Avec le développement des technologies modernes et l'enrichissement des fonctions de téléphonie mobile, les téléphones intelligents sont de plus en plus largement utilisés dans la vie des gens. Peu importe le moment et le lieu, les gens semblent de plus en plus inséparables des téléphones portables. Les fonctions du téléphone mobile telles que la navigation sur Internet, les achats, la photographie, l'enregistrement vidéo, l'enregistrement, la navigation, etc., apportent une grande commodité à la vie et au travail, et améliorent considérablement l'efficacité du travail et la joie de vivre des gens.
Cependant, si nous apprécions l'efficacité et la commodité apportées par les téléphones portables au travail et à la vie, les téléphones portables nous apportent également des problèmes persistants. Par exemple, la perte de données et la suppression accidentelle causées par des facteurs humains ou une panne de téléphone mobile, ou un téléphone portable infecté par des virus malveillants ou implanté avec un logiciel espion cheval de Troie, provoquent le vol des données et des informations de compte dans le téléphone mobile, entraînant la perte ou la confidentialité. fuite.
Application Espion Téléphone
Si des personnes suppriment par erreur des données et des informations importantes dans le téléphone mobile, ou ne peuvent pas afficher des données et des informations importantes parce qu'elles oublient leur mot de passe ou si le téléphone mobile est endommagé, elles doivent supprimer le mot de passe et restaurer et extraire les données. Si vous souhaitez récupérer et extraire complètement les données importantes du téléphone mobile, assurez-vous que le téléphone mobile ne perd pas de données ou n'endommage pas l'appareil mobile pendant le processus de récupération et d'extraction des données, et évitez la fuite de la vie privée de l'utilisateur, nous devons utiliser une technologie professionnelle pour terminer ce travail.
- Récupération de données de téléphone portable
Récupérez les données supprimées dans la mémoire du téléphone et la carte mémoire, telles que le carnet d'adresses, les messages courts, le contenu des messages du logiciel de chat, les images, les photos, les fichiers audio, vidéo et autres documents dans divers formats. - Extraction de données de téléphone portable
Possibilité d'extraire les données d'application, les mots de passe, la messagerie instantanée (messagerie instantanée), les contacts, les messages texte, les e-mails, les calendriers, le multimédia, les enregistrements d'appels, les détails du téléphone mobile (IMEI / ESN), ICCID et IMSI, les informations de localisation de la carte SIM ( TMIS, MCC, MNC, LAC). En même temps, vous pouvez cloner l'ID de la carte SIM de votre téléphone et extraire les données de suivi GPS. - Décryptage des données du téléphone portable
Ilpeut décoder en profondeurles données d'application, les mots de passe, les e-mails, les enregistrements d'appels, les SMS, les contacts, les calendriers, les fichiers multimédias, les informations GPS, etc.; il peut extraire et extraire les applications, les e-mails, Bluetooth, etc. de manière approfondie. Décodage; extraire d'autres données et décrypter la base de données historique chiffrée de WhatsApp.
Logiciel espion et logiciel de suivi
Les logiciels d'espionnage mobiles et les logiciels de suivi sont similaires. Les deux peuvent voler des données: images, vidéos, e-mails, messages texte, etc., tout est sous le contrôle du moniteur, et ils peuvent également utiliser des lignes de collecte régulières ou une application VoIP pour l'écoute et l'interception des enregistrements d'appels en temps réel. Cependant, les applications d'espionnage pour téléphones mobiles ne ciblent généralement pas les individus, tandis que les applications de suivi de téléphones mobiles contrôlent étroitement la cible. Elles peuvent voler des photos, des SMS, écouter les appels et enregistrer secrètement leurs conversations sur Internet. En outre, les applications de suivi mobile peuvent intercepter les communications provenant d'applications telles que Skype, WhatsApp et iMessage.
Comment décrypter la base de données WhatsApp
Comme de nombreuses applications pour smartphone, WhatsApp stocke les données dans des fichiers de base de données SQLite. Pour WhatsApp sur les appareils Android, deux bases de données sont les plus importantes, l'une est msgstore.db, qui contient des enregistrements de discussion; l'autre est wa.db, qui contient des listes de contacts. La gestion de ces bases de données est relativement simple, car WhatsApp dispose d'une fonction de sauvegarde, qui sauvegardera la base de données sur la carte SD, accessible sans aucune autorisation (comme les autorisations root). Cependant, après l'installation de la dernière mise à jour de sécurité, la base de données WhatsApp sera cryptée et ne pourra plus être analysée directement, ce qui pose de grands défis. Les enregistrements de conversation, les enregistrements de messages et les enregistrements d'appels utilisent la norme AES-256 et les fichiers multimédias tels que les photos et les vidéos ne sont pas cryptés. Et la méthode de cryptage de WhatsApp a été mise à jour de Crypt5, Crypt7, Crypt8 à Crypt12.
Alors, comment pirater la base de données WhatsApp en ce moment? L'étape la plus critique consiste à obtenir la clé de chiffrement. Lorsqu'un utilisateur effectue une sauvegarde WhatsApp pour la première fois, une clé cryptée sera générée. La clé ne sera jamais stockée dans le cloud, uniquement sur le smartphone, et chaque smartphone correspond à une clé différente. Par conséquent, afin de décrypter la base de données, nous devons d'abord extraire la clé de cryptage du téléphone utilisé lors de la création de la sauvegarde. Le chemin spécifique de la clé de chiffrement est: userdata / data / com.whatsapp / files / key.
Selon les résultats de recherche des experts en criminalistique des données de SalvationDATA, nous avons développé un algorithme spécial qui peut utiliser ce fichier clé pour déchiffrer la base de données WhatsApp. Nous annoncerons cet outil sous peu et l'intégrerons dans le SmartPhone Forensic System (SPF), afin que les utilisateurs sans aucune programmation informatique de base puissent pirater avec succès la base de données cryptée de WhatsApp. L'utilisateur doit uniquement importer le fichier de clé et le fichier de base de données crypté, et le programme peut générer automatiquement le fichier de base de données non crypté correct.
Comment contourner le mécanisme de cryptage WhatsApp
Cependant, si vous ne rootez pas l'appareil, il ne sera pas facile d'obtenir le fichier clé. Par conséquent, nous discutons ensuite de la manière de contourner le mécanisme de cryptage de WhatsApp et de la façon d'extraire des données WhatsApp sans accès root.
Le fichier de clé et la base de données non chiffrée sont toujours stockés dans le répertoire WhatsApp. Si vous pouvez accéder à ces fichiers, vous pouvez afficher les enregistrements de communication de WhatsApp sur l'appareil actuel. Le seul problème est que sans privilèges root, nous ne pouvons pas accéder directement à ces fichiers.
Sans autorisations root, il existe deux façons d'extraire les données WhatsApp.
Sauvegarde et restauration du système
La première méthode consiste à utiliser les fonctions de sauvegarde et de restauration du système Android. De nombreux fabricants de téléphones Android permettent aux utilisateurs de créer des sauvegardes à l'aide d'applications système intégrées. La sauvegarde ainsi créée est stockée sur la carte SD sans cryptage. Par conséquent, les organismes d'application de la loi peuvent utiliser cette méthode simple pour accéder aux enregistrements de communication WhatsApp.
Nous pouvons utiliser un smartphone pour créer une sauvegarde de WhatsApp. Les utilisateurs peuvent trouver l'application "Backup Restore" dans le dossier Tools, créer une nouvelle sauvegarde, n'oubliez pas de vérifier WhatsApp. Ensuite, nous pouvons trouver les données de sauvegarde WhatsApp sur la carte SD du téléphone. Cette sauvegarde comprend tous les fichiers de base de données non chiffrés et les fichiers de clé WhatsApp. Il ne nous reste plus qu'à utiliser des outils d'investigation mobile pour analyser la base de données cible.
Rétrograder la sauvegarde
Une autre façon consiste à rétrograder l'application WhatsApp vers une version qui ne dispose pas de mécanisme de cryptage. La version v.2.11.431 de WhatsApp est la dernière version qui n'impose pas l'utilisation de sauvegardes cryptées. Par conséquent, nous pouvons rétrograder WhatsApp vers la v.2.11.431 sans supprimer les données utilisateur, puis utiliser l'ancienne version de WhatsApp pour créer un fichier de sauvegarde, puis extraire la base de données requise. Ce processus nécessite que les utilisateurs aient des compétences professionnelles et s'accompagne d'un risque de perte permanente de données. Par conséquent, nous recommandons vivement aux utilisateurs d'utiliser des outils médico-légaux professionnels pour rétrograder la version.
Comment récupérer des messages WhatsApp supprimés
Maintenant que nous savons comment extraire des fichiers de base de données WhatsApp à partir de smartphones, voyons comment utiliser les fichiers de base de données pour récupérer les messages WhatsApp supprimés sur les appareils Android et iOS. Les utilisateurs peuvent supprimer les messages WhatsApp de deux manières. Les utilisateurs peuvent supprimer les messages un par un, ou utiliser le bouton de chat «effacer / supprimer» pour supprimer tous les messages à la fois. Selon nos résultats de test, quelle que soit la méthode utilisée par l'utilisateur pour supprimer le message, nous pouvons utiliser la méthode suivante pour le restaurer.
Comme nous l'avons mentionné précédemment, WhatsApp utilise la base de données SQLite pour stocker les messages. Contrairement au système Android, le système iOS stocke toutes les données liées à WhatsApp dans la base de données ChatStorage.sqlite. Ces fichiers de base de données sont généralement fournis avec des fichiers de cache avec le suffixe «-wal». Dans la plupart des cas, la taille de ces fichiers de cache est de 0, mais si la taille de ces fichiers de cache n'est pas de 0, il peut contenir des données importantes qui n'ont pas été stockées dans la base de données. Une fois que cela se produit, nous devons le traiter avec précaution, car si nous ne nous soucions pas de ces fichiers cache, les informations qui y sont stockées peuvent être écrasées et ne peuvent jamais être récupérées.
Selon notre analyse, les messages WhatsApp auxquels il est normalement possible d'accéder sont stockés dans msgstore.db, tandis que les messages supprimés sont stockés dans msgstore.db-wal. Ce fichier est le fichier de cache des messages. WhatsApp stockera toujours le message dans le fichier cache en premier, puis l'enregistrera dans la base de données réelle. Il est intéressant de noter que parfois le fichier de cache sera plus volumineux que le fichier de base de données. En effet, un message ne peut être stocké dans la base de données que sous la forme d'un enregistrement unique, mais il n'y a pas de telle restriction dans le fichier cache. Un message peut avoir plusieurs enregistrements en même temps. Par conséquent, nous avons une chance de récupérer les messages WhatsApp supprimés ou perdus.
Cependant, afin d'éviter d'écraser les données existantes dans le fichier cache, nous ne pouvons pas ouvrir le fichier de base de données directement tant que le fichier cache n'est pas traité correctement. Nous devons d'abord traiter le fichier cache, faire correspondre les fonctionnalités, puis enregistrer et analyser toutes les données du fichier cache.
Prenez "ceci est un message de test" comme exemple. Lorsque l'utilisateur supprime ce message, l'enregistrement correspondant au message est généralement supprimé de msgstore.db. Toutefois, certains enregistrements de ce message peuvent toujours être conservés dans le fichier cache msgstore.db-wal. La situation avant et après la suppression de "Ceci est un message de test" est illustrée dans la figure ci-dessous. Nous pouvons voir que lorsque le message est supprimé, les données pertinentes sont toujours stockées dans le fichier cache, et la position de décalage de l'enregistrement reste inchangée.
Par conséquent, en analysant et en extrayant les données dans le fichier de cache msgstore.db-wal, nous avons donné un moyen de récupérer les messages WhatsApp supprimés ou perdus. La méthode susmentionnée peut extraire efficacement et de manière fiable les données WhatsApp supprimées, et constitue également une solution parfaite pour récupérer les messages supprimés et l'historique de discussion vidé.