Что за файл messages
Несмотря на то, что мировая культура в лице Википедии и Пола Маккартни уверяет нас, что Mary had a little lamb, на территории одной восьмой части суши продолжают считать, что на самом деле «У Мэри был ягнёнок». Кто же на самом деле был у Мэри, и как записать это на разных языках мира? Попробуем выяснить это (а также понять, что думают по этому поводу японцы) вместе с нашим любимым Python-ом и встроенным в него модулем поддержки многоязычных переводов gettext.
Приступим
Начнём с того, что напомним, что библиотека gettext используется для перевода не только программ на Python, а на многих различных языках. Он позволяет использовать в нашей программе шаблоны фраз, которые можно переводить с помощью отдельных и независимых файлов перевода. В самой программе мы, как и прежде, выводим текст сразу на экран, на диск, в логи или ещё куда-нибудь, всего лишь пометив переводимые строки особым образом; библиотека gettext же позволяет взять эти переводимые строки, наборы файлов перевода, и, при наличии подходящего для текущего языка файла перевода, подставить нужную строку.
В Python доступ к механизмам библиотеки gettext осуществляется с помощью идущего в комплекте с Python-ом модуля gettext. Так что не будем путать систему gettext как таковую (внешнюю по отношению к Python-у и совершенно не требующуюся ему для работы сущность; тем не менее, в комплект которой входят удобные утилиты для работы с файлами gettext) и встроенный в Python модуль gettext.
name = _("Mary")
animal = _("lamb")
print _("%s had a little %s") % (name, animal)
При использовании модуля gettext принято помечать переводимые строки вызовом функции _() . Пока эта функция не определена (впрочем, никто не мешает нам временно определить что-нибудь наподобие _ = lambda x: x ), поэтому программа даже наверняка не сможет запуститься… но нам пока и не надо.
Вы уже, наверное, подумали, что сейчас мы будем создавать новый текстовый файл с ассоциациями, в котором надо будет не забыть указать все переводимые строки из программы? В нашем случае таких строк всего 3, но в серьёзной программе их может быть намного больше…
Шаблон перевода: .pot
… вы почти угадали. Создавать файл мы будем. Но при этом воспользуемся приятной возможностью системы gettext — анализом файлов с исходниками на предмет переводимых строк. Поскольку мы их благоразумно пометили вызовом функции _() ещё до того, как этот вызов стал всерьёз использовать gettext, теперь синтаксический анализатор может их быстро собрать.
Что это такое? Это шаблон для перевода всей нашей программы. Если у нас есть большая команда переводчиков, то мы можем дать этот шаблон каждому переводчику для каждого целевого языка, и он должен нам будет вернуть заполненный шаблон для его языка. Обычно шаблоны имеют расширение .pot, а заполненные файлы имеют расширение .po.
Синтаксис у файла достаточно прозрачный. Комментарии, пометки авторских прав на перевод, пары из оригинальных строк и переводов. Выкинем из файла всё лишнее, кроме строчки с «Content-Type:» и необходимых для перевода строк, укажем кодировку UTF-8 и напишем переводы:
Файл перевода: .po
msgid ""
msgstr ""
"Content-Type: text/plain; charset=UTF-8\n"
msgid "Mary"
msgstr "Мэри"
msgid "lamb"
msgstr "ягнёнок"
msgid "%s had a little %s"
msgstr "У %s был маленький %s"
В нашем случае файл достаточно маленький и простой; будь он посложнее, было бы удобнее использовать специализированные редакторы .po-файлов, наподобие Poedit, или «специализированного редактора всего» Emacs.
Скомпилированный файл перевода: .mo
Итак, строки в нашей программе мы перевели. Зря, кстати. gettext направлен исключительно на перевод законченных готовых предложений, и перевод отдельных слов и шаблонов предложений в нём делать опасно… (например, gettext совершенно не поддерживает падежи и рода и кое-как поддерживает разве что различение единственного и множественного числа; так что, чтобы подставить вместо Мэри «Таню» или «Свету», придётся учитывать падеж для каждого возможного употребления исходного имени.) Ну да ладно — в нашем случае это не принципиально. Сейчас у нас задача в другом: подготовить файл перевода к использованию.
Использовать исходный текстовый файл было бы неудобно по соображениям производительности (для программ, в которых много переводимого текста), поэтому система gettext использует скомпилированные в специальный формат файлы. Для компиляции мы можем воспользоваться либо тулой msgfmt из комплекта gettext, либо msgfmt.py из комплекта Python (в дебианоподобных дистрибутивах она входит в состав пакета python2.5-examples). Воспользуемся второй:
Ага, видим файл mary.mo. В отличие от mary.po он уже явно не предназначен для ручного редактирования.
