Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2020/01/08 17:12]
lsopar [Forenzička analiza podataka koje na pametnom telefonu ostavlja WhatsApp] 		racfor_wiki:android:forenzicka_analiza_whatsapp_podataka [2024/12/05 12:24] (trenutno)
Redak 2: Redak 2:
  
 =====   ===== =====   =====
- 
  
 ===== Sažetak ===== ===== Sažetak =====
Redak 10: Redak 9:
 Cilj rada je otkriti kako analizirati ono što WhatsApp sprema te ispitati mogućnost prisluškivanja poruka. Cilj rada je otkriti kako analizirati ono što WhatsApp sprema te ispitati mogućnost prisluškivanja poruka.
  
-Sve zanimljive informacije nalaze se u WhatsApp bazama podataka do kojih je potrebno doći, a u njima je zapisano mnoštvo informacija koje su korisne u forenzičkoj analizi od poruka do kontakata.+Sve zanimljive informacije nalaze se u WhatsApp bazama podataka do kojih je potrebno doći, a u njima je zapisano mnoštvo informacija koje su korisne u forenzičkoj analiziod poruka do kontakata.
  
 Ključne riječi: forenzička analiza, **WhatsApp**, poruke, kontakti Ključne riječi: forenzička analiza, **WhatsApp**, poruke, kontakti
 ===== Uvod ===== ===== Uvod =====
  
-Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te se osim poruka razmjenjuju datoteke, pozive i dr.+Razvoj interneta i pametnih telefona doveo je do razvoja aplikacija za razmjenu poruka. Takve aplikacije vrlo su popularne te se osim poruka razmjenjuju datoteke, pozivi i dr.
  
-WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista, WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći 1600 milijuna mjesečno aktivnih korisnika (listopad 2019. godine).+WhatsApp je besplatna aplikacija za razmjenu poruka putem interneta, primarno zamišljena za korištenje na pametnim telefonima. Tvrtka WhatsApp osnovana je 2009. godine, a 2014. godine kupio ju je Facebook. Prema podacima Statista[5], WhatsApp je najkorištenija aplikacija za razmjenu poruka, brojeći milijardu i 600 tisuća milijuna mjesečno aktivnih korisnika (listopad 2019. godine).
  
 Forenzička analiza podataka koje ostavlja WhatsApp postaje vrlo važna. Forenzička analiza podataka koje ostavlja WhatsApp postaje vrlo važna.
Redak 23: Redak 22:
 ===== Razmjena poruka i enkripcija ===== ===== Razmjena poruka i enkripcija =====
  
-WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (engl. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.+WhatsApp za razmjenu poruka koristi protokol XMPP (eXtensible Messaging and Presence Protocol). Klijent otvara utičnicu (eng. socket) s XMPP poslužiteljem i ostavlja ju otvorenu sve dok je klijent prijavljen. U slučaju WhatsApp aplikacije na pametnom telefonu, veza je otvorena sve dok je korisnik prijavljen i pametni telefon uključen.
  
-Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivanja te od 2016. godine WhatsApp koristi enkripciju od kraja do kraja (engl. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnikamogu pročitati isključivo samo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. Prisluškivanje tako postaje neučinkovito, jer je nemoguće dešifrirati poruku u razumnom vremenu, čak i ako se koriste superračunala.+Korištena razina zaštite poruka enkripcijom u WhatsAppu je kroz godine nadograđivana te od 2016. godine WhatsApp koristi enkripciju kraja na kraj (eng. end-to-end encrpytion). Takva enkripcija omogućuje da poruke između dva korisnika mogu pročitati isključivo ta dva korisnika. Enkripcija i dekripcija poruka odvija se na uređajima korisnika te se do podataka o dešifriranim porukama može doći samo s uređaja korisnika koji su komunicirali. Prisluškivanje tako postaje neučinkovito, jer je nemoguće dešifrirati poruku u razumnom vremenu, čak i ako se koriste superračunala.
  
 S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu. S aspekta računalne forenzike, to znači okretanje analizi podataka koji su ostavljeni na pametnom telefonu.
  
-{{https://www.researchgate.net/profile/Zaid_Mujaiyid_Putra_Ahmad_Baidowi/publication/281628952/figure/fig2/AS:284555899621379@1444854821381/The-process-of-sending-text-messages-or-media-files-through-WhatsApp-application.png?nolink&|The process of sending text messages or media files through WhatsApp application. }}+{{:racfor_wiki:android:d26d88dcc5cd14076ce7bf09913ec0df.png}}
  
 Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema i na WhatsApp poslužitelju. Slika prikazuje postupak slanja poruke. Poruka se kriptira prije slanja te se nakon uspješnog slanja nalazi na uređaju pošiljatelja i primatelja. Ako je u poruci bila datoteka, datoteka se na kratko vrijeme sprema i na WhatsApp poslužitelju.
 +
  
 ===== Baze podataka na pametnom uređaju ===== ===== Baze podataka na pametnom uređaju =====
Redak 45: Redak 45:
 ==== Posebnosti operacijskog sustava Android ==== ==== Posebnosti operacijskog sustava Android ====
  
-U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (engl. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.+U operacijskom sustavu Android, do tih je podataka običnom korisniku teško doći. Kako bi se došlo do tih baza podataka, korisnik mora imati //root// pristup svojem uređaju. Takav pristup omogućuje puni pristup operacijskom sustavu uređaja te su omogućene privilegije super korisnika (eng. superuser). S tim privilegijama, moguć je lagani pristup WhatsApp bazama te njihovo otvaranje.
  
 Kako omogućavanje //root// pristupa nekad može dovesti do komplikacija i gubitka jamstva, alternativa je fizički pristup uređaju. Kako omogućavanje //root// pristupa nekad može dovesti do komplikacija i gubitka jamstva, alternativa je fizički pristup uređaju.
Redak 51: Redak 51:
 Osim nekriptiranih baza podataka, na SD kartici (ili u memoriji uređaja, ako kartice nema) nalazi se kriptirana baza podataka. Točna lokacija: ///sdcard/WhatsApp/Databases/msgstore.db.crypt*. //Ta baza, zajedno s kriptiranim rezervnim kopijama dnevnih baza podataka, služi za obnavljanje primarnih baza u slučaju greške. Osim nekriptiranih baza podataka, na SD kartici (ili u memoriji uređaja, ako kartice nema) nalazi se kriptirana baza podataka. Točna lokacija: ///sdcard/WhatsApp/Databases/msgstore.db.crypt*. //Ta baza, zajedno s kriptiranim rezervnim kopijama dnevnih baza podataka, služi za obnavljanje primarnih baza u slučaju greške.
  
-//* //u ekstenziji kriptirane baze podataka označava koji algoritam je korišten za kriptiranje baze podataka (npr. crypt7, crypt8, crypt12 itd.). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256-bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.+Zvjezdica (//* //u ekstenziji kriptirane baze podataka označava koji algoritam je korišten za kriptiranje baze podataka (npr. crypt7, crypt8, crypt12 itd.). Crypt12 (posljednji izdan - vrijeme pisanja: siječanj 2020.) koristi 256-bitnu AES enkripciju baze podataka. Za dekripciju takve baze podataka potreban je ključ. Ključ za dekripciju može se naći na lokaciji: //\data\data\com.WhatsApp\files\Key. //Bazu podataka tada je lako dekriptirati, koristeći ključ i neki od standardnih alata za dekripciju tog algoritma kriptiranja.
 ==== Fizički pristup uređaju ==== ==== Fizički pristup uređaju ====
  
 Do baza podataka moguće je doći i ako uređaj nema omogućeni //root// pristup. Potrebno je spojiti pametni telefon na računalo te koristiti neki od sljedećih forenzičkih alata. Do baza podataka moguće je doći i ako uređaj nema omogućeni //root// pristup. Potrebno je spojiti pametni telefon na računalo te koristiti neki od sljedećih forenzičkih alata.
  
-   * Magnet Forensics +   [[https://www.magnetforensics.com/|Magnet Forensics]] 
-  * Oxygen Forensics +  * [[https://www.oxygen-forensic.com/en/|Oxygen Forensics]] 
-  * WhatsApp_Xtract +  * [[https://github.com/BurakDev/hotoloti/issues/3|WhatsApp_Xtract]] 
-  * WhatsApp-key-DB-extractor+  * [[https://github.com/EliteAndroidApps/WhatsApp-Key-DB-Extractor|WhatsApp-key-DB-extractor]]
  
 Magnet Forensics i Oxygen Forensics specijalizirani su alati za naprednu forenziku, obuhvaćaju mnogo šire područje i komercijalni su. WhatsApp-key-DB-extractor dovoljan je za potebe forenzičke analize WhatsApp podataka. Magnet Forensics i Oxygen Forensics specijalizirani su alati za naprednu forenziku, obuhvaćaju mnogo šire područje i komercijalni su. WhatsApp-key-DB-extractor dovoljan je za potebe forenzičke analize WhatsApp podataka.
Redak 67: Redak 67:
 {{:racfor_wiki:android:d20b7213281a05003ac5898d1fcaa77e.png}} {{:racfor_wiki:android:d20b7213281a05003ac5898d1fcaa77e.png}}
  
 +Sa slike je vidljivo da se dohvaćaju i dvije baze podataka koje nisu bile spomenute do sad: axolotl.db i chatsettings.db. Prva sadrži podatke koje aplikacija koristi za enkripciju poruka, dok druga sadrži korisnikove postavke. Nisu zanimljive za analizu kao već spomenute baze poruka i kontakata.
  
 ===== Analiza WhatsApp baza podataka ===== ===== Analiza WhatsApp baza podataka =====
Redak 79: Redak 80:
  
 ^Tablica^Podaci| ^Tablica^Podaci|
-|chat|Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe).|+|messages|Popis i sadržaj poruka. Najvažnija tablica. Sadrži i obrisane poruke.| 
 +|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih jednoznačno određuju.| 
 +|chat   |Sadrži popis svih otvorenih chatova (između dvoje ljudi ili grupe).|
 |call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv.| |call_log|Sadrži popis svih poziva, tko je komunicirao, tko je inicirao poziv, koliko je trajao, je li bio video poziv.|
 |frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira.| |frequents|Sadrži popis ljudi s kojima vlasnik češće komunicira.|
 |group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi.| |group_participants i group_participants_history|Sadrže popis ljudi koji sudjeluju u grupama te povijest kad su neki napustili ili se pridružili grupi.|
-|jid|Popis korisnika koji su zabilježeni kao kontakti. Njihovi brojevi mobitela ih jednoznačno određuju.| 
-|messages|Popis i sadržaj poruka. Najvažnija tablica.| 
 |message_media|Popis poslanih datoteka. Njihova lokacija na poslužitelju.| |message_media|Popis poslanih datoteka. Njihova lokacija na poslužitelju.|
  
Redak 92: Redak 93:
  
 Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespondenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.). Pomoću ovih tablica može se doći do svih poruka, pošiljatelja, primatelja i korespondenata. Također, mogu se saznati i neke dodatne informacije koje se nalaze u preostalim tablicama (npr. lokacija gdje je poslana poruka, podaci o transakciji preko WhatsAppa itd.).
- 
-\\ 
- 
  
 ==== Baza podataka wa.db na sustavu Android ==== ==== Baza podataka wa.db na sustavu Android ====
Redak 100: Redak 98:
 Wa.db baza podataka sastoji se od 16 tablica i sadrži podatke o kontaktima. Wa.db baza podataka sastoji se od 16 tablica i sadrži podatke o kontaktima.
  
-Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostale podatke. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).+Najvažnija tablica te baze podataka je wa_contacts tablica koja sadrži sve kontakte s mobilnog uređaja. Spremljeno je njihovo ime i prezime pod kojim se nalaze u mobitelu, njihov broj mobitela, koriste li WhatsApp aplikaciju, njihov status i ostali podaci. Preko atributa //jid //iz ove tablice, moguće je povezati korisnike u drugim tablicama baze podataka msgstore.db (npr. kako se zove osoba koja je poslala zadnju poruku).
  
 ===== Datoteke poslane preko WhatsAppa ===== ===== Datoteke poslane preko WhatsAppa =====
Redak 129: Redak 127:
  
 [6] [[https://www.researchgate.net/publication/281628952_A_Preliminary_Study_in_Improvising_Instant_Mobile_Messaging_Framework_using_Cloud_Storage_Service|Baidowi Z. M. P. A., Rahman T. F. A., A Preliminary Study in Improvising Instant Mobile Messaging Framework using Cloud Storage Service, Conference: 4th World Congress on Information and Communication Technologies (WICT 2014), At Malacca, Malaysia, 2014]] [6] [[https://www.researchgate.net/publication/281628952_A_Preliminary_Study_in_Improvising_Instant_Mobile_Messaging_Framework_using_Cloud_Storage_Service|Baidowi Z. M. P. A., Rahman T. F. A., A Preliminary Study in Improvising Instant Mobile Messaging Framework using Cloud Storage Service, Conference: 4th World Congress on Information and Communication Technologies (WICT 2014), At Malacca, Malaysia, 2014]]
 +
 +\\
  
  
racfor_wiki/android/forenzicka_analiza_whatsapp_podataka.1578503571.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0