Msgstore что это за файл

Обновлено: 04.07.2024

WhatsApp — один из самых популярных мессенджеров, присутствующих на мировом рынке. И с не столь давних пор, с целью безопасности, программа стала использовать достаточно мощный и распространённый алгоритм шифрования AES-256. Используемый алгоритм шифрования может отличаться в зависимости от того, какую именно версию WhatsApp вы используете.

Почему вообще это нужно сделать

Разумеется, мы не рассматриваем в рамках данного материала всякие сомнительные причины, почему может понадобиться прочитать резервную копию WhatsApp, например, если вы хотите получить доступ к чужим данным. Это нелегально и является нарушением закона. Однако, если вы вдруг хотите восстановить свои данные, то, разумеется, вы имеете на это полное право. В резервной копии хранится следующее:

список контактов (не только в рамках программы, но и список обычных телефонных номеров пользователя);

список звонков, совершённых с устройства.

Что понадобится для расшифровки

Оговорим сразу, что проще всего будет посмотреть резервную копию WhatsApp на телефонах с операционной системой Android, потому что ключ, который обязательно нужен для расшифровки, хранится там в виде обычного файла. Найти его можно на своём устройстве в папке data/data/сom.whatsapp/files. Он генерируется впервые, когда пользователь делает копию данных в облаке, так что, если вы активно пользуетесь этим мессенджером, ключ у вас точно есть.

Также, что логично, понадобится и сама база данных. Она хранится в файле msgstore.db.crypt12. Ну и, наконец, понадобится специальное программное обеспечение. Мы рассмотрим три варианта разной сложности, которые позволят эффективно расшифровать базу данных с вашей перепиской и прочими важными данными.

Использование бесплатного программного обеспечения для расшифровки данных

Поместите файл приложения (точнее, два файла, decrypt12.jar и decrypt12.java) в ту же папку, где хранятся файлы ключа и базы.

Запустите командную строчку в этой папке (для этого можно, зажав Shift, щёлкнуть по пустому месту в папке, затем найти подходящий пункт меню).

Введите следующую команду: java -jar decrypt12.jar key msgstore.db.crypt12 (название выходного файла).db

На выходе получится файл, где хранится ровно та же база данных, только уже в полностью расшифрованном, спокойно открываемом виде.

Если по каким-либо причинам вы не можете использовать Java, то есть версия приложения, написанная на языке Python. Она находится ровно по той же ссылке.

Использование утилиты WhatsApp Decrypter

нажмите на кнопку Key и выберите, где находится предварительно сохранённый файл ключа;

нажмите на кнопку File DB и выберите, где у вас хранится файл базы, msgstore.db.crypt12;

нажмите на кнопку Decrypt, немного подождите, пока не будет успешно расшифрована база, после чего откройте её.

Что делать после расшифровки?

Просто расшифровать базу данных, кстати, недостаточно. Надо её ещё каким-то образом просмотреть. Ведь вы не сможете открыть файл, в котором она хранится, при помощи стандартных приложений. Но так как формат базы данных достаточно стандартный, подойдёт любое хорошее приложение для чтения баз данных. Примером может быть, например, DB Browser, но, на самом деле, вы можете выбрать любой просмотрщик баз данных, при условии, что он поддерживает формат SQL (но, скорее всего, он и так его поддерживает, т.к. это самый распространённый формат).

Использование приложения Мобильный Криминалист

Существует и более мощная альтернатива, которая не подойдёт для домашнего использования, но будет уместной, если чтение резервных копий необходимо по профессиональной деятельности. Программа Мобильный криминалист обладает десятками, если не сотнями, различных возможностей, и позволяет проводить полноценную технико-криминалистическую экспертизу в полевых и лабораторных условиях. Приложение платное, цена определяется индивидуальным образом при обращении, начинается от 289 тысяч рублей в год. Для более старых версий есть пробная версия, которую можно использовать в течение 30 дней или 30 запусков.

Работа с данным приложением происходит иным образом:

сначала приложение авторизуется на сервере WhatsApp;

туда посылается специализированный запрос;

в ответ с сервера приходит ключ, с помощью которого и происходит дешифровка.

