Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2020/01/08 16:39]
lsopar [Abstract]
+++ racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2024/12/05 12:24] (trenutno)
@@ Redak 1: / Redak 1: @@
-==== Forenzička analiza podataka koje na pametnom telefonu ostavlja WhatsApp ====
+===== Forenzička analiza podataka koje na pametnom telefonu ostavlja WhatsApp =====
+=====   =====
 ===== Sažetak =====
@@ Redak 7: / Redak 9: @@
 Cilj rada je otkriti kako analizirati ono što WhatsApp sprema te ispitati mogućnost prisluškivanja poruka.
-Sve zanimljive informacije nalaze se u WhatsApp bazama podataka do kojih je potrebno doći, a u njima je zapisano mnoštvo informacija koje su korisne u forenzičkoj analizi od poruka do kontakata.
+Sve zanimljive informacije nalaze se u WhatsApp bazama podataka do kojih je potrebno doći, a u njima je zapisano mnoštvo informacija koje su korisne u forenzičkoj analizi, od poruka do kontakata.
 Ključne riječi: forenzička analiza, **WhatsApp**, poruke, kontakti
 ===== Uvod =====
-Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te osim poruka su ostvarene funkcionalnosti razmjena datoteka, poziva i dr.
+Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te se osim poruka razmjenjuju datoteke, pozivi i dr.
-WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista, WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći 1600 milijuna mjesećno aktivnih korisnika (listopad 2019. godine).
+WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista[5], WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći milijardu i 600 tisuća milijuna mjesečno aktivnih korisnika (listopad 2019. godine).
-Forenzićka analiza podataka koje ostavlja WhatsApp postaje vrlo važna.
+Forenzička analiza podataka koje ostavlja WhatsApp postaje vrlo važna.
 ===== Razmjena poruka i enkripcija =====
-WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (engl. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.
+WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (eng. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.
-Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivanja te od 2016. godine WhatsApp koristi enkripciju od kraja do kraja (engl. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnika, mogu pročitati isključivo samo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu.
+Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivana te od 2016. godine WhatsApp koristi enkripciju s kraja na kraj (eng. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnika mogu pročitati isključivo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. Prisluškivanje tako postaje neučinkovito, jer je nemoguće dešifrirati poruku u razumnom vremenu, čak i ako se koriste superračunala.
-{{https://www.researchgate.net/profile/Zaid_Mujaiyid_Putra_Ahmad_Baidowi/publication/281628952/figure/fig2/AS:284555899621379@1444854821381/The-process-of-sending-text-messages-or-media-files-through-WhatsApp-application.png?nolink&|The process of sending text messages or media files through WhatsApp application. }}{{:racfor_wiki:android:13bb1bcc9aad82bab9d248cb4cc99156.png}}
+S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu.
+{{:racfor_wiki:android:d26d88dcc5cd14076ce7bf09913ec0df.png}}
+Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema i na WhatsApp poslužitelju.
-Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema na WhatsApp poslužitelju.
 ===== Baze podataka na pametnom uređaju =====
@@ Redak 34: / Redak 37: @@
 WhatsApp sve podatke sprema u SQLite baze podataka na pametnom telefonu. Njihova imena i lokacija ovise o korištenom operacijskom sustavu.
-Na iOS sustavu: ChatStorage.sqlite i nalazi se na ///root/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite//
+Na iOS sustavu: ChatStorage.sqlite i nalazi se na: ///root/var/mobile/Applications/net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite//
-Na Android sustavu to su dvije baze: Msgstore.db (podaci o porukama) i wa.db (podaci o kontaktima). Nalaze se na lokaciji: ///data/data/com.whatsapp/databases/msgstore.db i /////data/data/com.whatsapp/databases/wa.db//
+Na Android sustavu to su dvije baze: msgstore.db (podaci o porukama) i wa.db (podaci o kontaktima). Nalaze se na lokaciji: ///data/data/com.whatsapp/databases/msgstore.db i /////data/data/com.whatsapp/databases/wa.db//
 Baze podataka na tim lokacijama nisu kriptirane.
@@ Redak 42: / Redak 45: @@
 ==== Posebnosti operacijskog sustava Android ====
-U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (engl. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.
+U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (eng. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.
 Kako omogućavanje //root// pristupa nekad može dovesti do komplikacija i gubitka jamstva, alternativa je fizički pristup uređaju.
@@ Redak 48: / Redak 51: @@
 Osim nekriptiranih baza podataka, na SD kartici (ili u memoriji uređaja, ako kartice nema) nalazi se kriptirana baza podataka. Točna lokacija: ///sdcard/WhatsApp/Databases/msgstore.db.crypt*. //Ta baza, zajedno s kriptiranim rezervnim kopijama dnevnih baza podataka, služi za obnavljanje primarnih baza u slučaju greške.
-//* //označava koji algoritam je korišten za kriptiranje baze podataka (crypt7, crypt8, crypt12). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256 bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.
+Zvjezdica (//* //) u ekstenziji kriptirane baze podataka označava koji algoritam je korišten za kriptiranje baze podataka (npr. crypt7, crypt8, crypt12 itd.). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256-bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.
 ==== Fizički pristup uređaju ====
 Do baza podataka moguće je doći i ako uređaj nema omogućeni //root// pristup. Potrebno je spojiti pametni telefon na računalo te koristiti neki od sljedećih forenzičkih alata.
-   * Magnet Forensics
+   * [[https://www.magnetforensics.com/|Magnet Forensics]]
-  * Oxygen Forensics
+  * [[https://www.oxygen-forensic.com/en/|Oxygen Forensics]]
-  * WhatsApp_Xtract
+  * [[https://github.com/BurakDev/hotoloti/issues/3|WhatsApp_Xtract]]
-  * WhatsApp-key-DB-extractor
+  * [[https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor|WhatsApp-key-DB-extractor]]
 Magnet Forensics i Oxygen Forensics specijalizirani su alati za naprednu forenziku, obuhvaćaju mnogo šire područje i komercijalni su. WhatsApp-key-DB-extractor dovoljan je za potebe forenzičke analize WhatsApp podataka.
-WhatsApp-key-DB-extractor iz pametnog telefona dohvaća baze podataka i ključ za otključavanje kriptiranih baza podataka.
+WhatsApp-key-DB-extractor iz pametnog telefona dohvaća baze podataka i ključ za otključavanje kriptiranih baza podataka:
 {{:racfor_wiki:android:d20b7213281a05003ac5898d1fcaa77e.png}}
+Sa slike je vidljivo da se dohvaćaju i dvije baze podataka koje nisu bile spomenute do sad: axolotl.db i chatsettings.db. Prva sadrži podatke koje aplikacija koristi za enkripciju poruka, dok druga sadrži korisnikove postavke. Nisu zanimljive za analizu kao već spomenute baze poruka i kontakata.
 ===== Analiza WhatsApp baza podataka =====
@@ Redak 75: / Redak 80: @@
 ^Tablica^Podaci|
-|chat|Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe)|
+|messages|Popis i sadržaj poruka. Najvažnija tablica. Sadrži i obrisane poruke.|
-|call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv|
+|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih jednoznačno određuju.|
-|frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira|
+|chat   |Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe).|
-|group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi|
+|call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv.|
-|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih određuju.|
+|frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira.|
-|messages|Popis i sadržaj poruka. Najvažnija tablica.|
+|group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi.|
-|message_media|Popis i sadržaj poslanih datoteka.|
+|message_media|Popis poslanih datoteka. Njihova lokacija na poslužitelju.|
 Primjer poruke:
-{{:racfor_wiki:android:31a08841d165a373fb536ae61b2243de.png}}
+{{:racfor_wiki:android:348239229bfb69fe0cad90dd9419caa3.png}}
-Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespodenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.).
+Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespondenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.).
 ==== Baza podataka wa.db na sustavu Android ====
@@ Redak 93: / Redak 98: @@
 Wa.db baza podataka sastoji se od 16 tablica i sadrži podatke o kontaktima.
-Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostale podatke. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).
+Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostali podaci. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).
 ===== Datoteke poslane preko WhatsAppa =====
-Popis datoteka nalazi se u bazi podataka msgstore.db. No datoteke su spremljene na uređaju u direktoriju WhatsApp\Media. Ovdje ostaju sve datoteke koje je korisnik preuzeo te je moguća njihova analiza.
+Popis datoteka nalazi se u bazi podataka msgstore.db. No datoteke su spremljene na uređaju u direktoriju //sdcard\WhatsApp\Media//. Ovdje ostaju sve datoteke koje je korisnik preuzeo te je moguća njihova analiza.
 Datoteke koje su poslane, ne ostaju na WhatsApp poslužiteljima vječno te se ne mogu rekreirati iz baze podataka ako je datoteka obrisana s uređaja i poslužitelja baze podataka.
 {{:racfor_wiki:android:6a0359e5b2da0bf17f4f30ea11bd8e6f.png}}
-===== Chapter 5 =====
-===== Chapter 6 =====
 ===== Zaključak =====
@@ Redak 113: / Redak 114: @@
 Pristupiti se može direktno, pomoću //root//  pristupa uređaju ili nekim alatom za ekstrakciju WhatsApp baza podataka iz uređaja. Analizom podataka u bazama podataka, moguće je pristupiti porukama, kontaktima i drugim zanimljivim informacijama koje mogu pomoći u istrazi.
-===== Sources =====
+===== Literatura =====
+[1] [[https://www.researchgate.net/publication/290217567_An_Analysis_of_WhatsApp_Forensics_in_Android_Smartphones|Sahu S., An Analysis of WhatsApp Forensics in Android Smartphones, International Journal of Engineering Research, Volume No.3, Issue No.5, pp : 349-350, 2014]]
+[2] [[https://www.researchgate.net/publication/327592240_Forensic_Investigation_on_Whatsapp_Web_Using_Framework_Integrated_Digital_Forensic_Investigation_Framework_Version_2|Actoriano B., Riadi I., Forensic Investigation on Whatsapp Web Using Framework Integrated Digital Forensic Investigation Framework Version 2, International Journal of Cyber-Security and Digital Forensics, Volume No.7 Issue No.4, pp: 410-419, 2018]]
+[3] [[https://pdfs.semanticscholar.org/aebe/e4a9e0a7363d0adbf1d74c04cdb38dfc7a84.pdf|Onovakpuri P., Forensics Analysis of Skype, Viber and WhatsApp Messenger on Android Platform, International Journal of Cyber-Security and Digital Forensics Volume No.7, Issue No.2, pp: 119-131, 2018]]
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[4] [[https://faq.whatsapp.com/general/28030015/|WhatsApp. End-to-end encryption, Datum pristupanja: 8.1.2020.]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[5] [[https://www.statista.com/statistics/258749/most-popular-global-mobile-messenger-apps/|Clement J., Most popular Messaging Apps in 2019., Statista.com, Datum nastanka: 20.11.2019., Datum pristupanja: 8.1.2020.]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[6] [[https://www.researchgate.net/publication/281628952_A_Preliminary_Study_in_Improvising_Instant_Mobile_Messaging_Framework_using_Cloud_Storage_Service|Baidowi Z. M. P. A., Rahman T. F. A., A Preliminary Study in Improvising Instant Mobile Messaging Framework using Cloud Storage Service, Conference: 4th World Congress on Information and Communication Technologies (WICT 2014), At Malacca, Malaysia, 2014]]
 \\

racfor_wiki/android/forenzicka_analiza_whatsapp_podataka.1578501540.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)