Wallpaper backup что это
com.android.backupconfirm что это такое?
Привет ребята 
Любители Андроида! Наверно вы изучаете свой смартфон на предмет левых приложений, а может быть вы его недавно купили и думаете, ЧТО ЭТО В НЕГО УЖЕ ПОНАПИХИВАЛИ? Ну ребята, это нормально, в новеньких смартфонах часто есть фирменный софт. Он есть даже в ноутбуках. Производители его ставят для того чтобы сделать устройство более функциональным. Но на практике, увы, многих юзеров такой фирменный софт только раздражает.. 
Так, стоп мобильный! Я должен написать о том что такое com.android.backupconfirm, верно? Ну так чего не пишу? А ну ка взял и написал йокарный бабай! Давайте сначала разберем название com.android.backupconfirm, тут есть слово com, это не знаю что, потом идет слово android, ну это понятно, операционка, а потом идет такое слово как backupconfirm, что это означает? На самом деле тут два слова, это backup и confirm, первое слово означает бэкап, ну то есть резервная копия данных. Второе слово confirm означает подтверждение. Делаем вывод, что com.android.backupconfirm это приложение которое отвечает за вывод подтверждения при запуске процесса создания резервное копии данных, логично? 
Но можно ли удалить com.android.backupconfirm? Хм, полазив в интернете, понял, что в принципе можно. Никакой критически важной функции это приложение не выполняет..
Вот один чел пишет что он удалил это приложение у себя:
Нашел инфу, что com.android.backupconfirm это BackupRestoreConfirmation и что запрос выдается не только при запуске процесса резервирования данных, но и когда происходит восстановление данных. Как я понял, без положительного ответа на запрос, процесс не будет начат
Вот подтверждение тому, что com.android.backupconfirm это исключительно системная программа (SYSTEM):
На другом сайте написано, что удалять BackupRestoreConfirmation не нужно. Ну тут такое дело, одно дело что пишут, другое дело практика. Как я понял, некоторые юзеры удалили BackupRestoreConfirmation и приколов не было. Но если подумать логически, то таки да, никакой ОСОБО важной функции BackupRestoreConfirmation не выполняет. Тут может быть другой косяк, это то, что BackupRestoreConfirmation может быть ВШИТО в систему Андроид и от данного системного приложения зависит стабильная работа операционки в целом, это мое мнение… 
Кстати ребята, я не нашел инфы, чтобы данное приложение грузило процессор или же активно потребляло батарейку, так что в этом плане все хорошо…
Еще нашел информацию, что BackupRestoreConfirmation можно удалить, но вот пишется, что для этого могут понадобится root-права. То есть типа полного доступа. Если вы знаете что такое root-права, то вопросов нет, можете попробовать удалить. Если вы не знаете что такое root-права, то я не советую вам экспериментировать.
Также я узнал, что вообще-то можно сделать и бэкап системы перед удалением, для этого вы можете например использовать CWM Recovery. Настоятельно советую вам не игнорировать бэкап, а узнать как это делается и сделать его.. 
Блин, так что, удалять BackupRestoreConfirmation/com.android.backupconfirm или нет? Итак, напишу чисто свое мнение. Это системный компонент. Не особо важен. Но так как это именно СИСТЕМНЫЙ компонент, то после удаления могут быть приколы с самой системой. Это мой вывод, больше сказать нечего
Все ребята, на этом все, надеюсь что вам тут все было понятно, если что-то не так то СОРРИ. Удачи вам, пока 
Comments
не все критерии рассмотрены. У приложения есть неограниченный доступ в интернет, причем в режиме тихушника (фоновый режим). Обнаружила сие чудо просматривая трафик…. за 10 дней приложение съело 890 мб мобильного интернета. Многовато для проги которая занимается хз чем…
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Какие приложения можно смело удалить со своего новенького смартфона?
Покупая новый смартфон на Android, пользователь зачастую сталкивается с огромным множеством непонятных ему приложений, предустановленных производителем. Зачем они нужны? Нужны ли они вообще? Можно ли их удалить и не повлияет ли это на работу смартфона?
Некоторые производители запрещают удалять приложения, идущие «в комплекте» со смартфоном. К примеру, на смартфонах Xiaomi этого сделать нельзя (необходимо получать root-доступ, что не так просто сделать рядовому пользователю). Другие производители (например, Samsung или Huawei) позволяют лишь отключить ненужные стандартные приложения, не удаляя их полностью.
Как удалить приложение на Android?
Прежде чем мы перейдем к сути вопроса, вспомним, как удалять приложения на Android-смартфоне. На некоторых смартфонах достаточно нажать пальцем на иконку приложения и подержать пару секунд. В появившемся меню выбрать пункт Удалить или Отключить:
Но, в большинстве случаев, для удаления приложения необходимо зайти в Настройки смартфона, там выбрать пункт Приложения. После выбора нужного приложения, открываем его и нажимаем Удалить (или Выключить). В зависимости от марки смартфона, все может выглядеть немного по-другому, но, принцип тот же:
Список приложений, которые следует сразу удалить
Сегодня мы рассмотрим наиболее часто встречающиеся предустановленные приложения, которые можно смело удалять со своего новенького смартфона, не только освободив дополнительную память, но и увеличив тем самым время работы смартфона (так как лишние приложения могут работать в фоне и тратить заряд аккумулятора впустую).
Итак, проверьте, не встречаются ли у вас приложения из нашего списка:
Диск
Это облачное хранилище от Google. Приложение позволяет вам хранить некоторые файлы\документы на сервере Google, чтобы получить доступ к этим данным с любого смартфона или даже через браузер компьютера. Если вы не пользуетесь облачным хранилищем — смело удаляйте\отключайте это приложение.
Защищенная папка
Приложение от Samsung, позволяющее скрывать различные файлы или даже приложения от посторонних людей. Достать что-либо из этой папки можно только по паролю\отпечатку пальца. Если вы не работаете на спец.службы, с этим приложением можно расстаться.
Google Карты
Если вы не пользуетесь навигацией на своем смартфоне, тогда лучше это приложение сразу удалить. Помимо навигации данное приложение довольно активно разряжает аккумулятор смартфона, так как, во-первых, все время следит за вашим перемещением и сохраняет историю мест, где вы бывали ежедневно (довольно забавная функция, позволяющая «отмотать время назад» и узнать, где и в какой момент времени вы были определенного числа). А во-вторых, данное приложение постоянно следит за ситуацией на дорогах, чтобы предупреждать вас о пробках.
За лаконичным названием скрывается Google-ассистент (аналог Siri от Apple). Данный сервис обычно запускается на любом Android-смартфоне долгим нажатием кнопки Домой. Если вам не охота общаться с виртуальными ассистентами или попросту не интересна та информация, которую они предоставляют — удаляйте это приложение!
Словарь
Также встречается часто на смартфорнах Samsung. Данное приложение является, как не сложно догадаться по названию, словарем. Принцип работы следующий: вы скачиваете нужные вам словари, затем выделяя любой текст, помимо команд Копировать\Вставить\Выделить, у вас появится команда Словарь, выбрав которую, выделенное слово\текст будет переведено во всплывающем окошке. Если эта функция вам не нужна — удаляйте приложение.
Briefing
Довольно бесполезное для большинства людей приложение, которое, к тому же, расходует заряд аккумулятора. Это специальный новостной рабочий стол. Его можно открыть, сделав свайп вправо на основном экране с иконками (далеко не на всех смартфонах). Если вы не используете это приложение для чтения новостей — удаляйте! Тем более, есть гораздо более удобные приложения и способы получения новостей.
Этому приложению можно смело дать звание самого бесполезного приложения от Google. Конечно, сама идея (осуществление видео-звонков) отличная, вот только никто этим приложением не пользуется, так как есть гораздо более популярные аналоги: Skype, Viber, WhatsApp или Facebook Messanger. Смело удаляйте!
Wear
У вас есть смартчасы или фитнес-браслет от Samsung? Если нет — удаляйте это приложение, так как оно используется только для подключения к смартфону носимых устройств от Samsung.
Gmail
Это почтовый клиент от Google. И здесь не все так просто, как может показаться на первый взгляд. Дело в том, что практически каждый производитель смартфонов предоставляет свое собственное приложение для работы с почтой, а компания Google пытается всех удержать на своем клиенте. В результате, на подавляющем большинстве смартфонов установлены и работают две почтовые программы, каждая из которых отдельно расходует заряд аккумулятора, проверяя почту в фоновом режиме. Поэтому, оставьте одно приложение (от производителя смартфона, либо от Google), а второе обязательно удалите. Если почтой не пользуетесь — удаляйте сразу оба приложения.
Google Фото
Это приложение обязательно следует удалить только если оно вам действительно не нужно. Благодаря ему все фото и видео с вашего смартфона выгружаются в облако (на сервера) Google и хранятся там неограниченное количество времени. Удобство здесь очевидное. Сменили\потеряли смартфон или произошел какой-то сбой — всё это никак не повлияет на сохранность фото, они будут доступны всегда через интернет или с другого смартфона (по вашему паролю). Если вам действительно не нужна эта функция, тогда обязательно удалите приложение, так как оно относительно сильно расходует заряд аккумулятора.
Google Музыка
Очень удобное приложение для прослушивания музыки. Проблема состоит лишь в том, что нужно оплачивать его ежемесячную подписку. А если вы не слушаете музыку по подписке, смысла в этом приложении нет никакого, ведь для прослушивания своих mp3 есть множество более удобных и функциональных аналогов.
Google Фильмы
Мягко говоря, не самая популярная соцсеть в русскоязычном мире во многом благодаря узкой «специализации» — поиска и установления деловых контактов. Если вы там не зарегистрированы, смело удаляйте это приложение.
OneDrive
Чуть выше мы рассматривали приложение Google Диск. OneDrive является его аналогом от Microsoft с одним преимуществом — это приложение уже установлено на каждом Windows-ноутбуке. Но, если вам не интересно хранить файлы на серверах Microsoft — удаляйте его (более того, подобные приложения постоянно работают в фоне, чтобы синхронизировать любые изменения).
PowerPoint
Когда в последний раз вы создавали или просматривали на своем смартфоне PowerPoint-презентацию? Смело удаляйте это приложение, если оно было установлено на вашем смартфоне из магазина.
Smart Switch
Приложение от Samsung, предназначенное для переноса всех данных со своего предыдущего смартфона на новый Samsung. Если в этом нет необходимости — удаляйте приложение. Более того, сейчас практически все важные данные (контакты, почта, приложения) хранятся в облаке Google и автоматически появятся на новом устройстве после добавления своей учетной записи в Google.
Что бы еще удалить?
Здесь мы не говорили о таких простых приложениях, как Блокнот или Музыкальный проигрыватель. По названию приложения уже понятно, что его можно удалить без каких-либо последствий, если оно вас не устраивает.
Вот еще краткий перечень приложений, встречающихся на смартфонах и заслуживающих удаления (многие из них — хорошие продукты, речь идет лишь о том, что их удаление никак не повлияет на работу смартфона):
Конечно, это далеко не полный список ненужных приложений, встречающихся на современных смартфонах. Каждый производитель пытается «подсадить» пользователя на свои продукты (либо на приложения от сторонних разработчиков, если это рекламное размещение).
Но даже если вы удалите только перечисленные выше приложения, сможете уже освободить достаточно много места на смартфоне, а также продлить время его работы от одной зарядки!
P.S. Не забудьте подписаться в Telegram на первый научно-популярный сайт о мобильных технологиях — Deep-Review, чтобы не пропустить очень интересные материалы, которые мы сейчас готовим!
Как бы вы оценили эту статью?
Нажмите на звездочку для оценки
Внизу страницы есть комментарии.
Напишите свое мнение там, чтобы его увидели все читатели!
Если Вы хотите только поставить оценку, укажите, что именно не так?
Топ 5 приложений для резервного копирования на Android
Содержание
Содержание
Недавно мы писали о том, нужен ли бэкап системе на компьютере и как его правильно сделать. А нужно ли сохранять файлы вашего смартфона? Спойлер: да.
Потерялся, разбился, завис, неудачно обновился, сломался, умер — десятки сценариев, при которых все данные вашего смартфона могут потеряться. А с ними сотни важных номеров телефонов, драгоценные фотографии и видео, любимые игры (и достижения в них), важные приложения. В телефоне подчас важной информации хранится даже больше, чем на компьютере. И, чтобы не потерять безвозвратно важные данные, нужен бэкап.
Если вы не читали нашу статью о бэкапе компьютерной системы, то кратко напомним, что бэкап — это резервная копия данных. Переносить данные можно как на внешний носитель — например, на SD-карту, другой смартфон или компьютер, так и на облачные хранилища. Мы подобрали несколько программ, которые помогут вам содержать всю нужную информацию в сохранности, что бы ни случилось.
Titanium Backup
Это приложение считается самым популярным и продвинутым. Но для его работы нужны права разработчика. Главное достоинство Titanium Backup — он умеет копировать не только приложения, но также все настройки вашей системы. Также он бэкапит контакты, сообщения, закладки. В интерфейсе можно настраивать не только путь бэкапа (куда будут сохраняться данные), но также задать расписание и время бэкапа. Кроме того, Titanium Backup можно использовать как файловый менеджер, управляя через него приложениями, в том числе системными.
Базовые возможности бесплатны, но есть и PRO-версия с расширенным функционалом. Интерфейс у программы не самый дружелюбный, но разобраться в ней можно. На некоторых моделях телефонов Titanium Backup капризничает и не распознает активированные root-права и, судя по отзывам, решается эта проблема исключительно перепрошивкой. Если вы не готовы снимать официальную ОС, попробуйте другие приложения из подборки.
Buggy Backup
Приложение, которое само позиционирует себя как «самый функциональный менеджер приложений и резервных копий». Именно такая фраза написана в панели управления Buggy Backup. Программа действительно удобная и интуитивно понятная. Есть все варианты бэкапа: локальный, облачный, на внешние носители. При этом можно выбирать, насколько полная копия программ вам нужна — можно зарезервировать как только установочный файл, так и все полные данные, хранящиеся в программе.
Buggy Backup тоже работает как файловый менеджер: можно управлять приложениями, делиться, удалять, сбрасывать настройки, проверять обновления, чистить данные и кэш, а также переводить установленные в приложения в разряд системных. К системным приложениям здесь также есть доступ и управление. Для основных операций root не требуется.
App Backup & Restore
Еще один менеджер бэкапа, в целом схожий с предыдущими. Здесь можно настраивать автоматическое копирование и количество резервных версий, задавать путь локального бэкапа (например, на SD-карту) или подключить облачное хранилище. Бэкап на внешние носители также доступен. По дефолту приложение запускается на английском языке, но в настройках можно выбрать русский.
У этого приложения очень удобный интерфейс: гибкая сортировка списков приложений, выбор пути бэкапа с одной кнопки, понятная система восстановления приложений и приятные дополнительные функции типа отправки apk-файлов по электронной почте и других.
Забавное дополнение — Backup & Restore может проверить вашу систему на вирусы.
Google Drive
Здесь вам даже устанавливать дополнительно ничего не придется. Достаточно завести Google Облако, а приложение у вас в Android-смартфоне наверняка есть по дефолту. Это самый простой, понятый и, вместе с тем, хороший вариант бэкапа.
На облако можно отправлять все фотографии, видео, документы, сообщения, журналы звоноков, контакт-лист и другие файлы. Удобно, что Google синхронизируется со всеми вашими устройствами и интегрирован где угодно. При этом доступ к резервным копиям на облаке доступен в оффлайн-режиме — не потребуется даже подключение к интернету.
Бэкап можно включить прямо в системных настройках смартфона. Для этого зайдите в Настройки, найдите вкладку Google, а далее — «Резервное копирование». Бэкап будет происходить в фоновом, автоматическом режиме.
G Cloud
Программа и облачное хранилище в одном лице. Если вы не хотите использовать место на своем Google Диске или другом облаке для бэкапа — можно установить отдельный G Cloud. Естественно, придется завести новый аккаунт (это можно сделать быстро, привязавшись через Facebook). Есть настройки автозагрузки и выбор времени бэкапа, доступна дополнительная защита облака паролем.
Вам бесплатно доступен 1 ГБ места, на который можно сохранять все что угодно от контактов, сообщений и фотографий до переписок в мессенджерах и настроек календаря.
Дополнительное место можно получить разными способами: незначительное количество от 100 до 1000 МБ даются за разные действия типа установить дополнительное приложение, перейти по ссылке и т. д. А если нужно больше — придется платить. 100 ГБ стоят 12 долларов в год.
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.