Con lo sviluppo della tecnologia moderna e l'arricchimento delle funzioni dei telefoni cellulari, gli smart phone vengono utilizzati sempre più ampiamente nella vita delle persone, non importa quando e dove, le persone sembrano essere sempre più inseparabili dai telefoni cellulari. Le funzioni del telefono cellulare come la navigazione in Internet, lo shopping, la fotografia, la registrazione di video, la registrazione, la navigazione, ecc., Apportano grande comodità alla vita e al lavoro e migliorano notevolmente l'efficienza lavorativa e la gioia di vivere delle persone.
Tuttavia, mentre ci godiamo l'efficienza e la comodità portate dai telefoni cellulari al lavoro e nella vita, i telefoni cellulari ci portano anche alcuni problemi persistenti. Ad esempio, la perdita di dati e l'eliminazione accidentale causate da fattori umani o guasti del telefono cellulare, o telefono cellulare infettato da virus dannosi o impiantato con spyware cavallo di Troia, causano il furto dei dati e delle informazioni sull'account nel telefono cellulare, causando la perdita o la privacy personale perdita.
App Spiare cellulare
Se le persone cancellano per errore dati e informazioni importanti nel telefono cellulare o non possono visualizzare dati e informazioni importanti perché dimenticano la password o il telefono cellulare è danneggiato, devono eliminare la password e ripristinare ed estrarre i dati. Se si desidera recuperare ed estrarre completamente i dati importanti nel telefono cellulare, assicurarsi che il telefono cellulare non perda dati o danneggi il dispositivo mobile durante il processo di recupero ed estrazione dei dati ed evitare la perdita della privacy personale dell'utente, dobbiamo utilizzare la tecnologia professionale per completare questo lavoro.
- Recuperodati del telefono cellulare
Recupera i dati cancellati nella memoria del telefono e nella memory card, come rubrica, messaggi brevi, contenuto dei messaggi del software di chat, immagini, foto, audio, video e altri file di documenti in vari formati. - Estrazione dei dati del telefono cellulare
Capacità di estrarre dati dell'applicazione, password, IM (messaggistica istantanea), contatti, messaggi di testo, e-mail, calendari, contenuti multimediali, record di chiamate, dettagli del telefono cellulare (IMEI / ESN), ICCID e IMSI, informazioni sulla posizione della scheda SIM ( TMIS, MCC, MNC, LAC). Allo stesso tempo, puoi clonare l'ID della scheda SIM del tuo telefono ed estrarre i dati della traccia GPS. - Decrittografia dei dati del telefono cellulare
Può decodificarei dati delle applicazioni, le password, le e-mail, i record delle chiamate, gli SMS, i contatti, i calendari, i file multimediali, le informazioni GPS, ecc.; Può estrarre ed estrarre ampiamente applicazioni, e-mail, Bluetooth, ecc. Decodifica; estrarre altri dati e decrittografare il database storico crittografato di WhatsApp.
Spyware e software di tracciamento
Il software spia mobile e il software di tracciamento sono simili. Entrambi possono rubare dati: immagini, video, e-mail, messaggi di testo, ecc., Tutto è sotto il controllo del monitor e possono anche utilizzare linee di raccolta regolari o Applicazione voIP per intercettazioni e intercettazioni di registrazioni delle chiamate in tempo reale. Tuttavia, le app spia per telefoni cellulari in genere non sono mirate a individui, mentre le app di tracciamento per telefoni cellulari hanno uno stretto controllo sul bersaglio. Possono rubare immagini, messaggi di testo, intercettare le chiamate e registrare segretamente le loro conversazioni su Internet. Inoltre, le applicazioni di monitoraggio mobile possono intercettare le comunicazioni da applicazioni come Skype, WhatsApp e iMessage.
Come decrittografare il database di WhatsApp
Come molte applicazioni per smartphone, WhatsApp memorizza i dati in file di database SQLite. Per WhatsApp su dispositivi Android, due database sono i più importanti, uno è msgstore.db, che contiene i record di chat; l'altro è wa.db, che contiene elenchi di contatti. La gestione di questi database è relativamente semplice, perché WhatsApp ha una funzione di backup, che eseguirà il backup del database sulla scheda SD, a cui è possibile accedere senza autorizzazioni (come i permessi di root). Tuttavia, dopo aver installato l'ultimo aggiornamento di sicurezza, il database di WhatsApp verrà crittografato e non potrà più essere analizzato direttamente, il che comporta grandi sfide. I record delle chat, dei messaggi e delle chiamate utilizzano lo standard AES-256 e i file multimediali come foto e video non sono crittografati. E il metodo di crittografia di WhatsApp è stato aggiornato da Crypt5, Crypt7, Crypt8 a Crypt12.
Quindi, come hackeriamo il database di WhatsApp in questo momento? Il passaggio più critico è ottenere la chiave di crittografia. Quando un utente esegue per la prima volta un backup di WhatsApp, verrà generata una chiave crittografata, che non verrà mai archiviata nel cloud, solo sullo smartphone, e ogni smartphone corrisponde a una chiave diversa. Pertanto, per decrittografare il database, dobbiamo prima estrarre la chiave di crittografia dal telefono utilizzato durante la creazione del backup. Il percorso specifico della chiave di crittografia è: userdata / data / com.whatsapp / files / key.
Secondo i risultati della ricerca degli esperti di data forensics di SalvationDATA, abbiamo sviluppato uno speciale algoritmo che può utilizzare questo file chiave per violare il database di WhatsApp. Annunceremo questo strumento a breve e lo integreremo nello SmartPhone Forensic System (SPF), in modo che gli utenti senza alcuna programmazione informatica di base possano rompere con successo il database crittografato di WhatsApp. L'utente deve solo importare il file di chiave e il file di database crittografato e il programma può generare automaticamente il file di database non crittografato corretto.
Come bypassare il meccanismo di crittografia di WhatsApp
Tuttavia, se non esegui il root del dispositivo, non sarà facile ottenere il file della chiave. Pertanto, in seguito discuteremo come bypassare il meccanismo di crittografia di WhatsApp e come estrarre i dati di WhatsApp senza accesso root.
Il file della chiave e il database non crittografato sono sempre archiviati nella directory di WhatsApp. Se puoi accedere a questi file, puoi visualizzare i record delle comunicazioni di WhatsApp sul dispositivo corrente. L'unico problema è che senza i privilegi di root, non possiamo accedere direttamente a questi file.
Senza i permessi di root, ci sono due modi per estrarre i dati di WhatsApp.
Backup e ripristino del sistema
Il primo metodo è utilizzare le funzioni di backup e ripristino del sistema Android. Molti produttori di telefoni Android consentono agli utenti di creare backup utilizzando applicazioni di sistema integrate. Il backup creato in questo modo viene archiviato nella scheda SD senza crittografia. Pertanto, le forze dell'ordine possono utilizzare questo semplice metodo per accedere ai record delle comunicazioni di WhatsApp.
Possiamo usare uno smartphone per creare un backup di WhatsApp. Gli utenti possono trovare l'applicazione "Backup Restore" nella cartella Strumenti, creare un nuovo backup, ricordarsi di controllare WhatsApp. Quindi, possiamo trovare i dati di backup di WhatsApp sulla scheda SD del telefono. Questo backup include tutti i file di database non crittografati e i file delle chiavi di WhatsApp. Ora, tutto ciò che dobbiamo fare è utilizzare strumenti di analisi forense mobile per analizzare il database di destinazione.
Eseguire il downgrade del backup
Un altro modo è eseguire il downgrade dell'applicazione WhatsApp a una versione che non dispone di un meccanismo di crittografia. La versione v.2.11.431 di WhatsApp è l'ultima versione che non impone l'uso di backup crittografati. Pertanto, possiamo eseguire il downgrade di WhatsApp alla v.2.11.431 senza eliminare i dati dell'utente, quindi utilizzare la vecchia versione di WhatsApp per creare un file di backup, quindi estrarre il database richiesto. Questo processo richiede che gli utenti dispongano di competenze professionali ed è accompagnato dal rischio di perdita permanente dei dati. Pertanto, consigliamo vivamente agli utenti di utilizzare strumenti forensi professionali per eseguire il downgrade della versione.
Come recuperare i messaggi WhatsApp cancellati
Ora che sappiamo come estrarre i file del database di WhatsApp dagli smartphone, vediamo come utilizzare i file del database per recuperare i messaggi WhatsApp cancellati su dispositivi Android e iOS. Gli utenti possono eliminare i messaggi di WhatsApp in due modi. Gli utenti possono eliminare i messaggi uno per uno o utilizzare il pulsante di chat "cancella / elimina" per eliminare tutti i messaggi contemporaneamente. In base ai risultati dei nostri test, indipendentemente dal metodo utilizzato dall'utente per eliminare il messaggio, possiamo utilizzare il seguente metodo per ripristinarlo.
Come accennato in precedenza, WhatsApp utilizza il database SQLite per memorizzare i messaggi. A differenza del sistema Android, il sistema iOS memorizza tutti i dati relativi a WhatsApp nel database ChatStorage.sqlite. Questi file di database di solito vengono forniti con file di cache con il suffisso "-wal". Nella maggior parte dei casi, la dimensione di questi file di cache è 0, ma se la dimensione di questi file di cache non è 0, potrebbe contenere dati importanti che non sono stati memorizzati nel database. Una volta che ciò accade, dobbiamo affrontarlo con attenzione, perché se non ci interessano questi file di cache, le informazioni memorizzate in essi potrebbero essere sovrascritte e non potranno mai essere recuperate.
Secondo la nostra analisi, i messaggi WhatsApp a cui è possibile accedere normalmente sono archiviati in msgstore.db, mentre i messaggi eliminati vengono archiviati in msgstore.db-wal Questo file è il file cache dei messaggi. WhatsApp memorizzerà sempre il messaggio prima nel file di cache, quindi lo salverà nel database reale. È interessante notare che a volte il file della cache sarà più grande del file del database. Questo perché un messaggio può essere memorizzato nel database solo come un singolo record, ma non esiste alcuna restrizione di questo tipo nel file di cache. Un messaggio può avere più record contemporaneamente. Pertanto, abbiamo la possibilità di recuperare i messaggi WhatsApp cancellati o persi.
Tuttavia, per evitare di sovrascrivere i dati esistenti nel file di cache, non possiamo aprire direttamente il file di database finché il file di cache non viene elaborato correttamente. Dobbiamo prima elaborare il file di cache, abbinare le funzionalità, quindi salvare e analizzare tutti i dati nel file di cache.
Prendi "questo è un messaggio di prova" come esempio. Quando l'utente elimina questo messaggio, il record corrispondente al messaggio viene solitamente eliminato da msgstore.db. Tuttavia, alcuni record di questo messaggio potrebbero essere ancora conservati nel file di cache msgstore.db-wal. La situazione prima e dopo l'eliminazione di "Questo è un messaggio di prova" è mostrata nella figura seguente. Possiamo vedere che quando il messaggio viene eliminato, i dati rilevanti sono ancora memorizzati nel file di cache e la posizione di offset del record rimane invariata.
Pertanto, analizzando ed estraendo i dati nel file cache msgstore.db-wal, abbiamo fornito un modo per recuperare i messaggi WhatsApp cancellati o persi. Il metodo sopra menzionato può estrarre in modo efficace e affidabile i dati WhatsApp cancellati ed è anche una soluzione perfetta per recuperare i messaggi cancellati e la cronologia chat svuotata.