luzzattigramsci.it

  

Bästa artiklarna:

  
Main / Whatsapp-nyckelfilens rot

Whatsapp nyckelfil rot

Idag utbyter över 1300 miljoner aktiva användare varje månad gratismeddelanden med WhatsApp över hela världen. Statistik från juli. Och uppenbarligen kan dessa uppgifter innehålla viktig fallrelevant information för utredare, vilket är anledningen till att WhatsApp har blivit ett av de viktigaste fokuserna inom mobil kriminalteknik. Det är dock allmänt känt att utredningar med smartphones inte alltid är enkla. Utredare kan stöta på olika typer av svårigheter under kryptering av processdatabasen, säkerhetssystem, borttagna meddelanden etc.

Så i den här artikeln kommer vi att prata om hur man dekrypterar krypterad WhatsApp-databas, hur man kringgår WhatsApp-kryptering och hur man återställer raderade WhatsApp-meddelanden. Del I: Hur dekrypterar du krypterad WhatsApp-databas?

För Android-enheter finns det två viktigaste databaser för WhatsApp, msgstore. Det är lätt att få tag på dessa databasfiler eftersom WhatsApp har en säkerhetskopieringsfunktion som skapar databasbackup till SD-kortet, vilket ger åtkomst utan några privilegier som root. Det finns dock ett allvarligt problem för brottsbekämpande utredare, med senaste säkerhetsuppdateringar är WhatsApp-databaser krypterade och kan inte analyseras direkt.

Chattar, meddelanden och samtalsloggar använder AES-256-kryptering av industristandarden, mediefilerna som foton och videor är inte krypterade. Så hur kan vi dekryptera krypterade WhatsApp-databaser?

Det viktigaste steget är att hämta krypteringsnyckeln. Så för att dekryptera en krypterad databas måste vi först extrahera krypteringsnyckeln från enheten där säkerhetskopian skapas. Krypteringsnyckeln finns på följande plats: En användare behöver helt enkelt importera nyckelfilen och den krypterade databasen, och programmet kommer att generera den okrypterade databasfilen i enlighet därmed.

Att få nyckelfilen är dock inte alltid lätt utan att rota enheten. Om utredare kan få tag på dessa filer kan de se alla WhatsApp-kommunikationshistoriker på den här enheten. Det enda problemet är att de inte har direkt tillgång till dessa filer utan root.

Många Android-telefontillverkare tillåter användare att skapa en säkerhetskopia med inbyggda systemapplikationer. Säkerhetskopieringsfiler som skapas på detta sätt lagras på SD-kortet och är okrypterade. Så detta är ett enkelt tillvägagångssätt för brottsbekämpning att få tillgång till WhatsApp-kommunikationshistoriken. Denna säkerhetskopia innehåller alla okrypterade databaser och nyckelfilen till WhatsApp. Nu är allt vi behöver göra att analysera databasen med ett mobilt kriminaltekniskt verktyg. Ett annat sätt är att nedgradera WhatsApp-applikationen till en version som inte har någon säkerhetskopieringsfunktion.

WhatsApp v. Så tricket är att nedgradera WhatsApp till v. Denna process kräver yrkeskunskaper och riskerar att förlora data för alltid. Därför rekommenderas det starkt att använda professionella kriminaltekniska verktyg för att genomföra en nedgraderingsprocess.

Del III: Hur återställs raderade WhatsApp-meddelanden? Det finns två sätt för en användare att radera WhatsApp-meddelanden. Enligt våra tester kan meddelanden som raderats på något av ovan nämnda sätt återställas med vår metod nedan. Denna typ av situation måste hanteras noggrant, för om vi lämnar cachefilerna obevakade kommer information som lagras i den att skrivas över och förloras för alltid. Enligt vår analys lagras de normalt tillgängliga WhatsApp-meddelandena i msgstore.

WhatsApp lagrar alltid meddelandena först i cachefilen innan de sparas i den riktiga databasen. Det är intressant att cache-filen ibland är ännu större än själva databasfilen. Detta beror på att ett meddelande bara kommer att lagras som en post i databasen, medan det inte finns någon sådan begränsning i cachefilen. Det kan finnas flera poster av ett meddelande existerande samtidigt. Detta gör det möjligt att återställa raderade eller förlorade WhatsApp-meddelanden.

