Msgstore db crypt12 что это можно ли удалить с телефона

Обновлено: 25.01.2025

Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.

Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.

Артефакты WhatsApp в Android-устройстве

Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).

Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.

Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.

В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:

Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:

‘wa_contacts’
Эта таблица содержит информацию о контактах: id контакта в WhatsApp, информацию о статусе, отображаемое имя пользователя, временные отметки и т.д.

Внешний вид таблицы:

Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:

Внешний вид таблицы:

Внешний вид таблицы:

Внешний вид таблицы:

Данный список полей не является исчерпывающим. Для разных версий WhatsApp часть полей могут присутствовать или отсутствовать. Дополнительно могут присутствовать поля ‘media_enc_hash’, ‘edit_version’, ‘payment_transaction_id’ и т.д.

Внешний вид таблицы:

• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/’. Содержит полученные аудиофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Audio/Sent/’. Содержит отправленные аудиофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/’. Содержит полученные графические файлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Images/Sent/’. Содержит отправленные графические файлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/’. Содержит полученные видеофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Video/Sent/’. Содержит отправленные видеофайлы.
• Каталог ‘/data/media/0/WhatsApp/Media/WhatsApp Profile Photos/’. Содержит графические файлы, ассоциированные с владельцем аккаунта WhatsApp.
• Для экономии места в памяти Android-смартфона часть данных WhatsApp может храниться на SD-карте. На SD-карте, в корневом каталоге, расположен каталог ‘WhatsApp’, где могут быть найдены следующие артефакты этой программы:

Файлы, находящиеся в подкаталоге ‘Databases’:

Особенности хранения данных в некоторых моделях мобильных устройств

В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:

• в обычном смартфоне под управлением ОС Android: /data/user/0/com.whatsapp/databases/wa.db’ (что эквивалентно ‘/data/data/com.whatsapp/databases/wa.db’);
• во втором рабочем пространстве смартфона Xiaomi: ‘/data/user/10/com.whatsapp/databases/wa.db’.

Артефакты WhatsApp в iOS-устройстве

Структура ‘ChatStorage.sqlite’:

Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.

Внешний вид таблицы ‘ZWAMESSAGE’:

Внешний вид таблицы ‘ZWAMEDIAITEM’:

Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:

Также нужно обращать внимание на следующие каталоги:

Артефакты WhatsApp в Windows

• ‘C:\Program Files (x86)\WhatsApp\’
• ‘C:\Users\%User profile%\ AppData\Local\WhatsApp\’
• ‘C:\Users\%User profile%\ AppData\Local\VirtualStore\ Program Files (x86)\WhatsApp\’

В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:

Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.

Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.

Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.

Также файл ‘data_3’ может содержать графические файлы.

Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).

Аватары, содержащиеся в файле ‘data_2’:

Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:

• мультимедиа-файлы;
• документы, передававшиеся с помощью WhatsApp;
• информацию о контактах владельца аккаунта.

Артефакты WhatsApp в MacOS

В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.

Файлы программы находятся каталогах:

• ‘C:\Applications\WhatsApp.app\’
• ‘C:\Applications\._WhatsApp.app\’
• ‘C:\Users\%User profile%\Library\Preferences\’
• ‘C:\Users\%User profile%\Library\Logs\WhatsApp\’
• ‘C:\Users\%User profile%\Library\Saved Application State\WhatsApp.savedState\’
• ‘C:\Users\%User profile%\Library\Application Scripts\’
• ‘C:\Users\%User profile%\Library\Application Support\CloudDocs\’
• ‘C:\Users\%User profile%\Library\Application Support\WhatsApp.ShipIt\’
• ‘C:\Users\%User profile%\Library\Containers\com.rockysandstudio.app-for-whatsapp\’
• ‘C:\Users\%User profile%\ Library\ Mobile Documents\ <текстовая переменная> WhatsApp\ Accounts’
  В этом каталоге находятся подкаталоги, имена которых представляют собой номера телефонов, ассоциированных с владельцем аккаунта WhatsApp.
• ‘C:\Users\%User profile%\Library\Caches\WhatsApp.ShipIt\’
  В этом каталоге содержится информация об инсталляции программы.
• ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Masters\’, ‘C:\Users\%User profile%\Pictures\Медиатека iPhoto.photolibrary\Thumbnails\’
  В этих каталогах содержатся служебные файлы программы и, в том числе, фотографии и миниатюры контактов WhatsApp.
• ‘C:\Users\%User profile%\Library\Caches\WhatsApp\’
  В этом каталоге находятся несколько SQLite-баз, которые используются для кэширования данных.
• ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\’
  В этом каталоге находится несколько подкаталогов:

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».

В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).

1. Forensic analysis of WhatsApp Messenger on Android smartphones, by Cosimo Anglano, 2014.
2. Whatsapp Forensics: Eksplorasi sistem berkas dan basis data pada aplikasi Android dan iOS by Ahmad Pratama, 2014.

В следующих статьях этой серии:

Статья, в которой будет приведена информация о том, каким образом происходит генерация ключа шифрования WhatsApp, и даны практические примеры, показывающие, как произвести расшифровку зашифрованных баз этого приложения. Извлечение данных WhatsApp из облачных хранилищ Статья, в которой мы расскажем, какие данные WhatsApp хранятся в облаках, и опишем методы извлечения этих данных из облачных хранилищ. Извлечение данных WhatsApp: практические примеры Статья, в которой будет пошагово описано, какими программами и как произвести извлечение данных WhatsApp из различных устройств.

В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.

Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.

Очистка через сам WhatsApp

По умолчанию в WhatsApp активирована автозагрузка всех медиафайлов. Это означает, что картинки, музыка, анимации и многое другое автоматически сохраняются в памяти смартфона. С одной стороны это позволяет получить доступ к контенту даже оффлайн. С другой — масса ненужных файлов засоряют ценное пространство.

Как только вся важная информация перенесена, можно приступать к очистке:

1. На главном экране Whatsapp в правой верхней части кликните по изображению с тремя точками. Выберите раздел «Настройки».

2. Перейдите в пункт меню «Данные и хранилище». Далее — в подпункт «Хранилище». Здесь же вы можете посмотреть, сколько всего занимают данные приложения.

3. В списке вы увидите всех пользователей, с которыми когда-либо переписывались. Интерфейс позволяет удалить данные для каждого отдельного контакта. Для этого кликните по нему и нажмите в нижней части кнопку «Освободить место». Далее можно выбрать, что конкретно будет удалено и сколько памяти занимает каждая категория.

4. Таким образом, вы можете стереть все медиафайлы, но при этом оставить переписку с конкретным человеком. Остается только подтвердить действия.

Все ранее сохраненные файлы будут полностью удалены из памяти, поэтому в папке WhatsApp на системной памяти вы их не найдете. Этот способ поможет очистить память от лишнего мусора.

Радикальная чистка содержимого

Если у вас сотни контактов, а проводить для каждого чистку ручным способом нет времени и желания, можно удалить все данные через меню приложений на вашем смартфоне. Недостаток этого метода – он удаляет и всю информацию об аккаунте. Вам придется заново подтверждать номер, придумывать имя, ставить аватарку и так далее. Если для вас это не проблема, то проделайте несколько простых действий:

1. Зайдите в настройки телефона и найдите раздел «Все приложения» или аналогичный.

2. В списке выберите WhatsApp и кликните на «Очистить» или «Удалить данные» в зависимости от версии Android.

3. Подтвердите удаление.

Помните, что этот метод полностью откатывает приложение, поэтому авторизацию придется проходить заново.

Избавляемся от проблемы раз и навсегда

Если не хотите регулярно чистить память смартфона от различного медиаконтента, сохраненного в WhatsApp, то просто отключите автоматическую загрузку. Сделать это также можно через стандартный интерфейс приложения:

1. Перейдите в настройки приложения через иконку троеточия и зайдите в раздел «Данные и хранилище».

2. В блоке «Автозагрузка» отключите подгрузку файлов через мобильную сеть, Wi-Fi и роуминг. Для этого в каждом пункте нужно убрать все галочки, как это показано на изображении ниже.

После этого WhatsApp не будет сохранять в память телефона аудио, фото, видео и документы. Однако переписку придется удалять самостоятельно, если она начнет занимать слишком много места.

WhatsApp завоевал популярность среди пользователей как надежный мессенджер. Пользователи ведут в Ватсап личные переписки, присылают фото и видеозаписи. Для того чтобы эта информация хранилась надежно и не попала в чужие руки, разработчики создали грамотный алгоритм шифрования данных приложения.

