Os principais artefatos que precisam ser encontrados ao investigar o WhatsApp
Os principais artefatos que precisam ser encontrados ao investigar o WhatsApp
Android
Para dispositivos Android, existem dois bancos de dados SQLite de valor para pesquisadores que recuperam artefatos WhatsApp: msgstore.db e wa.db. O msgstore.db contém detalhes sobre conversas de bate-papo entre um usuário e seus contatos. Wa.db armazena informações em todos os contatos do usuário da WhatsApp. Esses dois bancos de dados podem ser encontrados na pasta de bancos de dados nos seguintes locais:
/data/data/com.whatsapp/databases/msgstore.db
/data/data/com.whatsapp/databases/wa.db
The msgstore.db is a relatively simple SQLite database with two tables: chat_list and messages. The messages table contains a listing of all the messages that a user sends or receives from his/her contacts. Unlike Kik or BBM, where a user is required to have a unique username or PIN, WhatsApp uses the user’s phone number as a unique identifier for both the user and their contacts. This table will include the contact’s phone number, message contents, message status, timestamps, and any details around attachments included in the message. Attachments being sent through WhatsApp have their own table entry and the message contents will contain a null entry with a thumbnail and link to the photo/image being shared. This attachment is stored directly in the msgstore.db file. Additionally, the table may contain latitude and longitude coordinates for messages being sent, allowing the investigator to map out the geolocation details of a user.
A tabela do chat_list contém uma lista de todos os números de telefone com os quais um usuário se comunicou; No entanto, esta não é uma lista completa dos contatos do usuário. Para isso devemos olhar para o wa.db.
O wa.db contém uma listagem completa dos contatos do usuário de um WhatsApp, incluindo o número de telefone, o nome de exibição, o carimbo de data / hora e qualquer outra informação fornecida ao registrar-se no WhatsApp.
Para obter acesso ao msgstore.db e wa.db, um investigador deve criar ou obter uma aquisição física do dispositivo Android caso contrário, o WhatsApp também armazena uma cópia do msgstore.db no cartão SD, que é usado para backups No seguinte local:
/sdcard/WhatsApp/Databases/msgstore.db.crypt
Uma advertência com este arquivo é que ele está criptografado e deve ser descriptografado antes da análise. O WhatsApp usa vários tipos diferentes de criptografia neste banco de dados dependendo da versão do WhatsApp que está sendo usada.
Recuperar contatos, mensagens e anexos do Android no Android é relativamente simples, uma vez que você tem acesso aos bancos de dados apropriados. O processo é semelhante no iOS com algumas pequenas diferenças.
IOS
Ao contrário do Android, que usa múltiplos bancos de dados SQLite, o iOS armazena todos os dados relevantes do WhatsApp em um banco de dados chamado ChatStorage.sqlite, armazenados no seguinte local:
Net.whatsapp.WhatsApp / Documents / ChatStorage.sqlite
As tabelas ZWAMESSAGE e ZWAMEDIAITEM são excelentes locais para coleta de itens de valor de prova, incluindo mensagens, remetente, destinatário, timestamps, dados de localização geográfica e o caminho / localização de qualquer mídia compartilhada entre dois contatos. Muitos desses mesmos artefatos mencionados para o Android são encontrados nesses locais; No entanto, os nomes e a estrutura da tabela podem ser diferentes.
Além do banco de dados ChatStorage.sqlite, há também um banco de dados Contacts.sqlite na mesma localização. Embora existam alguns detalhes extras sobre os contatos WhatsApp de um usuário, este banco de dados não inclui o JID para cada contato que identifica de maneira exclusiva o usuário nos servidores WhatsApp.
Fazendo WhatsApp Analysis mais fácil com o Internet Evidence Finder (IEF)
O IEF suporta a recuperação de mensagens, contatos e anexos das conversas do WhatsApp no Android e iOS. Ele irá analisar e esculpir os artefatos mencionados acima e organizá-los para o investigador em um formato que seja fácil de ler e analisar. Abaixo está um exemplo de saída de uma mensagem do Android WhatsApp:
- Detalhes do remetente e do destinatário
- O conteúdo da mensagem
- Status da mensagem
- Todos os timestamps disponíveis
- Dados de geolocalização (se disponível)
- Imagem e detalhes da miniatura / anexo
Além de recuperar as informações listadas acima, o IEF também possui uma característica única que ajuda os pesquisadores a classificar e exibir automaticamente as conversas de bate-papo do WhatsApp, assim como o suspeito ou a vítima as teria visto em seu dispositivo. Esse recurso é chamado de Threading de bate-papo.
O exemplo acima mostra uma conversa de bate-papo do WhatsApp, como seria visto usando o recurso Threading de conversação IEF, que oferece suporte para conversas iOS e Android.
Usar o IEF para recuperar artefatos do WhatsApp dos dispositivos iOS e Android pode ajudar os examinadores a analisar rapidamente as conversas que podem ser valiosas para uma investigação. Ao pesquisar e organizar os bancos de dados SQLite em colunas classificáveis e usar recursos como o Threading do bate-papo, os pesquisadores podem facilmente avaliar os dados.
Como sempre, deixe-me saber se você tem alguma dúvida, sugestão ou pedido. Posso ser contactado por email em jamie.mcquaid@magnetforensics.com .
Aqui estão alguns recursos relacionados que você também pode estar interessado em:
- Leia o próximo blog em nossa série: Recuperando Blackberry Messenger Forensic Artifacts
- Veja o que é IEF: assista a uma demonstração
- Tente IEF gratuitamente:
- Novo no IEF: solicite um teste de 30 dias
Jamie McQuaid
Forensics Consultant, Magnet Forensics
Forensics Consultant, Magnet Forensics