Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp

Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.

• Контакты WhatsApp

/data/data/com.whatsapp/databases/wa.db

• Сообщения WhatsApp

/data/data/com.whatsapp/databases/msgstore.db

• Ключ для криптования

/data/data/com.whatsapp/files/key

Директории Android

Для расшифровки будем использовать программу Andriller

Andriller

Получили отчет Andriller

Данные из Andriller

Ещё для расшифровки воспользуемся программой WhatsApp Viewer

WhatsApp Viewer

После расшифровки открываем наш расшифрованный файл

Данные из WhatsApp Viewer

Так же есть ещё одна программа которая с google выкачивает бэкап и распакует данные в читаемый вид по категориям и медиа файлы то же - Elcomsoft eXplorer for WhatsApp (для неё требуется логин и пароль и симка на которую зарегистрирован WhatsApp), но учтите после всех манипуляций WhatsApp надо будет заново привязывать к телефонному номеру. По этой причине полностью показывать на фото не буду так как за такие попытки (частые) мне могут заблокировать номер симки.

Elcomsoft eXplorer for WhatsApp обзор

P:S​

Продолжение в Kali Linux Форензика мессенджеров. WhatsApp
Форензика Android, расшифровать и собрать данные из баз Viber
Обязательно к прочтению: Android. Ищем интересности.
Данная статья будет дополняться и получать не значительные правки to by continued...

 

[CyberX88]

Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.

• Контакты WhatsApp

/data/data/com.whatsapp/databases/wa.db

• Сообщения WhatsApp

/data/data/com.whatsapp/databases/msgstore.db

• Ключ для криптования

/data/data/com.whatsapp/files/key

Директории Android

Посмотреть вложение 20952

Для расшифровки будем использовать программу Andriller

Andriller

Посмотреть вложение 20953

Получили отчет Andriller

Данные из Andriller

Посмотреть вложение 20954

Ещё для расшифровки воспользуемся программой WhatsApp Viewer

WhatsApp Viewer

Посмотреть вложение 20955

После расшифровки открываем наш расшифрованный файл

Данные из WhatsApp Viewer

Посмотреть вложение 20956

P:S​

Данная статья будет дополняться и получать не значительные правки to by continued...

Обязательно к прочтению: Android. Ищем интересности.

Отличнейшая статья, что на счёт телеграма?

 

[Sunnych]

Отличнейшая статья, что на счёт телеграма?

буду делать по всем возможным постепенно, и потом как все свои статьи их дополнять, малый срок телеграмму, и там много еще что нужно разбирать/изучать/тестировать, + в очереди подготовка других статей - если все удачно сложится. CyberX88 спасибо за Ваше внимание.

 

[forgot]

Отличная статья!
Спасибо !

 

[wittmann404]

Спасибо братан. Ты лучший!!!
Дополнительно хотелось бы обзор на Andriller
Ответ. Уже есть примеры использования:
Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Форензика Android, расшифровать и собрать данные из баз Viber

 

[Sunnych]

Дополнительно хотелось бы обзор на Andriller

будет по мере наполнения и разбора всего что он может вскрыть ;-) надеюсь новые версии crypt не будут быстро обновляться (не успеваю, написанные статьи тоже дополняю, но стараюсь делиться тем что понимаю).
К примеру (только что) уже в четвертый раз дополнилась статья Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk

 

[sicario]

Есть че по imo messenger?

 

[Sunnych]

Есть че по imo messenger?

физически не попадался - не разбирали его (по крайней мере я), если у Вас есть по нему информация, какие там базы, место положения в системе, ключ если присутствует то милости сюда Android. Ищем интересности
и отталкиваясь от этого можно будет рассмотреть (но не обещаю).
И ещё что там можно разбирать если:
imo.im — веб-сервис для мгновенного обмена сообщениями (Instant Messaging, IM) и VoIP-звонков. При регистрации нужно зарегистрировать собственный внутренний аккаунт imo.im Для обмена сообщениями с помощью imo.im не требуется установка дополнительных программ, достаточно иметь браузер, при этом все сообщения сохраняются на сервере, что позволяет использовать сервис из любого места в мире, с любого компьютера!

 

[TownLad]

Привет, я что не нашел где скачать эту программу WhatsApp Viewer

Спасибо, получилось посмотреть.
Скажите, если человек удаляет чат, то все данные с того номера, тоже удаляются?

но с телефонов эти данные каким то образом восстанавливает оксиген - так что ДА это возможно

Эут Программу можно где-нибудь скачать?

 

[Sunnych]

Привет, я что не нашел где скачать эту программу WhatsApp Viewer

первый запрос гугл сразу все находит

Ссылка скрыта от гостей

Спасибо, получилось посмотреть.
Скажите, если человек удаляет чат, то все данные с того номера, тоже удаляются?
Эут Программу можно где-нибудь скачать?

эти моменты не изучались но с телефонов эти данные каким то образом восстанавливает оксиген - так что ДА это возможно
oxygen forensic detective - только покупать