Klbackupdepository dat что за файл
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Как сделать, чтобы папка не наполнялась
Удалив содержимое папки .thumbnails всего раз, хозяин смартфона почти всегда приятно удивляется освобожденному объему памяти. Обычно он составляет от 500 Мб до 1 Гб. У одних больше, у других меньше. Все зависит от вашей любви к фотографиям и картинкам.
Но ведь потом эта папка снова наполняется эскизами изображений, постепенно заполняя память по второму кругу. Этого можно избежать. Нужно подсоединить смартфон к компьютеру и проделать следующие действия:
- Полностью удаляем из смартфона папку .thumbnails (не только содержимое, а саму папку).
- Создаем на компьютере текстовый файл, называем его .thumbnails.
- Переносим созданный файл в папку DCIM.
Файл можно создавать и прямо в смартфоне.
Этими простыми действиями вы сумеете заблокировать смартфону возможность создания новой директивы с таким же названием, поскольку двух файлов с одинаковым названием в устройстве быть не может.
С помощью этих простых действий вы сможете надолго избавить себя от постоянных требований смартфона освободить часть памяти для его нормальной работы.
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
- ‘C:\Applications\WhatsApp.app\’
- ‘C:\Applications\._WhatsApp.app\’
- ‘C:\Users\%User profile%\Library\Preferences\’
- ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
- ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
- ‘C:\Users\%User profile%\Library\Application Scripts\’
- ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
- ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
- ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
- ‘C:\Users\%User profile%\ Library\ Mobile Documents\ WhatsApp\ Accounts’
В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
В этом каталоге содержится информация об инсталляции программы. - ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp. - ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных. - ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
В этом каталоге находится несколько подкаталогов:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
- Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
- Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.
В следующих статьях этой серии:
Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения.
Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ.
Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
О работе с резервными копиями написано много статей. Казалось бы, основные принципы бэкапа не меняются уже много лет, но всё дело в деталях этого процесса. На практике даже у опытных админов встречаются ошибки, которые они считают «не багом, а фичей» и продолжают повторять.
В айтишном фольклоре есть хорошая поговорка: «Админы делятся на тех, кто не делает бэкапы, и тех, кто уже делает». Однако сегодня компания любого профиля активно использует десятки программ и онлайновых служб, поэтому просто создавать резервные копии уже недостаточно. Длительная недоступность общей базы, привычных средств связи и клиентских сервисов может привести к нарушению работы всей системы корпоративных коммуникаций и большим убыткам.
В этой статье мы рассмотрим типичные ошибки при создании резервных копий и способы свести вероятность их появления к минимуму.
Таинственная папка, скрытая от всех
Папка, о которой идет речь, никогда не попадется вам на глаза. Дело в том, что разработчики программного обеспечения всегда стараются скрыть ее, поскольку не относят к числу важных. Эта папка имеет название .thumbnails.
4. Отсутствие контроля за свободным местом для бэкапа
Эта проблема особенно характерна для ручного создания резервных копий. По мере роста объёма исходных данных для их полного бэкапа требуется всё больше места. В какой-то момент следующая копия не умещается в оставшийся объём, и длительный процесс её создания завершается с ошибкой. Часто такая ситуация вызывает целый каскад новых ошибок. Например, для увеличения свободного места админ может удалить один из прежних бэкапов и по ошибке выбрать не тот. Во избежание подобных ситуаций, в Acronis Backup (Advanced) можно создавать планы резервного копирования и указывать время жизни каждого бэкапа. Старые будут автоматически удаляться после того, как потеряют актуальность.
Где ее найти
Чтобы отыскать папку .thumbnails, придется немного порыться в материалах, хранящихся в смартфоне. В устройствах, работающих на операционной системе Android, она, как правило, хранится в папке DCIM (в галерее, где находятся все фотографии, снятые на камеру вашего смартфона).
Порядок действий следующий:
- Заходим в галерею.
- Находим папку DCIM и открываем ее.
- Находим папку .thumbnails и открываем ее.
- Выделяем все файлы, хранящиеся в ней.
- Нажимаем "Удалить".
- Подтверждаем действие.
Возможен и другой вариант действий:
- Заходим в "Проводник".
- Выбираем папку "Локальные файлы".
- Листаем почти в самый низ и находим папку .thumbnails, а затем открываем ее.
- Выделяем все файлы, хранящиеся в ней.
- Нажимаем "Удалить".
- Подтверждаем действие.
Папка .thumbnails - это место, в котором хранятся эскизы всех фотографий и скриншотов. Нужны они для того, чтобы в тот момент, когда открывается галерея, картинки быстрее подгружались, но никакой глобальной пользы от содержимого .thumbnails нет. Да, каждый эскиз имеет размер всего несколько килобайт, но в сумме они занимают приличный объем памяти устройства.
3. Перезапись существующих данных при восстановлении из повреждённого бэкапа
Бэкапы записываются блоками. Если контрольные суммы этих блоков совпадают, то резервная копия считается созданной успешно. При этом сами данные в бэкапе не проверяются. Они могут изначально считываться повреждёнными и сохранятся в таком виде. При попытке восстановления из бэкапа происходит перезапись оригинальных файлов, что усугубляет проблему. Исходные файлы больше не восстановить, поскольку новые имеют те же самые имена и оказались повреждены. Поэтому есть смысл делать промежуточный бэкап уже после сбоя и до начала процедуры восстановления из резервной копии. Так сохраняется возможность откатится и при необходимости выполнить частичное восстановление файлов из разных бэкапов.
Формат DAT – что это
При работе приложения используют разнообразные данные. Для записи информации, создаются документы со своеобразной структурой и расширением – DAT. Название – сокращение слова data – в переводе с английского данные. Имя указывает на то, что внутри:
- изображение;
- текстовая или двоичная информация;
- данные для видеофайлов;
- аудиозапись;
- записи пользователей в компьютерных играх или сохраненные фрагменты уровня;
- базы данных;
- служебная информация операционной системы.
Этот формат применен в отдельных служебных файлах в ОС Windows, в программах Yahoo! Instant Messenger и других. Создать и обращаться к этому типу файлов могут десятки программ. Это универсальный хранитель информации, который используется приложениями. Для запуска файла вручную пользователю потребуется выбрать утилиту, которая сможет распознать и открыть документ. Выходит замкнутый круг – не зная, что внутри сложно подобрать ПО, для запуска, а узнать содержимое, без нужного софта не выходит.
Перечень основных программ, которые записывают или используют в работе DAT файлы:
-
– ряд утилит, разработанных Microsoft, для создания консольных приложений с графическим интерфейсом. – офисный пакет программ для работы с текстами. – мультимедийный проигрыватель аудио и видеофайлов. – универсальный проигрыватель для мультимедийных файлов и потоковых передач с большим количеством стандартов. – утилита для восстановления поврежденной и стертой информации. – программа для восстановления удаленных файлов. – приложения для анализа и обработки растров.
И это далеко не полный перечень. Просмотреть информацию можно в текстовом редакторе (например, стандартный блокнот Notepad). Понятный пользователю результат получится, если содержимое текстовое. В других случаях служебные символы будут малоинформативными.
Применение формата
Существует 11 видов DAT файлов. Это ресурсные файлы в играх, для записи видео и аудиоинформации, служебных данных ОС, пользовательского реестра, паролей, настроек, истории посещений страниц в браузере, базы данных, другие.
- Data File – текстовый файл. Как вариант – к нему обращается стандартная офисная программа Microsoft Word.
- Winmail.dat – применяются для электронной почты, мессенджеров, чатов: Skype, Microsoft Outlook и других. Хранят расширенный вариант форматирования текста.
- VCD Video File – документы видеоплейеров.
- Wand.dat – сохраняют логины и пароли доступов.
- Inno Setup Uninstaller Data File – участвует в удалении программы из памяти устройства.
- Piriform Dat File – записывает параметры работы программы.
- Porteus Save Container File – разработан для ОС Linux, хранит историю посещений браузера, сохранные страницы.
- Minecraft Data File – применяется в игре Minecraft для записи игровой информации.
Какие из всего сказанного выше можно сделать выводы?
Самые распространённые ошибки бэкапа возникают под влиянием человеческого фактора. Поэтому современные программы для резервного копирования развиваются по пути всё более глубокой автоматизации рутинных действий. Они учитывают особенности современных практических задач и позволяют свести вероятность ошибки к минимуму. Более подробно выводы я сформулирую в своей следующей статье.
Решил ручками постичтить винду и тут вижу вот это:
Пробовал найти через Autoruns-ом и Process Hacker-ом = нет файла, как-будто его и не существует вообще.
Через безопасном режиме - ничего, через unlocker - не удаляет, переименовывает и вообще ничего(даже после перезагрузки не удаляет.).
Вирус тотал и защинтик вообще ничего не говорят. Файл как файл - всё пучком!
Я так понимаю сносить винду и не париться, но всё таки может есть решение или как вариант если он не грузит систему - оставить?
Зачем? Если файл не удаляется, значит он используется. DAT - это ни какой формат. Просто бинарные данные. KMPlayer тут вообще ни при чем
1. Ну потому что у него тип KMPlayer64.dat и после каждого старта ставится дата старта системы.
2. Тем более зачем ему такие права, если даже сама система не ставит такие права? На все группы и пользователей стоит полный доступ!!
И вот я установил KMPlayer, ну и чудо.
Теперь он просто и легко удалился унлокером. Осталось тока с BCUninstaller почистить в ноль.
Иззя Котов, KMPlayer просто установил расширение для себя, т.к. на некоторых дисках DVD есть видео такого формата.
А это системный файл. Используется ОС. И ты естественно не сможешь его удалить.
Иззя Котов, у файла нет ни каких прав. Здесь указаны права пользователей, которые имею доступ к файлу.
Потому что каждый старт системы он пересоздается или перезаписывается и используется во время работы ОС.
Иззя Котов, зачем тебе вообще трогать этот файл? Это системный файл. И очевидно связанный с загрузкой системы. НЕ ЛЕЗЬТЕ В ПАПКУ WINDOWS ВООБЩЕ НИКОГДА. С вашими знаниями ОС там делать совершенно нечего
Иззя Котов, и чистить в C:\Windows ничего не нужно. Там всё работает как нужно без ваших манипуляций. Тут скорее ваши манипуляции испортят всё.
KMPlayer просто установил расширение для себя, т.к. на некоторых дисках DVD есть видео такого формата.
Смешно, не знал что оказывается чтение/запись им больше не нужна а нужны полные права. Даже сам System не имеет такие права как этот bootstat.dat
Я бы посмотрел, как вы работали без антивируса и чистили заражённую систему коорпорации, где вам дано тока устранить вирувс. И посмотрел бы когда нашли странный сет в ДЗ и будете чистить вирус. Вы глупы и малы для этого.
Потому что каждый старт системы он пересоздается или перезаписывается и используется во время работы ОС.
Удалив файл вы вообще ничего не измените. Он успешно будет создан повторно после перезагрузки.
Файл Windows\boot\bootstat.dat, размещенный на отдельном разделе System Reserved, используется только модулями стадий загрузки (bootmgr/winload) и служит для передачи сведений о состоянии между различными фазами загрузки. Файл Windows\bootstat.dat используется другими компонентами операционной системы на различных этапах загрузки/завершения.
Идите учите основы, он может быть легко заражён - после удаление появился bootstat.dat нормальный с весом 120кб, ну и спокойной система работает и я Вам спокойно отвечаю.
Смешно, не знал что оказывается чтение/запись им больше не нужна а нужны полные права. Даже сам System не имеет такие права как этот bootstat.dat
Hemul GM, хорошо так он выдал себе.
Вот это тоже он хорошо выдал себе:
Вот такие должны быть права при само задания файла
Иззя Котов, о, нееет, моя система тоже заражена.
Слушайте, уважаемый. Вы не понимаете что несёте. Вы не понимаете что такое "права". Вирусы наоборот права снимают, чтоб у пользователя не было ПРАВ удалить файл, а не выдают их.
Хорошо, пусть будет по вашему. Только у вас на скрине Чтение и выполнение/Чтение а у меня был целый букет
Иззя Котов, наличие прав у файла даёт вам права на удаление/изменение файла, а не запрещает его удаление. И НИ КАК НЕ ВЛИЯЕТ НА ВОЗМОЖНОСТИ ФАЙЛА. У ФАЙЛА НЕТ ВОЗМОЖНОСТЕЙ.
Hemul GM, не все файлы можно удалить, когда есть у юзера есть все права. Вы сами попробуйте удалить штатными возможностями винды, особенно bootstat.dat
Иззя Котов, ОН ИСПОЛЬЗУЕТСЯ ПРОЦЕССОМ. Системным, в данном случае, процессом, госпади. Используемый файл НЕЛЬЗЯ удалить. Нужно закрыть дескриптор файла в процессе. В системном процессе это нельзя и НЕ НАДО делать. Госпади.
Hemul GM, да ладно? Знаю я это. Не надо основы из шараги мне рассказывать. Боже, как с вами тяжко, решил уже немного потролли за неуточнений, извиняюсь. Но всё таки, почему ваша версия системы выдала такие права, а у меня после удаления и перезагрузки такие? Что за сборка и откуда качали?
Файлы с расширением DAT – стандартные и часто встречающиеся файлы данных. В них хранится информация.
Файлы с расширением DAT – стандартные и часто встречающиеся файлы данных. В них хранится информация в двоичном или текстовом виде. При необходимости открыть или отредактировать такой файл вручную потребуется подходящая программа. Рассмотрим вопрос подробней.
Часто используемое расширение файла – DAT. На него указывают три-четыре символа в конце названия файла, по которому судят что это за файл и каким приложением создан. Файлы с окончанием DAT встречаются в десятках программ для записи данных. Чем открыть файл DAT, какие утилиты использовать – рассмотрим подробней.
2. Сохранение бэкапов без их проверки
Наличие резервной копии ещё не гарантирует возможность восстановления из неё.
Процедура создания бэкапов обычно длится долго, и админы не хотят тратить дополнительное время на их проверку. Пренебрежение валидацией резервных копий часто приводит к тому, что последний бэкап по какой-то причине оказывается повреждённым. Тогда показатель RPO ухудшается вдвое, поскольку приходится использовать предыдущий (более старый) бэкап, и хорошо, если он вообще есть.
Поэтому в Acronis Backup (Advanced) проверка резервной копии файлов может выполняться автоматически после создания каждого бэкапа или запускаться по расписанию. Во время проверки имитируется процедура восстановления всех файлов из резервной копии в фиктивную папку. При проверке бэкапа всего диска или тома вычисляется контрольная сумма для каждого блока данных, сохраненного в резервной копии.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
-
‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.
Внешний вид таблицы:
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.
Внешний вид таблицы:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
- в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
- во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.
Открываем DAT на компьютере
Вопрос – формат DAT чем открыть, будет легко решить, если знать, что именно внутри, и какой утилитой он создан. Чтобы не гадать, а с уверенностью знать это, можно воспользоваться специальными программами:
File Type Verificator – запустив ее, нужный файл добавляется в анализатор, который и покажет подробную информацию. Отображаются данные о содержимом и подбираются программы, при помощи которых файл запустится. Тестовый и графический контент будет виден в окне предварительного просмотра. Если показать его не получается, то окно будет пустым. Достоинства программы – простота, русскоязычный интерфейс и бесплатная установка.
Win Hex – шестнадцатеричный редактор для Microsoft Windows с большим набором инструментов и функций. Позволяет проверить и отредактировать документы.
Подбирается программа и по расположению файла. Так, если он находится в папке Adobe, то сгенерирован и запускается приложением Adobe. Файл в системной папке ОС носит служебный характер и нужен для корректной работы основных программ. Редактировать такой файл нежелательно, это может вызвать сбой в операционной системе или работе приложений.
Файл DAT как открыть формат, если нужная утилита известна? С задачей справится даже начинающий пользователь. При запуске файла, правой кнопкой мыши выбираем пункт «Открыть с помощью». Подбираем программу из установленных на компьютере, запускаем ее. Файл будет успешно открыт. В 99% случаях, все будет даже проще – у DAT файлов нет значка, поэтому при попытке открыть, операционная система сама предложит пользователю выбирать программу из доступных.
В ОС Windows подойдут программы:
- Foxit Reader – софт для просмотра текстовых данных.
- WinDjView – позволяет открывать и редактировать файлы.
- Word – для работы с текстовыми документами.
- Winmail Opener.
- Microsoft Outlook.
- WinMail Decoder Pro - понятная и бесплатная утилита для текстовых форматов.
- WMDecode.
- CyberLink PowerDirector – программа для работы с видео.
- River Past Video Cleaner – видеоконвертер.
- VCDGear.
- Corel WordPerfect и другие.
Перечень далеко не полный. Подводя итоги: в операционных системах Windows и Mac OS открыть DAT файлы помогут приложения, которые его сгенерировали или стандартные, входящие в пакет системных программ текстовые редакторы (Notepad++ для Windows, TextEdit, BBEdit для Mac OS и другие).
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
-
‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.
Внешний вид таблицы:
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.
Внешний вид таблицы:
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
- Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
- Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
- в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
- во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.
Открыть файл DAT на Android
Чем открыть расширение DAT на ОС Android – распространенный вопрос в сети. Ресурсов у смартфонов меньше, чем у компьютеров, да и перечень утилит не так широк. Однако задача решаемая. File Viewer – это универсальный просмотрщик файлов, который поддерживает 100 типов форматов, позволяя открыть и редактировать содержимое.
Файл winmail.dat – как открыть его на смартфоне? Решение есть. Софт для доступа ко вложению – Winmail.dat Opener. Понятный интерфейс, большой выбор функций, устанавливается бесплатно (с рекламным сопровождением) или покупается платная копия.
Для устройств на Apple iOS пробуем утилиты Kupon.BG Klammer.
5. Удаление предыдущей копии бэкапа до того, как будет создана новая
Для надёжности в каждый момент времени рекомендуется иметь хотя бы две полных резервных копии. При ручной очистке хранилища бэкапов есть риск, что админ случайно удалит самый новый вместо самого старого, сотрёт частичные бэкапы и нарушит схему дифференциального или инкрементного копирования. Если сбой произойдёт в тот момент, когда последний бэкап уже удалён для освобождения места, а новый ещё не создан, то параметр RPO ухудшится как минимум втрое. Придётся делать откат на более старую копию и мириться с потерей всего, что было создано за последнее время.
Открываем файлы
Потребуется приложение, создавшее файл. Если оно неизвестно, то выполняется подбор подходящего или используется текстовый редактор. Внимание обращают на размер файла. Если до 5 МБ, то, вероятно, внутри будет текстовое содержимое. Это простой вариант, и расшифровка не потребуется. При размерах от 5 МБ, но до 15 МБ – файл содержит аудиозапись. Размер в десятки и сотни мегабайт указывает на видеоконтент. Для просмотра потребуется видеоредактор. Разберем варианты, чем открыть DAT.
1. Создание бэкапов вручную
Этот метод широко использовался в девяностых и соответствовал задачам своего времени. Суть его проста: админ делает бэкап когда сможет, стараясь по возможности придерживаться намеченного графика. Все или почти все задачи резервного копирования при этом производятся вручную. Сначала подключается хранилище бэкапов или проверяется его доступность по сети. Затем запускается программа для создания резервных копий. В ней задаются нужные каталоги на источнике и параметры операции. Продвинутые админы используют частичную автоматизацию (шаблоны, скрипты, пакетные файлы), но даже с ними многое требуется выполнять и контролировать вручную.
Сегодня практика ручного создания бэкапов приводит к низкой надёжности системы резервного копирования. Один из её ключевых показателей – RPO (Recovery Point Objective), становится недопустимо высоким. Он отображает период, за который может произойти невосстановимая потеря данных. Со времени последнего бэкапа до возникновения сбоя оказываются утрачены самые новые и актуальные для текущей работы файлы. Единственный способ снизить потери – делать бэкапы чаще (несколько раз в день), но создавать их так часто вручную просто невозможно.
Артефакты WhatsApp в Windows
- ‘C:\Program Files (x86)\WhatsApp\’
- ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
- ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
- мультимедиа-файлы;
- документы, передававшиеся с помощью WhatsApp;
- информацию о контактах владельца аккаунта.
Возможные сложности
Если файл DAT формата не открывается, то это не означает, что неправильно подобран софт. Перечень возможных причин:
- Файл поврежден или не скачан на 100%.
- Заражен вирусом.
- Недостаточно памяти.
- Драйверы устарели.
В таких случаях пробуем открыть онлайн или на другом компьютере, установить новый патч программы, провести антивирусное сканирование. Последняя мера – обратиться к эксперту, который установит точную причину проблем с открытием файла.
Ваш смартфон постоянно требует новую порцию памяти, но удалять уже нечего? Выход есть! Ищите скрытую папку, где хранится все то, что вам точно не нужно, но занимает много памяти. В статье рассказывается, где найти папку, как ее очистить и удалить.
Артефакты WhatsApp в iOS-устройстве
Структура ‘ChatStorage.sqlite’:
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Онлайн-решения
Чтобы открыть файл DAT онлайн, пригодятся следующие программы:
Есть и онлайн-конвертеры – CoolUtils и другие. Они конвертируют документ с расширением DAT в файл форматов PDF, XLSX, XML, Doc, HTML, JPG, PNG, TIFF для работы с ними (чтения, внесения изменений). Все, что требуется – соединение с сетью интернет.
Читайте также: