- Flipper db что за файл android
- Найден секретный способ освободить до 20 Гб памяти в телефоне
- Удаление папки Telegram
- Удаление папки.Thumbnails
- Удаление папки Data
- Заключение
- Thumbnails — что это за папка и можно ли её удалять
- Зачем нужна папка thumbnails?
- Как удалить папку thumbnails?
- WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
- Артефакты WhatsApp в Android-устройстве
- Особенности хранения данных в некоторых моделях мобильных устройств
- Артефакты WhatsApp в iOS-устройстве
- Артефакты WhatsApp в Windows
- Артефакты WhatsApp в MacOS
Flipper db что за файл android
Краткое описание:
Записывайте, слушайте и делитесь своими звуками.
Ищите новую и набирающую популярность музыку. Собирайте композиции и плейлисты. Подписывайтесь на друзей и музыкантов. Слушайте подкасты, комедийные передачи и новости.
Где бы вы ни были. Что бы ни делали. С SoundCloud вы услышите больше.
Больше хип-хопа. Больше рока. Больше электроники. Больше классики. Больше хауса, джаза, аудиокниг, спортивных программ.
— Следите за набирающей популярность музыкой и звуком
— Находите композиции, музыкантов и других пользователей
— Подпишитесь на друзей и музыкантов, чтобы видеть их публикации
— Просматривайте композиции по жанрам
— Слушайте потоковую музыку через WiFi или мобильное соединение
— Воспроизводите, ставьте на паузу и пропускайте композиции с экрана блокировки
— Заходите или регистрируйтесь через Facebook и Google+
— Записывайте звуки и публикуйте их в Facebook, Twitter и Tumblr
— Геотеги и информация о месте записей
— Слушайте плейлисты или создавайте собственные и делитесь ими с читающими вас пользователями
Требуется Android: 6.0+
Русский интерфейс: Нет
Android 4.4+:
Версия: 2019.06.11 SoundCloud (Torento/737)
Версия: 2019.06.03 SoundCloud (Torento/737)
версия: 2019.04.16-release Сообщение №724, автор Torento/737
Версия: 2019.05.09-beta Mod RUS SoundCloud (Пост VadimW #85519702)
версия: 2019.03.26-release Сообщение №693, автор Torento/737
версия: 2019.02.05-release Сообщение №660, автор Torento/737
версия: 2018.12.18-release SoundCloud (Пост ▸Scream◂ #80533115)
Версия: 2018.12.11-release SoundCloud (Пост vovanKARPO #80063809)
Версия: 2018.12.03-release SoundCloud (Пост vovanKARPO #79723373)
Версия: 2018.10.09-release Сообщение №600, автор vovanKARPO
Версия: 2018.09.25-release Сообщение №597, автор vovanKARPO
Версия: 2018.09.14-release Сообщение №595, автор vovanKARPO
Версия: 2018.09.03-release Сообщение №588, автор vovanKARPO
Версия: 2018.08.23 SoundCloud (Пост vovanKARPO #76326457)
Версия: 2018.08.14 SoundCloud (Пост vovanKARPO #76239108)
Версия: 2018.07.13 Сообщение №563, автор vovanKARPO
Версия: 2018.07.12 Сообщение №560, автор vovanKARPO
Версия: 2018.07.02 Сообщение №552, автор vovanKARPO
Версия: 2018.06.29 Сообщение №551, автор vovanKARPO
Версия: 2018.06.22 Сообщение №549, автор vovanKARPO
Версия: 2018.06.12 Сообщение №539, автор vovanKARPO
Версия: 2018.06.08 Сообщение №539, автор vovanKARPO
Версия: 2018.06.06 Сообщение №534, автор vovanKARPO
Версия: 2018.06.01 SoundCloud (Пост vovanKARPO #73832526)
Версия: 2018.05.28 Сообщение №529, автор vovanKARPO
Версия: 2018.05.17 Сообщение №522, автор vovanKARPO
Версия: 2018.05.14 Сообщение №519, автор vovanKARPO
Версия: 2018.05.09 SoundCloud (Пост vovanKARPO #73160403)
Версия: 2018.04.17 Сообщение №517, автор pulsar555
Версия: 2018.04.06 SoundCloud (Пост Muhoflu #72245246)
Версия: 2018.02.26 SoundCloud (Пост Rakleed #70978728)
Версия: 2018.01.15 Сообщение №447, автор torento737
Версия: 2017.12.18 SoundCloud (Пост Muhoflu #68269192)
Версия: 2017.11.30 SoundCloud (Пост torento737 #67838072)
Версия: 2017.11.14 SoundCloud (Пост torento737 #67217720)
Версия: 2017.11.01 SoundCloud (Пост Rakleed #66686764)
Версия: 2017.10.18 SoundCloud (Пост torento737 #66344608)
Версия: 2017.10.06 SoundCloud (Пост torento737 #65811551)
Версия: 2017.10.04 SoundCloud (Пост Rakleed #65751350)
Версия: 2017.09.14 SoundCloud (Пост Rakleed #65308280)
Версия: 2017.09.11 SoundCloud (Пост Rakleed #64994451)
Версия: 2017.08.16 SoundCloud (Пост torento737 #64479058)
Версия: 2017.08.09 SoundCloud (Пост Rakleed #64035652)
Версия: 2017.07.25 SoundCloud (Пост Rakleed #63579813)
Версия: 2017.06.26 SoundCloud (Пост torento737 #62989588)
Версия: 2017.05.08 SoundCloud (Пост Rakleed #61244596)
Версия: 2017.04.19 SoundCloud (Пост Rakleed #61071378)
Версия: 2017.04.07 SoundCloud (Пост And_RU #60301994)
Версия: 2017.03.16 SoundCloud (Пост And_RU #59769893)
Версия: 2017.03.03 SoundCloud (Пост And_RU #59230267)
Версия: 2017.02.21 SoundCloud (Пост Ramzes26 #58615402)
Версия: 2017.02.20-release SoundCloud (Пост Ramzes26 #58579669)
Версия: 2017.02.07-release SoundCloud (Пост Rakleed #58530882)
Версия: 2017.01.24 SoundCloud (Пост CyberEgo #57023742)
Версия: 2016.12.15 SoundCloud (Пост CyberEgo #56202361)
Версия: 2016.11.25 SoundCloud (Пост CyberEgo #55685114)
Версия: 2016.11.15 SoundCloud (Пост Ramzes26 #55140811)
Версия: 2016.10.25 SoundCloud (Пост VLADFIONOV #54449734)
Версия: 2016.10.19 SoundCloud (Пост zMiq #54407992)
Версия: 2016.09.22 SoundCloud (Пост zMiq #53359283)
Версия: 2016.08.31 Release SoundCloud (Пост VLADFIONOV #52856478)
Версия: 2016.08.12 Release SoundCloud (Пост CyberEgo #52082138)
Версия: 2016.06.28 Release SoundCloud (Пост -SoilioS- #50938439)
Версия: 2016.06.15 Release SoundCloud (Пост CyberEgo #50568816)
Версия: 2016.05.30 Release SoundCloud (Пост VLADFIONOV #50202333)
Версия: 2016.05.04 Release SoundCloud (Пост VLADFIONOV #49512924)
Версия: 2016.03.17 Release SoundCloud (Пост Giacomino #48204596)
версия: 2016.02.08-release SoundCloud (Пост VLADFIONOV #47158502)
версия: 2015.12.03 SoundCloud (Пост Giacomino #45044339)
версия: 15.12.17 SoundCloud (Пост Alex0047 #45411286)
версия: 15.11.18 Final SoundCloud (Пост VLADFIONOV #44630251)
версия: 15.11.05 Final SoundCloud (Пост Giacomino #44387498)
версия: 15.09.20 Release SoundCloud (Пост pyshnyi #44020202)
версия: 15.09.21 Release SoundCloud (Пост mardaly #42958117)
версия: 15.08.24 Release SoundCloud (Пост chasecollinz #42721171)
версия: 15.07.28 Release SoundCloud (Пост termitru #41882138)
версия: 15.07.15 ReleaseSoundCloud (Пост Vikiniik #41563408)
версия: 15.06.09 Release SoundCloud (Пост Giacomino #40749802)
версия: 15.05.26 Release https://4pda.to/forum/d…d+15.05.26-release.apk
версия: 15.04.29-release SoundCloud (Пост Vetal`M #39809621)
версия: 15.03.12-59 SoundCloud (Пост veld67 #38773644)
версия: 15.02.02-45 Final SoundCloud (Пост #37725555)
версия: 14.12.18-43 SoundCloud (Пост #37011564)
версия: 14.11.28-38 SoundCloud (Пост #36771861)
версия: 2.8.5 SoundCloud (Пост #33642107)
версия: 2.7.10 https://4pda.to/forum/d…oud-android+2.7.10.apk
версия: 2.7.7 https://4pda.to/forum/dl/post/4085615/SoundCloud+-+Music+%26+Audio+2.7.7.apk
версия: 2.7.2 https://4pda.to/forum/dl/post/3816943/SoundCloud+v2.7.2+Build+74.apk
версия: 2.6.6 https://4pda.to/forum/dl/post/3504638/SoundCloud+v2.6.6.apk
версия: 2.6.4 https://4pda.to/forum/dl/post/3315833/com.soundcloud.android_2.6.4.apk
версия: 2.2.10 https://4pda.to/forum/dl/post/2031744/SoundCloud+v2.2.10.apk
версия: 2.2.9 
com.soundcloud.android_44.apk ( 3.16 МБ )
Сообщение отредактировал iMiKED — 27.11.21, 12:22
Источник
Найден секретный способ освободить до 20 Гб памяти в телефоне
Существует несколько способов очистить систему Android от мусора и освободить таким образом память устройства. Это могут быть как встроенные сервисы, так и некоторые сторонние приложения для очистки. Но что делать, если ни один способ вам не помог и телефон все равно сигнализирует о нехватке памяти? В этом случае можно прибегнуть к ручной очистке и освободить таким образом до 20 Гб памяти смартфона.
Удаление папки Telegram
В 2021 году этот кроссплатформенный мессенджер по праву стал самым популярным приложением в мире, обогнав по числу скачиваний даже такого гиганта как Tik-Tok.
Но у Telegram есть одна небольшая проблема – вся просмотренная вами информация сохраняется во внутренней памяти телефона, тем самым засоряя систему.
Если вы являетесь активным пользователем Telegram, рекомендуем периодически очищать содержимое папки с приложением. Для этого достаточно перейти в любой файловый менеджер и полностью удалить папку Telegram. Не стоит переживать, с приложением после удаления ничего не случится. Система при следующем входе автоматически создаст папку Telegram заново.
Многим пользователям, которые делают такую процедуру впервые после установки Telegram, удается очистить таким образом от 1 до 10 Гб памяти. Проверьте и убедитесь сами.
Удаление папки.Thumbnails
Следующий способ – удаление папки, которая содержится в корневом разделе DCIM (или Pictures) системы Android и содержит в себе все мини копии картинок и фотографий, которые встречаются вам при серфинге в интернете и в приложениях. Этот раздел также может занимать очень большой объем данных, если ранее вы еще не проводили подобную очистку.
Папка.Thumbnails довольно хитрая и скрыта от глаз пользователя в каталогах системы. Чтобы ее найти и удалить, необходимо сначала включить отображение скрытых папок в настройках файлового менеджера.
В некоторых случаях системный файловый менеджер также не дает увидеть эту папку. В этом случае можно попробовать установить стороннее приложение, например ES-проводник, а затем перейти в каталог DCIM (Pictures), включить отображение скрытых папок и удалить папку.Thumbnails.
Если вы больше не хотите, чтобы миниатюры засоряли вам память устройства, можно немного перехитрить систему, создав в папке DCIM новый файл с другим расширением, но с тем же названием.Thumbnails.
