Stickers db crypt что это
Папки Whatsapp: databases, sent, msgstore db crypt12
Папка msgstore db crypt12 что это и как ее открыть?
Папка с наименованием «msgstore db crypt12» хранится в директории базы данных (Databases). Файл с наименованием msgstore непосредственно представляет собой набор данных за определенный промежуток времени, он формируется и сохраняется в процессе создания резервной копии в локальном хранилище.
Данный файл можно открыть на персональном компьютере при помощи специального программного обеспечения «Hetman».
Стоит учесть, что в папке, которая по большому счету представляет собой локальную базу данных, есть несколько файлов msgstore, в названии каждого из них присутствует дата, это как раз день создания резервной копии. Для восстановления рекомендуется выбираться последнюю копию.
Максимальное количество этих файлов в папке может достигать семи. Резервная копия не хранится более недели в локальном хранилище во внутренней памяти устройства.
Для восстановления требуется:
Whatsapp databases что это за папка и можно ли её удалить?
Папка Databases в директории со всеми файлами Ватсап хранит данные мессенджера и учетной записи, в основном текстовые переписки и чаты. Удалять данную папку не рекомендуется, так как при переустановке приложения или потере данных при помощи файлов резервной копии будет возможность восстановить часть информации.
Что за папка sent в whatsapp и как ее удалить?
Папка Сент представляет собой хранилище всех отправленных данных при помощи мессенджера Вастап, установленного на смартфон.
Для поиска информации необходимо:
Для очистки этой папки достаточно почистить кэш мобильного устройства:
Структура статьи такая: сперва отвечаем на вопрос «как восстановить переписку Ватсапа» самым простым способом, затем, если не помогло, вникаем в детали: проверяем настройки автоматического резервирование сообщений – это поможет понять как творить чудеса восстановления удаленных чатов (инструкции прилагаются). В конце разберемся как доставать переписки со сломаннах телефонов или переносить на новый.
Внимание! Читайте до конца только если хотите узнать всё о восстановлении данных в мессенджере. Некогда разбираться? Жми на ссылку, переходи в нужной раздел.
Оглавление
Простое восстановление
Сперва о самой простой ситуации: пользовались мессенджером, давно удалили, а теперь решили воспользоваться снова, да еще и вернуть всю «недавнюю» переписку? Ничего проще – установите его и сообщения вернутся сами.
Следуйте простым инструкциям:
Нет? Значит ваш случай не так прост. Скорее всего не было настроено резервное копирование и сообщения не сохранялись. Проверяем и настраиваем в следующей главе – это важно!
Резервные копии
1. В телефоне
Если уже пользовались «вотсапом», значит вся переписка, фотографии и прочие файлы хранятся в памяти телефона, в папке «/WhatsApp». Проверить можно с помощью приложения типа «Менеджер файлов» (или «файловый менеджер»). Не уверены, что у вас есть? Рекомендуем загрузить эти:
Открываем приложение, находим папку:
Не нашли? Вам сразу сюда. Нашли? Хорошо, познакомимся с содержанием.
2. В облаке
«Ватсап» дополнительно сохраняет копии в облачные сервисы:
Проверяем настройки облачного резервирования.
Настройка резервирования
С теорией разобрались, переходим к практике. Начнем с самого интересного — удаленные сообщения.
Восстановление переписки
Предупреждаем, чтобы зря не тратили время! Просто отменить удаление сообщения и вернуть его прям в чат — невозможно!
Принцип мессенджера: не хранить то, что было намеренно удалено. Поэтому официальная документация не предлагает внятных решений. FreeSoft предлагает.
Решение: восстановим состояние переписки на момент автоматического создания резервных копий. Рассмотрим пару несложных способов восстановления важных сообщений.
Вариант 1
Если помните, что отправляли сообщение до даты и времени изменения файла «msgstore.db.crypt12», а удаляли позже – просто переустановите приложение, получите SMS с кодом, авторизуйтесь, восстановите чаты из резервных копий. Не помните? Читаем дальше.
Резервирование происходит ночью, каждые 24 часа, значит если между отправкой и удалением сообщения прошли сутки – всё возможно, переписку сейчас восстановим. (Иначе, чем меньше времени прошло, тем меньше шансов. Кстати, проверить можно специальной программой).
В общем, следуйте инструкции:
В конце установки «Вацап» предложит восстановить сообщения – соглашайтесь. Вы получите состояние чатов на тот момент, когда сообщение еще не было удалено. Просто, не так ли?
Вариант 2
Переслать сообщение очень просто:
Чтобы переслать весь чат
С удаленными сообщениями разобрались. Теперь разберемся что делать, если перестарались с очисткой памяти, поломали, потеряли или просто купили новое устройство.
Восстановление памяти
Решения зависят от проблемы. Рассмотрим все варианты.
Неудачно почистили память телефона
В этом случае резервные копии будут извлечены из облачного диска. Попробуйте просто установить приложение заново. Если, копий в облаке нет, восстановим информации из памяти гаджета. Шаги:
Восстанавливаем архивы бесплатными программами и приложениями.
Dr.Fone
Бесплатное приложение на Андроид. Есть специальные функции восстановления архивов переписок WhatsApp. Устанавливайте, следуйте инструкциям в программе.
Скачать для Android 
WhatsApp Recovery
Программа для ОС Windows показывает сообщения и звонки с «айфона», есть функция чтения архивов – можно сразу посмотреть попало сообщение в резервную копию или нет.
Скачать для Windows 
iPhone Data Recovery
Программа бесплатно восстанавливает переписку и вообще все данные «ватсапа» на «айфоне», устанавливается на Mac-OS.
Скачать для MacOS 
Обратите внимание на функционал: приложения неплохо справляются с возвращением удаленных песен, фотографий и даже видеозаписей.
Поменялось устройство
Здесь всё зависит от наличия доступа к старому устройству. Рассмотрим 3 возможных случая.
Покупка нового аппарат стала причиной восстановления переписки? Решение: настраиваем и восстанавливаем резервные копии пошагово:
Через интернет
Без интернета
Потерялось или поломано без шансов не ремонт и восстановления данных.
Восстановить переписку теперь можно только если было настроено резервирование в облако. Как правило, приложение рано или поздно рекомендует это делать. При установке мессенджера – попросит доступ к виртуальному диску и восстановит данные. Переустанавливайте.
Если вы специально отказывались от резервирования «Вотс Апп» → Game Over! (╯°□°)╯︵┻━┻. Теперь просите своих собеседников переслать чаты. И впредь обязательно настраивайте резервирование!
Например, телефон искупался. Без вариантов — обращайтесь за помощью в сервисный центр и уточните, что надо восстановить переписки «востапа».
Включать промокший аппарат опасно, даже если он кажется сухим — вы не можете оценить ситуацию под дисплеем или аккумулятором. Серьёзно. В сервис!
PS: если вы прочитали статью полностью и всё равно ничего не поняли — в любом случае отдайте свой гаджет в сервис, услуга должна быть скорой и недорогой. Удачи!
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
| is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
| status | содержит текст, отображаемый в статусе контакта |
| status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| number | номер телефона, ассоциированный с контактом |
| raw_contact_id | порядковый номер контакта |
| display_name | отображаемое имя контакта |
| phone_type | тип телефона |
| phone_label | метка, ассоциированная с номером контакта |
| unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
| photo_ts | содержит временную метку в формате Unix Epoch Time |
| thumb_ts | содержит временную метку в формате Unix Epoch Time |
| photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
| given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
| wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
| sort_name | имя контакта, используемое в операциях сортировки |
| nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
| company | компания (отображается компания, указанная в профиле контакта) |
| title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
| offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
| Имя поля | Значение |
|---|---|
| _id | порядковый номер записи (в SQL таблице) |
| key_remote_jid | WhatsApp ID партнера по коммуникации |
| key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| key_id | уникальный идентификатор сообщения |
| status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
| need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
| timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
| media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
| media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
| origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
| latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
| longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
| thumb_image | служебная информация |
| remote_recource | ID отправителя (только для групповых чатов) |
| received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
| send_timestamp | не используется, обычно имеет значение ‘-1’ |
| receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
| read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
| raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
| recipient_count | количество получателей (для широковещательных сообщений) |
| participant_hash | используется при передаче сообщений с геоданными |
| starred | не используется |
| quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
| mentioned_jids | не используется |
| multicast_id | не используется |
| offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
| Имя поля | Значение |
|---|---|
| Z_PK | порядковый номер записи (в SQL таблице) |
| Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
| Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
| ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
| ZDOCID | неизвестно |
| ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
| ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
| ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
| ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
| ZMESSAGETYPE | тип передаваемого сообщения |
| ZSORT | неизвестно |
| ZSPOTLIGHSTATUS | неизвестно |
| ZSTARRED | неизвестно, не используется |
| ZCHATSESSION | неизвестно |
| ZGROUPMEMBER | неизвестно, не используется |
| ZLASTSESSION | неизвестно |
| ZMEDIAITEM | неизвестно |
| ZMESSAGEINFO | неизвестно |
| ZPARENTMESSAGE | неизвестно, не используется |
| ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
| ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
| ZFROMJID | WhatsApp ID отправителя |
| ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
| ZPHASH | неизвестно, не используется |
| ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
| ZSTANZID | уникальный идентификатор сообщения |
| ZTEXT | текст сообщения |
| ZTOJID | WhatsApp ID получателя |
| OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.