En yaygın mobil sohbet uygulaması olan WhatsApp, 600 milyondan fazla kullanıcıya sahip anlık mesajlaşma hizmetidir. Şubat 2014’te Facebook tarafından satın alınmıştır ve popülerliği artmaya devam etmektedir. Yaygın olarak kullanılması nedeniyle adli davalar ve hukuki uyuşmazlıklarda whatsapp konuşmaları, mesajları, fotoğraf ve videoları tarafların iddialarını ispat etmesine yardımcı olmakta ve mahkemede delil teşkil edebilmektedir. Bu yazıda, telefon adli bilişim incelemelerinde yapılan whatsapp analizlerine değineceğiz.

 

Telefon Adli Bilişim İncelemeleri için WhatsApp Neden Önemli?

Diğer mobil sohbet uygulamaları gibi, WhatsApp kişileri, mesajları ve ekleri, farklı araştırma türleri için kanıt bulmak isteyen uzmanlar için değerli olabilir. Bir şüphelinin veya bir mağdurun mobil cihazını analiz ediliyorssa whatsapp sohbet kalıntıları, bir vakayı çözmeye yardımcı olmak için değerli bilgiler içerebilir.

 

WhatsApp İncelemesi Yaparken Bulunması Gereken Dosyalar

Android

Android cihazlar için, WhatsApp dosyalarını inceleyen araştırmacılar için dikkate değer iki SQLite veritabanı vardır:

• msgstore.db
• wa.db

msgstore.db, whatsapp kullanıcısı ile kişiler arasındaki sohbet görüşmelerinin ayrıntılarını içerir. wa.db ise tüm WhatsApp kişi bilgilerini saklar. Bu veritabanlarının her ikisi de aşağıdaki konumlardaki veritabanları klasörünün altında bulunabilir:

Msgstore.db, iki tablo içeren oldukça basit bir SQLite veritabanıdır: chat_list ve messages. Mesajlar tablosu, bir kullanıcının rehberinden gönderdiği veya aldığı tüm mesajların bir listesini içerir. Kullanıcının benzersiz bir kullanıcı adı veya PIN kodu olması gereken bazı sohbet programlarından farklı olarak, WhatsApp, kullanıcının telefon numarasını hem kullanıcı hem de kişileri için tekil bir tanımlayıcı olarak kullanır. Bu tablo, kişinin telefon numarasını, mesaj içeriğini, mesaj durumunu, zaman damgalarını ve mesaja dahil olan eklerle ilgili ayrıntıları içerecektir. WhatsApp üzerinden gönderilen eklerin kendi tablo girişleri vardır ve mesaj içerikleri küçük resim içeren boş bir giriş ve paylaşılan fotoğrafa/videoya bağlantı içerir. Bu ekler, doğrudan msgstore.db dosyasında depolanır. Bu veritabanı şifreli olarak tutulduğundan telefondaki key dosyası ile çözülmesi gerekir.

 

Msgstore.db veri tabanında bulunan,Chat_list tablosu, bir kullanıcının iletişim kurduğu tüm telefon numaralarının bir listesini içerir. Ancak bu, kullanıcının bağlantılarının tam listesi değildir. Bunun için wa.db’ye bakmalıyız.

Wa.db, telefon numarası, ekran adı, zaman damgası ve WhatsApp’a kaydolurken verilen diğer bilgiler dahil olmak üzere, bir WhatsApp kullanıcısının bağlantılarının tam bir listesini içerir.

Msgstore.db ve wa.db’ye erişebilmek için, telefon bilişim incelemesi başında Android cihazına root atılmalı veya başka bir şekilde fiziksel imaj alınmalıdır. WhatsApp ayrıca msgstore.db’nin bir kopyasını yedekleme için kullanılan SD kartta saklar. Dosya yolu ise şu şekildedir.

Dosya uzantısından da anlaşıldığı gibi msgstore.db şifreli olarak tutulur ve analizden önce şifresinin çözülmesi gerekir. Telefonda kullanılan WhatsApp sürümüne bağlı olarak, bu veritabanında birkaç farklı şifreleme türü kullanır.

WhatsApp kişilerini, Android iletilerini ve eklerini kurtarmak, uygun veritabanlarına eriştikten sonra nispeten kolaydır. Bu süreç iOS işletim sistemli iPhone’larda bazı küçük farklılıklarla birlikte oldukça benzerdir.

 

iOS

Birden fazla SQLite veritabanı kullanan Android’den farklı olarak, iOS işletim sisteminde, tüm ilgili WhatsApp verileri ChatStorage.sqlite adlı bir veritabanında, aşağıdaki konumda depolanır:

ZWAMESSAGE ve ZWAMEDIAITEM tabloları, mesajlar, gönderen, alıcı, zaman damgaları, coğrafi konum verileri ve iki kişi arasında paylaşılan herhangi bir medyanın yolu/konumu dahil olmak üzere, önemli bilgiler içeren mükemmel yerlerdir. Android için belirtilen aynı whatsapp detaylarının çoğu bu tablolarda bulunur. Sadece tablo adları ve yapısı farklı olabilir.

ChatStorage.sqlite veritabanına ek olarak, aynı konumda bir de Contacts.sqlite veritabanı bulunmaktadır. Bir kullanıcının WhatsApp kişileri hakkında bazı ekstra ayrıntılar olsa da, bu veritabanı, kullanıcıyı WhatsApp sunucularına tekil olarak tanımlayan JID bilgisi içermez.

WhatsApp Analizi

Birçok adli bilişim programı, Android ve iOS’ta WhatsApp konuşmalarından mesajların, kişilerin ve eklerin kurtarılmasını destekler. Ayrıca, yukarıda sözü edilen detayları ayrıştırıp, incelemesi kolay okunur bir biçimde düzenler. Aşağıda bir Android WhatsApp mesajından çıkarılabilecek detaylar verilmiştir:

1. Gönderici ve alıcı detayları
2. Mesaj içeriği
3. Mesaj durumu
4. Tüm mevcut zaman damgaları
5. Coğrafi konum verileri (varsa)
6. Küçük resim / fotoğraf ve videolar

 

Yukarıda listelenen bilgileri kurtarmanın yanı sıra, BEST Veri Kurtarma tarafından kullanılan adli bilişim araçları ile WhatsApp sohbetlerinin tıpkı şüpheli veya mağdurun kendi cihazlarında gördüğü gibi otomatik olarak sıralanmasına ve görüntülenmesine imkan verecek şekilde analizi ve raporlaması yapılabilmektedir.

Best Veri Kurtarma Merkezi

Biz “Kurtarılamaz” Demedikçe Hiçbir Veri Kurtarılamaz Değildir..

---

BEST Veri Kurtarma Adli Bilişim Uzmanları, iphone ile Samsung, HTC, Sony, Huawei, LG gibi Android telefonlarda WhatsApp incelemesi yaparak adli bir dava veya bir araştırma için değerli olabilecek bulguları ortaya çıkarmaktadır. Bulguları çeşitli adli inceleme programları vasıtasıyla analiz edip değerlendirmekte ve Uzman Mütalaası hazırlayarak raporlamaktadır.

Bize ulaşın.