Shared папка в ватсапе что это значит
Databases WhatsApp – что это, можно ли удалить
Мессенджер Ватсап любим многими пользователями и до сих пор остается самым популярным в мире. Хоть те же Телеграм и Вайбер набирают аудиторию, они далеко не такие распространенные. Связано это во многом с тем, что WhatsApp появился одним из первых, и вот уже больше 10 лет активно улучшается разработчиками. Но некоторые моменты в нем можно назвать устаревшими, например, странные папки в памяти телефона. В данной статье мы поговорим про папку Databases WhatsApp – что это, можно ли удалить. Разберемся со всем более подробно.
Database WhatsApp – описание, что за папка
После установки мессенджера, система автоматически создает несколько папок для хранения данных своих данных и пользовательских медиафайлов. Это не очень удобно, так как в процессе использование растет и количество временных файлов. Она появляется в корне внутренней памяти или SD-карты. Выглядит примерно так:
Поэтому многие пользователи и спрашивают, что за каталог Databases внутри нее и что будет с работоспособностью мессенджера ее удаления.
Что сохраняется в этой папке, какие файлы и документы
Как мы уже сказали, система в соответствующей папке хранит свои данные и пользовательскую информацию. Конкретно в Databases находятся резервные копии ваших переписок. Их количество доходит до 7 файлов, в названии которых присутствует msgstore и дата создания:
Также стоит отметить, что Databases – не единственная папка из каталога WhatsApp. Также там хранятся следующие объекты:
Как видим, объектов довольно много. И такое количество объясняется автоматическим сохранением медиафайлов после их воспроизведения. Не совсем понятно, зачем разработчики активировали подобный функционал по умолчанию, однако он быстро заполняет внутреннее хранилище смартфона.
Если с этим пока вопросов не возникает, тогда двигаемся дальше.
Можно ли ее удалить с телефона
Однозначный ответ – да, можно. Таким образом вы освободите часть памяти устройства, а также очистите систему от временных файлов и мусора. После определенного эксплуатационного периода, сделать это даже полезно.
Что касается сохранности персональных данных, то не переживайте, если у вас актина функция резервного копирования, то информация останется нетронутой. Это удобно, ведь получить копии данных можно получить с серверов проекта.
Но если вы не настроили резервное копирование, то после стирания этого каталога нельзя переустанавливать приложение в течение 24 часов. Иначе все переписки и другие данные можно потерять. Проверить работоспособность функции резервного копирования можно так:
Теперь приступаем к очистке персональной информации. Для претворения задуманного в жизнь:
В каком случае удаляется папка Database
Теперь вы знаете, что это за папка WhatsApp Databases и что ее можно удалить для очистки места. А вот медиафайлы, хранящиеся в Media, мы все же трогать не рекомендуем из-за специфики работы мессенджера.
Какие еще есть папки
Теперь вкратце пройдемся по другим каталогам, с которыми можно встретиться.
Папка Sent в WhatsApp – что это
Поговорим про то, что такое папка Sent в WhatsApp, для чего она нужна. Если очень вкратце, то это отправленные вами медиафайлы и другие данные. Например, вы поделились с собеседником забавной картинкой, и ее уменьшенная копия сразу же появилась по пути WhatsApp/Media/WhatsApp Image/Sent. Выглядит это примерно так:
Папка Shared
Вкратце упомянем папку Shared в WhatsApp, что это такое и зачем нужно. В ней хранятся те данные, которые вы пересылали другим пользователям из чата в чат с помощью функции «Поделиться».
Это все звучит несколько нелогично, но в мессенджере Вацап довольно устаревшая система хранения данных, и выглядит она именно так, как мы ее описываем.
Mgstore WhatsApp – что это
Файл msgstore в Ватсап – что это? Повторим вопрос из заголовка. Вы можете найти подобный файл в системной папке приложения.
Перед вами резервные копии персональной информации. Поэтому можно оставить эти данные, так как они не занимают много места в памяти устройства.
Завершение
Мы постарались максимально понятно разобраться с WhatsApp Databases, что это за папка такая и для чего она нужна. Если очень упростить, то мессенджер некоторую часть своих данных хранит на устройстве пользователя, в отдельном каталоге. Там можно найти резервные копии чатов, отправленные и полученные файлы, просмотренные видеоролики, аватарки пользователей, на которые вы смотрели, и многое другое.
Чтобы вы не путались, мы вкратце прошлись по отдельным местоположениям и разобрались с ними, а также особое внимание уделили чистки данных Вацапа, чтобы освободить место на смартфоне. Надеемся, что наша статья оказалась для вас полезной.
Приветствую друзья. Смотрите, все проги, что на ПК, что на Андроид — могут создавать папки для своих нужд. И часто зачем эти папки — непонятно, а в описании проги тоже обычно не говорится. И в справке к проге тоже инфы нет. Мы сегодня поговорим про одну папку, которую создает WhatsApp. Я все узнаю и напишу простыми словами, так что поехали разбираться.
Итак, я начал разбираться, что это за папка.. и вот что я смог выяснить:
Вообще как вижу — у некоторых юзеров папка весит много… и ее вроде как можно очистить, я уже не один коммент нахожу, что можно удалить без последствий..
И вот снова комментарий, тоже с 4PDA — чел пишет что чат в последних версиях WhatsApp хранится в этой папке:
Учтите, что эта инфа была написана в 2015-ом году (возможно в актуальной версии уже что-то изменилось):
Эти файлы — незаконченные загрузки вложений. И опять же, как я уже писал — название зашифровано. Например файлы могут появиться при.. отправке файлов кому-то в WhatsApp, либо при приемке, или например была загрузка, а потом произошел сбой — в таком случае такой странный файл может остаться.. и занимать место..
Заключение
Ребята, как мне кажется, главное мы выяснили:
Вот такие дела ребята, надеюсь инфа кому-то была полезна)) Если что, советую обратится на форум 4PDA — там реально много толковых ребят сидит, точно помогут информацией. На этом все, удачи и добра, до новых встреч господа!
Что за папка Shared в WhatsApp?
Shared — папка, в которой сохраняются файлы, которыми вы делились с другими людьми. … Shared могут хранится и те файлы, которые вы скачивали в WhatsApp или которые скачиваются сейчас. Но вообще-то после загрузки файла, он расшифровывается и перемещается в конечную папку.
Как удалить резервные копии из Ватсапа?
Определите интересующее вас сообщение WhatsApp, сделайте длительное прикосновение в нем и нажмите кнопку удалять «скачать» его из памяти. Кроме того, вы можете очистить весь буфер обмена, нажав на Урна для мусора помещается вверху списка.
Где находятся файлы Ватсапа в айфоне?
По умолчанию фото и видео, которые вы получите в WhatsApp, будут автоматически сохранены в папке WhatsApp в разделе Фото на вашем iPhone.
Где хранятся файлы Ватсапа?
На телефонах Android медиафайлы сохраняются автоматически в вашей папке WhatsApp/Медиа. Если у вас есть внутренняя память, папка WhatsApp находится во Внутренней Памяти. Если у вас нет внутренней памяти, папка будет находиться на вашей SD-карте или Внешней SD-карте.
Где хранятся резервные копии WhatsApp?
Копируем локальную резервную копию из хранилища
Локальная резервная копия чатов на Android-смартфоне находится в папке WhatsApp / Databases. Она может лежать в локальной памяти или на SD-карте. Резервная копия называется «msgstore. db.
Как удалить резервную копию WhatsApp с диска?
Выберите нужный вариант:
Как удалить переписку в Ватсап навсегда?
Откройте «Чаты» приложения WhatsApp найдите тот, который вы хотите очистить, и перейдите к нему. Кликните по кнопке меню в виде 3 вертикальных точек, расположенной в правом углу верхней панели. В списке опций выберите «Еще», а затем пункт «Очистить чат». Подтвердите свои действия в окне с запросом, нажав «Очистить».
Как найти загрузки на айфоне?
Как найти скачанные файлы на iPhone?
Самый простой способ просмотреть скачанные файлы – через сам браузер Safari. Для этого нажмите значок менеджера загрузок в правом верхнем углу окна Safari. Он выглядит так же, как на Mac. Здесь вы можете выбрать любой файл из списка, чтобы его открыть.
Где хранятся файлы на айфоне?
Просмотр содержимого папок в iPhone
Где сохраняются звонки в Ватсапе?
WhatsApp, кажется, записывает звонки и сохраняет данные на вашем телефоне с самого начала. Вы заметили тот факт, что в вашей папке WhatsApp (на SD-карте) есть подпапка с названием «WhatsApp Calls». Хотя у каждого есть папка, существующая на их мобильных телефонах, но для большинства из вас папка будет пустой.
Как найти папку Ватсап на Андроиде?
Просто отыщите в ленте папок ту, которая помечена зеленым значком и называется не иначе как WhatsApp. В ней вы увидите папки Media, Backups и Databases, где хранятся все медиаданные, резервные копии и базы данных соответственно. 2 В разделе с медиафайлами вы найдете еще несколько папок.
Можно ли прослушивать разговоры в Ватсапе?
Прослушать разговоры по приложениям типа Viber, WhatsApp и Skype можно, так как каналы, по которым поступает информация, недостаточно защищенные. Есть специальные программы, позволяющие записывать разговоры, ведущиеся по мобильному устройству, а также снять всю пересылаемую информацию.
Как открыть резервную копию WhatsApp на гугл диске?
Нажмите Другие опции >Настройки >Чаты >Резервная копия чатов. Нажмите Резервное копирование на Google Диск и настройте частоту резервного копирования, отличную от Никогда. Выберите аккаунт Google, куда будет сохранена резервная копия ваших чатов.
Как найти резервную копию?
Как находить резервные копии и управлять ими
Как найти резервную копию на Андроиде?
Где хранятся данные вашего устройства
Резервная копия хранится в аккаунте Google One, пока устройство активно и подключено к Интернету. Она будет удалена, если: вы не будете пользоваться устройством в течение 57 дней; вы выключите резервное копирование на устройстве Android.
Что делать, если WhatsApp на Android занимает много места
Содержание
Содержание
Тысячи фоток, голосовых сообщений, гифок — и вот уже WhatsApp занимает половину памяти телефона. Особенно критично, если у вас все свободное пространство забито личными файлами, удалить которые нет возможности. Как почистить память от файлов и хвостов WhatsApp на Android?
Очистка через сам WhatsApp
По умолчанию в WhatsApp активирована автозагрузка всех медиафайлов. Это означает, что картинки, музыка, анимации и многое другое автоматически сохраняются в памяти смартфона. С одной стороны это позволяет получить доступ к контенту даже оффлайн. С другой — масса ненужных файлов засоряют ценное пространство.
Если вам необходимо сохранить нужные файлы перед удалением, перенесите их вручную через проводник на карту памяти. Для этого во внутренней памяти пройдите по пути WhatsApp –> Media. Здесь аудио, документы, картинки, видео и голосовые сообщения будут распределены по отельным папкам с соответствующими названиями на английском. Отметьте нужное и скопируйте на карту памяти.
Как только вся важная информация перенесена, можно приступать к очистке:
1. На главном экране Whatsapp в правой верхней части кликните по изображению с тремя точками. Выберите раздел «Настройки».
2. Перейдите в пункт меню «Данные и хранилище». Далее — в подпункт «Хранилище». Здесь же вы можете посмотреть, сколько всего занимают данные приложения.
3. В списке вы увидите всех пользователей, с которыми когда-либо переписывались. Интерфейс позволяет удалить данные для каждого отдельного контакта. Для этого кликните по нему и нажмите в нижней части кнопку «Освободить место». Далее можно выбрать, что конкретно будет удалено и сколько памяти занимает каждая категория.
4. Таким образом, вы можете стереть все медиафайлы, но при этом оставить переписку с конкретным человеком. Остается только подтвердить действия.
Все ранее сохраненные файлы будут полностью удалены из памяти, поэтому в папке WhatsApp на системной памяти вы их не найдете. Этот способ поможет очистить память от лишнего мусора.
Радикальная чистка содержимого
Если у вас сотни контактов, а проводить для каждого чистку ручным способом нет времени и желания, можно удалить все данные через меню приложений на вашем смартфоне. Недостаток этого метода – он удаляет и всю информацию об аккаунте. Вам придется заново подтверждать номер, придумывать имя, ставить аватарку и так далее. Если для вас это не проблема, то проделайте несколько простых действий:
1. Зайдите в настройки телефона и найдите раздел «Все приложения» или аналогичный.
2. В списке выберите WhatsApp и кликните на «Очистить» или «Удалить данные» в зависимости от версии Android.
3. Подтвердите удаление.
Помните, что этот метод полностью откатывает приложение, поэтому авторизацию придется проходить заново.
Избавляемся от проблемы раз и навсегда
Если не хотите регулярно чистить память смартфона от различного медиаконтента, сохраненного в WhatsApp, то просто отключите автоматическую загрузку. Сделать это также можно через стандартный интерфейс приложения:
1. Перейдите в настройки приложения через иконку троеточия и зайдите в раздел «Данные и хранилище».
2. В блоке «Автозагрузка» отключите подгрузку файлов через мобильную сеть, Wi-Fi и роуминг. Для этого в каждом пункте нужно убрать все галочки, как это показано на изображении ниже.
После этого WhatsApp не будет сохранять в память телефона аудио, фото, видео и документы. Однако переписку придется удалять самостоятельно, если она начнет занимать слишком много места.
Обратите внимание, что перенаправить сохранение контента на карту памяти невозможно. Разработчики заявляют, что проблема в ограничениях ОС Android, поэтому всегда по умолчанию папки с медиа от WhatsApp будут создаваться на встроенной памяти гаджета. Вы можете либо чистить их, либо полностью отключить подгрузку файлов.
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.