Мобильный Криминалист

Дешифрование импортированных резервных копий WhatsApp

В мобильной криминалистике эксперты часто сталкиваются с различными ситуациями, которые могут помешать дешифровке необходимой информации из устройства. Одна из таких ситуаций – удаление пользователем приложения, нужного для исследования, из своего устройства.  

Рассмотрим это на примере мессенджера WhatsApp. Вам необходимо дешифровать резервные копии WhatsApp, импортированные из Android-устройства, но выяснилось, что приложение было удалено с исследуемого устройства.

Ранее эта задача была невыполнима потому, что при повторной установке приложения, ключ шифрования на устройстве обновлялся и становился несовместим с резервными копиями, сделанными до удаления приложения. Но обновленный «Мобильный Криминалист» 10.4 позволяет расшифровать резервные копии приложения WhatsApp, которые были импортированы из SD-карты или внутренней памяти Android-устройства без использования ключа шифрования из устройства.

Для дешифровки данных необходимо зайти в «Мобильный Криминалист Облачные Сервисы» и выбрать пункт «Дешифровать файлы резервной копии WhatsApp».

Далее нужно выполнить следующие действия:

1. Указать путь к зашифрованной базе данных.

В том случае, если структура файловой системы нестандартна, «Мобильный Криминалист» приведет ее к первоначальному виду, в котором она хранилась на устройстве.

2. Пройти аутентификацию с помощью номера телефона или токена, связанных с импортируемой резервной копией.

Важно отметить, что при прохождении аутентификации по номеру телефона, на устройстве с указанным номером будет выполнен выход из учетной записи WhatsApp.

Токен может быть сгенерирован заранее или найден среди данных, полученных после извлечения устройства, на котором было установлено приложение WhatsApp, учетная запись которого была прикреплена к тому же телефонному номеру, что и исследуемая вами резервная копия.

3. Указать папку для сохранения результатов извлечения.

4. Нажать кнопку «Дешифровать».

После запуска процесса расшифровки программа проверяет совпадение указанного телефонного номера или токена с импортируемой резервной копией. Если проверка проходит успешно, программа подбирает ключ и производит дешифровку.

В итоге получается расшифрованная резервная копия приложения WhatsApp, которая содержит те же данные, что и копия, расшифрованная непосредственно при извлечении из устройства (чаты, изображения, аудиофайлы и др.)

Таким образом, для расшифровки резервной копии WhatsApp вам не нужно иметь доступ к памяти устройства, в котором хранится ключ шифрования – достаточно обладать активной SIM-картой или токеном, связанными с исследуемой резервной копией.

  • Начать дешифрование
  • Выбор базы данных
  • Вход в учетную запись
  • Выбор папки для сохранения архива
  • Процесс дешифровки
  • Результаты дешифровки