Структура каталогов и запуск программы
Если бы мы подготавливали программу к инсталляции в служебные директории, то мы бы создали примерно такую иерархию (в случае Debian linux): системный каталог /usr/share/locale, в нём подкаталоги для разных языков — ru, en и т.п.; в них — по каталогу LC_MESSAGES, а там уже — файл наподобие mary.mo (с максимально уникальным именем, чтобы не пересечься с другими программами). Но в нашем учебном случае мы просто сделаем подкаталог locale в нашем каталоге, создадим в нём подкаталоги ru/LC_MESSAGES, а в последний уже положим mary.mo.
Теперь наконец добавим в нашу программу поддержку gettext:
gettext.install('mary', './locale', unicode=True)
name = _("Mary")
animal = _("lamb")
print _("%s had a little %s") % (name, animal)
Что изменилось? Мы проимпортировали модуль gettext (ну, это очевидно). А ещё мы проинсталлировали в глобальное пространство программы функцию _(), которая для перевода строк в подкаталоге ./locale (второй аргумент) найдёт каталог с нашей текущей локалью (тот самый подкаталог ru), а в его подкаталоге LC_MESSAGES будет искать юникодный (третий аргумент) файл mary.mo перевода программы mary (первый аргумент).
Что имеется в виду под словом «проинсталлировали»? А то, что, после этого действия, мы можем импортировать другие модули нашей программы, и функция _() в них будет уже определена.
Запускаем нашу программу…
1:/tmp/mary> ./mary.py
У Мэри был маленький ягнёнок
Бонус
Согласно Google Translate, .po-файл для японского языка будет выглядеть примерно так:
msgid ""
msgstr ""
"Content-Type: text/plain; charset=UTF-8\n"
msgid "Mary"
msgstr "メアリー"
msgid "lamb"
msgstr "子羊"
msgid "%s had a little %s"
msgstr "%sの%sいた"
И для нормальной поддержки японского языка (помимо русского) нам придётся поменять последнюю строку кода на
print (_("%s had a little %s") % (name, animal)).encode('UTF-8')
Проверим в работе:
1:/tmp/mary> LANG=ja_JP.UTF-8 ./mary.py
メアリーの子羊いた
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
-
‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.
Внешний вид таблицы:
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.
Внешний вид таблицы:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
- в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
- во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.
WhatsApp Video
Папка, в которой содержатся отправленные по WhatsApp видеофайлы. Так как мессенджер сохраняет все полученные видеоролики, эта папка в большинстве случаев может весить несколько гигабайт. Ее содержимое можно удалить, тем самым освободив значительное количество места в памяти телефона.
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
- ‘C:\Applications\WhatsApp.app\’
- ‘C:\Applications\._WhatsApp.app\’
- ‘C:\Users\%User profile%\Library\Preferences\’
- ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
- ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
- ‘C:\Users\%User profile%\Library\Application Scripts\’
- ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
- ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
- ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
- ‘C:\Users\%User profile%\ Library\ Mobile Documents\ WhatsApp\ Accounts’
В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
В этом каталоге содержится информация об инсталляции программы. - ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных. - ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
В этом каталоге находится несколько подкаталогов:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
- Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.
В следующих статьях этой серии:
Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения.
Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ.
Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
- Вопрос задан более трёх лет назад
- 3694 просмотра
Не файл, а команда dmesg , не могу представить при каких условиях она ничего не выведет.
Ну и системный журнал через journalctl -xe можно посмотреть.
Да вы правы, но мне пока не понятны эти данные. Я вызвал grep -i /var/log/syslog - и мне вылились все ошибки из этого файла.
Назар Мокринский: Я установил фотошоп через playonlinux, a после этого, я грохнул домашнюю папку через rm * , я уже спрашивал Вас об этом. Но это было давно, неделю назад. Ну и создал все папки заново, на рабочем столе был ярлык фотошопа, в логах ошибка об этом ярлыке высвечивается и не только.
Сергей Бурдужа: Попробуйте синхронизацию mailru на паузу поставить, чтобы определить она ли является причиной.
Оказывается что проблема с samba, странно, но я ее не устанавливал. Прочитал документацию и оказывается, что с ее помощью можно получить доступ к windows.
