Messages db whatsapp как открыть windows phone

Обновлено: 03.07.2024

Как перенести WhatsApp на другой телефон с полной историей

При покупке нового смартфона у пользователей WhatsApp часто возникают проблемы с переносом чатов. Интерфейс программы нельзя назвать интуитивным, но все же несколько способов по сохранению старых диалогов разработчики предусмотрели.

Способы сохранения переписки в WhatsApp

Всем пользователям при первом запуске мессенджера рекомендуется настроить резервное копирование. Эта опция периодически сохраняет все чаты вместе с файлами на пользовательском устройстве или в облаке. Последнее место хранения данных предпочтительнее, т. к. смартфоны и планшеты часто ломаются и из-за этого доступ к данным может быть утрачен навсегда.

Как перенести данные между телефонами

С Android на Android

Большинство пользователей Android предпочитают переносить копии диалогов через Google Диск. Этот способ очень удобный, т. к. не нужно копировать файлы вручную. Новый бэкап автоматически загружается в облако. Для того, чтобы перенести чаты со старого телефона в новый, необходимо:

  1. Авторизоваться в Google-аккаунте.
  2. Войти в WhatsApp и открыть раздел с настройками.
  3. Выбрать вкладку «Чаты».

С Android на Android

С Android на Android - 2


C iPhone на iPhone

На устройствах iOS копирование истории переписки осуществляется через iCloud. Пользователь загружает резервную копию данных из WhatsApp со старого устройства в облачное хранилище, а затем автоматически после авторизации на новом смартфоне информация копируется в мессенджер. Для того, чтобы воспользоваться этим способом, необходимо:

  1. Открыть настройки на старом аппарате.
  2. Перейти в раздел iCloud, тапнув по имени учетной записи.
  3. Активировать iCloud Drive.
  4. В настройках iCloud Drive переместить бегунов напротив WhatsApp во включенное положение.
  5. Вернуться в раздел настроек и открыть вкладку «Основные».
  6. Перейти в ««Хранилище iPhone» и удостовериться, что свободного места хватит для создания резервной копии диалогов.
  7. Открыть WhatsApp и перейти в настройки. Там найти вкладку «Чаты» и в ней перейти в подраздел «Резервная копия».
  8. В открывшемся окне выбрать «Создать копию».
  9. Дождаться завершения процедуры создания бэкапа и его загрузки в облако.
  10. На новом смартфоне авторизоваться в облачном хранилище iCloud в аккаунте, используемом для работы на старом устройстве.
  11. Запустить WhatsApp, ввести данные старой учетной записи.
  12. Согласиться с восстановлением резервной копии данных из облака.

Резервные копии мессенджера создаются с привязкой к номерам. Если у пользователя есть несколько учетных записей, он может загрузить их бэкапы на одно облачное хранилище и затем восстанавливать по очереди.

С Android на iPhone

Официального способа переноса с Андроид на iOS бэкапа из WhatsApp не существует. Но можно воспользоваться программой AppTrans. Ее нужно установить на компьютер. Дальнейший порядок действий:

  1. Запустите AppTrans на ПК.
  2. Подключите Андроид-устройство через USB в режиме отладки.
  3. Подключите iPhone к компьютеру.
  4. Убедитесь, что Андроид-устройство отображается в программе слева, а iOS справа. Если это не так, кликните на кнопку Switch.
  5. Кликните на «Transfer Now» и в открывшемся меню выберите WhatsApp.
  6. Программа предложит создать резервную копию мессенджера на iPhone. Необходимо согласиться.
  7. После создания бэкапа начнется перенос мессенджера из Андроида в Айфон. Когда процедура завершится, на iOS-устройстве будет версия WhatsApp со всеми нужными данными.

С iPhone на Android

Официальный способ доступен только для владельцев смартфонов и планшетов Samsung. Необходимо загрузить на компьютер Samsung SmartSwitch. Дальнейший порядок действий:

С Windows Phone на Android

Смартфоны на Windows Phone встречаются довольно редко, но даже на них можно сделать бэкап чатов WhatsApp и перенести на Андроид. Но сделать это намного сложнее, чем в случае с другими ОС. Для того, чтобы скопировать историю переписок, необходимо:

Как перенести все данные на компьютер


Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

image alt

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

image alt

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

    ‘wa_contacts’
    Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

image alt

image alt

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt


Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

image alt

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
  • Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

image alt

Файлы, находящиеся в подкаталоге ‘Databases’:

image alt

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

  • в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
  • во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

Структура ‘ChatStorage.sqlite’:

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

image alt

Внешний вид таблицы ‘ZWAMEDIAITEM’:

image alt

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

image alt

Также нужно обращать внимание на следующие каталоги:

Артефакты WhatsApp в Windows

  • ‘C:\Program Files (x86)\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

image alt

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

image alt

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

image alt

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

  • мультимедиа-файлы;
  • документы, передававшиеся с помощью WhatsApp;
  • информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

  • ‘C:\Applications\WhatsApp.app\’
  • ‘C:\Applications\._WhatsApp.app\’
  • ‘C:\Users\%User profile%\Library\Preferences\’
  • ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
  • ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
  • ‘C:\Users\%User profile%\Library\Application Scripts\’
  • ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
  • ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
  • ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
    В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
    В этом каталоге содержится информация об инсталляции программы.
  • ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
    В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
    В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
    В этом каталоге находится несколько подкаталогов:

image alt

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

  1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения. Извлечение данных WhatsApp из облачных хранилищ Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ. Извлечение данных WhatsApp: практические примеры Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

WhatsApp — один из самых популярных мессенджеров, присутствующих на мировом рынке. И с не столь давних пор, с целью безопасности, программа стала использовать достаточно мощный и распространённый алгоритм шифрования AES-256. Используемый алгоритм шифрования может отличаться в зависимости от того, какую именно версию WhatsApp вы используете.

Почему вообще это нужно сделать

Разумеется, мы не рассматриваем в рамках данного материала всякие сомнительные причины, почему может понадобиться прочитать резервную копию WhatsApp, например, если вы хотите получить доступ к чужим данным. Это нелегально и является нарушением закона. Однако, если вы вдруг хотите восстановить свои данные, то, разумеется, вы имеете на это полное право. В резервной копии хранится следующее:

список контактов (не только в рамках программы, но и список обычных телефонных номеров пользователя);

список звонков, совершённых с устройства.

Что понадобится для расшифровки

Оговорим сразу, что проще всего будет посмотреть резервную копию WhatsApp на телефонах с операционной системой Android, потому что ключ, который обязательно нужен для расшифровки, хранится там в виде обычного файла. Найти его можно на своём устройстве в папке data/data/сom.whatsapp/files. Он генерируется впервые, когда пользователь делает копию данных в облаке, так что, если вы активно пользуетесь этим мессенджером, ключ у вас точно есть.

Также, что логично, понадобится и сама база данных. Она хранится в файле msgstore.db.crypt12. Ну и, наконец, понадобится специальное программное обеспечение. Мы рассмотрим три варианта разной сложности, которые позволят эффективно расшифровать базу данных с вашей перепиской и прочими важными данными.

Использование бесплатного программного обеспечения для расшифровки данных

Поместите файл приложения (точнее, два файла, decrypt12.jar и decrypt12.java) в ту же папку, где хранятся файлы ключа и базы.

Запустите командную строчку в этой папке (для этого можно, зажав Shift, щёлкнуть по пустому месту в папке, затем найти подходящий пункт меню).

Введите следующую команду: java -jar decrypt12.jar key msgstore.db.crypt12 (название выходного файла).db

На выходе получится файл, где хранится ровно та же база данных, только уже в полностью расшифрованном, спокойно открываемом виде.

Если по каким-либо причинам вы не можете использовать Java, то есть версия приложения, написанная на языке Python. Она находится ровно по той же ссылке.

Использование утилиты WhatsApp Decrypter

нажмите на кнопку Key и выберите, где находится предварительно сохранённый файл ключа;

нажмите на кнопку File DB и выберите, где у вас хранится файл базы, msgstore.db.crypt12;

нажмите на кнопку Decrypt, немного подождите, пока не будет успешно расшифрована база, после чего откройте её.

Что делать после расшифровки?

Просто расшифровать базу данных, кстати, недостаточно. Надо её ещё каким-то образом просмотреть. Ведь вы не сможете открыть файл, в котором она хранится, при помощи стандартных приложений. Но так как формат базы данных достаточно стандартный, подойдёт любое хорошее приложение для чтения баз данных. Примером может быть, например, DB Browser, но, на самом деле, вы можете выбрать любой просмотрщик баз данных, при условии, что он поддерживает формат SQL (но, скорее всего, он и так его поддерживает, т.к. это самый распространённый формат).

Использование приложения Мобильный Криминалист

Существует и более мощная альтернатива, которая не подойдёт для домашнего использования, но будет уместной, если чтение резервных копий необходимо по профессиональной деятельности. Программа Мобильный криминалист обладает десятками, если не сотнями, различных возможностей, и позволяет проводить полноценную технико-криминалистическую экспертизу в полевых и лабораторных условиях. Приложение платное, цена определяется индивидуальным образом при обращении, начинается от 289 тысяч рублей в год. Для более старых версий есть пробная версия, которую можно использовать в течение 30 дней или 30 запусков.

Работа с данным приложением происходит иным образом:

сначала приложение авторизуется на сервере WhatsApp;

туда посылается специализированный запрос;

в ответ с сервера приходит ключ, с помощью которого и происходит дешифровка.

Также приложение может осуществлять расшифровку не только при помощи файла ключа, но и с помощью токена авторизации облачного сервиса WhatsApp, а также при помощи SMS. Это означает. что гипотетически можно получить доступ к зашифрованным данным не только лишь на Android, но и на телефонах, работающих на базе операционной системы iOS.

Мы рекомендуем использовать это приложение только профессионалам, а обычным пользователям воспользоваться методами, которые были описаны выше.

Как вы убедились, расшифровать резервную копию WhatsApp не так сложно. Если это можете сделать собственными силами вы, это же сможет сделать и злоумышленник, укравший ваши данные. Потому настоятельно рекомендуем заботиться о своей безопасности, принимать меры по её защите и доверять критичную информацию только надёжным и проверенным приложениям.


Если вы случайно удалили чат в мессенджере, воспользуйтесь одним из способов восстановления переписки в Whatsapp.


Автоматическое сохранение и варианты восстановления

Разработчики предусмотрели опцию автоматического хранения всех удаленных из приложения переписок.

За это время вы сможете восстановить утерянные данные. Они снова будут отображаться в пользовательском аккаунте.

Резервная копия не занимает места на клиентском устройстве и восстановить её можно как со смартфона, так и с помощью веб-версии мессенджера.

Как включить автосохранение?

Другие способы восстановления:

  • С помощью резервной копии на ПК;
  • В результате перемещения чата на другое устройство;
  • Восстановление файлов из облака;
  • Просмотр в текстовом редакторе.

По истечению семи дней виртуальные чаты удаляются. Вернуть ее можно только в том случае, если ранее вы сохраняли резервную копию данных в свое облачное хранилище или делали бэкап системы в результате подключения телефона к компьютеру. Рассмотрим детальнее все вышеуказанные способы возврата чата.

Создание резервной копии

Пользователи могут создавать резервные копи чатов самостоятельно. Копии хранятся:

  • Локально на устройстве;
  • В облачном хранилище. Обратите внимание, аккаунт можно синхронизировать только с облаком OneDrive. Для iPhone, iPad, MacBook – только с iCloud.

Следуйте инструкции для включения функции автоматического копирования:

2В главном меню кликните на «Настройки»;

3В новом окне выберите поле «Чаты»—«Резервные копии чата»;

4Нажмите на клавишу «Резервное копирование». Теперь все цепочки писем будут архивироваться и сохранятся в память устройства. Для настройки облачного копирования, кликните на пункт «Копирование на Google Диск» — авторизуйтесь и выберите периодичность отправки информации в облако.


Рис.2 – включение резервного копирования

Советуем использовать облачное копирование только когда устройство подключено к сети Wi-Fi, ведь трафика мобильного оператора может быть недостаточно для синхронизации данных.

Для этого в поле «Использование» выберите «Только Wi-Fi».

Чтобы синхронизировать не только текстовые данные, отметьте галочкой нужный тип контента (видео, изображения или документы).


Рис.3 – настройка бэкапа для облачного хранилища

Возврат удалённого чата

Сразу после первого запуска программы Whatsapp сканирует карту памяти на наличие сохраненных резервных копий.


Рис.4 – возврат недавно удалённых чатов

Старые диалоги

1С помощью любого файлового менеджера зайдите в карту памяти;

2Откройте папку WhatsApp/Databases;

3В появившемся окне отобразятся базы данных сохранённых цепочек писем. Каждый из этих файлов зашифрован, а его названии присутствует дата добавления резервной копии. Таким образом, вы можете восстановить только нужные чаты.


Рис.5 – папка с копиями чатов


Рис.6 – переустановка приложения

6После повторного запуска программы подтвердите свой номер и авторизуйтесь. Далее появится окно «Обнаружена резервная копия» — программа указывает на переименованной ранее файл. Кликните на «Восстановить»;


Рис.7 – вход в аккаунт


Рис.8 – успешный возврат удаленных чатов

Важно! В результате восстановления со смартфона удаляется файл msgstore.db.crypt12 и все другие документы в папке Databases. Чтобы сохранить новую копию, включите опцию создания бэкапа в настройках телефона (Рисунок 2).

Возврат чата после удаления программы или очистки карты памяти

Если вы хотите восстановить чаты в Whatsapp, но уже успели отформатировать карту памяти или удалить содержимое папки Databases, вернуть письма можно только с помощью компьютера и стороннего ПО.

Самый высокий показатель успешных попыток восстановления данных показывает утилита Hetman Partition Recovery.

С её помощью вы можете вернуть практически все письма, которые когда-либо хранились в вашем аккаунте.

Следуйте инструкции:

  • Подключите смартфон к компьютеру или ноутбуку. Также, к ПК можно подключить только карту памяти. Для того воспользуйтесь специальным ридером;


Рис.9 – подключение смартфона к ПК


Рис.10 – сканирование карты памяти

  • Далее утилита автоматически выполнит возврат удаленного файла в память устройства. Советуем скопировать базу данных на компьютер, ведь часто в смартфоне может возникнуть ошибка копирования данных.

С помощью Hetman Partition Recovery вы сможете восстановить любые файлы в операционной системе Android.

После использования программы выполните попытку возврата резервной копии чатов, как это было описано в предыдущем разделе статьи – удалите мессенджер и установите его заново, авторизуйтесь, переименуйте файл в папке Databases, в приложении откройте окно выбора резервной копии и кликните на восстановленный файл.

Попробуйте выполнить все действия заново или воспользуйтесь любой другой программой для восстановления файлов карты памяти – CC Recovery, ES Recovery и прочие.

Перемещение переписки между устройствами


Возврат удалённых медиа файлов и вложений

Вложения медиа файлов и офисных документов не сохраняются, а часто именно из-за них появляется необходимость возврата чатов.

Следуйте инструкции:

  • Все вложения, которые вы когда-либо получали и открывали на своем устройстве, сохраняются на карту памяти в папку Whatsapp/Media. При удалении письма с вложением происходит очистка соответствующего файла из директории. Если вы удалили чат, но еще не успели закрыть программу, этот файл все еще будет находиться в папке Media – сверните мессенджер и через ПК найдите картинку, видео или офисный документ;


Рис.12 – поиск файла с помощью ПК


Рис.13 – возврат удаленных медиа

Просмотр файла LOG

В случае резервного копирования данных переписки на компьютер пользователя, в памяти ПК сохраняется файл с расширением LOG.

Откройте документ LOG в стандартном блокноте или Notepad++.

Переписка будет читабельна. Если же кодировка некорректная, измените её на UTF-8 или Unicode в настройках программы.

Сам файл LOG сохраняется в директорию C/Program Files/Whatsapp/Backup.


Ошибка «Невозможно восстановить копию» — причины и решение

В процессе восстановления писем или вложенных файлов могут возникать ошибки.

Если вы не смогли выполнить возврат чата или его содержимое отображается некорректно, примите следующие меры:

Тематические видеоролики:

Аватар пользователя Антон Макаров

В одной из статей мы рассказывали, как на примере Android- и iOS-устройств можно получить информацию из мессенджера Telegram. Сегодня мы поговорим о механизмах шифрования и дешифрования данных в мессенджере WhatsApp.

Введение

Стоит отметить, что этот вопрос всегда волнует злоумышленников, которые также используют такой вид связи для общения между собой.

Рисунок 1. Сравнение мессенджеров

Сравнение мессенджеров

По этой теме читателей также наверняка заинтересует подробный Обзор безопасности популярных в России мобильных мессенджеров, который мы недавно опубликовали.

Шифрование данных в WhatsApp

Резервные копии, которые сохраняются в облако, зашифрованы с использованием безопасного алгоритма AES-256, причем в разных версиях WhatsApp используются различные алгоритмы шифрования.

Резервные копии содержат следующую информацию:

Рисунок 2. Алгоритм шифрования резервной копии данных в WhatsApp

Алгоритм шифрования резервной копии данных в WhatsApp

Дешифровка резервных копий WhatsApp

Для расшифровки резервных копий используется криптографический ключ, который создается в момент, когда пользователь впервые делает копию данных в облаке. Ключ генерируется на сервере WhatsApp и не попадает в облако.

В Android-устройствах ключ находится в каталоге data/data/сom.whatsapp/files. В iOS-устройствах ключ хранится в кейчейне и не попадает в облачные и iTunes-бэкапы.

Кроме самого ключа, который хранится на устройстве, также могут находиться зашифрованные базы данных.

Для извлечения ключа шифрования необходимо выполнить физическое извлечение данных из устройства. Но это не всегда возможно из-за проблем с программным или аппаратным обеспечением некоторых мобильных устройств.

В мобильной криминалистике эксперты часто сталкиваются с проблемами, которые не позволяют им провести полноценную экспертизу устройств и получить доступ к информации, хранимой в WhatsApp, из-за следующих проблем:

  • Устройство заблокировано.
  • Невозможно снять физический образ устройства или дешифровать его.
  • Приложение удалено с устройства владельца.

Такие проблемы возможно решить с помощью опенсорсных решений или применить специализированные программы.

Использование опенсорсных решений для дешифровки резервной копии WhatsApp

Для дешифровки резервной копии, имея key-файл, можно воспользоваться опенсорсными утилитами, например WhatsApp Crypt12 Database Decrypter, который доступен на GitHub. Для использования данной утилиты необходимо установить среду выполнения Java.

Для дешифровки необходимо переместить файлы msgstore.db.crypt12 и key в папку с файлами decrypt12.jar и decrypt12.java.

Далее запустить командную строку из папки, в которой содержатся вышеперечисленные файлы, и выполнить следующую команду:

java -jar decrypt12.jar key msgstore.db.crypt12 msgstore.db

Рисунок 3. Результат дешифрования резервной копии

Результат дешифрования резервной копии

Дешифрованная резервная копия сохранится в файл msgstore.db, просмотреть которую можно с помощью SQL- viewer, например DB Browser for SQLite.

Рисунок 4. Просмотр дешифрованной резервной копии с помощью DB Browser for SQLite

Просмотр дешифрованной резервной копии с помощью DB Browser for SQLite

Для упрощения дешифровки резервной копии нами разработана утилита WhatsApp Decrypter, которая упрощает данный процесс.

Рисунок 5. WhatsApp Decrypter

WhatsApp Decrypter

Использование специализированного программного обеспечения

Программное обеспечение «Мобильный Криминалист» содержит модули, позволяющие получить криптографический ключ, который необходим для дешифрования резервной копии с помощью:

  • key-файла (только для Android);
  • авторизации по токену или SMS;
  • токена авторизации WhatsApp Cloud.

Принцип работы дешифрации резервной копии заключается в следующем:

  • выполняется авторизация на сервере WhatsApp;
  • на сервер WhatsApp отправляется специальный запрос;
  • в ответ на запрос сервер WhatsApp отправляет ключ для дешифрования резервной копии.

Рисунок 6. Алгоритм дешифрования резервной копии

Алгоритм дешифрования резервной копии

Основные преимущества «Мобильного Криминалиста»:

  • обход двухфакторной авторизации;
  • выгрузка данных напрямую с WhatsApp Cloud;
  • дешифрование любой резервной копии с помощью токена;
  • дешифрование локальных резервных копий с флеш-карты устройства.

Выводы

Мы рассмотрели, как устроено шифрование данных в WhatsApp, алгоритмы дешифрования резервной копии, а также как дешифровать имеющуюся базу данных WhatsApp.

Использование мессенджера WhatsApp при имеющемся шифровании данных не является надежным, поэтому пользователю необходимо задумываться о безопасности использования различных мессенджеров, в том числе и WhatsApp.

Автор выражает благодарность сотрудникам компании Oxygen Software за содействие в написании статьи.

Читайте также: