Wraz z rozwojem nowoczesnych technologii i wzbogacaniem funkcji telefonów komórkowych, smartfony są coraz szerzej wykorzystywane w życiu ludzi, niezależnie od tego, kiedy i gdzie, ludzie wydają się być coraz bardziej nieodłączni od telefonów komórkowych. Funkcje telefonu komórkowego, takie jak przeglądanie Internetu, robienie zakupów, fotografowanie, nagrywanie wideo, nagrywanie, nawigacja itp., Zapewniają dużą wygodę życia i pracy oraz znacznie poprawiają efektywność pracy i radość życia.
Jednak chociaż cieszymy się wydajnością i wygodą, jaką telefony komórkowe wnoszą do pracy i życia, telefony komórkowe również przynoszą nam pewne długotrwałe problemy. Na przykład utrata danych i przypadkowe usunięcie spowodowane czynnikami ludzkimi lub awarią telefonu komórkowego lub telefon komórkowy zainfekowany złośliwymi wirusami lub z wszczepionym oprogramowaniem szpiegującym konia trojańskiego powoduje kradzież danych i informacji o koncie w telefonie komórkowym, powodując utratę lub prywatność. wyciek.
Aplikacja Szpiegowska Telefon
Jeśli ludzie omyłkowo usuwają ważne dane i informacje z telefonu komórkowego lub nie mogą wyświetlić ważnych danych i informacji, ponieważ zapomną hasła lub telefon komórkowy jest uszkodzony, muszą usunąć hasło, a następnie przywrócić i wyodrębnić dane. Jeśli chcesz w pełni odzyskać i wyodrębnić ważne dane w telefonie komórkowym, upewnij się, że telefon komórkowy nie utraci danych ani nie uszkodzi urządzenia mobilnego podczas procesu odzyskiwania i ekstrakcji danych oraz unikniesz wycieku prywatności użytkownika, musimy użyj profesjonalnej technologii do wykonania tej pracy.
- Odzyskiwaniedanych z telefonu komórkowego
Odzyskajusunięte dane z pamięci telefonu i karty pamięci, takie jak książka adresowa, krótka wiadomość, treść wiadomości oprogramowania do czatu, zdjęcia, zdjęcia, audio, wideo i inne pliki dokumentów w różnych formatach. - Ekstrakcja danych z telefonu komórkowego
Możliwość wyodrębnienia danych aplikacji, haseł, komunikatorów internetowych, kontaktów, wiadomości tekstowych, e-maili, kalendarzy, multimediów, zapisów połączeń, danych telefonu komórkowego (IMEI / ESN), ICCID i IMSI, informacji o lokalizacji karty SIM ( TMIS, MCC, MNC, LAC). W tym samym czasie możesz sklonować identyfikator karty SIM swojego telefonu i wyodrębnić dane śledzenia GPS. - Odszyfrowywanie danych telefonu komórkowego
Może dekodowaćdane aplikacji, hasła, e-maile, nagrania połączeń, SMS-y, kontakty, kalendarze, pliki multimedialne, informacje GPS itp .; może w dużym stopniu wyodrębniać aplikacje, e-maile, Bluetooth itp. Dekodowanie; wyodrębnianie inne dane i odszyfruj zaszyfrowaną historyczną bazę danych WhatsApp.
Oprogramowanie szpiegowskie i śledzące
Mobilne oprogramowanie szpiegowskie i oprogramowanie śledzące są podobne. Oba mogą kraść dane: obrazy, filmy, e-maile, wiadomości tekstowe itp. Wszystko jest pod kontrolą monitora, a także mogą używać zwykłych linii zbierania lub aplikacji VoIP do podsłuchiwania i przechwytywania zapisów połączeń w czasie rzeczywistym. Jednak aplikacje szpiegowskie na telefony komórkowe na ogół nie są skierowane do osób fizycznych, podczas gdy aplikacje śledzące telefony komórkowe mają ścisłą kontrolę nad celem: mogą kraść zdjęcia, wiadomości tekstowe, podsłuchiwać rozmowy i potajemnie nagrywać rozmowy w Internecie. Ponadto mobilne aplikacje śledzące mogą przechwytywać komunikację z takich aplikacji, jak Skype, WhatsApp i iMessage.