Фотошоп я устанавливал через playnolinux, у меня установлен и wine. Значит, samba где-то здесь просочилась. А если ее удалить проблема разрешиться?
Назар Мокринский: Samba - это программное обеспечение для организации обмена файлами и работы с общими ресурсами между компьютерами под управлением Linux/Unix и операционной системой Windows.
Но у меня же не установлен виндовс рядом с убунту, и мне не нужно получить к нему доступ. Может подразумевается, что доступ нужно получить к wine, то в инструкции указано, что нужно настроить виндовс и линукс, задать пароли, чтобы обмениваться файлами между двумя этими системами. Я когда wine устанавливал, я не сталкивался с такой проблемой.
Судя по тому что в логах пишут, что невозможно подключиться к виндовой папке, значит обмен идет по клиентской стороне.
Я руководствуюсь этой статьей samba
Так как мне решить эту проблему, я не понимаю как все это работает, вы даете ответ маленькими кусочками.
Сергей Бурдужа: Может вы и офисные документы не открываете, но LibreOffice же после установки Ubuntu есть? Вот и Samba клиент/сервер тоже установлены по умолчанию.
К Wine это не имеет никакого отношения.
Я не сталкивался с такой проблемой лично и не знаю что именно у вас происходит, поэтому и не могу выдать вам мгновенно решение вашей проблемы.
Файлы с расширением .EML – это письма из электронной почты, загруженные на ПК или смартфон. Мы подро.
Файлы с расширением .EML – это письма из электронной почты, загруженные на ПК или смартфон. Мы подробно рассмотрим, что представляет собой подобный микроформат, чем открыть файл EML, а также рассмотрим вероятный риск заражения вредоносными программами при необдуманном открытии писем с аббревиатурой EML в конце.
Открываем онлайн
Если не хотите загружать компьютер лишними программами, посмотрите, чем открыть расширение EML в режиме онлайн.
Строго говоря, прямого пути открытия документа EML в режиме реального времени нет. Чтобы просмотреть файл в таком формате, сначала его нужно преобразовать. Делается это на сайте Zamzar.
Дополнительные программы не понадобятся, если открыть файл EML в текстовом документе doc или txt.
- Активируйте Блокнот, вверху жмите «Файл», затем «Открыть».
- Выберите папку, в которой находится нужный файл. В переключателе форматов выберите «Все файлы», нажмите нужный документ и «Открыть».
Общее описание формата EML
Размер EML разработала корпорация Microsoft для экосистемы Windows, а точнее, для почтовых программ Outlook Express и Outlook Microsoft.
Если файл из почты экспортируется для хранения и последующего использования, его стоит просканировать антивирусом (например, Nod). Дело в том, что программа Nimda создает и рассылает вирусные письма. Опасное письмо легко отличить. Обычно внутри находится много папок с невнятными названиями. В этом случае безопаснее удалить письмо, чтобы не “подхватить” вирус.
WhatsApp Sent
WhatsApp Voice Notes
WhatsApp Images
В папке Images содержатся все изображения, фотографии и картинки, отправленные и полученные через WhatsApp. Удалить содержимое папки можно, однако, если не отключить автоматическое сохранение файлов в настройках приложения, со временем папка снова начнет заполняться отправленными изображениями.
Открываем на Android
Для открытия файла в формате EML на смартфоне с платформой Android, понадобится приложение EML Reader FREE.
- Откройте приложение и загрузите файл через папку «Download».
- Письмо откроется в таком виде:
WhatsApp Private
Это приватная папка, которая может находиться в Images, Video и других разделах Media. Если в любом чате мессенджера отключить видимость медиа, то все файлы, которые будут получены через чат, отправятся в папку Private. Ее суть заключается в том, что эти данные не отображаются в галерее и просмотреть их можно только в файловом менеджере. Если в папке WhatsApp Private не содержится ничего важного, ее содержимое можно удалить.
WhatsApp Shared
WhatsApp Backups
Это небольшая папка, которая содержит резервные копии настроек чата и некоторых других данных. Так как она может содержать важные данные и занимает небольшую часть памяти телефона (меньше мегабайта), удалять ее не рекомендуется.
Зачем нужна папка WhatsApp на смартфоне?
В папке WhatsApp на телефоне содержатся все данные, которые пользователь получает через мессенджер. Так как приложение автоматически скачивает все изображения, видеофайлы и документы из чатов, память телефона со временем сильно забивается ненужными картинками и видеороликами. Отключить автоматические скачивание можно в настройках, но если память уже забита, необходимо освобождать ее вручную.
