compatível com Windows, Mac e Linux.

iOS 

Para conseguir o arquivo ChatStorage.sqlite (que contém as conversas) baixe o programa iPhone / iPod Touch Backup Extractor projetado para rodar em Mac OS X 10.5 ou superior.

Clique aqui para baixar em seu MAC.

O programa converte os backups de iPhone ou iPod Touch que são criados pelo iTunes em arquivos facilmente utilizáveis. Confira abaixo um tutorial em vídeo de como utilizar a ferramenta: