Whatsapp зашифрованные базы

Консультации, советы, помощь.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 21 июл 2015, 21:32

Добрый день! Имеется база crypt8, ключ отсутствует. Есть у кого-нибудь наработки по их открытию?
Телефон с которого взяты базы в наличии, ОС Андроид, root нет, файла key нет (папка /data/data/com.whatsapp отсутствует в связи с удалением самого месенджера). Установить новое приложение результатов не даст так как ключ генерируется не только на основе IMEI, как предполагалось, но использует (установлено эмпирическим путем) какие-то данные SIM-карты (также отсутствует).
Заранее спасибо!
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 21 июл 2015, 21:35

Делайте дамп устройства. Для начала.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 21 июл 2015, 21:44

Igor Mikhaylov писал(а):Делайте дамп устройства. Для начала.

Посоветуйте из своего опыта чем лучше сделать?
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 21 июл 2015, 21:46

ADB
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 21 июл 2015, 21:48

Igor Mikhaylov писал(а):ADB

Спасибо, будем пробовать! Какие дальнейшие шаги? Если файл ключа удален как его возможно восстановить?
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 21 июл 2015, 21:59

Можно ли будет подсунуть полученный дамп например в WinHex для поиска удаленного ключевого файла? (опытным путем установлена сигнатура ключа) Сможет ли ADB сделать дамп той области где хранился ключ ведь телефон не имеет root?
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 22 июл 2015, 06:08

rzsk писал(а): ведь телефон не имеет root

Что мешает сделать root?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 22 июл 2015, 14:55

Igor Mikhaylov писал(а):
rzsk писал(а): ведь телефон не имеет root

Что мешает сделать root?

Внесение каких-либо изменений в телефон не запрещено, но не приветствуется. Если другого выхода не будет будем изучать этот вопрос. На перспективу каким способом Вы бы рекомендовали получить root на телефоне при этом минимизировать вносимые на телефон изменения.
Заранее спасибо.
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 22 июл 2015, 16:03

Это зависит от модели телефона и количества имеющихся у вас времени и денег.

Дамп устройства можно получить следующими путями:
1)Chip-off. Пожалуй самый дорогой.
2)JTAG (нужен соответствующий программатор и обученный специалист)
3)Root (как получить root для конкретного устройства ищем на форуме 4pda.ru) Формально, перепрошивка, с получением root, не меняет данные в пользовательском разделе и, следовательно, соответствует криминалистическим нормам.
4)Получение дампа устройства с помощью специального загрузчика. Загрузчик, так как он пишется в пользовательский раздел, изменяет данные в пользовательском разделе памяти устройства (или, как вариант, на карте памяти).

Из моей практики, выбор пути сильно зависит от устройства и времени отпущенного на его исследование.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 23 июл 2015, 21:08

Спасибо за ответы. Удалось на тестовом телефоне (root есть) восстановить удаленный вместе с приложением ключ. Осталось решить проблему получения root прав на подлежащем экспертизе при этом не затереть удаленный ключ... :roll:
P.S. Интересное наблюдение - ключ каждый раз при переустановке приложения получается разный. У меня восстановленный ключ не совпадал с тем, что был мной заранее сохранен для "опытов", но теме не менее великолепно распаковал резервные копии...
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 23 июл 2015, 21:34

rzsk писал(а):P.S. Интересное наблюдение - ключ каждый раз при переустановке приложения получается разный. У меня восстановленный ключ не совпадал с тем, что был мной заранее сохранен для "опытов", но теме не менее великолепно распаковал резервные копии...

Действительно, интересное наблюдение. Но, такое встречается.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение rzsk » 24 июл 2015, 15:49

В общем получил рут на телефоне. Сделал полный дамп. По имеющейся сигнатуре нашел начало ключа, но он походу оказался битый - базы не расшифровал, да и вид он имеет не как все остальные (склоняюсь что уже подзатерся чем-то). Есть ли еще какие-либо варианты открытия подобных баз? Или если ключа нет можно оставить эту затею?
rzsk
 
Сообщения: 7
Зарегистрирован: 21 июл 2015, 21:21
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Sergey777 » 12 окт 2015, 17:12

Подскажите, пожайлуста, отличаются ли алгоритмы шифрования бэкапов whatsapp на разных версиях ОС? В основном описаны способы их открытия для Android или IOS, а у меня как раз ситуация с наличием файлов с флешки WinPhone 8.1 без ключей. Возможен ли их взлом? Почему нигде описаны пути их взома брутфорсом? (это не имеет смысла?)
Sergey777
 
Сообщения: 1
Зарегистрирован: 12 окт 2015, 16:39
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Whatsapp зашифрованные базы

Сообщение Igor Mikhaylov » 12 окт 2015, 20:46

Sergey777 писал(а):Почему нигде описаны пути их взома брутфорсом? (это не имеет смысла?)

Потому что не у каждого есть ресурсы взломать ассиметричный 256 битный ключ.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Re: Whatsapp зашифрованные базы

Сообщение ArtemDem » 13 ноя 2015, 23:30

Igor Mikhaylov писал(а):
А можно в ЛС подробности?

Если тема еще жива....Есть сохраненные на компе файлы WhatsApp без ключа. Буду признателен за любую помощь в расшифровке
ArtemDem
 
Сообщения: 2
Зарегистрирован: 13 ноя 2015, 23:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Пред.След.

Вернуться в Исследование мобильных устройств (телефонов, смартфонов и т.д.)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1