Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2020/01/08 16:21]
lsopar [Razmjena poruka i enkripcija]
+++ racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2024/12/05 12:24] (trenutno)
@@ Redak 1: / Redak 1: @@
-====   Forenzička analiza podataka koje na pametnom telefonu ostavlja WhatsApp   ====
+===== Forenzička analiza podataka koje na pametnom telefonu ostavlja WhatsApp =====
-==== − Sadržaj ====
+=====   =====
-  *
+===== Sažetak =====
-[[:racfor_wiki:template#abstract|Abstrac]]t
+WhatsApp popularan je servis za razmjenu poruka. On na mobilnom uređaju vlasnika ostavlja tragove, moguće je pristupiti datotekama i porukama koje su spremljene na uređaju.
-  *
+Cilj rada je otkriti kako analizirati ono što WhatsApp sprema te ispitati mogućnost prisluškivanja poruka.
-[[:racfor_wiki:template#introduction|Introduction]]
+Sve zanimljive informacije nalaze se u WhatsApp bazama podataka do kojih je potrebno doći, a u njima je zapisano mnoštvo informacija koje su korisne u forenzičkoj analizi, od poruka do kontakata.
-  *
-[[:racfor_wiki:template#chapter_1|Chapter 1]]
-  *
-[[:racfor_wiki:template#chapter_2|Chapter 2]]
-  *
-[[:racfor_wiki:template#chapter_3|Chapter 3]]
-  *
-[[:racfor_wiki:template#chapter_4|Chapter 4]]
-  *
-[[:racfor_wiki:template#chapter_5|Chapter 5]]
-  *
-[[:racfor_wiki:template#chapter_6|Chapter 6]]
-  *
-[[:racfor_wiki:template#conclusion|Conclusion]]
-  *
-[[:racfor_wiki:template#sources|Sources]]
-===== Abstract =====
-The fact that we could even recover data from a formatted Hard Drive is kind of amazing. You choose (or not) to delete data, but it is still there, even if it is not that easy to read.
-The purpose of this paper is to understand how data recovery works. To do so, we explain the steps and some technics. We will go through how a sinister leading to a try for data recovery can occur. Then, we will see a method that could have been used by computer forensics experts in order to find traces. To finish, we will mention methods to definitely erase data from Hard Drives to avoid leaving traces.
-The reasons for those sinisters are numerous, but human mistakes are majorly involved. Peter Gutmann proposed through his papers an explanation of how this data could still be read on Hard Drives at that time, but also some advices to securely erase data.
-This paper is some kind of a warning to all those selling Hard Drives //via //eBay that once contained personal data.
-Keywords: **recovery**; **data**; traces
+Ključne riječi: forenzička analiza, **WhatsApp**, poruke, kontakti
 ===== Uvod =====
-Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te osim poruka su ostvarene funkcionalnosti razmjena datoteka, poziva i dr.
+Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te se osim poruka razmjenjuju datoteke, pozivi i dr.
-WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista, WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći 1600 milijuna mjesećno aktivnih korisnika (listopad 2019. godine).
+WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista[5], WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći milijardu i 600 tisuća milijuna mjesečno aktivnih korisnika (listopad 2019. godine).
-Forenzićka analiza podataka koje ostavlja WhatsApp postaje vrlo važna.
+Forenzička analiza podataka koje ostavlja WhatsApp postaje vrlo važna.
 ===== Razmjena poruka i enkripcija =====
-WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (engl. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.
+WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (eng. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.
-Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivanja te od 2016. godine WhatsApp koristi enkripciju od kraja do kraja (engl. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnika, mogu pročitati isključivo samo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu.
+Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivana te od 2016. godine WhatsApp koristi enkripciju s kraja na kraj (eng. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnika mogu pročitati isključivo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. Prisluškivanje tako postaje neučinkovito, jer je nemoguće dešifrirati poruku u razumnom vremenu, čak i ako se koriste superračunala.
-{{https://www.researchgate.net/profile/Zaid_Mujaiyid_Putra_Ahmad_Baidowi/publication/281628952/figure/fig2/AS:284555899621379@1444854821381/The-process-of-sending-text-messages-or-media-files-through-WhatsApp-application.png?nolink&|The process of sending text messages or media files through WhatsApp application. }}{{:racfor_wiki:android:13bb1bcc9aad82bab9d248cb4cc99156.png}}
+S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu.
-Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema na WhatsApp poslužitelju.
+{{:racfor_wiki:android:d26d88dcc5cd14076ce7bf09913ec0df.png}}
+Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema i na WhatsApp poslužitelju.
@@ Redak 78: / Redak 37: @@
 WhatsApp sve podatke sprema u SQLite baze podataka na pametnom telefonu. Njihova imena i lokacija ovise o korištenom operacijskom sustavu.
-Na iOS sustavu: ChatStorage.sqlite i nalazi se na ///root/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite//
+Na iOS sustavu: ChatStorage.sqlite i nalazi se na: ///root/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite//
-Na Android sustavu to su dvije baze: Msgstore.db (podaci o porukama) i wa.db (podaci o kontaktima). Nalaze se na lokaciji: ///data/data/com.whatsapp/databases/msgstore.db i /////data/data/com.whatsapp/databases/wa.db//
+Na Android sustavu to su dvije baze: msgstore.db (podaci o porukama) i wa.db (podaci o kontaktima). Nalaze se na lokaciji: ///data/data/com.whatsapp/databases/msgstore.db i /////data/data/com.whatsapp/databases/wa.db//
 Baze podataka na tim lokacijama nisu kriptirane.
@@ Redak 86: / Redak 45: @@
 ==== Posebnosti operacijskog sustava Android ====
-U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (engl. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.
+U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (eng. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.
 Kako omogućavanje //root// pristupa nekad može dovesti do komplikacija i gubitka jamstva, alternativa je fizički pristup uređaju.
@@ Redak 92: / Redak 51: @@
 Osim nekriptiranih baza podataka, na SD kartici (ili u memoriji uređaja, ako kartice nema) nalazi se kriptirana baza podataka. Točna lokacija: ///sdcard/WhatsApp/Databases/msgstore.db.crypt*. //Ta baza, zajedno s kriptiranim rezervnim kopijama dnevnih baza podataka, služi za obnavljanje primarnih baza u slučaju greške.
-//* //označava koji algoritam je korišten za kriptiranje baze podataka (crypt7, crypt8, crypt12). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256 bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.
+Zvjezdica (//* //) u ekstenziji kriptirane baze podataka označava koji algoritam je korišten za kriptiranje baze podataka (npr. crypt7, crypt8, crypt12 itd.). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256-bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.
 ==== Fizički pristup uređaju ====
 Do baza podataka moguće je doći i ako uređaj nema omogućeni //root// pristup. Potrebno je spojiti pametni telefon na računalo te koristiti neki od sljedećih forenzičkih alata.
-   * Magnet Forensics
+   * [[https://www.magnetforensics.com/|Magnet Forensics]]
-  * Oxygen Forensics
+  * [[https://www.oxygen-forensic.com/en/|Oxygen Forensics]]
-  * WhatsApp_Xtract
+  * [[https://github.com/BurakDev/hotoloti/issues/3|WhatsApp_Xtract]]
-  * WhatsApp-key-DB-extractor
+  * [[https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor|WhatsApp-key-DB-extractor]]
 Magnet Forensics i Oxygen Forensics specijalizirani su alati za naprednu forenziku, obuhvaćaju mnogo šire područje i komercijalni su. WhatsApp-key-DB-extractor dovoljan je za potebe forenzičke analize WhatsApp podataka.
-WhatsApp-key-DB-extractor iz pametnog telefona dohvaća baze podataka i ključ za otključavanje kriptiranih baza podataka.
+WhatsApp-key-DB-extractor iz pametnog telefona dohvaća baze podataka i ključ za otključavanje kriptiranih baza podataka:
 {{:racfor_wiki:android:d20b7213281a05003ac5898d1fcaa77e.png}}
+Sa slike je vidljivo da se dohvaćaju i dvije baze podataka koje nisu bile spomenute do sad: axolotl.db i chatsettings.db. Prva sadrži podatke koje aplikacija koristi za enkripciju poruka, dok druga sadrži korisnikove postavke. Nisu zanimljive za analizu kao već spomenute baze poruka i kontakata.
 ===== Analiza WhatsApp baza podataka =====
 Na Android sustavu postoji više baza podataka, nego u iOS sustavu. Ono što je u iOS sustavu spremljeno u jednoj bazi podataka, nalazi se u dvije baze podataka na Android sustavu. Analiza se radi na isti način.
 ==== Baza podataka msgstore.db na sustavu Android ====
@@ Redak 121: / Redak 80: @@
 ^Tablica^Podaci|
-|chat|Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe)|
+|messages|Popis i sadržaj poruka. Najvažnija tablica. Sadrži i obrisane poruke.|
-|call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv|
+|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih jednoznačno određuju.|
-|frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira|
+|chat   |Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe).|
-|group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi|
+|call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv.|
-|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih određuju.|
+|frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira.|
-|messages|Popis i sadržaj poruka. Najvažnija tablica.|
+|group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi.|
-|message_media|Popis i sadržaj poslanih datoteka.|
+|message_media|Popis poslanih datoteka. Njihova lokacija na poslužitelju.|
 Primjer poruke:
-{{:racfor_wiki:android:31a08841d165a373fb536ae61b2243de.png}}
+{{:racfor_wiki:android:348239229bfb69fe0cad90dd9419caa3.png}}
-Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespodenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.).
+Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespondenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.).
 ==== Baza podataka wa.db na sustavu Android ====
@@ Redak 139: / Redak 98: @@
 Wa.db baza podataka sastoji se od 16 tablica i sadrži podatke o kontaktima.
-Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostale podatke. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).
+Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostali podaci. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).
-\\
 ===== Datoteke poslane preko WhatsAppa =====
-Popis datoteka nalazi se u bazi podataka msgstore.db. No datoteke su spremljene na uređaju u direktoriju WhatsApp\Media. Ovdje ostaju sve datoteke koje je korisnik preuzeo te je moguća njihova analiza.
+Popis datoteka nalazi se u bazi podataka msgstore.db. No datoteke su spremljene na uređaju u direktoriju //sdcard\WhatsApp\Media//. Ovdje ostaju sve datoteke koje je korisnik preuzeo te je moguća njihova analiza.
 Datoteke koje su poslane, ne ostaju na WhatsApp poslužiteljima vječno te se ne mogu rekreirati iz baze podataka ako je datoteka obrisana s uređaja i poslužitelja baze podataka.
@@ Redak 152: / Redak 108: @@
 {{:racfor_wiki:android:6a0359e5b2da0bf17f4f30ea11bd8e6f.png}}
+===== Zaključak =====
-===== Chapter 5 =====
+WhatsApp kao najpopularniji servis za razmjenu poruka na pametnim uređajima bitan je za forenzičku analizu. Zbog svoje enkripcije od kraja do kraja, prilikom istrage ne može se tražiti sadržaj poruka nekog korisnika od WhatsApp tvrtke. Kako bi se provela forenzička analiza, potrebno je pristupiti bazama podataka WhatsApp aplikacije.
-===== Chapter 6 =====
+Pristupiti se može direktno, pomoću //root//  pristupa uređaju ili nekim alatom za ekstrakciju WhatsApp baza podataka iz uređaja. Analizom podataka u bazama podataka, moguće je pristupiti porukama, kontaktima i drugim zanimljivim informacijama koje mogu pomoći u istrazi.
-===== Conclusion =====
+===== Literatura =====
-zaključak.
+[1] [[https://www.researchgate.net/publication/290217567_An_Analysis_of_WhatsApp_Forensics_in_Android_Smartphones|Sahu S., An Analysis of WhatsApp Forensics in Android Smartphones, International Journal of Engineering Research, Volume No.3, Issue No.5, pp : 349-350, 2014]]
-===== Sources =====
+[2] [[https://www.researchgate.net/publication/327592240_Forensic_Investigation_on_Whatsapp_Web_Using_Framework_Integrated_Digital_Forensic_Investigation_Framework_Version_2|Actoriano B., Riadi I., Forensic Investigation on Whatsapp Web Using Framework Integrated Digital Forensic Investigation Framework Version 2, International Journal of Cyber-Security and Digital Forensics, Volume No.7 Issue No.4, pp: 410-419, 2018]]
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[3] [[https://pdfs.semanticscholar.org/aebe/e4a9e0a7363d0adbf1d74c04cdb38dfc7a84.pdf|Onovakpuri P., Forensics Analysis of Skype, Viber and WhatsApp Messenger on Android Platform, International Journal of Cyber-Security and Digital Forensics Volume No.7, Issue No.2, pp: 119-131, 2018]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[4] [[https://faq.whatsapp.com/general/28030015/|WhatsApp. End-to-end encryption, Datum pristupanja: 8.1.2020.]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[5] [[https://www.statista.com/statistics/258749/most-popular-global-mobile-messenger-apps/|Clement J., Most popular Messaging Apps in 2019., Statista.com, Datum nastanka: 20.11.2019., Datum pristupanja: 8.1.2020.]]
+[6] [[https://www.researchgate.net/publication/281628952_A_Preliminary_Study_in_Improvising_Instant_Mobile_Messaging_Framework_using_Cloud_Storage_Service|Baidowi Z. M. P. A., Rahman T. F. A., A Preliminary Study in Improvising Instant Mobile Messaging Framework using Cloud Storage Service, Conference: 4th World Congress on Information and Communication Technologies (WICT 2014), At Malacca, Malaysia, 2014]]
+\\

racfor_wiki/android/forenzicka_analiza_whatsapp_podataka.1578500512.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)