Iacovnfld что это за файл

Обновлено: 04.07.2024


Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

image alt

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

image alt

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

    ‘wa_contacts’
    Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

image alt

image alt

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt


Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

image alt

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
  • Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

image alt

Файлы, находящиеся в подкаталоге ‘Databases’:

image alt

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

  • в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
  • во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

Структура ‘ChatStorage.sqlite’:

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

image alt

Внешний вид таблицы ‘ZWAMEDIAITEM’:

image alt

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

image alt

Также нужно обращать внимание на следующие каталоги:

Артефакты WhatsApp в Windows

  • ‘C:\Program Files (x86)\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

image alt

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

image alt

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

image alt

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

  • мультимедиа-файлы;
  • документы, передававшиеся с помощью WhatsApp;
  • информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

  • ‘C:\Applications\WhatsApp.app\’
  • ‘C:\Applications\._WhatsApp.app\’
  • ‘C:\Users\%User profile%\Library\Preferences\’
  • ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
  • ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
  • ‘C:\Users\%User profile%\Library\Application Scripts\’
  • ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
  • ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
  • ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
    В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
    В этом каталоге содержится информация об инсталляции программы.
  • ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
    В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
    В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
    В этом каталоге находится несколько подкаталогов:

image alt

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

  1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения. Извлечение данных WhatsApp из облачных хранилищ Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ. Извлечение данных WhatsApp: практические примеры Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

Прикрепленное изображение

Судя по многочисленным запросам в интернете, на форумах посвящённых OS Android, это распространённая проблема, однако универсальных путей её решения никто не предлагает. Многие отписываются, что Android сам знает когда и сколько ему памяти освободить, или предлагают удалить часть предложений, или установить программу по очистке памяти. Однако, по большому счету, проблемы это не решает, вот и мучается народ с заполненной памятью телефона, а системно вопрос не рассматривается.

Для начала приведу информацию относительно памяти телефона найденую мною на одном из сайтов.

    3. Internal phone storage ("Внутренняя память телефона")
    4. MicroSD / SDHC / SDXC . (есть и смартфоны без слота для карты)

На MicroSD-карте можно хранить любые данные в виде файлов (фильмы, музыку, фотографии и так далее). По сути, можно использовать телефон в качестве т.н. "флэшки", то есть в качестве микроSD-карты. В Android 2.2 часть установленных приложений можно перенести из "Внутренняя память" (Internal storage) сюда - на SD-карту; следовательно, это экономит драгоценное пространство "Внутренней памяти" (Internal storage). Но не все приложения могут быть перемещены из "Внутренней памяти" на карту памяти SD. Поэтому даже добавление большой SD-карты не поможет, если "Внутренняя память" близка к заполнению.

При желании заменть SD-карту (например, на другую с большей пропускной способностью), не забудьте отключить ("отмонтировать") текущую SD-карту, прежде чем физически вынимать её: "Настройки" -> "SD-карта и память телефона" -> "SD карта" -> "Отключить SD-Card" (ведь Android основан на Linux-е). Вставленная новая SD-карта будет автоматически установлена ("примонтирована").

Залез в интернет, выяснил, что доступ к Internal storage можно получить имея root права. Станцевал с бубном в течении примерно часов 10, получил на телефоне root права. Как? – не помню. В форуме всё написано, но либо у меня уже мозги не те, либо на форуме пишет народ с не теми мозгами :rolleyes:
С помощью программы Link2SD, перенёс часть программ на карту SD. Это хорошо почистило память. Хватило примерно на месяц. Через месяц СМС опять не приходят.

Начал настраивать себя на снос и переустановку системы, всё не решался >-)
Залез в интернет, выяснил, что есть такие временные файлы с расширением rm. Нашёл их в папке data\local\tmp c помощью программы RootExplorer, удалил – помогло не надолго (объём их был около 3 Мб).
Залез в папку data основательно, прошерстил её различными способами. Нашёл кучу файлов с расширением log, в названии которых присутствует слово error и название различных программ, в том числе тех, которые я удалил давно. Размер каждого из них составлял около 2 Mb, а количество – около 30 шт. Удалил их все. И, о чудо, внутренняя память заполнена 62 Мб из 181 (и телефон работает). Надолго ли? Посмотрим, такое ощущение что чистить надо постоянно.

4 папки на Android, которые вы никогда не должны удалять

С некоторыми файловыми менеджерами вы можете видеть почти все, что хранит ваш мобильный телефон или планшет. Возможно, просматривая папки вашего устройства, вы подумали об удалении некоторых, которые занимают много места. Иногда это может быть плохой идеей, поскольку вы можете стереть важные данные или вызвать проблемы в операционной системе.

Некоторые папки могут быть защищены или скрыты, чтобы вы не могли удалить их. Но в зависимости от вашего устройства и имеющихся у вас разрешений, папки с важными данными могут быть в свободном доступе. В мобильных устройствах Android есть 4 папки, которые вы никогда не должны удалять или пытаться их изменить. Эти папки называются:

Эти папки находятся во всех телефонах Android и содержат важную информацию. Как правило, некоторые из них, такие как System, невозможно просто удалить без дополнительных программ или разрешений, так как эта папка хранит операционную систему устройства и поэтому она защищена.

Папку Recovery также не рекомендуется удалять, так как она содержит резервные копии вашего телефона, которые нужны для восстановления.

Другие папки, такие как Data или SDcard намного проще удалить, но это может привести к потере важных данных. В этих папках хранится практически все, что находится внутри вашего устройства: фотографии, видео, приложения, данные приложений, контакты и т. д. Поэтому удаление этих папок приведет к сильной головной боли.

Если вы являетесь опытным пользователем, вы, возможно, уже знаете, что удаление этих папок может быть опасным. Но неопытные пользователи видят, что эти папки занимают много места и хотят их удалить, чтобы освободить память на устройстве.

Теперь вы знаете, что когда вы чистите свой телефон Android, вы не должны удалять эти 4 папки, переименовывать их или изменять какие-либо данные внутри этих папок.

Вам также может понравиться

Read more about the article 10 вещей, которые нужно сделать сразу после покупки нового устройства Android

10 вещей, которые нужно сделать сразу после покупки нового устройства Android

Redmi Note 10, 10 Pro и 10 Pro Max: ответы на часто задаваемые вопросы

7 смартфонов с самой быстрой зарядкой в мире

Типы обновлений, которые может получать ваш смартфон

Redmi Note 10 и Redmi Note 10 Pro: распространенные проблемы и их решение

Добавить комментарий Отменить ответ

* Нажимая на кнопку «Оставить комментарий» Вы соглашаетесь с политикой конфиденциальности.

Android

Google еще много лет тому назад смогла понять, что системка Android станет единственной популярностью ОС для всех смартфонов без исключения (apple не в счет). Как всем давно известно, везде где есть популярность, есть и свои угрозы безопасности. Чем больше людей пользуется, тем или иным понравившимся продуктом, тем сильнее хакеры будут хотеть его взломать.

В итоге, сейчас, для андроида любой версии насчитывается просто колоссальное количество опасных вирусов: троянов, шпионов, кейлогеров, демонстраторов рекламы и прочих других гадостей. Для борьбы со всем этим «поисковой гигант» еще пару лет назад добавил в системку скрытую функцию, удаляющую с Вашего гаджета все вирусы и сторонние программы.

В системах Android 5.0 Lollipop, Android 6.0 Marshmallow, Android 7.0 Nougat и Android 8.0 Oreo (релиз состоится совсем скоро) есть функция под названием «Безопасный режим», которая выключает все сторонние приложения, вручную установленные на Ваш смартфон или планшет.
Плюс такого решения в том, что пользуясь этой функцией любой человек может «излечить» свой мобильный гаджет от вирусов, троянов и других различных программ от злоумышленников.

Смотрите также: Google решила проблему со смартфонами Pixel

А еще, «безопасный режим» может пригодиться тогда, когда какая-то заразная программка не может быть удалена из-за сбоя или ошибки в коде, либо она работает неправильно, мешая функционированию всей системы в целом. К сожалению, в андроиде подобное случается довольно часто, поэтому о скрытой функции стоит знать каждому у кого есть смартфон или планшет на этой системе.

В каждом Android девайсе есть скрытая функция, для удаления вирусов Приложения - android-bezopasnyj-rezhim-2
В каждом Android девайсе есть скрытая функция, для удаления вирусов Приложения - android-bezopasnyj-rezhim-1

Для того чтобы перейти в «безопасный режим» нужно зажать и удерживать кнопку включения. Когда на экране засветится меню для подтверждения выключения или активации авиарежима, то следует выбрать и удерживать палец на варианте «Отключить питания» (или похожем), после чего надо подтвердить загрузку в безопасном режиме.
Когда девайс будет снова включен, то на него будут установлены лишь те программы и сервисы, которые присутствует в системе по умолчанию производителем.

Далее, используя стандартные средства, можно удалить все вредные программные обеспечения без всяких проблем и ограничений, либо программы, мешающие нормальной работе системы. Когда это будет сделано, то просто достаточно перезапустить смартфона или планшет, после чего он сам заработает, как и прежде нормальном режиме.
Всем здорового смартфона и приятного пользования.

Читайте также: