مع تطور التكنولوجيا الحديثة وإثراء وظائف الهاتف المحمول ، أصبح استخدام الهواتف الذكية في حياة الناس أكثر وأكثر شمولاً.بغض النظر عن الزمان والمكان ، يبدو أن الناس لا ينفصلون أكثر فأكثر عن الهواتف المحمولة. وظائف الهاتف المحمول مثل تصفح الإنترنت ، والتسوق ، والتصوير ، وتسجيل الفيديو ، والتسجيل ، والملاحة ، وما إلى ذلك ، توفر راحة كبيرة للحياة والعمل ، وتحسن بشكل كبير كفاءة عمل الناس ومتعة الحياة.
ومع ذلك ، بينما نتمتع بالكفاءة التي توفرها الهواتف المحمولة للعمل والراحة في الحياة ، فإن الهواتف المحمولة تجلب لنا أيضًا بعض المشكلات المزمنة. على سبيل المثال ، يؤدي فقدان البيانات والحذف العرضي الناجم عن عوامل بشرية أو فشل الهاتف المحمول ، أو الهاتف المحمول المصاب بالفيروسات الضارة أو المزروعة ببرنامج تجسس حصان طروادة ، إلى سرقة البيانات ومعلومات الحساب في الهاتف المحمول ، مما يؤدي إلى ضياعها أو فقدانها الشخصي. تسرب الخصوصية.
تطبيق تجسس الهاتف المحمول
إذا قام الأشخاص بحذف البيانات والمعلومات المهمة عن طريق الخطأ في الهاتف المحمول ، أو لم يتمكنوا من عرض البيانات والمعلومات المهمة لأنهم نسوا كلمة المرور أو تلف الهاتف المحمول ، فعليهم حذف كلمة المرور واستعادة البيانات واستخراجها على الهاتف المحمول. إذا كنت ترغب في استرداد البيانات المهمة واستخراجها بالكامل في الهاتف المحمول ، فتأكد من أن الهاتف المحمول لا يفقد البيانات أو يتلف الجهاز المحمول أثناء عملية استعادة البيانات واستخراجها ، وتجنب تسرب الخصوصية الشخصية للمستخدمين ، يجب علينا استخدام التكنولوجيا المهنية لإكمال هذا العمل.
- استعادة بيانات الهاتف المحمول
استرداد البياناتالمحذوفة في ذاكرة الهاتف المحمول وبطاقة الذاكرة ، مثل دفتر العناوين والرسائل القصيرة ومحتوى رسائل برامج الدردشة والصور والصور والصوت والفيديو وملفات المستندات الأخرى بتنسيقات مختلفة. - استخراج بيانات الهاتف المحمول __القدرة على استخراج بيانات التطبيق وكلمات المرور و IM (المراسلة الفورية) وجهات الاتصال والرسائل النصية ورسائل البريد الإلكتروني والتقويمات والوسائط المتعددة وسجلات المكالمات وتفاصيل الهاتف المحمول (IMEI / ESN) و ICCID و IMSI ومعلومات موقع بطاقة SIM ( TMIS و MCC و MNC و LAC). في الوقت نفسه ، يمكنه أيضًا استنساخ معرف بطاقة SIM للهاتف واستخراج بيانات مسار GPS.
- فك تشفير بيانات الهاتف المحمول
يمكنه فك تشفير بيانات التطبيق ، وكلمات المرور ، ورسائل البريد الإلكتروني ، وسجلات المكالمات ، والرسائل القصيرة ، وجهات الاتصال ، والتقويمات ، وملفات الوسائط ، ومعلومات GPS ، وما إلى ذلك ؛ ويمكنه استخراج واستخراج التطبيقات ، ورسائل البريد الإلكتروني ، والبلوتوث ، وما إلى ذلك على نطاق واسع. البيانات الأخرى وفك تشفير قاعدة البيانات التاريخية المشفرة لـ WhatsApp.
برامج التجسس والتتبع
يتشابه برنامج تجسس الهاتف المحمول وبرامج التتبع ، فكلاهما يمكنه سرقة البيانات: الصور ومقاطع الفيديو ورسائل البريد الإلكتروني والرسائل النصية وما إلى ذلك ، كل شيء تحت سيطرة الشاشة ، ويمكنهما أيضًا استخدام خطوط التجميع العادية أو تطبيق VoIP للتنصت و اعتراض سجلات المكالمات في الوقت الحقيقي. ومع ذلك ، لا تستهدف تطبيقات التجسس على الهواتف المحمولة الأفراد بشكل عام ، بينما تتمتع تطبيقات تتبع الهاتف المحمول بالتحكم الدقيق في الهدف ، وهي قادرة على سرقة الصور والرسائل النصية والتنصت على المكالمات وتسجيل محادثاتهم سراً على الإنترنت. بالإضافة إلى ذلك ، يمكن لتطبيقات تتبع الهاتف المحمول اعتراض الاتصالات من تطبيقات مثل Skype و WhatsApp و iMessage.
كيفية فك تشفير قاعدة بيانات WhatsApp
مثل العديد من تطبيقات الهواتف الذكية ، يقوم WhatsApp بتخزين البيانات في ملفات قاعدة بيانات SQLite. بالنسبة إلى WhatsApp على أجهزة Android ، هناك قاعدتا بيانات هما الأكثر أهمية ، إحداهما msgstore.db ، والتي تحتوي على سجلات الدردشة ؛ والأخرى هي wa.db ، والتي تحتوي على قوائم جهات الاتصال. يعد التعامل مع قواعد البيانات هذه أمرًا بسيطًا نسبيًا ، لأن WhatsApp لديه وظيفة نسخ احتياطي ، والتي ستعمل على نسخ قاعدة البيانات احتياطيًا إلى بطاقة SD ، والتي يمكن الوصول إليها دون أي أذونات (مثل أذونات الجذر). ومع ذلك ، بعد تثبيت آخر تحديث أمني ، سيتم تشفير قاعدة بيانات WhatsApp ولا يمكن تحليلها مباشرة ، مما يجلب تحديات كبيرة. تستخدم سجلات الدردشة وسجلات الرسائل وسجلات المكالمات معيار AES-256 ، ولا يتم تشفير ملفات الوسائط مثل الصور ومقاطع الفيديو. وتم تحديث طريقة تشفير WhatsApp من Crypt5 و Crypt7 و Crypt8 إلى Crypt12.
إذن ، كيف يمكننا اختراق قاعدة بيانات WhatsApp في الوقت الحالي؟ الخطوة الأكثر أهمية هي الحصول على مفتاح التشفير. عندما يقوم المستخدم بإجراء نسخ احتياطي لتطبيق WhatsApp لأول مرة ، سيتم إنشاء مفتاح مشفر. لن يتم تخزين المفتاح مطلقًا في السحابة ، فقط على الهاتف الذكي ، وكل هاتف ذكي يتوافق مع مفتاح مختلف. لذلك ، من أجل فك تشفير قاعدة البيانات ، يجب علينا أولاً استخراج مفتاح التشفير من الهاتف المستخدم عند إنشاء النسخة الاحتياطية. المسار المحدد لمفتاح التشفير هو: userdata / data / com.whatsapp / files / key.
وفقًا لنتائج البحث التي أجراها خبراء الطب الشرعي لبيانات SalvationDATA ، قمنا بتطوير خوارزمية خاصة يمكنها استخدام ملف المفتاح هذا لاختراق قاعدة بيانات WhatsApp. سنعلن عن هذه الأداة قريبًا وندمجها في نظام SmartPhone Forensic System (SPF) ، بحيث يمكن للمستخدمين الذين ليس لديهم أي برمجة أساسية للكمبيوتر كسر قاعدة بيانات WhatsApp المشفرة بنجاح. يحتاج المستخدم فقط إلى استيراد ملف المفتاح وملف قاعدة البيانات المشفر ، ويمكن للبرنامج تلقائيًا إنشاء ملف قاعدة البيانات الصحيح غير المشفر.
كيفية تجاوز آلية تشفير واتساب
ومع ذلك ، إذا لم تقم بجذر الجهاز ، فلن يكون من السهل الحصول على ملف المفتاح. لذلك ، نناقش بعد ذلك كيفية تجاوز آلية تشفير WhatsApp وكيفية استخراج بيانات WhatsApp دون الوصول إلى الجذر.
يتم دائمًا تخزين ملف المفتاح وقاعدة البيانات غير المشفرة في دليل WhatsApp. إذا كان بإمكانك الوصول إلى هذه الملفات ، فيمكنك عرض سجلات اتصالات WhatsApp على الجهاز الحالي. المشكلة الوحيدة هي أنه بدون امتيازات الجذر ، لا يمكننا الوصول مباشرة إلى هذه الملفات.
بدون إذن الجذر ، هناك طريقتان لاستخراج بيانات WhatsApp.
نظام النسخ الاحتياطي والاستعادة
الطريقة الأولى هي استخدام وظائف النسخ الاحتياطي والاستعادة لنظام Android. تسمح العديد من الشركات المصنعة لهواتف Android للمستخدمين بإنشاء نسخ احتياطية باستخدام تطبيقات النظام المضمنة. يتم تخزين النسخة الاحتياطية التي تم إنشاؤها بهذه الطريقة في بطاقة SD ولا يتم تشفيرها. لذلك ، يمكن لوكالات إنفاذ القانون استخدام هذه الطريقة البسيطة للوصول إلى سجلات اتصالات WhatsApp.
يمكننا استخدام هاتف ذكي لإنشاء نسخة احتياطية من WhatsApp. يمكن للمستخدمين العثور على تطبيق "Backup Restore" في مجلد الأدوات ، وإنشاء نسخة احتياطية جديدة ، وتذكر التحقق من WhatsApp. بعد ذلك ، يمكننا العثور على بيانات WhatsApp الاحتياطية على بطاقة SD للهاتف. تتضمن هذه النسخة الاحتياطية جميع ملفات قاعدة البيانات غير المشفرة وملفات مفاتيح WhatsApp. الآن ، كل ما يتعين علينا القيام به هو استخدام أدوات التحليل الجنائي المحمولة لتحليل قاعدة البيانات الهدف.
الرجوع إلى إصدار أقدم من النسخ الاحتياطي
هناك طريقة أخرى تتمثل في إرجاع تطبيق WhatsApp إلى الإصدار الذي لا يحتوي على آلية تشفير. الإصدار v.2.11.431 من WhatsApp هو الإصدار الأخير الذي لا يفرض استخدام النسخ الاحتياطية المشفرة. لذلك ، يمكننا إرجاع WhatsApp إلى الإصدار v.2.11.431 دون حذف بيانات المستخدم ، ثم استخدام الإصدار القديم من WhatsApp لإنشاء ملف نسخ احتياطي ، ثم استخراج قاعدة البيانات المطلوبة. تتطلب هذه العملية أن يتمتع المستخدمون بمهارات احترافية ويصاحبها خطر فقدان البيانات الدائم. لذلك ، نوصي بشدة أن يستخدم المستخدمون أدوات الطب الشرعي المحترفة لتقليل الإصدار.
كيفية استعادة رسائل WhatsApp المحذوفة
الآن بعد أن عرفنا كيفية استخراج ملفات قاعدة بيانات WhatsApp من الهواتف الذكية ، دعنا نلقي نظرة على كيفية استخدام ملفات قاعدة البيانات لاستعادة رسائل WhatsApp المحذوفة على أجهزة Android و iOS. يمكن للمستخدمين حذف رسائل WhatsApp بطريقتين. يمكن للمستخدمين حذف الرسائل واحدة تلو الأخرى ، أو استخدام زر "مسح / حذف" الدردشة لحذف جميع الرسائل مرة واحدة. وفقًا لنتائج الاختبار لدينا ، بغض النظر عن الطريقة التي يستخدمها المستخدم لحذف الرسالة ، يمكننا استخدام الطريقة التالية لاستعادتها.
كما ذكرنا سابقًا ، يستخدم WhatsApp قاعدة بيانات SQLite لتخزين الرسائل. بخلاف نظام Android ، يقوم نظام iOS بتخزين جميع البيانات المتعلقة بواتساب في قاعدة بيانات ChatStorage.sqlite. تأتي ملفات قاعدة البيانات هذه عادةً مع ملفات ذاكرة التخزين المؤقت ذات اللاحقة "-wal". في معظم الحالات ، يكون حجم ملفات ذاكرة التخزين المؤقت هذه 0 ، ولكن إذا لم يكن حجم ملفات ذاكرة التخزين المؤقت هذه 0 ، فقد تحتوي على بيانات مهمة لم يتم تخزينها في قاعدة البيانات. بمجرد حدوث ذلك ، يجب أن نتعامل معه بعناية ، لأنه إذا لم نهتم بملفات ذاكرة التخزين المؤقت هذه ، فقد يتم الكتابة فوق المعلومات المخزنة فيها ولن يتم استردادها أبدًا.
وفقًا لتحليلنا ، يتم تخزين رسائل WhatsApp التي يمكن الوصول إليها بشكل طبيعي في msgstore.db ، بينما يتم تخزين الرسائل المحذوفة في msgstore.db-wal. هذا الملف هو ملف ذاكرة التخزين المؤقت للرسائل. سيقوم WhatsApp دائمًا بتخزين الرسالة في ملف ذاكرة التخزين المؤقت أولاً ، ثم حفظها في قاعدة البيانات الحقيقية. ومن المثير للاهتمام أنه في بعض الأحيان يكون ملف ذاكرة التخزين المؤقت أكبر من ملف قاعدة البيانات. هذا لأنه لا يمكن تخزين الرسالة إلا في قاعدة البيانات كسجل واحد ، ولكن لا يوجد مثل هذا التقييد في ملف ذاكرة التخزين المؤقت. قد تحتوي الرسالة على سجلات متعددة في نفس الوقت. لذلك ، لدينا فرصة لاستعادة رسائل WhatsApp المحذوفة أو المفقودة.
ومع ذلك ، لتجنب الكتابة فوق البيانات الموجودة في ملف ذاكرة التخزين المؤقت ، لا يمكننا فتح ملف قاعدة البيانات مباشرةً حتى تتم معالجة ملف ذاكرة التخزين المؤقت بشكل صحيح. يجب علينا أولاً معالجة ملف ذاكرة التخزين المؤقت ، ومطابقة الميزات ، ثم حفظ وتحليل جميع البيانات الموجودة في ملف ذاكرة التخزين المؤقت.
خذ الرسالة "هذه رسالة اختبار" كمثال. عندما يحذف المستخدم هذه الرسالة ، عادة ما يتم حذف السجل المقابل للرسالة من msgstore.db. ومع ذلك ، قد تظل بعض سجلات هذه الرسالة محفوظة في ملف ذاكرة التخزين المؤقت msgstore.db-wal. يوضح الشكل أدناه الحالة قبل وبعد حذف "هذه رسالة اختبار". يمكننا أن نرى أنه عند حذف الرسالة ، تظل البيانات ذات الصلة محفوظة في ملف ذاكرة التخزين المؤقت ، ويظل موضع الإزاحة للسجل دون تغيير.
لذلك ، من خلال تحليل واستخراج البيانات في ملف ذاكرة التخزين المؤقت msgstore.db-wal ، نقدم طريقة لاستعادة رسائل WhatsApp المحذوفة أو المفقودة. يمكن للطريقة المذكورة أعلاه استخراج بيانات WhatsApp المحذوفة بشكل فعال وموثوق ، وهي أيضًا حل مثالي لاستعادة الرسائل المحذوفة وسجل الدردشة الفارغ.