Что это за папка

Копия информации, находящейся в приложении Ватсап, используется только на собственном смартфоне. Нельзя просматривать папку msgstore на чужом телефоне, это нарушение конфиденциальности и прав человека.

Ситуации, когда пользователю треуется открыть резервные копии, связаны с потерей или поломкой смартфона.

В папке msgstore сохраняются:

Информация из приложения сохраняется на Гугл-диск, на самом устройстве все хранится в зашифрованном виде в папке msgstore.

Резервная копия приложения Ватсап на телефоне Андроид открывается с помощью ключа, представляющего собой обычный файл, находящийся в базе данных телефона, в системной папке приложения. При первичном копировании информации из приложения, этот файл автоматически создается в базе данных в виде msgstore.db.crypt.

Как открыть на компьютере

Для облегчения распаковки зашифрованной информации, проще всего открыть на компьютере системную папку телефона. Для этого смартфон подключается через USB-провод, на рабочем столе пользователь находит папку с названием data/data/сom.whatsapp/files.

Для распаковки папки понадобится специальное программное обеспечение. С его помощью следует открыть папку Databases и найти msgstore.db.crypt. В этой папке хранится несколько файлов msgstore с датой создания. Этих файлов не может быть больше семи, они хранятся не более недели. Для восстановления данных, нужно сохранить последний файл, с ближайшей датой. Затем удалить приложение и заново его установить на устройство. При первом запуске Ватсап предложит восстановить данные, находящиеся в хранилище. Для восстановления информации нужно выбрать предложенный файл из списка и дождаться окончания загрузки.

Расшифровка информации, хранящейся в msgstore.db.crypt, с компьютера осуществляется через утилиты, например, WhatsApp Decrypter. Работать с ними не сложно, достаточно найти файл msgstore.db.crypt и нажать Decrypt. Программное обеспечение расшифрует файл, после чего его можно открыть и просмотреть.

Для просмотра используются программы для чтения базы данных, поддерживающие тот же формат, что у Ватсап.

Расшифровать информацию с приложения Ватсап не составит труда, для этого потребуется наличие компьютера и программного обеспечения на нем. Использовать данные необходимо только в личных целях, не нарушая закон о правах человека.

Резервное копирование истории чатов в WhatsApp

IT специалист. Администратор сайта. Проконсультирую вас по многим вопросам из сферы информационных технологий! Во время процесса восстановления стертых чатов, внимательно следите, какие запросы появляются на экране. Это очень важно, ведь одно неверное действие может уничтожить все переписки пользователя в WhatsApp. Сайт Strana-IT не несет ответственность за исчезновение важной информации, так что действуйте, если только полностью уверены в своих силах и точно понимаете, что делаете.

«Настройки» > «Чаты» > «Резервная копия чатов»

В этом разделе находятся все параметры резервного сохранения данных. Так вы можете выбрать частоту создания копий:

• Никогда
• Ежедневно
• Еженедельно
• Ежемесячно
• Только при нажатии «Резервное копирование»

Но помимо этого вам придется сделать привязку к облаку, где вы будете хранить данные. Ватсап для Андроида предлагает делать это только на Google Диске, соответственно вам нужно иметь аккаунт в Google. Если у вас смартфон на Android, то скорее всего для вас это не станет проблемой.

Если вы используете iPhone, то в настройках частоты создания копий вам нужно выбрать «создать резервную копию сейчас», чтобы в ручном режиме заархивировать историю переписок в iCloud.

Восстановление переписки WhatsApp из облака на телефоне Android или iPhone

Эти простые шаги вернут вам всю историю чатов, которую вы нечаянно стерли.

Такой метод восстановления применим только для Андроидов, то есть для таких телефонов как Honor, Samsung, Xiaomi, Redmi и так далее. Если же смартфон на iOS (он же Айфон), то этот вариант не подойдет.

Также важно, чтобы у вас осталась резервная копия не только на Google Диске, но и локально в памяти смартфона. Так вы сможете восстановить даже тот чат, который был удален год назад. Далее действуем так:

1. Откройте диспетчер файлов вашего телефона. Если такого проводника у вас нет, то скачайте утилиту-обозреватель Google Files в Google Play Market.
2. Отыщите папку WhatsApp, а в ней раздел Databases. Здесь будут храниться все резервные копии, сохраненные локально на телефон.
3. Найдите db.crypt12 – этот файл содержит последнюю сохраненную версию ваших чатов в мессенджере. Чтобы процесс восстановления прошел правильно его нужно переименовать, например так: msgstore_BACKUP.db.crypt12.
4. Также в этой папке могут быть и другие версии резервных копий, имя которых будет содержать дату, например: msgstore-YYYY-MM-DD.1.db.crypt12. Выберите тот файл, который нужно будет восстановить и измените его имя на db.crypt12.
5. Теперь откройте Google Диск со своего смартфона, коснитесь иконки меню (три горизонтальные линии) и выберите «Резервные копии».
6. Найдите резервную копию для WhatsApp и в меню напротив выберите опцию удаления сохраненных данных.
7. Удалите WhatsApp со своего смартфона и вновь установите мессенджер, указав номер телефона.
8. Теперь мессенджер предложит вам восстановиться из локальной резервной копии, а не из облачной.

Так вы сможете вернуть удаленные чаты из любого отрезка времени.

Экспорт чата и возврат к последней резервной копии

Продублируйте эти же действия для других важных чатов, которые вы хотели бы сохранить. Как только это будет сделано, снова выполните действия, описанные в предыдущем описании. Когда вы перейдете к переименованию файлов в папке Databases, сделайте таким образом:

Удалите WhatsApp, также сотрите резервную копию в хранилище на Google Диске, заново скачайте и установите мессенджер и восстановите из локальной резервной копии. Теперь ваш чат с заблокированным контактом вновь появится.

Как перенести историю чатов WhatsApp на новый телефон

Если вы счастливый обладатель нового смартфона, но ваше счастье немного омрачается отсутствием важной информации в чатах WhatsApp – не переживайте, их можно восстановить.

1. Для начала проверьте, активен ли на новом телефоне аккаунт Google и есть ли приложение Google Диск. Также убедитесь, что на Google Диске в облачном хранилище есть резервная копия вашего WhatsApp.
2. Переустановите WhatsApp, снова пройдите регистрацию привязанного номера телефона.
3. На экране появится информация о возможности восстановления резервной копии из облачного хранилища. Кликните «Восстановить».
4. Восстановление займет какое-то время, после чего вам снова станут доступны чаты и мультимедиа.

Если же в облачном хранилище Google Диска данные WhatsApp не сохранились, но на старом телефоне осталась локальная резервная копия, то можно сделать восстановление из нее. Для этого через файловый проводник перенесите нужные файлы с одного устройства на другое. А далее следуйте инструкции по восстановлению из локальной копии WhatsApp, которую мы подробно описывали выше. Как мы уже говорили такой вариант возвращения чатов на место подходит только для смартфонов на Android.

Как вернуть чат с заблокированным контактом в WhatsApp

Если вы по ошибке заблокировали контакт, коснувшись «В СПАМ И ЗАБЛОКИРОВАТЬ», то этот чат исчезнет. Если была сделана резервная копия, содержащая этот чат, то его можно будет восстановить вот так:

1. Разблокируйте контакт.
2. Очистите кэш и данные WhatsApp (откройте «Настройки», затем раздел «Приложения», найдите и коснитесь строки WhatsApp, на появившемся экране тапните на «Память» и «Сброс»).
3. Перейдите в диспетчер файлов, откройте папку WhatsApp, а следом и Databases.
4. Переименуйте db.crypt12 в backup-msgstore.db.crypt12.
5. Перезагрузите WhatsApp.
6. Завершите процесс восстановления, следуя подсказкам на экране.

Использование специальных приложений для восстановления данных WhatsApp через компьютер без резервной копии

Когда вы ищете в Google или Яндекс помощь в восстановлении утраченных фото и видео в WhatsApp, вы, наверняка, встречаете десятки утилит, которые обещают разрешение вашей проблемы. Поют преимущества они красиво, но вот на деле все не так.

Почти абсолютное число таких программ для «восстановления» вас не спасут. У программного обеспечения есть такие большие проблемы, как: требование root-прав (для Android), оплата за использование и т.д.

Читайте также:

  
• Нет сц телефон fly что это
  
• Как отключить камеру в teams на телефоне
  
• Блютуз наушники просят пароль на телефоне
  
• Fwb что это значит на смартфоне
  
• Как посмотреть входы в вк с телефона