Jak odszyfrować bazę danych WhatsApp
Podobnie jak wiele aplikacji na smartfony, WhatsApp przechowuje dane w plikach bazy danych SQLite. W przypadku WhatsApp na urządzeniach z Androidem najważniejsze są dwie bazy danych, jedna to msgstore.db, która zawiera zapisy czatów, a druga to wa.db, która zawiera listy kontaktów. Obsługa tych baz danych jest stosunkowo prosta, ponieważ WhatsApp ma funkcję tworzenia kopii zapasowych, która tworzy kopię zapasową bazy danych na karcie SD, do której można uzyskać dostęp bez żadnych uprawnień (takich jak uprawnienia roota). Jednak po zainstalowaniu najnowszej aktualizacji zabezpieczeń baza danych WhatsApp będzie zaszyfrowana i nie będzie już można jej bezpośrednio analizować, co stwarza duże wyzwania. Rekordy czatów, nagrania wiadomości i nagrania połączeń korzystają ze standardu AES-256, a pliki multimedialne, takie jak zdjęcia i filmy, nie są szyfrowane. A metoda szyfrowania WhatsApp została zaktualizowana z Crypt5, Crypt7, Crypt8 do Crypt12.
Jak więc w tej chwili zhakować bazę danych WhatsApp? Najbardziej krytycznym krokiem jest uzyskanie klucza szyfrującego. Gdy użytkownik wykonuje kopię zapasową WhatsApp po raz pierwszy, generowany jest zaszyfrowany klucz, który nigdy nie będzie przechowywany w chmurze, tylko na smartfonie, a każdemu smartfonowi odpowiada inny klucz. Dlatego w celu odszyfrowania bazy danych musimy najpierw wyodrębnić z telefonu klucz szyfrujący użyty podczas tworzenia kopii zapasowej. Konkretna ścieżka klucza szyfrowania to: userdata / data / com.whatsapp / files / key.
Zgodnie z wynikami badań ekspertów w dziedzinie medycyny sądowej SalvationDATA, opracowaliśmy specjalny algorytm, który może wykorzystać ten plik klucza do złamania bazy danych WhatsApp. Wkrótce ogłosimy to narzędzie i zintegrujemy je z systemem SmartPhone Forensic System (SPF), aby użytkownicy bez podstawowego programowania komputerowego mogli z powodzeniem złamać zaszyfrowaną bazę danych WhatsApp. Użytkownik musi tylko zaimportować plik klucza i plik zaszyfrowanej bazy danych, a program może automatycznie wygenerować poprawny niezaszyfrowany plik bazy danych.
Jak ominąć mechanizm szyfrowania WhatsApp
Jeśli jednak nie zrootujesz urządzenia, nie będzie łatwo uzyskać plik klucza. Dlatego następnie omawiamy, jak ominąć mechanizm szyfrowania WhatsApp i jak wyodrębnić dane WhatsApp bez dostępu do roota.
Plik klucza i niezaszyfrowana baza danych są zawsze przechowywane w katalogu WhatsApp. Jeśli masz dostęp do tych plików, możesz przeglądać zapisy komunikacji WhatsApp na bieżącym urządzeniu. Jedynym problemem jest to, że bez uprawnień roota nie możemy bezpośrednio uzyskać dostępu do tych plików.
Bez uprawnień administratora istnieją dwa sposoby wyodrębnienia danych WhatsApp.
Tworzenie kopii zapasowych i przywracanie systemu
Pierwsza metoda polega na wykorzystaniu funkcji tworzenia kopii zapasowych i przywracania systemu Android. Wielu producentów telefonów z systemem Android umożliwia użytkownikom tworzenie kopii zapasowych za pomocą wbudowanych aplikacji systemowych. Utworzona w ten sposób kopia zapasowa jest przechowywana na karcie SD bez szyfrowania. Dlatego organy ścigania mogą korzystać z tej prostej metody, aby uzyskać dostęp do rekordów komunikacji WhatsApp.
Możemy użyć smartfona, aby utworzyć kopię zapasową WhatsApp. Użytkownicy mogą znaleźć aplikację „Backup Restore” w folderze Tools, utworzyć nową kopię zapasową, pamiętaj, aby sprawdzić WhatsApp. Następnie możemy znaleźć dane kopii zapasowej WhatsApp na karcie SD telefonu. Ta kopia zapasowa obejmuje wszystkie niezaszyfrowane pliki baz danych i pliki kluczy WhatsApp. Teraz wszystko, co musimy zrobić, to użyć mobilnych narzędzi kryminalistycznych do analizy docelowej bazy danych.
Przywróć kopię zapasową
Innym sposobem jest obniżenie wersji aplikacji WhatsApp do wersji, która nie ma mechanizmu szyfrowania. Wersja 2.11.431 WhatsApp to ostatnia wersja, która nie wymusza korzystania z zaszyfrowanych kopii zapasowych. Dlatego możemy obniżyć wersję WhatsApp do wersji 2.11.431 bez usuwania danych użytkownika, a następnie użyć starej wersji WhatsApp do utworzenia pliku kopii zapasowej, a następnie wyodrębnić wymaganą bazę danych. Proces ten wymaga od użytkowników umiejętności zawodowych i wiąże się z ryzykiem trwałej utraty danych. Dlatego zdecydowanie zalecamy użytkownikom korzystanie z profesjonalnych narzędzi kryminalistycznych w celu obniżenia wersji.
Jak odzyskać usunięte wiadomości WhatsApp
Teraz, gdy wiemy, jak wyodrębnić pliki bazy danych WhatsApp ze smartfonów, zobaczmy, jak używać plików bazy danych do odzyskiwania usuniętych wiadomości WhatsApp na urządzeniach z Androidem i iOS. Użytkownicy mogą usuwać wiadomości WhatsApp na dwa sposoby. Użytkownicy mogą usuwać wiadomości pojedynczo lub użyć przycisku „wyczyść / usuń” czatu, aby usunąć wszystkie wiadomości naraz. Zgodnie z wynikami naszych testów, bez względu na to, jakiej metody użyje użytkownik do usunięcia wiadomości, możemy użyć następującej metody, aby ją przywrócić.
Jak wspomnieliśmy wcześniej, WhatsApp używa bazy danych SQLite do przechowywania wiadomości. W przeciwieństwie do systemu Android, system iOS przechowuje wszystkie dane związane z WhatsApp w bazie danych ChatStorage.sqlite. Te pliki baz danych zazwyczaj zawierają pliki pamięci podręcznej z rozszerzeniem „-wal”. W większości przypadków rozmiar tych plików pamięci podręcznej wynosi 0, ale jeśli rozmiar tych plików pamięci podręcznej jest różny od 0, mogą one zawierać ważne dane, które nie zostały zapisane w bazie danych. Kiedy to się stanie, musimy sobie z tym ostrożnie obchodzić, ponieważ jeśli nie dbamy o te pliki pamięci podręcznej, informacje w nich przechowywane mogą zostać nadpisane i nigdy nie można ich odzyskać.
Zgodnie z naszą analizą wiadomości WhatsApp, do których można uzyskać normalny dostęp, są przechowywane w msgstore.db, natomiast usunięte wiadomości są przechowywane w msgstore.db-wal. Ten plik jest plikiem pamięci podręcznej wiadomości. WhatsApp zawsze najpierw zapisze wiadomość w pliku pamięci podręcznej, a następnie zapisze ją w rzeczywistej bazie danych. Co ciekawe, czasami plik pamięci podręcznej będzie większy niż plik bazy danych. Dzieje się tak, ponieważ wiadomość może być przechowywana w bazie danych tylko jako pojedynczy rekord, ale nie ma takiego ograniczenia w pliku pamięci podręcznej. Wiadomość może mieć wiele rekordów w tym samym czasie. Dlatego mamy szansę odzyskać usunięte lub utracone wiadomości WhatsApp.
Jednak aby uniknąć nadpisania istniejących danych w pliku pamięci podręcznej, nie możemy bezpośrednio otworzyć pliku bazy danych, dopóki plik pamięci podręcznej nie zostanie poprawnie przetworzony. Najpierw musimy przetworzyć plik pamięci podręcznej, dopasować funkcje, a następnie zapisać i przeanalizować wszystkie dane w pliku pamięci podręcznej.
Weźmy jako przykład „to jest wiadomość testowa”. Gdy użytkownik usuwa tę wiadomość, rekord odpowiadający wiadomości jest zwykle usuwany z msgstore.db. Jednak niektóre rekordy tej wiadomości mogą nadal znajdować się w pliku pamięci podręcznej msgstore.db-wal. Sytuację przed i po usunięciu komunikatu „To jest wiadomość testowa” przedstawia poniższy rysunek. Widzimy, że po usunięciu wiadomości odpowiednie dane są nadal przechowywane w pliku pamięci podręcznej, a pozycja offsetu rekordu pozostaje niezmieniona.
Dlatego analizując i wyodrębniając dane z pliku pamięci podręcznej msgstore.db-wal, daliśmy możliwość odzyskania usuniętych lub utraconych wiadomości WhatsApp. Wyżej wymieniona metoda może skutecznie i niezawodnie wyodrębnić usunięte dane WhatsApp, a także jest idealnym rozwiązaniem do odzyskiwania usuniętych wiadomości i opróżnionej historii czatów.