WhatsApp Messenger, kullanıcıların ücretsiz mesaj alışverişi yapmalarını sağlayan popüler mobil mesajlaşma uygulamasıdır. Yaygın kullanılan bu uygulamadaki mesajlar birçok vaka ile ilgili veriyi içerebilmektedir.

Whatsapp uygulaması verileri SQLite veritabanlarında saklamaktadır. Adli açıdan en önemli iki veri tabanı bulunmakta olup, bunlar, wa.db ve msgstore.db’dır. Birincisi, kişiler hakkında ikinci mesajlar hakkında bilgi içermektedir.

Veri incelemesi yapan adli bilişim uzmanı msgstore dosyalarını bir Android cihazının SD kartında bulabilmektedir. ancak, bulunan veritabanı dosya uzantısı db şeklinde değildir. Dosya uzantısı genellikle Whatsapp uygulamasının versiyonuna göre crypt6, crypt7, crypt8 veya crypt12 şeklindedir. Bunlar şifrelenmiş msgstore yedek dosyalarıdır.

Root işlemi yapılmış bir mobil cihazı inceliyorsanız, şifre anahtarını ve en son şifrelenmemiş msgstore veritabanı dosyasını kolayca çıkarabilirsiniz. Ama cihazınız üzerinde root işlemi yapılması sonrasında mobil cihazın fabrika ayarlarına dönme riski bulunuyorsane olacak?

Üzülmeyin bu durumun bir çözümü bulunmaktadır!

WhatsApp Key / DB Extractor, root olmayan Android cihazlarda şifre anahtarı çıkarmak için adli bilişim uzmanına kolaylık sağlayan Abinash Bishoyi tarafından geliştirilmiş bir araçtır. Program komut dosyası, en son şifrelenmemiş WhatsApp İleti Veritabanı (msgstore.db) ve Kişiler Veritabanı (wa.db) da ayıklamaktadır. WhatsApp Key / DB Extractor, Android 4.0 veya sonraki bir sürümle Android cihazlarını desteklediğini unutmamak önemlidir.

Komut dosyasını çalıştırmak için en sevdiğiniz işletim sistemini kullanabilirsiniz. Program, Windows, Mac OS X ve Linux'u da desteklemektedir. İncelenmekte olan cihazda USB hata ayıklamasının etkin olduğundan ve Android Debug Bridge sürücülerinin yüklü olduğundan emin olunması gerekmektedir.

- Aracı kullanarak arşivi indirmeye başlayın.

- İndirilen arşivin paketini açın.

- Windows kullanıyorsanız - WhatsAppKeyExtract.bat, else - ./WhatsAppKeyExtract.sh'yi çalıştırın.

Bu örnekte Mac OS X'te bir iş istasyonu ve Android 5.0.1 ile bir mobil cihaz kullanıyoruz. WhatsAppKeyExtract.sh komut dosyasını çalıştırıdık. Bu, aygıtın WhatsApp 2.11.431 geçici klasörüne indirir ve yükler (şek.1).

 

 

Şekil 1. WhatsAppKeyExtract.sh komut dosyasını çalıştırma

Şimdi komut dosyası şifre anahtarı ve en son İletişim ve İleti şifrelenmemiş veritabanlarını ayıklamaya hazırdır. Bunu yapmak için, bir adli bilişim uzmanı cihazı açmalı ve yedekleme işlemini onaylamalıdır (Şekil 2).

 

Şekil 2. Komut dosyası görevi başarıyla tamamladı

Komut dosyası şifreli anahtar dosyasını ve şifrelenmemiş iki veritabanını (wa ve msgstore) kopyalar. Ayrıca WhatsApp'ın sürümünü orijinaline günceller. Şimdi, cihazın SD kartında bulunan veritabanlarının şifresini çözmek için şifre anahtarını kullanabilir.

 

Konu hakkında destek almak için Bigata Forensic ile iletişime geçiniz.