För att undvika överskrivna data som lagras i cachefilen får vi dock INTE öppna databasen direkt innan vi har hanterat cachefilen ordentligt. Vi måste hantera cachefilen först genom att matcha signaturer, spara och analysera all data från cachefilen.

Efter att användaren har tagit bort detta meddelande raderas vanligtvis även posten för detta meddelande från msgstore. Det kan dock fortfarande finnas register över detta meddelande lagrat i cachefilen msgstore. Bilden nedan visar ett exempel på vad som hände före och efter meddelandet: Detta är ett testmeddelande, raderades.

Som vi kan se, efter att meddelandet har tagits bort, förblir data för detta meddelande fortfarande i cachefilen, och även offsetpositionen för denna post ändras inte. Så genom att analysera och extrahera data från cachefilen msgstore. Denna lösning som nämns ovan visar sig vara ett effektivt och pålitligt sätt att extrahera borttagna WhatsApp-data, en perfekt lösning för borttagna meddelanden och rensade chatthistorier. Observera att all teknik och lösningar som nämns ovan redan eller snart kommer att släppas och integreras i SmartPhone Forensic System SPF.

Vi hoppas att den här artikeln på något sätt kommer att hjälpa DFIR-communityn att hantera mobila enheter för att hämta bevisuppgifter så mycket de kan.

Vi ses snart med mer praktiska kriminaltekniska lösningar. Gilla som. I det här fallet skulle det vara mer en påtvingad aktivitet att lämna data utan uppsikt eftersom du kanske använder enheten under en undersökning. Dessutom, om en betydande tid går mellan den sista avstängningen och uppstart av enheten, har tidsfristen en inverkan på att bevara wal-data om de finns i första hand?

Gilla Gillas av 1 person. Tack för din kommentar! Denna del av inlägget diskuterar ett sätt att återställa raderade WhatsApp-data från SQLite-databasens cachefil. Cache-filen i en SQLite-databas är en tillfällig lagringsplats för WhatsApp-data och kan lätt skrivas över. I ett WhatsApp-kriminaltekniskt arbetsflöde rekommenderas att du först skaffar och bevarar både databas- och cachefiler i WhatsApp, sedan analyserar och extraherar data från cachefilen innan du öppnar databasfilen.

Och till din första fråga kan ja tillåta WA att utföra regelbundet underhåll leda till data förlorade i cachefilen. Det är därför som cachefilen måste hanteras med försiktighet i ett kriminaltekniskt fall. Den andra frågan, i teorin kommer cachefilen endast att uppdateras när databasfilerna ändras, så avstängning under lång tid bör inte ha någon inverkan på att bevara wal-data.

Om du är intresserad av våra produkter, skicka ett mail till info salvatioandata. Snabb fråga, varje gång jag redigerar ett äldre meddelande, tycker WhatsApp att det är korrupt?

Är detta normalt beteende? Finns det ett sätt att kringgå detta? Du kommenterar med din WordPress. Du kommenterar med ditt Google-konto.

Du kommenterar med ditt Twitter-konto. Du kommenterar med ditt Facebook-konto. Meddela mig om nya kommentarer via e-post. Meddela mig om nya inlägg via e-post.

Sök efter: 8 februari 2018 Författare: Del II: Hur man kringgår WhatsApp-kryptering? Det finns i princip två sätt att extrahera WhatsApp-data utan root. Nedgradera säkerhetskopiering Ett annat sätt är att nedgradera WhatsApp-applikationen till en version som inte har någon krypteringsfunktion för säkerhetskopiering. Dela detta: Twitter Facebook.

Så här: Gilla Laddar ... Föregående Föregående inlägg: Nästa Nästa inlägg: Hej, herr, vi kan använda vår mobila kriminalteknik SPF för att återhämta sig och extrahera. Hej kära, den här artikeln fokuserar på att återställa raderade meddelanden på WhatsApp. Så du kan skicka din fråga till WhatsApps onlinetjänstpersonal.

Hej, vilket program kan jag använda för att läsa och analysera en msgstore. Hälsningar som gillar. Lämna ett svar Avbryt svar Ange din kommentar här ... Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in: E-post krävs Adress aldrig offentliggjord.

Namn (krävs. Skicka för att avbryta. Denna webbplats använder cookies. Genom att fortsätta använda denna webbplats godkänner du deras användning. För att ta reda på mer, inklusive hur du kontrollerar cookies, se här:

(с) 2019 luzzattigramsci.it