Также приложение может осуществлять расшифровку не только при помощи файла ключа, но и с помощью токена авторизации облачного сервиса WhatsApp, а также при помощи SMS. Это означает. что гипотетически можно получить доступ к зашифрованным данным не только лишь на Android, но и на телефонах, работающих на базе операционной системы iOS.

Мы рекомендуем использовать это приложение только профессионалам, а обычным пользователям воспользоваться методами, которые были описаны выше.

Как вы убедились, расшифровать резервную копию WhatsApp не так сложно. Если это можете сделать собственными силами вы, это же сможет сделать и злоумышленник, укравший ваши данные. Потому настоятельно рекомендуем заботиться о своей безопасности, принимать меры по её защите и доверять критичную информацию только надёжным и проверенным приложениям.


Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

image alt

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

image alt

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

    ‘wa_contacts’
    Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

image alt

image alt

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt

Внешний вид таблицы:

image alt


Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

image alt

  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
  • Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
  • Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

image alt

Файлы, находящиеся в подкаталоге ‘Databases’:

image alt

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

  • в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
  • во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

Структура ‘ChatStorage.sqlite’:

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

image alt

Внешний вид таблицы ‘ZWAMEDIAITEM’:

image alt

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

image alt

Также нужно обращать внимание на следующие каталоги:

Артефакты WhatsApp в Windows

  • ‘C:\Program Files (x86)\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
  • ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

image alt

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

image alt

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

image alt

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

  • мультимедиа-файлы;
  • документы, передававшиеся с помощью WhatsApp;
  • информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

  • ‘C:\Applications\WhatsApp.app\’
  • ‘C:\Applications\._WhatsApp.app\’
  • ‘C:\Users\%User profile%\Library\Preferences\’
  • ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
  • ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
  • ‘C:\Users\%User profile%\Library\Application Scripts\’
  • ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
  • ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
  • ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
    В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
    В этом каталоге содержится информация об инсталляции программы.
  • ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
    В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
  • ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
    В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
  • ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
    В этом каталоге находится несколько подкаталогов:

image alt

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

  1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
  2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения. Извлечение данных WhatsApp из облачных хранилищ Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ. Извлечение данных WhatsApp: практические примеры Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

WhatsApp завоевал популярность среди пользователей как надежный мессенджер. Пользователи ведут в Ватсап личные переписки, присылают фото и видеозаписи. Для того чтобы эта информация хранилась надежно и не попала в чужие руки, разработчики создали грамотный алгоритм шифрования данных приложения.

Что это за папка

Что значит msgstore в WhatsApp и как его открыть

Копия информации, находящейся в приложении Ватсап, используется только на собственном смартфоне. Нельзя просматривать папку msgstore на чужом телефоне, это нарушение конфиденциальности и прав человека.

Ситуации, когда пользователю треуется открыть резервные копии, связаны с потерей или поломкой смартфона.

В папке msgstore сохраняются:

Информация из приложения сохраняется на Гугл-диск, на самом устройстве все хранится в зашифрованном виде в папке msgstore.

Резервная копия приложения Ватсап на телефоне Андроид открывается с помощью ключа, представляющего собой обычный файл, находящийся в базе данных телефона, в системной папке приложения. При первичном копировании информации из приложения, этот файл автоматически создается в базе данных в виде msgstore.db.crypt.

Что значит msgstore в WhatsApp и как его открыть

Как открыть на компьютере

Для облегчения распаковки зашифрованной информации, проще всего открыть на компьютере системную папку телефона. Для этого смартфон подключается через USB-провод, на рабочем столе пользователь находит папку с названием data/data/сom.whatsapp/files.

Для распаковки папки понадобится специальное программное обеспечение. С его помощью следует открыть папку Databases и найти msgstore.db.crypt. В этой папке хранится несколько файлов msgstore с датой создания. Этих файлов не может быть больше семи, они хранятся не более недели. Для восстановления данных, нужно сохранить последний файл, с ближайшей датой. Затем удалить приложение и заново его установить на устройство. При первом запуске Ватсап предложит восстановить данные, находящиеся в хранилище. Для восстановления информации нужно выбрать предложенный файл из списка и дождаться окончания загрузки.

Что значит msgstore в WhatsApp и как его открыть

Расшифровка информации, хранящейся в msgstore.db.crypt, с компьютера осуществляется через утилиты, например, WhatsApp Decrypter. Работать с ними не сложно, достаточно найти файл msgstore.db.crypt и нажать Decrypt. Программное обеспечение расшифрует файл, после чего его можно открыть и просмотреть.

Для просмотра используются программы для чтения базы данных, поддерживающие тот же формат, что у Ватсап.

Расшифровать информацию с приложения Ватсап не составит труда, для этого потребуется наличие компьютера и программного обеспечения на нем. Использовать данные необходимо только в личных целях, не нарушая закон о правах человека.

Читайте другие статьи:

Вы случайно удалили чат WhatsApp и сразу же пожалели об этом? Интересно, есть ли способ вернуть его обратно? Оказывается, есть.

Какие способы восстановления удаленных чатов WhatsApp возможны?

Первый способ вернуть чаты WhatsApp - это записанная резервная копия iCloud или Google Drive.

Нести ответственности за любые потери ваших данных не могу, поэтому вы действуете на свой страх и риск.

Чтобы включить резервное копирование чата, Откройте WhatsApp, перейдите в Настройки > перейти в > чаты > нажмите на > резервное копирование чата . Здесь вы можете настроить частоту резервного копирования чата между никогда, ежедневно, еженедельно или ежемесячно, или вы даже можете сделать ручное резервное копирование. Кроме того, вам нужно будет выбрать учетную запись Google, в которой вы хотите сохранить резервную копию, если вы используете смартфон на Android.

И если вы являетесь пользователем iPhone, перейдите в Настройки в WhatsApp > > чаты > > резервное копирование чатов, где вы можете выбрать частоту автоматического резервного копирования или использовать резервное копирование сейчас , чтобы вручную инициировать резервное копирование в iCloud.

Как восстановить удаленные чаты WhatsApp

Вот как восстановить удаленные чаты WhatsApp с помощью различных методов.

Восстановление удаленных чатов WhatsApp с помощью облачного резервного копирования

Если вы случайно удалили чаты, есть вероятность, что этот чат присутствовал в вашей облачной резервной копии. Допустим, ваша резервная копия Google Диска или iCloud была сделана в полночь, а утром вы случайно удалили чат. В облачной резервной копии все еще есть чат, и вы можете восстановить его. Вот как это делается:

Восстановление удаленных чатов WhatsApp с помощью локальной резервной копии Android

  1. Перейдите в файловый менеджер вашего телефона (скачайте приложение Google Files, если вы не можете найти это приложение). Теперь перейдите в папку WhatsApp >> база данных. Папка базы данных содержит все резервные копии WhatsApp, которые хранятся локально на вашем телефоне.
  2. Выберите файл msgstore.db.crypt12 и надо переименовать его в msgstore_BACKUP.db.crypt12 . Это ваш самый последний резервный файл, и вам нужно переименовать его, чтобы предотвратить его перезапись. В случае, если что-то пойдет не так, вы всегда можете переименовать этот файл в его первоначальное имя и восстановить.
  3. Теперь вы увидите кучу файлов в этой папке в формате msgstore-гггг-ММ-ДД.1.db.crypt12 . Это ваши старые резервные копии WhatsApp, вы можете выбрать самую последнюю и переименовать ее в msgstore.db.crypt12 .
  4. Вот что самое сложное: вам нужно открыть Google Диск на вашем смартфоне, нажмите на значок гамбургера (три вертикальные линии) > > резервные копии . Теперь удалите резервную копию WhatsApp там. Это заставит ваш телефон восстанавливать данные из локальной резервной копии вместо этого.
  5. Теперь удалите WhatsApp, а затем переустановите его. Настройте его, и после этого вы получите приглашение восстановить чаты из локальной резервной копии, учитывая, что у вас нет резервной копии чата в облаке.
  6. Нажмите на кнопку Восстановить , и все. Вы получите свои удаленные чаты обратно.

Подписывайтесь на канал и не забудьте поставить лайк! Спасибо:)

Читайте также: