На сегодняшний день самыми популярными мессенджерами являются Telegram, WhatsApp, Viber. Эти мессенджеры имеют как мобильные, так и настольные приложения. Сегодня мы продолжим тему компьютерной криминалистики и узнаем, где в настольной версии Telegram, WhatsApp, Viber хранятся пароли.
Еще по теме: Вы все еще верите в безопасность мессенджеров?
Где хранятся файлы Telegram
Telegram — это облачное приложение. Все чаты находятся в облаке. Частично чаты можно найти на мобильных устройствах.
Файлы настольной версии приложения Телеграм в Windows 8 и Windows 10 находятся в папке:
1 |
/Пользователи/Имя_пользователя/AppData/Roaming/Telegram/Telegram Desktop |
Кроме подпапок в этой папке находятся два файла:
- Исполняемый файл — Telegram.exe
- Файл журнала — log.txt
Вложенная папка D877F783D5D3EF8C содержит файлы.
Не удалось определить их содержимое. Вероятно, эти файлы являются временными файлами настольной версии Telegram. Выглядит так, что они зашифрованы.
Все эти файлы имеют заголовок 54 44 46 24 21 4A 0F.
Еще по теме: Как узнать информацию о пользователе Telegram
Где хранятся файлы WhatsApp
WhatsApp хранит чаты для пользователей. Новые сообщения чата хранятся в облаке WhatsApp и могут быть получены оттуда.
Папка WhatsApp на компьютере в версиях Windows 8 и Windows 10:
1 |
/Пользователи/Имя_пользователя/AppData/Roaming/WhatsApp |
Файл журнала установки WhatsApp находится в:
1 |
/Пользователи/Имя_пользователя/AppData/Roaming/WhatsApp |
Базы данных подпапок находятся в файле SQLite — Databases.db. Но этот файл не содержит контактов или чатов.
Другие подпапки содержат временные файлы рабочего стола WhatsApp.
Наиболее интересным является папка Cache.
В папке лежат разные файлы. Файл data_2 содержит аватары пользователей.
и ссылки на учетки пользователей (включая номера телефонов членов)
Остальные файлы в подпапке Cache могут быть изображениями, видеороликами и документами, которыми пользователи обмениваются в чатах. Выглядит так, что файлы зашифрованы. В этих файлах помимо зашифрованного контента можно найти те же ссылки:
1 2 3 |
https://mmg-fna.whatsapp.net/d/f/At2ip8lclg6LVFnXoRmUuqFqVB4pMkSI_WkVF6AWaZc1.enc https://mmg-fna.whatsapp.net/d/f/AkEjiy8ex6E7xhGCC6kV_dm4tz_00kLQiAUwvpowQp3p.enc https://mmg-fna.whatsapp.net/d/f/AtFNhtBXoXIH5aM77vPNHwyn1EMHEe_R7PV6cn3NRugi.enc[crayon-6705b22f38f4a393664319 inline="true" ] |
[/crayon]
Где хранятся файлы Viber
Viber хранит чаты на устройствах. Новые сообщения чата хранятся в облаке Viber и могут быть получены оттуда.
Файлы десктоп версии Viber в Windows 8 и Windows 10 находятся в папке:
1 |
/Пользователи/Имя_пользователя/AppData/Roaming/ViberPC/ |
Если имя одной из подпапок является номером телефона владельца этой учетной записи Viber.
В папке ViberPC есть файл config.db, который содержит таблицы
Учетные данные:
CommonSettings:
В подпапке с именем, которое совпадает с номером телефона владельца учетной записи Viber, есть:
Файл data.db.
Вероятно, файл содержит вспомогательные данные, необходимые для правильной работы этого мессенджера.
Файл viber.db, содержащий Viber Calls, Viber Chat Messages, Viber Contacts (эта информация может быть извлечена с помощью AXIOM (Magnet Forensics) или Belkasoft Evidence Center (Belkasoft). При исследовании файла viber.db с помощью SQLite Viewer из него можно извлечь дополнительную информацию:
- дополнительная информация о настройках программы ViberPC;
- информация о загруженных и загруженных файлах;
- chat информация;
- восстановленные чаты;
- версия Instant Messenger;
- и т.д.
В подпапке Аватары — аватары пользователей Viber.
В подпапке фоны — фоновые изображения чата.
Вложенная папка Thumbnails содержит эскизы изображений, которые были загружены пользователем Viber.
Выводы
Разработчики мессенджеров заявляют, что чаты частично или полностью хранятся на устройствах. Однако это утверждение неверно для приложения Telegram Desktop и приложения WhatsApp Desktop.
При анализе десктоп версии приложения WhatsApp специалист может извлечь аватары и номера телефонов. При анализе приложения Viber Desktop специалист может извлечь Viber Calls, Viber Chat Messages, Viber Contacts, аватары и медиа-кеш. С глубоким анализом viber.db с помощью инструмента SQLite Viewer можно извлечь дополнительную информацию.
Еще по теме: Как ловят преступников с помощью телефона
Ничего не поняла
чем открыть файлы из папки Cache в вотсапе?