Система Android устроена таким образом, что никогда не позволит создать два файла с одинаковым названием, поэтому папка.Thumbnails больше не сможет там появиться. Сделать это также можно с помощью ES-проводника.
Нажимаем на три точки в верхнем правом углу приложения → «+Создать» → Файл. Называем файл.Thumbnails (обязательно ставим точку вначале).
Готово! Теперь наш созданный файл не позволит системе Android создать папку.Thumbnails, а значит система больше не будет засоряться лишними миниатюрами.
Удаление папки Data
Еще одна папка, занимающая большое количество памяти в телефоне – папка Data, которая находится внутри каталога Android. Эта папка содержит кэш, а также некоторые настройки и служебную информацию о приложениях. Но каких-либо серьезных системных данных, влияющих на работу системы в целом, она не содержит. Поэтому ее также можно удалить, освободив до 10 Гб памяти.
Удалять ее нужно только в обход корзины, так как сама корзина является вложенной в папку Data, о чем система предупреждает при попытке удалить ее стандартным путем. Поэтому нам потребуется снова воспользоваться сторонним файловым менеджером, который позволит удалить папку Data напрямую, без промежуточных инстанций.
Открываем ES проводник и переходим во внутренний каталог системы. Затем переходим в папку Android→Выделяем папку Data→ Нажимаем Удалить. Убираем галочку с пункта «Перенести в корзину» и нажимаем ОК. Нам удалось очистить таким образом почти 3 Гб внутренней памяти.
Заключение
В далеком 1981 году на пути становления IBM, Билл Гейтс произнес, ставшую сегодня забавным мемом, фразу: «В будущем 640 Кб будет достаточно для каждого». Из-за особенностей первых процессоров, никто не мог и представить, что когда-нибудь в компьютерах, а тем более в мобильных устройствах удастся разместить большее количество памяти, а главное, что кому-то может понадобиться такой объем информации.
Несмотря на то, что сегодня любой смартфон обладает памятью в десятки тысяч раз, превышающий этот объем, нехватка памяти до сих пор остается актуальной проблемой, особенно для бюджетных моделей смартфонов. Мы надеемся, что с помощью нашей инструкции вам удастся очистить ваше устройство и наконец решить данную проблему.
Источник
Thumbnails — что это за папка и можно ли её удалять
Многие пользователи сталкиваются с проблемой захламления памяти смартфонов, из-за чего устройства работают медленней, а файлы грузятся дольше. Много места занимают различные мультимедийные материалы. Также в галерее каждого телефона есть специальная папка thumbnails, в которой скапливаются гигабайты системного мусора. Что это за папка, зачем она нужна, и как ее очистить?
Зачем нужна папка thumbnails?
Директория thumbnails создается смартфоном автоматически для хранения эскизов фотографий и изображений. Когда на устройстве впервые открывается картинка или фотография, система создает для нее специальную миниатюру-плитку. Этот эскиз предназначен для предпросмотра изображений и ускорения загрузки просматриваемого медиафайла. Со временем папка настолько забивается миниатюрами, что занимает большую часть памяти смартфона и тормозит работу системы. Если предпросмотр и скорость загрузки картинок не приоритетны, для освобождения памяти можно удалить папку thumbnails.
Как удалить папку thumbnails?
Чтобы удалить директорию thumbnails нужно сделать следующее:
Зайдите в диспетчер файлов на устройстве и введите в поиск название папки. Можно найти ее вручную, открыв галерею (DCIM). Но лучше все-таки воспользоваться поисковиком, поскольку есть вероятность, что хранилище эскизов создалось еще и в других местах.
После обнаружения директории — удаляем ее стандартным путем. ❗️ Но есть небольшая проблема. В некоторых смартфонах thumbnails по умолчанию задана как скрытая директория, и обнаружить ее через стандартный диспетчер файлов невозможно. Чтобы удалить скрытую папку, скачайте на смартфон приложение Total Commander. Воспользуйтесь этим диспетчером файлов, отыщите папку thumbnail и удалите директорию. К сожалению, эти действия решат проблему временно, поскольку система снова создаст папку thumbnails и станет сохранять в нее эскизы.
Источник
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
- ‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Эта таблица содержит информацию о количестве контактов;
Эта таблица содержит информацию о языковой локализации WhatsApp.
В базе данных ‘msgstore.db’ содержится информация о переданных сообщениях, такая как номер контакта, текст сообщения, статус сообщения, временные метки, сведения о переданных файлах, включенных в сообщения, и т.д. Файл ‘msgstore.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
- ‘sqlite_sequence’
Эта таблица содержит общую информацию об этой базе данных, например, общее число хранимых сообщений, общее число чатов и т.д.
Внешний вид таблицы:
‘message_fts_content’
Содержит текст переданных сообщений.
Внешний вид таблицы:
‘messages’
Эта таблица содержит такую информацию, как номер контакта, текст сообщения, статус сообщения, временные метки, сведения о переданных файлах, включенных в сообщения.
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Эта таблица содержит информацию о переданных изображениях и временные метки. В колонке ‘timestamp’ время указано в формате Unix Epoch Time (ms).
Эта таблица содержит информацию о чатах.
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
- Файл ‘msgstore.db.cryptXX’ (где XX – одна или две цифры от 0 до 12, например, msgstore.db.crypt12). Содержит зашифрованную резервную копию сообщений WhatsApp (резервная копия файла msgstore.db). Файл (или файлы) ‘msgstore.db.cryptXX’ располагается по пути: ‘/data/media/0/WhatsApp/Databases/’ (виртуальная SD-карта), ‘/mnt/sdcard/WhatsApp/Databases/ (физическая SD-карта)’.
- Файл ‘key’. Содержит криптографический ключ. Располагается по пути: ‘/data/data/com.whatsapp/files/’. Используется для расшифровки зашифрованных резервных копий WhatsApp.
- Файл ‘com.whatsapp_preferences.xml’. Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/data/data/com.whatsapp/shared_prefs/’.
Файл ‘registration.RegisterPhone.xml’. Содержит информацию о номере телефона, ассоциированного с аккаунтом WhatsApp. Файл располагается по пути: ‘/data/data/com.whatsapp/shared_prefs/’.
Также нужно обращать внимание на следующие каталоги:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит переданные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Voice Notes/’. Содержит голосовые сообщения в файлах формата .OPUS.
- Каталог ‘/data/data/com.whatsapp/cache/Profile Pictures/’. Содержит графические файлы – изображения контактов.
- Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – миниатюры изображения контактов. Эти файлы имеют расширение ‘.j’, но, тем не менее, являются графическими файлами формата JPEG (JPG).
- Каталог ‘/data/data/com.whatsapp/files/Avatars/’. Содержит графические файлы – изображение и миниатюру изображения, установленного как аватар владельцем аккаунта.
- Каталог ‘/data/data/com.whatsapp/files/Logs/’. Содержит журнал работы программы (файл ‘whatsapp.log’) и резервные копии журналов работы программы (файлы с именами формата whatsapp-гггг-мм-дд.1.log.gz).
Файлы журналов WhatsApp:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
- в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
- во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘8’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘3’. |
| ZCLOUDSTATUS | содержит значение ‘4’ если файл загружен. |
| ZFILESIZE | содержит длину файла (в байтах) для загруженных файлов |
| ZMEDIAORIGIN | неизвестно, обычно имеет значение ‘0’ |
| ZMOVIEDURATION | продолжительность медиафайла, для pdf файлов может содержать число страниц документа |
| ZMESSAGE | содержит порядковый номер (номер отличается от того, который указан в колонке ‘Z_PK’) |
| ZASPECTRATIO | соотношение сторон, не используется, обычно имеет значение ‘0’ |
| ZHACCURACY | неизвестно, обычно имеет значение ‘0’ |
| ZLATTITUDE | ширина в пикселях |
| ZLONGTITUDE | высота в пикселях |
| ZMEDIAURLDATE | временная метка в формате OS X Epoch Time |
| ZAUTHORNAME | автор (для документов, может содержать название файла) |
| ZCOLLECTIONNAME | не используется |
| ZMEDIALOCALPATH | имя файла (с указанием пути) в файловой системе устройства |
| ZMEDIAURL | URL, по которому находился медиафайл. Если файл передавался от одного абонента другому, он был зашифрован, и его расширение будет указано как расширение передаваемого файла — .enc |
| ZTHUMBNAILLOCALPATH | путь до миниатюры файла в файловой системе устройства |
| ZTITLE | заголовок файла |
| ZVCARDNAME | хеш медиафайла, при передаче файла в группу может содержать идентификатор отправителя |
| ZVCARDSTRING | содержит информацию о типе передаваемого файла (например, image/jpeg), при передаче файла в группу может содержать идентификатор получателя |
| ZXMPPTHUMBPATH | путь до миниатюры файла в файловой системе устройства |
| ZMEDIAKEY | неизвестно, вероятно, содержит ключ для расшифровки зашифрованного файла. |
| ZMETADATA | метаданные передаваемого сообщения |
| Offset | смещение |
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
- ‘ZWAPROFILEPUSHNAME’. Соотносит WhatsApp ID с именем контакта;
- ‘ZWAPROFILEPICTUREITEM’. Соотносит WhatsApp ID с аватаркой контакта;
- ‘Z_PRIMARYKEY’. Таблица содержит общую информацию об этой базе данных, такую как общее число хранимых сообщений, общее число чатов и т.д.
Также при исследовании WhatsApp в мобильном устройстве под управлением iOS надо обращать внимание на следующие файлы:
- Файл ‘BackedUpKeyValue.sqlite’. Содержит криптографические ключи и иные данные, которые необходимы для идентификации владельца аккаунта. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл ‘ContactsV2.sqlite’. Содержит информацию о контактах пользователя, такую как ФИО, номер телефона, статус контакта (в виде текста), WhatsApp ID и т.д. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл ‘consumer_version’. Содержит номер версии установленного приложения WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/.
- Файл ‘current_wallpaper.jpg’. Содержит текущие обои фона программы WhatsApp. Располагается по пути: /private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/. В старых версиях приложения используется файл ‘wallpaper’, который располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’.
- Файл ‘blockedcontacts.dat’. Содержит информацию о заблокированных контактах. Располагается по пути: /private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/.
- Файл ‘pw.dat’. Содержит зашифрованный пароль. Располагается по пути: ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/’.
- Файл ‘net.whatsapp.WhatsApp.plist’ (или файл ‘group.net.whatsapp.WhatsApp.shared.plist’). Содержит информацию о профиле аккаунта WhatsApp. Файл располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Library/Preferences/’.
Также нужно обращать внимание на следующие каталоги:
- Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/Media/Profile/’. Содержит миниатюры контактов, групп (файлы с расширением .thumb), аватары контактов, аватар владельца аккаунта WhatsApp (файл ‘Photo.jpg’).
- Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/ Message/Media/’. Содержит мультимедиа-файлы и их миниатюры
- Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/’. Содержит журнал работы программы (файл ‘calls.log’) и резервные копии журналов работы программы (файл ‘calls.backup.log’).
- Каталог ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/stickers/’. Содержит стикеры (файлы в формате ‘.webp’).
- Каталог ‘/private/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Logs/’. Содержит журналы работы программы.
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
- мультимедиа-файлы;
- документы, передававшиеся с помощью WhatsApp;
- информацию о контактах владельца аккаунта.
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
- ‘C:\Applications\WhatsApp.app\’
- ‘C:\Applications\._WhatsApp.app\’
- ‘C:\Users\%User profile%\Library\Preferences\’
- ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
- ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
- ‘C:\Users\%User profile%\Library\Application Scripts\’
- ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
- ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
- ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
- ‘C:\Users\%User profile%\ Library\ Mobile Documents\ WhatsApp\ Accounts’
В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
В этом каталоге содержится информация об инсталляции программы. - ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных. - ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
В этом каталоге находится несколько подкаталогов:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
- Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
Источник