Чтобы очистить память, не рекомендуется удалять папку WhatsApp, так как она содержит важные данные. Необходимо удалять только некоторые подпапки внутри папки WhatsApp. Ниже описаны все папки внутри WhatsApp, а также перечислено, какие данные в них содержатся.
Артефакты WhatsApp в Windows
- ‘C:\Program Files (x86)\WhatsApp\’
- ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
- ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
- мультимедиа-файлы;
- документы, передававшиеся с помощью WhatsApp;
- информацию о контактах владельца аккаунта.
Артефакты WhatsApp в iOS-устройстве
Структура ‘ChatStorage.sqlite’:
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
WhatsApp Calls
У большинства эта папка оказывается пуста или вовсе отсутствует. Однако если воспользоваться сторонним приложением для записи звонков в WhatsApp, в этой папке могут появиться данные о звонке. Удалить ее содержимое можно, но саму папку лучше оставить.
Внимание! Подробная инструкция по очистке WhatsApp и памяти телефона есть на нашем сайте.
Папка WhatsApp Media
В папке Media содержатся все медиафайлы, которые были отправлены или получены с помощью WhatsApp. Разберем подробнее каждую из подпапок в папке Media.
WhatsApp Trash
Эта папка присутствует не всегда, но если она есть, то в ней хранится зашифрованная информация об удаленных из мессенджера файлах. Ее можно удалить, а в случае необходимости WhatsApp создаст ее заново автоматически.
Открываем в Яндекс.почте
Рассказываем, что хранится в папке WhatsApp на телефоне, зачем она нужна, и что можно удалять, чтобы освободить память.
Многие пользователи смартфонов знают, насколько сильно папка WhatsApp может забивать память телефона. Особенно остро это ощущается на мобильных устройствах с небольшим объемом памяти.
WhatsApp Audio
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
-
‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.
Внешний вид таблицы:
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.
Внешний вид таблицы:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
- в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
- во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.
Открываем в Windows 7
Пользователям платформы Windows 7 понадобится утилита Windows Live Mail, которая входит в программный пакет.
- Через «Пуск» войдите в «Панель управления».
- Нажмите «Установка и удаление программ».
- Установка компонентов Windows.
- Поставьте метку «Почта» и нажмите «Установить».
- После завершения установки файлы EML будут открываться через Windows Live.
WhatsApp Documents
В этой папке находятся файлы, отправленные через WhatsApp. К ним могут относиться текстовые документы, презентации, файлы Word, Excel, некоторые .mp3 файлы, установщики программ и другие. Пользователь может удалить содержимое этой папки, чтобы освободить память телефона.
Как и чем открыть файл EML расширения
Формат EML поддерживается большинством почтовых клиентов, поэтому открыть такой файл не составит труда. Понадобится только одна из представленных в нашем списке утилит. Рассказываем, чем открыть формат EML онлайн, в Windows 7 и 10, на смартфоне или планшете с ОС Android, а также в Яндекс.Почте.
Выбирайте, чем открыть EML, исходя из потребности и возможностей.
WhatsApp Animated Gifs/Stickers
В папках находятся отправленные GIF-изображения и стикеры из всех чатов в мессенджере. Удалить содержимое папки можно, однако обычно оно не занимает слишком много памяти на устройстве.
WhatsApp Profile Photos
В ней хранятся изображения профилей собеседников. Если пользователь открывал фотографию чьего-то профиля в полноэкранном режиме, то она может храниться в этой папке.
Открываем в Windows 10
Бесплатная утилита Mozilla Thunderbird подойдет для Windows 10. Программа открывает формат EML, сохраняет адреса и вложения и служит для ведения переписки.
Папка WhatsApp Databases
В ней содержатся резервные копии чатов, которые включают в себя не только сами переписки, но и различные файлы (фотографии, аудиофайлы, видеофайлы и т.д.). В случае, если пользователь захочет восстановить какой-нибудь чат, ему понадобятся данные этой папки. Если же ее удалить, вместе с ней удалятся и все резервные копии, а значит при поломке или потере телефона чаты WhatsApp не получится восстановить. Кроме того, удаление этой папки не освободит много места, так как ее содержимое в совокупности весит всего несколько мегабайт.
WallPaper
Эта папка содержит в себе картинки или фотографии, которые используются в качестве обоев в чате. Например, пользователь выбирает изображение и ставит его на обои, а затем это изображение появляется в папке WallPaper. Содержимое папки можно удалить, обои в чате после этого не исчезнут.
Читайте также: