Что за файл squirrelsetup

Обновлено: 15.01.2025

В этой статье приводятся рекомендации по диагностике и устранению неполадок при установке и обновлении клиентского приложения Teams, работающего в Windows.

Проверьте, обновлен ли Teams успешно

Выполните следующие действия, чтобы проверить, успешно ли установлено обновление Teams.

1. В Teams выберите свою фотографию профиля, а затем щелкните сведения > версия.
2. В том же меню нажмите Проверить наличие обновлений.
3. Подождите, пока баннер в верхней части приложения не укажет на необходимость «обновления» Teams. Ссылка должна появиться примерно через минуту, поскольку этот процесс загружает новую версию Teams. Баннер также дает вам знать, если вы уже используете последнюю версию, в этом случае обновление не требуется.
4. Нажмите на ссылку обновления в баннере.
5. Дождитесь перезапуска Teams, а затем повторите шаг 1, чтобы проверить, обновлено ли приложение.

Устранение неполадок при установке и обновлении

Устранение проблем с установкой

Если SquirrelSetup.log не указывает причину или вам нужна дополнительная информация для устранения проблемы, см. раздел Сбор и анализ журналов приложений и системы.

Устранение неполадок при обновлении

Когда Teams успешно установлен, расположение журнала меняется с %LocalAppData%\SquirrelTemp на %LocalAppData%\Microsoft\Teams. В этом месте есть два файла журнала, представляющих интерес, SquirrelSetup.log и logs.txt.

• Файл SquirrelSetup.log в этом месте записывается с помощью Update.exe, который является исполняемым файлом, обслуживающим приложение Teams.
• Файл Logs.txt используется приложением Teams (в частности, Teams.exe) для записи важных событий приложения. Скорее всего, он будет содержать информацию об ошибках.

Эти файлы журнала содержат информацию, позволяющую установить личность (PII), поэтому они не отправляются в Microsoft.

Teams может автоматически запускать процесс обновления (в зависимости от политики), или пользователи могут вручную проверять наличие обновлений, перейдя к своей картинке профиля> Проверить наличие обновлений. Оба метода используют следующую последовательность событий.

1. Проверьте наличие обновлений. Teams делает веб-запрос и включают текущую версию приложения и информацию о кольце развертывания. Цель этого шага - получить ссылку для скачивания. Ошибка на этом этапе регистрируется в Logs.txt.
2. Скачивание обновления. Teams загружает обновление, используя ссылку для скачивания, полученную на шаге 1. Когда загрузка завершится, Teams вызывает Update.exe, чтобы выполнить загрузку. Ошибка загрузки также регистрируется в Logs.txt.
3. Поставьте обновление.. Загруженный контент проверяется и распаковывается в промежуточную папку %LocalAppData%\Microsoft\Teams\stage), которая выполняется Update.exe. Сбои на этом этапе регистрируются в SquirrelTemp.log.
4. Установите обновление. Есть несколько способов запуска Teams. Система автоматически запускает Teams, когда пользователь входит в систему, или вы можете запускать команды с помощью ярлыка. На этом этапе Update.exe проверяет наличие промежуточной папки, снова проверяет содержимое и выполняет операции с файлами, чтобы отключить приложение. Для старой папки приложения в %LocalAppData%\Microsoft\Teams\current создается резервная копия в %LocalAppData%\Microsoft\Teams\previous, а папка рабочей области переименовывается в «текущая». Сбои на этом этапе регистрируются в SquirrelTemp.log.

Если SquirrelTemp.log или Logs.txt не содержат достаточной информации для определения основной причины и вам требуется дополнительная информация для устранения проблемы, перейдите к разделу Сбор и анализ журналов приложений и системы.

Собирать и анализировать журналы приложений и системы

В этом разделе описывается, как собирать и анализировать журналы приложений и системы, чтобы получить более полную информацию для устранения проблемы. Для выполнения этих шагов вы будете использовать инструменты Sysinternals. Чтобы узнать больше, см. Windows Sysinternals.

Соберите журналы.

Распакуйте zip-файл в папку %TEMP% на локальном диске.

Откройте командную строку с повышенными правами и выполните следующие действия:

Выполните следующее, чтобы перейти в папку TEMP:

Скопируйте настройки и журналы приложений. Обратите внимание, что в зависимости от точки сбоя некоторые из этих журналов могут отсутствовать.

Запустите следующее, чтобы захватить открытые ручки.

Запустите следующее, чтобы захватить открытые библиотеки DLL.

Запустите следующее, чтобы перехватить работающие драйверы.

Выполните следующее, чтобы получить списки контроля доступа (ACL) папки Teams.

Анализировать логи (для опытных пользователей)

Неудачное обновление может привести к непредсказуемому поведению приложения. Например, пользователи могут быть не в состоянии выйти из Teams, иметь устаревшую версию Teams или не могут запустить Teams. Если у вас возникла проблема во время обновления, первое место, чтобы найти причину, это SquirrelTemp.log. Ниже перечислены различные типы сбоев обновления, перечисленные от наиболее распространенных до наименее распространенных, и способы их анализа и устранения неполадок с использованием журналов.

Невозможно выйти из Teams

Поскольку Teams определяет, что им необходимо обновить себя до более новой версии, они загружают и запускают новое приложение, а затем ждут возможности перезагрузить себя в следующий раз, когда машина простаивает. Распространенной проблемой в этом процессе является случай, когда другой процесс или драйвер файловой системы блокирует процесс Teams.exe, что препятствует выходу Teams.exe. В результате приложение Teams не может быть заменено недавно загруженным и подготовленным приложением.

Советы по устранению неполадок

• Чтобы подтвердить, что это проблема, с которой вы столкнулись, закройте Teams (щелкните правой кнопкой мыши Teams на панели задач и выберите Выйти). Затем откройте диспетчер задач в Windows, чтобы увидеть, работает ли экземпляр Teams.
• Если вы не на компьютере, на котором возникла эта проблема, проверьте файл SquirrelTemp.log, собранный с компьютера, на котором возникла эта проблема, и найдите запись «Программа: невозможно завершить процесс в журнале».
• Чтобы определить, что препятствует выходу Teams.exe, просмотрите журналы Dlls.txt и Handles.txt. Они рассказывают вам о процессах, которые препятствовали выходу Teams.
• Другим виновником, который может помешать выходу Teams, является драйвер фильтра файловой системы режима ядра. Используйте инструмент SysInternals, ProcDump, чтобы собрать дамп процесса в режиме ядра, запустив procdump -mk <pid> , где <pid> - это идентификатор процесса, полученный из диспетчера задач. Вы также можете проверить файл журнала Driverquery.txt, чтобы увидеть активные драйверы фильтров, которые могут мешать командам.
• Чтобы выйти из этого состояния, перезагрузите компьютер.

Разрешения для файлов

Teams создает несколько подпапок и файлов в профиле пользователя на протяжении всего процесса установки и обновления. Поскольку приложение и средство обновления работают как пользователь без повышенных прав, разрешения на чтение и запись должны быть предоставлены в следующих папках:

Folder	Используется
%LocalAppData%\SquirrelTemp	Установщик Teams (например, Teams_Windows_x64.exe) на этапе установки
%LocalAppData%\Microsoft\Teams	Приложение для обновления Teams (Update.exe) для извлечения и установки пакета приложения во время процесса обновления
%AppData%\Microsoft\Teams	Приложение Teams (Teams.exe) для сохранения настроек, состояний приложения и (предварительно подготовленного) загруженного пакета обновления

Если Teams отказало в доступе из-за невозможности записи в файл, это может помешать другому программному приложению или запись дескриптора безопасности может ограничить доступ для записи в папку.

Советы по устранению неполадок

• Ищите доказательства «отказано в доступе» в SquirrelTemp.log или Logs.txt. Проверьте эти файлы, чтобы увидеть, была ли попытка записи в файл, который не удался.
• Откройте Icacls.txt и найдите эффективную запись управления доступом (ACE), которая блокирует операции записи пользователем, который не является администратором. Как правило, это в одной из записей DACL. Для получения дополнительной информации см. Документацию icacls.

Файл поврежден

В некоторых случаях программное обеспечение для шифрования может изменять файлы в папке %LocalAppData%\Microsoft\Teams, что может препятствовать запуску Teams. Это может произойти в любое время, даже если приложение не обновляется. К сожалению, когда файл поврежден, единственный способ восстановиться из этого состояния - удалить и переустановить Teams.

Если вы не можете определить основную причину проблемы с помощью любого из этих шагов, вы можете попробовать сеанс Монитор процесса. Process Monitor - это инструмент Sysinternals, который записывает доступ к реестру и файловой системе.

Кто интересовался содержимым директорий Local, LocalLow и Roaming в расположенной профиле пользователя папке AppDate, тот не мог не заметить, сколько в свою очередь они содержат файлов и каталогов, прямо указывающих на установленные на компьютере программы. Всё правильно, папка AppDate хранит настройки приложений, плагины, резервные копии, временные файлы и так далее инсталлированных на ПК программ. В первую очередь это касается папки Local, тогда как LocalLow хранит в основном данные, связанные с приложениями Mozilla, Adobe и нынче устаревшим и мало кем используемым Internet Explorer.

↑ Что за папка SquirrelTemp и можно ли её удалить

↑ Папка SquirrelTemp

Папка Roaming так же содержит конфигурационные и временные файлы установленных на ПК программ, но в отличие от содержимого Local, файлы каталога Roaming могут быть перемещены вместе с профилем пользователя. Но в данном случае речь у нас пойдёт не об этом, а об одной «загадочной» папке, которую любопытные пользователи иногда обнаруживают у себя на компьютере в папке AppDate. Называется эта папка SquirrelTemp, что можно перевести как «временная папка белки». Пути к папкам SquirrelTemp вы можете видеть на приложенном ниже скриншоте.

Что же касается самой «белки» (Squirrel), то он или она, если хотите, является интерпретируемым языком программирования, используемым при разработке приложений реального времени — компьютерных игр, интернет-мессенджеров и им подобным. Вот, кстати, пример лога, созданного в расположении %userprofile%\AppData\Local\SquirrelTemp интернет-мессенджером в процессе его инсталляции.

Можно ли удалить папку SquirrelTemp

Поскольку содержимое каталога SquirrelTemp является временным, на что прямо указывает приставка «Temp», вы можете удалить имеющиеся в нём данные без особого риска потерять личные данные или переписку, поскольку они хранятся в других местах. Только вот есть ли в этом особый смысл? Вряд ли. Как правило, папка SquirrelTemp не занимает на диске сколь-либо значительного объёма, а значит и в удалении её нет особой нужды. Избавиться от неё вы можете после деинсталляции Discord и WhatsApp в рамках их переустановки, если вдруг в процессе повторной установки и настройки приложения возникнет какой-либо конфликт.

Последнее обновление: 07/08/2021 [Время на прочтение:

Файлы Log, такие как SquirrelSetup.log, считаются разновидностью файла Текст (Журнал). Они соотносятся с расширением LOG, разработанным компанией WhatsApp Inc для WhatsApp 0.3.3793.

Файл SquirrelSetup.log впервые был создан 07/25/2019 для ОС Windows 10 в WhatsApp 0.3.3793. Согласно нашим сведениям, это основная и наиболее актуальная версия файла от компании WhatsApp Inc.

Ниже приведены исчерпывающие сведения о файле, инструкции для простого устранения неполадок, возникших с файлом LOG, и список бесплатных загрузок SquirrelSetup.log для каждой из имеющихся версий файла.

Совместимость с Windows 10, 8, 7, Vista, XP и 2000

Средняя оценка пользователей

Сведения о разработчике и ПО
Программа:	WhatsApp 0.3.3793
Разработчик:	WhatsApp Inc
Программное обеспечение:	WhatsApp
Версия ПО:	0.3.3793

Сведения о файле
Размер файла (байты):	189
Дата первоначального файла:	10/15/2019
Дата последнего файла:	10/15/2019

Информация о файле	Описание
Размер файла:	189 bytes
Дата и время изменения файла:	2019:10:15 00:39:47+00:00

✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.

Общие ошибки выполнения SquirrelSetup.log

Ошибки файла SquirrelSetup.log часто возникают на этапе запуска WhatsApp, но также могут возникать во время работы программы. Эти типы ошибок LOG также известны как «ошибки выполнения», поскольку они возникают во время выполнения WhatsApp. К числу наиболее распространенных ошибок выполнения SquirrelSetup.log относятся:

• Не удается найти SquirrelSetup.log.
• SquirrelSetup.log — ошибка.
• Не удалось загрузить SquirrelSetup.log.
• Ошибка при загрузке SquirrelSetup.log.
• Не удалось зарегистрировать SquirrelSetup.log / Не удается зарегистрировать SquirrelSetup.log.
• Ошибка выполнения — SquirrelSetup.log.
• Файл SquirrelSetup.log отсутствует или поврежден.

Программа: C:\Users\Tester\AppData\Local\WhatsApp\app-0.3.5148\SquirrelSetup.log

Среда выполнения получила запрос от этого приложения, чтобы прекратить его необычным способом.
Для получения дополнительной информации обратитесь в службу поддержки приложения.

В большинстве случаев причинами ошибок в LOG являются отсутствующие или поврежденные файлы. Файл SquirrelSetup.log может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с WhatsApp) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла SquirrelSetup.log может быть вызвано отключением питания при загрузке WhatsApp, сбоем системы при загрузке или сохранении SquirrelSetup.log, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):

Если на этапе 1 не удается устранить ошибку SquirrelSetup.log, перейдите к шагу 2 ниже.

Шаг 2. Если вы недавно установили приложение WhatsApp (или схожее программное обеспечение), удалите его, затем попробуйте переустановить WhatsApp.

Чтобы удалить программное обеспечение WhatsApp, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):

После полного удаления приложения следует перезагрузить ПК и заново установить WhatsApp.

Если на этапе 2 также не удается устранить ошибку SquirrelSetup.log, перейдите к шагу 3 ниже.

Шаг 3. Выполните обновление Windows.

Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла SquirrelSetup.log. Мы храним полную базу данных файлов SquirrelSetup.log со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии WhatsApp . Чтобы загрузить и правильно заменить файл, выполните следующие действия:

Windows 10: C:\Users\Tester\AppData\Local\SquirrelTemp\
Windows 10: C:\Users\Tester\AppData\Local\WhatsApp\
Windows 10: C:\Users\Tester\AppData\Local\WhatsApp\app-0.3.3793\
Windows 10: C:\Users\Tester\AppData\Local\WhatsApp\app-0.3.5148\

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

Файл squirrel.exe из GitHub является частью Update. squirrel.exe, расположенный в c:\users\ jefferson gilioappdatalocalsquirreltemptempblibnet45\ squirrel .exe с размером файла 1942800 байт, версия файла 1.2.5.0, подпись f38f470e3c85ec3ed1a1547b5957def2.

1. Запустите приложение Asmwsoft Pc Optimizer.
2. Потом из главного окна выберите пункт "Clean Junk Files".
3. Когда появится новое окно, нажмите на кнопку "start" и дождитесь окончания поиска.
4. потом нажмите на кнопку "Select All".
5. нажмите на кнопку "start cleaning".

1. Запустите приложение Asmwsoft Pc Optimizer.
2. Потом из главного окна выберите пункт "Fix Registry problems".
3. Нажмите на кнопку "select all" для проверки всех разделов реестра на наличие ошибок.
4. 4. Нажмите на кнопку "Start" и подождите несколько минут в зависимости от размера файла реестра.
5. После завершения поиска нажмите на кнопку "select all".
6. Нажмите на кнопку "Fix selected".
   P.S. Вам может потребоваться повторно выполнить эти шаги.
   

3- Настройка Windows для исправления критических ошибок squirrel.exe:

1. Нажмите правой кнопкой мыши на «Мой компьютер» на рабочем столе и выберите пункт «Свойства».
2. В меню слева выберите " Advanced system settings".
3. В разделе «Быстродействие» нажмите на кнопку «Параметры».
4. Нажмите на вкладку "data Execution prevention".
5. Выберите опцию " Turn on DEP for all programs and services . " .
6. Нажмите на кнопку "add" и выберите файл squirrel.exe, а затем нажмите на кнопку "open".
7. Нажмите на кнопку "ok" и перезагрузите свой компьютер.

Как другие пользователи поступают с этим файлом?

Всего голосов ( 181 ), 115 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.

Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

Внешний вид таблицы:

Внешний вид таблицы:

Внешний вид таблицы:

Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
• Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

Файлы, находящиеся в подкаталоге ‘Databases’:

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

• в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
• во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

Структура ‘ChatStorage.sqlite’:

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

Внешний вид таблицы ‘ZWAMEDIAITEM’:

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

Также нужно обращать внимание на следующие каталоги:

Артефакты WhatsApp в Windows

• ‘C:\Program Files (x86)\WhatsApp\’
• ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
• ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

• мультимедиа-файлы;
• документы, передававшиеся с помощью WhatsApp;
• информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

• ‘C:\Applications\WhatsApp.app\’
• ‘C:\Applications\._WhatsApp.app\’
• ‘C:\Users\%User profile%\Library\Preferences\’
• ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
• ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
• ‘C:\Users\%User profile%\Library\Application Scripts\’
• ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
• ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
• ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
• ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
  В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
• ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
  В этом каталоге содержится информация об инсталляции программы.
• ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
  В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
• ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
  В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
• ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
  В этом каталоге находится несколько подкаталогов:

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения. Извлечение данных WhatsApp из облачных хранилищ Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ. Извлечение данных WhatsApp: практические примеры Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

Читайте также:

  
• Как подключить компьютерные колонки к музыкальному центру
  
• Loginusers vdf что за файл
  
• Запись алгоритма в виде последовательности команд компьютеру называется
  
• Чем открыть файл wem
  
• Ошибка 351 модем занят меркурий 185ф как исправить