WhatsApp应用程序取证探究

1.WhatsApp 数据存储在哪里

Android

 /data/data/com.whatsapp/databases/msgstore.db (需要root)
 /storage/emulated/0/WhatsApp/Databases/msgstore.db.cryptX

ios

 ChatStorage.sqlite (进入应用程序沙盒，需要越狱或 iTunes备份）

2.取证所需的 WhatsApp 关键文件 

 msgstore.db – 存储信息和通话记录
 wa.db – 存储联系人和关联账户
 media folder – 存储图像、视频和语音备注

WhatsApp 使用 .cryptX 对这些数据库进行加密（例如 .crypt14 和 .crypt15）

3.WhatsApp 加密工作原理

WhatsApp使用端到端加密（E2EE）：

• 报文信号协议
• AES-256 备份加密技术(msgstore.db.cryptX)
• SHA-256 哈希算法保证完整性

解密需要存储在设备上的加密密钥 

4.提取WhatsApp数据的取证方法

1. 逻辑提取 — 从Google Drive/iCloud 备份中提取
2. 物理提取 — 访问原始数据（需要 root/越狱权限）
3. 云提取 — 从Google/iCloud中提取 (需要凭证或令牌) 

5.解密WhatsApp数据

要读取 .crypt14/.crypt15 文件，需要

• 原始加密密钥 
• WhatsApp Viewer 或 Omni-Crypt 等解密工具

Android密钥位置

  /data/data/com.whatsapp/files/key（需要root权限）

iOS 加密密钥存储在 iCloud 钥匙串中的（较难提取）

6.恢复删除的WhatsApp信息数据

• 检查本地备份 ： /storage/emulated/0/WhatsApp/Databases/ 恢复旧版 msgstore.db.cryptX 文件。
• 使用 SQLite 取证：删除的信息可能仍然存在于 SQLite 数据库中。
• 第三方工具： Cellebrite UFED, Oxygen Forensic Detective等

7.已删除的信息可以找回吗？

✅ 可以，如果未被覆盖（通过取证工具）
❌不可以，如果被擦除和覆盖（安全删除）

8.WhatsApp 云备份及风险

云备份默认情况下不进行端到端加密！在设置中启用 E2EE 备份，以增强安全性！

 Google Drive: 存储在 msgstore.db.cryptX
iCloud：存储在 ChatStorage.sqlite

9.防止 WhatsApp 数据被盗

• 启用 E2EE 备份功能
• 使用强设备加密 
• 如果担心隐私问题，避免使用云备份
• 定期删除旧的备份文件