译文声明

本文是翻译文章,文章原作者SalvationDATA,文章出处:blog.salvationdata.com
原文地点:https://blog.salvationdata.com/2018/02/08/whatsapp-forensics-decryption-of-encrypted-databases-and-extraction-of-deleted-messages-on-non-rooted-android-devices/


一、前言

WhatsApp是全球上最受欢迎的智能手机即时通讯应用之一。现现在,全全球各地每月有超越13亿的用户活泼在WhatsApp上,使用该应用进行免费通讯(2017年7月份的统计数据)。WhatsApp接纳了基于whisper systems的通讯协议,因此即便有人成功拦截通讯数据,这种点对点通讯数据仍旧可以保持安全。显而易见的是,这些通讯数据中大概包含調察职员非常体贴的与案件有关的重要信息,因此如今WhatsApp已经成为移动取证方面最炙手可热的一个范畴。然而众所周知,智能手机的調察取证并没有那么简单。調察职员大概会碰到林林总总的问题(如加密数据库、系统安全机制、消息被删除等等)。因此在本文中,我们会介绍怎样解密WhatsApp的加密数据库、怎样绕过WhatsApp的加密机制以及怎样恢复已删除的WhatsApp消息。


二、怎样解密WhatsApp数据库

与很多智能手机应用一样,WhatsApp会将数据存放在SQLite数据库文件中。对于Android装备上的WhatsApp来说,两个数据库最为重要,一个是msgstore.db,包含聊天记载;一个是wa.db,包含联系人列表。处置这些数据库比较简单,由于WhatsApp具有备份功能,会将数据库备份到SD卡上,无需任何权限(好比root权限)就能访问。然而,安装最新的安全更新后,WhatsApp数据库就会被加密处置,无法再直接分析,给执法調察职员带来极大的挑衅。聊天记载、消息记载以及通话记载使用的是AES-256尺度,而类似照片、视频等媒体文件没有加密处置。而且WhatsApp的加密方法已经从Crypt5、Crypt7、Crypt8更新到了Crypt12。


那么,此时我们该怎么解密WhatsApp数据库呢?最重要的步骤是获取加密密钥(cipher key)。当用户初次进行WhatsApp备份时,就会天生加密密钥,密钥永久不会存储在云端,只会保存在智能手机上,并且每个智能手机对应差别的密钥。因此,为理解密数据库,我们首先必须从创建备份时所使用的那台手机上提取加密密钥。加密密钥的详细路径为: userdata/data/com.whatsapp/files/key


根据SalvationDATA数据取证专家的研究结果,我们研发了一种专门的算法,可以使用这个key文件来解密WhatsApp数据库。我们不久后会宣布这款工具,将其集成到 SmartPhone Forensic System(SPF)中,让不具备任何盘算机编程底子的調察职员可以或许顺遂处置WhatsApp的加密数据库。用户只需导入key文件以及加密的数据库文件,程序就可以主动天生准确的未加密的数据库文件。


三、怎样绕过WhatsApp加密机制

然而,假如不root装备,想要获取key文件并不会一帆风顺。因此,接下来我们讨论下怎样绕过WhatsApp的加密机制。换句话说,怎样在不具备root访问权限的条件下提取WhatsApp数据。

key文件以及未加密的数据库始终存储在WhatsApp目次中。假如調察职员可以打仗这些文件,那么就能察看当前装备上WhatsApp的通讯记载。唯一的问题在于,假如没有root权限,我们无法直接访问这些文件。

在不具备root权限的环境下,有两种方法可以提取WhatsApp数据。

1、系统备份&还原

第一种方法是使用Android系统的备份及还原功能。很多Android手机厂商容许用户使用内置的系统应用创建备份。使用这种方法创建的备份存储在SD卡中,没有经过加密处置。因此,执法部分可以使用这种简单的方法访问WhatsApp的通讯记载。

如下图所示,我们可以使用OPPO智能手机来创建WhatsApp的备份。用户可以在Tools文件夹中找到“Backup Restore”应用,创建新的备份,记得要勾选WhatsApp。


然后,我们就可以在手机的SD卡上找到WhatsApp备份数据。这个备份中包括全部未加密的数据库文件以及WhatsApp的key文件。如今,我们要做的就是使用移动取证工具来分析目的数据库。


2、降级备份

另一种方法就是降级WhatsApp应用,降级到不具备加密机制的那个版本。v.2.11.431版的WhatsApp是没有逼迫使用加密备份的最后一个版本。因此,我们可以在不删除用户数据的条件下将WhatsApp降级到v.2.11.431版,然后使用老版本的WhatsApp创建备份文件,然后提取所需的数据库。

这个過逞需要操作职员具备专业技能,并陪同着永世性丢失数据的风险。因此,我们猛烈提议用户使用专业的取证工具进行版本降级。


四、怎样恢复已删除的WhatsApp消息

如今我们已经知道怎样从智能机中提取WhatsApp数据库文件,接下来看看怎样使用数据库文件,在Android以及iOS装备上恢复已删除的WhatsApp消息。

用户可以通过两种方法来删除WhatsApp的消息。用户可以逐条删除消息,要么使用“clear/delete”聊天按钮一次性删除全部消息。根据我们的测试结果,岂论用户使用哪种方法删除消息,我们都可以使用下面的方法进行恢复。


前面我们提到过,WhatsApp使用SQLite数据库来存储消息。与Android系统差别的是,iOS系统会将WhatsApp相关的全部数据存放在ChatStorage.sqlite这个数据库中。这些数据库文件通常会附带后缀为”-wal”的缓存文件。大多数环境下,这些缓存文件的大小为0,但假如这些缓存文件的大小不为0,那么就大概包含尚未存储在数据库中的重要数据。一旦出现这种环境,我们必须审慎处置,由于假如我们不在意这些缓存文件,那么存放在此中的信息大概就会被覆盖掉,永久无法找回。


根据我们的分析,可以正常访问的WhatsApp消息存储在msgstore.db中,罢了删除的消息存放在msgstore.db-wal中,这个文件正是消息的缓存文件。WhatsApp始终会把消息先存放在缓存文件中,然后再保存到真正的数据库中。

风趣的是,有些时间缓存文件会比数据库文件更大。这是由于一条消息只能以单条记载存放在数据库中,但缓存文件中并没有这种限定。一条消息大概同时存在多条记载。因此,我们有时机能恢复已删除要么已丢失的WhatsApp消息。

然而,为了制止覆盖缓存文件中已有的数据,在准确处置缓存文件之前,我们不能直接打开数据库文件。我们必须先处置缓存文件,匹配特性,然后保存并分析缓存文件中的全部数据。

以“this is a test message”这条消息为例。当用户删除这条消息时,该消息对应的那条记载通常也会从msgstore.db中删除。


然而,msgstore.db-wal缓存文件中大概还保存这条消息的一些记载。“This is a test message”这条消息被删除前后的环境如下图所示。我们可以看到,当该消息被删除后,相关数据仍旧保存在缓存文件中,而且记载的偏移位置也保持稳定。


因此,通过度析并提取msgstore.db-wal缓存文件中的数据,我们给出了恢复已删除或已丢失的WhatsApp消息的一种方法。前面提到的这种方法可以有用并可靠地提取出已删除的WhatsApp数据,也是恢复已删除消息和已清空聊天记载的完美解决方案。

五、总结

根据SalvationDATA数字取证专家的研究结果,我们可以在未Root的Android装备上解密WhatsApp的加密数据库,而且也能在Android以及iOS装备上恢复已删除的WhatsApp消息。提示一下,前面提到的全部技能及解决方案已经要么即将宣布,会合成到SmartPhone Forensic System(SPF)中。盼望本文能进一步帮助DFIR(数字取证与应急相应)社区处置移动装备,收集尽大概多的数字证据。背面我们会为大家提供更多实用的数字取证方案。

安全客 - 有头脑的安全新媒体

安全客征稿啦啦啦啦~干货技能文章尽管投过来,嘉奖丰盛

详情请戳→https://www.anquanke.com/contribute/tips.html

特殊声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并公布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao!, which is a social media platform and only provides information storage services.

whatsapp怎么降级

“ App Store主动将我的应用程序更新为最新版本,但是近来我发现我的电子邮件应用程序不再通知新邮件,怎样撤消应用程序更新并使用旧版本?”

显然,新的并不总是更好; 但是,Google Play和App Store等应用商店并未提供选择特定应用版本或降级的方法。 这是否意味着您无法得到您使用的旧版本?

答案很easy,没有。

我们将在本文中分享怎样撤消iPhone和Android手机上的应用更新。

撤消应用更新

部分1 。 怎样在iPhone上撤消应用更新

Apple已将主动应用更新添加到iOS并默认启用它。 荣幸的是,有一些方法可以撤消iPhone上的应用更新。

与iOS更新一样,降级或撤消应用更新也存在一些风险。 为了制止任何数据丢失,你最好 备份iPhone数据 首先使用iOS数据备份和还原。

iOS数据备份和还原

4,000,000+ 下载

只需单击即可将iPhone数据备份到盘算机。

支持加密备份以安全葆护您的数据。

在iPhone上预览和备份选择性数据。

在iPhone 12/11 / X / 8/7/6/5等装备上工作,支持iOS 14。

方法1:使用Time Machine降级应用程序

假如您有iPhone和Mac电脑,这种方法可以快速撤消应用更新。

重新安装Old iPhone Apps Time Machine

步骤 :在Mac盘算机上运行Time Machine,然后返回应用程序运行精良的日期。

步骤 :转到[用户]->音乐-> iTunes->移动应用程序,搜索要降级的应用程序并将其删除。

步骤 :将旧版本从备份拖放到iTunes我的应用程序部分。 这将代替新的更新。

步骤 :最后,同步你的iPhone,旧的应用程序版本将恢复到您的装备。

方法2:通过iTunes撤消应用更新

实际上,iTunes不但是备份iPhone应用程序的有效工具,也是撤消应用程序更新的简单方法。

重新安装旧的iPhone应用程序iTunes

步骤 :App Store主动更新后,从iPhone上卸载应用程序。

步骤 :接下来,将iPhone插入盘算机。 运行iTunes,单击左上角的“装备”图标。

请记着不要立刻同步您的iPhone。 假如您已在iTunes中启用主动同步,请将其禁用。

步骤 :转到“应用程序”选项卡,然后在iTunes的侧栏上选择“应用程序”。

步骤 :在列表中找到要重新安装的应用,然后点击“安装”按钮。

步骤 :最后,同步您的iOS装备以将旧应用程序恢复到iPhone。

您最好停止App Store主动更新。 不然,它将检测较旧的应用程序并进行更新。 别的,您还可以使用iTunes来帮助 降级你的iOS 轻易。

部分2 。 怎样在Android手机上撤消应用更新

一样平常来说,Android手机上有两种应用程序,即预安装的系统应用程序和第三方应用程序。 撤消应用更新的方法因应用种别而异。

不外,在降级或撤消应用更新之前,请不要忘掉备份Android数据。

Android数据备份和还原是Android手机的文件备份软件。

Android数据备份和还原

4,000,000+ 下载

只需单击一下,即可将Android上的全部数据备份到计

备份联系人,消息,照片,视频,音频等

支持三星Galaxy S10 / S9 / S8 / S7 / S6,华为,HTC等

将选择性数据从Android备份到盘算机。

理解具体步骤 将您的Android手机备份到PC .

方法1:卸载系统应用程序的更新

我们使用Chrome应用作为示例向您展示工作流程。

卸载更新

步骤 :打开您的Android手机,转到设置->应用,然后找到您要卸载最新更新的应用,比方Chrome。

步骤 :点击右上角的三点图标,然后点击卸载更新选项。

步骤 :出现提示时,选择确定以进行确认。 完成此過逞后,系统应用程序将返回旧版本。

方法2:撤消第三方应用的应用更新

不幸的是,Android上没有针对第三方应用的选项。 因此,您必须使用APKMirror撤消应用更新。

降级Android App Facebook Apk

步骤 :从应用程序抽屉运行“设置”应用,然后导航到“应用”屏幕。

步骤 :触摸要降级的应用,然后点按“卸载”按钮。 确认将其从Android手机中删除。

步骤 :接下来,启动您的移动browser并访问APK Mirror网站,该网站是旧版应用程序的数据库。 搜索所需的应用版本,然后将APK文件下载得手机中。

步骤 :转到“设置”->“锁定屏幕和安全性”,并确保启用“未知出处”选项。

步骤 :找到下载的APK文件,打开它,然后根据屏幕上的说明将其安装得手机上。

恭喜! 如今,您可以在Android手机上使用旧版应用。

这种方法不需要植根您的Android手机或分外的工具。 但是,它大概会导致其他问题,比方与新Android系统冲突。

总结

根据上面的分享,您应该把握怎样在iPhone或Android手机上撤消应用更新。 说真话,我们不提议您降级应用程序,由于开发职员公布更新以删除错误。 但是,假如你不嘻歡新版本,有一些方法可以取回旧版本。 对于iPhone用户,您必须使用iTunes完成工作。 对于Android手机,此過逞取决于您的应用种类。 无论怎样,根据我们的分步指南,您可以有用地得到您想要的。

Whatsapp已开始对其盛行的即时通讯应用程序进行新的稳定更新。最新的Whatsapp 2.18.142在Google Play商店中可见,此中包含了几个新功能,但是这些功能已经是从前的Beta版本的一部分。功能“以组管理员身份封闭”和新的“组设置”选项终于可以进入稳定的频道了。

假如您是群组管理员,如今可以从其他参与者中删除管理员权限。在“群组信息”中选择管理员,然后点击“以管理员身份封闭”。

网上论坛管理员如今可以通过转到“网上论坛信息”并点击“!网上论坛设置”来选择谁可以变动网上论坛的主题,图标和说明。

对于那些还没有听说过以管理员身份被开除的人。该功能使用户可以降级其他管理员,而不必将其完全从组中删除。固然,用户必须是管理员才能实行此操作。该组中只有一个成员不会在组中看到此选项。假如您是管理员,而且想使用管理员权限来错过另一个管理员,请取消。然后,您可以通过转到组信息并单击相关职员的信息来降级他们,以察看新选项以管理员身份撤消。

通过此稳定版本初次公布的管理员的另一项!新功能是可以选择谁可以变动组具体信息。可以在“组信息” >>“组设置”下访问新选项。

本文网址: http://www.wtotea.com/doc/20210225132_3616_2935896680/home