Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp

Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db
  • Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db
  • Ключ для криптования
/data/data/com.whatsapp/files/key
Screenshot_20180803-133825LeECO.jpg
Для расшифровки будем использовать программу Andriller
Andriller.jpg
Получили отчет Andriller
статья отчет.jpg

Ещё для расшифровки воспользуемся программой WhatsApp Viewer
WhatsApp Viewer.jpg
После расшифровки открываем наш расшифрованный файл
WhatsApp Viewer1.jpg

Так же есть ещё одна программа которая с google выкачивает бэкап и распакует данные в читаемый вид по категориям и медиа файлы то же - Elcomsoft eXplorer for WhatsApp (для неё требуется логин и пароль и симка на которую зарегистрирован WhatsApp), но учтите после всех манипуляций WhatsApp надо будет заново привязывать к телефонному номеру. По этой причине полностью показывать на фото не буду так как за такие попытки (частые) мне могут заблокировать номер симки.
Elcomsoft eXplorer for WhatsApp.jpg
P:S​
Продолжение в Kali Linux Форензика мессенджеров. WhatsApp
Форензика Android, расшифровать и собрать данные из баз Viber
Обязательно к прочтению: Android. Ищем интересности.
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov, Vodoleya, G0p43R и ещё 17
Нажмите, чтобы раскрыть...
Sunnych сказал(а):
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db
  • Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db
  • Ключ для криптования
/data/data/com.whatsapp/files/key
Посмотреть вложение 20952
Для расшифровки будем использовать программу Andriller
Посмотреть вложение 20953
Получили отчет Andriller
Посмотреть вложение 20954

Ещё для расшифровки воспользуемся программой WhatsApp Viewer
Посмотреть вложение 20955
После расшифровки открываем наш расшифрованный файл
Посмотреть вложение 20956
P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...

Обязательно к прочтению: Android. Ищем интересности.
Нажмите, чтобы раскрыть...
Отличнейшая статья, что на счёт телеграма?
 
  • Нравится
Реакции: Vodoleya
CyberX88 сказал(а):
Отличнейшая статья, что на счёт телеграма?
Нажмите, чтобы раскрыть...
буду делать по всем возможным постепенно, и потом как все свои статьи их дополнять, малый срок телеграмму, и там много еще что нужно разбирать/изучать/тестировать, + в очереди подготовка других статей - если все удачно сложится. CyberX88 спасибо за Ваше внимание.
 
  • Нравится
Реакции: forgot
wittmann404 сказал(а):
Дополнительно хотелось бы обзор на Andriller
Нажмите, чтобы раскрыть...
будет по мере наполнения и разбора всего что он может вскрыть ;-) надеюсь новые версии crypt не будут быстро обновляться (не успеваю, написанные статьи тоже дополняю, но стараюсь делиться тем что понимаю).
К примеру (только что) уже в четвертый раз дополнилась статья Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov и Глюк
sicario сказал(а):
Есть че по imo messenger?
Нажмите, чтобы раскрыть...
физически не попадался - не разбирали его (по крайней мере я), если у Вас есть по нему информация, какие там базы, место положения в системе, ключ если присутствует то милости сюда Android. Ищем интересности
и отталкиваясь от этого можно будет рассмотреть (но не обещаю).
И ещё что там можно разбирать если:
imo.im — веб-сервис для мгновенного обмена сообщениями (Instant Messaging, IM) и VoIP-звонков. При регистрации нужно зарегистрировать собственный внутренний аккаунт imo.im Для обмена сообщениями с помощью imo.im не требуется установка дополнительных программ, достаточно иметь браузер, при этом все сообщения сохраняются на сервере, что позволяет использовать сервис из любого места в мире, с любого компьютера!
 
Последнее редактирование:
Привет, я что не нашел где скачать эту программу WhatsApp Viewer

Спасибо, получилось посмотреть.
Скажите, если человек удаляет чат, то все данные с того номера, тоже удаляются?

Sunnych сказал(а):
но с телефонов эти данные каким то образом восстанавливает оксиген - так что ДА это возможно
Нажмите, чтобы раскрыть...
Эут Программу можно где-нибудь скачать?
 
TownLad сказал(а):
Привет, я что не нашел где скачать эту программу WhatsApp Viewer
Нажмите, чтобы раскрыть...
первый запрос гугл сразу все находит
Ссылка скрыта от гостей


TownLad сказал(а):
Спасибо, получилось посмотреть.
Скажите, если человек удаляет чат, то все данные с того номера, тоже удаляются?
Эут Программу можно где-нибудь скачать?
Нажмите, чтобы раскрыть...
эти моменты не изучались но с телефонов эти данные каким то образом восстанавливает оксиген - так что ДА это возможно
oxygen forensic detective - только покупать
 
  • Нравится
Реакции: Semen Semenov
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