Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db
  • Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db
  • Ключ для криптования
/data/data/com.whatsapp/files/key
Screenshot_20180803-133825LeECO.jpg
Для расшифровки будем использовать программу Andriller
Andriller.jpg
Получили отчет Andriller
статья отчет.jpg

Ещё для расшифровки воспользуемся программой WhatsApp Viewer
WhatsApp Viewer.jpg
После расшифровки открываем наш расшифрованный файл
WhatsApp Viewer1.jpg

Так же есть ещё одна программа которая с google выкачивает бэкап и распакует данные в читаемый вид по категориям и медиа файлы то же - Elcomsoft eXplorer for WhatsApp (для неё требуется логин и пароль и симка на которую зарегистрирован WhatsApp), но учтите после всех манипуляций WhatsApp надо будет заново привязывать к телефонному номеру. По этой причине полностью показывать на фото не буду так как за такие попытки (частые) мне могут заблокировать номер симки.
Elcomsoft eXplorer for WhatsApp.jpg
P:S​
Продолжение в Kali Linux Форензика мессенджеров. WhatsApp
Форензика Android, расшифровать и собрать данные из баз Viber
Обязательно к прочтению: Android. Ищем интересности.
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
CyberX88

CyberX88

Well-known member
05.02.2017
114
42
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db
  • Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db
  • Ключ для криптования
/data/data/com.whatsapp/files/key
Для расшифровки будем использовать программу Andriller
Получили отчет Andriller

Ещё для расшифровки воспользуемся программой WhatsApp Viewer
После расшифровки открываем наш расшифрованный файл
P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...

Обязательно к прочтению: Android. Ищем интересности.
Отличнейшая статья, что на счёт телеграма?
 
  • Нравится
Реакции: Vodoleya
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Отличнейшая статья, что на счёт телеграма?
буду делать по всем возможным постепенно, и потом как все свои статьи их дополнять, малый срок телеграмму, и там много еще что нужно разбирать/изучать/тестировать, + в очереди подготовка других статей - если все удачно сложится. CyberX88 спасибо за Ваше внимание.
 
  • Нравится
Реакции: forgot
wittmann404

wittmann404

Active member
28.03.2016
37
8
Последнее редактирование модератором:
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Дополнительно хотелось бы обзор на Andriller
будет по мере наполнения и разбора всего что он может вскрыть ;-) надеюсь новые версии crypt не будут быстро обновляться (не успеваю, написанные статьи тоже дополняю, но стараюсь делиться тем что понимаю).
К примеру (только что) уже в четвертый раз дополнилась статья Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
 
Последнее редактирование:
  • Нравится
Реакции: Глюк
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Есть че по imo messenger?
физически не попадался - не разбирали его (по крайней мере я), если у Вас есть по нему информация, какие там базы, место положения в системе, ключ если присутствует то милости сюда Android. Ищем интересности
и отталкиваясь от этого можно будет рассмотреть (но не обещаю).
И ещё что там можно разбирать если:
imo.im — веб-сервис для мгновенного обмена сообщениями (Instant Messaging, IM) и VoIP-звонков. При регистрации нужно зарегистрировать собственный внутренний аккаунт imo.im Для обмена сообщениями с помощью imo.im не требуется установка дополнительных программ, достаточно иметь браузер, при этом все сообщения сохраняются на сервере, что позволяет использовать сервис из любого места в мире, с любого компьютера!
 
Последнее редактирование:
Мы в соцсетях: